O que são dependências de serviço no acesso condicional do Microsoft Entra?

Com políticas de acesso condicional, é possível especificar requisitos de acesso a sites e serviços. Por exemplo, seus requisitos de acesso podem incluir a exigência da MFA (autenticação multifator) ou dispositivos gerenciados.

Quando você acessa um site ou um serviço diretamente, geralmente, é fácil avaliar o impacto de uma política relacionada. Por exemplo, se você tem uma política que exige a MFA (autenticação multifator) para o SharePoint Online configurado, a MFA é imposta a todas as entradas no portal da Web do SharePoint. No entanto, nem sempre é simples avaliar o impacto de uma política, pois há aplicativos de nuvem que dependem de outros aplicativos de nuvem. Por exemplo, o Microsoft Teams pode oferecer acesso a recursos do SharePoint Online. Portanto, quando você acessa o Microsoft Teams no nosso cenário atual, também está sujeito à política de MFA do SharePoint.

Dica

Usar o aplicativo Office 365 direcionará todos os aplicativos do Office para evitar problemas com dependências de serviço na pilha do Office.

Aplicação de políticas

Se você tem uma dependência de serviço configurada, a política pode ser aplicada usando o método de associação antecipada ou tardia.

  • A aplicação da política de associação antecipada significa que um usuário deve cumprir a política de serviço dependente antes de acessar o aplicativo de chamada. Por exemplo, um usuário deve cumprir a política do SharePoint antes de se conectar ao Microsoft Teams.
  • A aplicação da política de associação tardia ocorre depois que o usuário se conecta ao aplicativo de chamada. A aplicação é adiada para o momento da solicitação do aplicativo de chamada, um token de segurança do serviço downstream. Alguns exemplos são quando o Microsoft Teams acessa o Planner e o Office.com acessa o SharePoint.

O diagrama a seguir ilustra as dependências de serviço do Microsoft Teams. As setas contínuas indicam a aplicação da associação antecipada, e a seta pontilhada do Planner indica a aplicação da associação tardia.

A diagram showing Microsoft Teams service dependencies.

Uma melhor prática é definir políticas comuns entre os aplicativos e os serviços relacionados sempre que possível. Ter uma postura consistente de segurança oferecerá a você a melhor experiência do usuário. Por exemplo, definir uma política comum para o Exchange Online, o SharePoint Online, o Microsoft Teams e o Skype for Business reduz significativamente os prompts inesperados que podem surgir com a aplicação de políticas diferentes aos serviços downstream.

Uma ótima maneira de executar uma política comum com aplicativos da pilha do Office é usar o aplicativo Office 365 em vez de direcionar aplicativos individuais.

A tabela abaixo lista mais algumas dependências de serviço que os aplicativos cliente devem cumprir. Essa lista não é completa.

Aplicativos cliente Serviço downstream Imposição
Azure Data Lake API de Gerenciamento de Serviços do Windows Azure (portal and API) Associação antecipada
Microsoft Classroom Exchange Associação antecipada
SharePoint Associação antecipada
Microsoft Teams Exchange Associação antecipada
MS Planner Associação tardia
Microsoft Stream Associação tardia
SharePoint Associação antecipada
Skype for Business Online Associação antecipada
Microsoft Whiteboard Associação tardia
Portal do Office Exchange Associação tardia
SharePoint Associação tardia
Outlook Groups Exchange Associação antecipada
SharePoint Associação antecipada
Power Apps API de Gerenciamento de Serviços do Windows Azure (portal and API) Associação antecipada
Windows Azure Active Directory Associação antecipada
SharePoint Associação antecipada
Exchange Associação antecipada
Power Automate Power Apps Associação antecipada
Project Dynamics CRM Associação antecipada
Skype for Business Exchange Associação antecipada
Visual Studio API de Gerenciamento de Serviços do Windows Azure (portal and API) Associação antecipada
Microsoft Forms Exchange Associação antecipada
SharePoint Associação antecipada
Microsoft To-Do Exchange Associação antecipada
SharePoint Extensibilidade do Cliente Web do SharePoint Online Associação antecipada
Extensibilidade do Cliente Web do SharePoint Online isolada Associação antecipada
Entidade de segurança do aplicativo Web de Extensibilidade do Cliente do SharePoint (em que estiver presente) Associação antecipada

Solução de problemas de dependências de serviço

O log de entrada do Microsoft Entra é uma fonte valiosa de informações ao solucionar problemas de por que e como uma política de Acesso Condicional foi aplicada no seu ambiente. Para obter mais informações sobre como solucionar problemas de resultados de credenciais inesperados relacionados ao Acesso Condicional, confira o artigo Solução de problemas de credenciais com o Acesso Condicional.

Próximas etapas

Para saber como implementar o acesso condicional no seu ambiente, confira Planejar a implantação do acesso condicional na ID do Microsoft Entra.