Microsoft Entra 条件访问中有哪些服务依赖项?

使用条件访问策略时,可以指定网站和服务的访问要求。 例如,访问要求可以包括要求进行多重身份验证 (MFA),或者要求使用托管设备

直接访问站点或服务时,通常容易评估相关策略的影响。 例如,如果策略要求对配置的 SharePoint Online 进行多重身份验证 (MFA),则每次登录 SharePoint Web 门户时,都会强制执行 MFA。 但是,评估某项策略的影响并非始终是直截了当的,因为某些云应用依赖于其他云应用。 例如,可以通过 Microsoft Teams 访问 SharePoint Online 中的资源。 因此,你在访问当前方案中的 Microsoft Teams 时,也会受 SharePoint MFA 策略约束。

提示

使用 Office 365 应用的操作将针对所有 Office 应用,以避免 Office 堆栈中的服务依赖项出现问题。

策略强制执行

如果配置了服务依赖项,则可使用早期绑定或后期绑定强制来应用此策略。

  • 早期绑定策略强制意味着用户必须在访问调用应用之前满足依赖的服务策略。 例如,在登录 Microsoft Teams 之前,用户必须满足 SharePoint 策略要求。
  • 后期绑定策略强制发生在用户登录到调用应用以后。 强制会延迟到调用应用请求时(下游服务的令牌)。 示例包括 Microsoft Teams 访问 Planner,以及 Office.com 访问 SharePoint。

以下关系图演示了 Microsoft Teams 服务相关项。 Planner 的实线箭头表示早期绑定强制,虚线箭头表示后期绑定强制。

A diagram showing Microsoft Teams service dependencies.

最佳做法是,尽可能跨相关的应用和服务设置常用策略。 安全态势一致可以为你提供最佳用户体验。 例如,跨 Exchange Online、SharePoint Online、Microsoft Teams 和 Skype for Business 设置常用策略可以显著减少意外提示数(为下游服务应用不同策略时,可能会出现这些提示)。

使用 Office 堆栈中的应用程序实现常见策略的一种上佳方法是,使用 Office 365 应用,而不是针对单个应用程序。

下表列出了客户端应用必须满足的一些其他服务依赖项。 此列表并不详尽。

客户端应用 下游服务 强制
Azure Data Lake Azure 服务管理 API(门户和 API) 早期绑定
Microsoft Classroom Exchange 早期绑定
SharePoint 早期绑定
Microsoft Teams Exchange 早期绑定
MS Planner 后期绑定
Microsoft Stream 后期绑定
SharePoint 早期绑定
Skype for Business Online 早期绑定
Microsoft Whiteboard 后期绑定
Office 门户 Exchange 后期绑定
SharePoint 后期绑定
Outlook 组 Exchange 早期绑定
SharePoint 早期绑定
Power Apps Azure 服务管理 API(门户和 API) 早期绑定
Azure Active Directory 早期绑定
SharePoint 早期绑定
Exchange 早期绑定
Power Automate Power Apps 早期绑定
Project Dynamics CRM 早期绑定
Skype for Business Exchange 早期绑定
Visual Studio Azure 服务管理 API(门户和 API) 早期绑定
Microsoft Forms Exchange 早期绑定
SharePoint 早期绑定
微软待办 Exchange 早期绑定
SharePoint SharePoint Online Web 客户端可扩展性 早期绑定
SharePoint OnlineWeb 客户端可扩展性(独立) 早期绑定
SharePoint 客户端可扩展性 Web 应用程序主体(如有) 早期绑定

服务依赖项疑难解答

排查在环境中应用条件访问策略的原因和方式问题时,Microsoft Entra 登录日志是非常有价值的信息来源。 若要深入了解如何排查与条件访问相关的意外登录结果,请参阅文章排查条件访问的登录问题

后续步骤

若要了解如何在环境中实现条件访问,请参阅在 Microsoft Entra ID 中规划条件访问部署