使用条件访问策略,可以指定使用网站和服务的要求。 例如,要求可能包括要求多重身份验证(MFA)或 托管设备。
直接使用网站或服务时,通常很容易了解相关策略对你的影响。 例如,如果为 SharePoint Online 设置一个要求多重身份验证(MFA)的策略,则每个登录SharePoint Web 门户都需要 MFA。 但有时很难知道策略如何影响你,因为某些云应用依赖于其他云应用。 例如,Microsoft Teams允许在 SharePoint Online 中使用资源。 因此,在此方案中使用Microsoft Teams时,还受SharePoint MFA 策略的约束。
提示
使用 Office 365 应用以所有 Office 应用为目标,并避免 Office 堆栈中的服务依赖项出现问题。
策略强制执行
如果配置了服务依赖项,则此策略可以通过早期绑定或后期绑定实施。
- 早期绑定策略执行意味着用户在使用调用应用程序之前必须满足依赖服务策略。 例如,用户在登录Microsoft Teams之前必须满足SharePoint策略。
- 后期绑定策略执行发生在用户登录调用应用程序之后。 执行将被推迟,直到调用应用请求下游服务的令牌。 示例包括 Microsoft Teams 访问 Planner,以及 Office.com 访问 SharePoint。
下图显示了Microsoft Teams服务依赖项。 Planner 的实线箭头表示早期绑定强制,而虚线箭头则表示后期绑定强制。
尽可能在相关应用和服务中设置统一政策。 一致的安全态势为你提供了最佳的用户体验。 例如,跨 Exchange Online、SharePoint Online 和 Microsoft Teams设置通用策略可减少可能来自应用于下游服务的不同策略的提示。
若要为Microsoft 365应用设置通用策略,请使用 Office 365 应用而不是针对单个应用程序。
下表列出了客户端应用必须满足的一些更多服务依赖项。 此列表并不详尽。
| 客户端应用 | 下游服务 | 执行 |
|---|---|---|
| Azure Data Lake | Azure服务管理 API (门户和 API) | 早期绑定 |
| Microsoft Classroom | 交流 | 早期绑定 |
| SharePoint | 早期绑定 | |
| Microsoft Teams | 交流 | 早期绑定 |
| MS Planner (微软计划者) | 后期绑定 | |
| Microsoft Stream | 后期绑定 | |
| SharePoint | 早期绑定 | |
| Skype for Business Online | 早期绑定 | |
| Microsoft Whiteboard | 后期绑定 | |
| Office 门户 | 交流 | 后期绑定 |
| SharePoint | 后期绑定 | |
| Outlook 群组 | 交流 | 早期绑定 |
| SharePoint | 早期绑定 | |
| Power Apps | Azure服务管理 API (门户和 API) | 早期绑定 |
| Azure Active Directory | 早期绑定 | |
| SharePoint | 早期绑定 | |
| 交流 | 早期绑定 | |
| Power Automate | Power Apps | 早期绑定 |
| 项目 | Dynamics CRM | 早期绑定 |
| Skype for Business | 交流 | 早期绑定 |
| Visual Studio | Azure服务管理 API (门户和 API) | 早期绑定 |
| Microsoft Forms | 交流 | 早期绑定 |
| SharePoint | 早期绑定 | |
| 微软待办 | 交流 | 早期绑定 |
| SharePoint | SharePoint Online Web 客户端扩展性 | 早期绑定 |
| SharePoint 在线 Web 客户端扩展性隔离 | 早期绑定 | |
| SharePoint客户端扩展性 Web 应用程序主体(其中存在) | 早期绑定 |
服务依赖项故障排除
Microsoft Entra登录日志是排查在环境中应用条件访问策略的原因和方式时有价值的信息来源。 登录日志包括有用的信息,如应用程序、资源和受众。 若要深入了解如何排查与条件访问相关的意外登录结果,请参阅文章排查条件访问的登录问题。
后续步骤
了解如何在您的环境中实现条件访问,请参阅 在 Microsoft Entra ID 中规划条件访问部署。