Che cosa sono le dipendenze del servizio nell'accesso condizionale di Microsoft Entra?

Con i criteri di accesso condizionale, è possibile specificare i requisiti di accesso ai siti Web e ai servizi. Ad esempio, i requisiti di accesso possono includere la richiesta di autenticazione a più fattori (MFA) o dispositivi gestiti.

Quando si accede direttamente a un sito o a un servizio, l'impatto di un criterio correlato è in genere facile da valutare. Ad esempio, se si dispone di un criterio che richiede l'autenticazione a più fattori (MFA) per SharePoint Online configurato, l'autenticazione a più fattori viene applicata per ogni accesso al portale Web di SharePoint. Tuttavia, non è sempre semplice valutare l'impatto di un criterio perché sono presenti app cloud con dipendenze ad altre app cloud. Ad esempio, Microsoft Teams può fornire l'accesso alle risorse in SharePoint Online. Quindi, quando si accede a Microsoft Teams nello scenario corrente, si è soggetti anche ai criteri di autenticazione a più fattori di SharePoint.

Suggerimento

L'uso dell'app Office 365 interesserà tutte le app di Office per evitare problemi con le dipendenze del servizio nello stack di Office.

Applicazione dei criteri

Se è configurata una dipendenza del servizio, i criteri possono essere applicati usando l'applicazione con associazione anticipata o tardiva.

  • L'applicazione dei criteri con associazione anticipata significa che un utente deve soddisfare i criteri del servizio dipendente prima di accedere all'app chiamante. Ad esempio, un utente deve soddisfare i criteri di SharePoint prima di accedere a Microsoft Teams.
  • L'applicazione dei criteri ad associazione tardiva si verifica dopo che l'utente accede all'app chiamante. L'applicazione viene posticipata a quando l'app chiamante richiede un token per il servizio downstream. Ad esempio, Microsoft Teams accede a Planner e Office.com che accede a SharePoint.

Il diagramma seguente illustra le dipendenze del servizio Microsoft Teams. Le frecce a tinta unita indicano l'applicazione con associazione anticipata; la freccia tratteggiata per Planner indica l'imposizione con applicazione tardiva.

Diagramma che mostra le dipendenze del servizio Microsoft Teams.

La procedura consigliata prevede la configurazione di criteri comuni in app e servizi correlati quanto possibile. L'adozione di una postura di sicurezza coerente offre l'esperienza utente migliore. L'impostazione di un criterio comune tra Exchange Online, SharePoint Online, Microsoft Teams e Skype for Business, ad esempio, riduce significativamente le richieste impreviste che potrebbero derivare da criteri diversi applicati ai servizi downstream.

Un ottimo modo per ottenere criteri comuni con le applicazioni nello stack di Office consiste nell'usare le app di Office 365 anziché specificare singole applicazioni.

La tabella seguente elenca altre dipendenze del servizio che le app client devono soddisfare. Questo elenco non è esaustivo.

App client Servizio downstream Imposizione
Azure Data Lake API Gestione dei servizi di Windows Azure (portale e API) Associazione anticipata
Microsoft Classroom Exchange Associazione anticipata
SharePoint Associazione anticipata
Microsoft Teams Exchange Associazione anticipata
MS Planner Associazione tardiva
Microsoft Stream Associazione tardiva
SharePoint Associazione anticipata
Skype for Business Online Associazione anticipata
Microsoft Whiteboard Associazione tardiva
Portale di Office Exchange Associazione tardiva
SharePoint Associazione tardiva
Outlook Groups Exchange Associazione anticipata
SharePoint Associazione anticipata
Power Apps API Gestione dei servizi di Windows Azure (portale e API) Associazione anticipata
Windows Azure Active Directory Associazione anticipata
SharePoint Associazione anticipata
Exchange Associazione anticipata
Power Automate Power Apps Associazione anticipata
Project Dynamics CRM Associazione anticipata
Skype for Business Exchange Associazione anticipata
Visual Studio API Gestione dei servizi di Windows Azure (portale e API) Associazione anticipata
Microsoft Forms Exchange Associazione anticipata
SharePoint Associazione anticipata
Microsoft To-Do Exchange Associazione anticipata
SharePoint Estendibilità del client Web di SharePoint Online Associazione anticipata
Estendibilità del client Web di SharePoint Online isolato Associazione anticipata
Entità applicazione Web estendibilità client SharePoint (dove presente) Associazione anticipata

Risoluzione dei problemi relativi alle dipendenze del servizio

Il log di accesso di Microsoft Entra è un'importante fonte di informazioni per la risoluzione dei problemi relativi al motivo e al modo in cui i criteri di accesso condizionale sono applicati nell'ambiente. Per altre informazioni sulla risoluzione dei problemi degli esiti di accesso imprevisti correlati all'accesso condizionale, vedere l'articolo Risoluzione dei problemi di accesso con l'accesso condizionale.

Passaggi successivi

Per informazioni su come implementare l'accesso condizionale nell'ambiente in uso, vedere Pianificare la distribuzione dell'accesso condizionale in Microsoft Entra ID.