Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit Richtlinien für bedingten Zugriff geben Sie die Anforderungen für die Verwendung von Websites und Diensten an. Ihre Anforderungen können z. B. das Erfordern einer mehrstufigen Authentifizierung (MFA) oder verwalteter Geräte umfassen.
Wenn Sie eine Website oder einen Dienst direkt verwenden, ist es in der Regel einfach zu sehen, wie sich eine verwandte Richtlinie auf Sie auswirkt. Wenn Sie beispielsweise eine Richtlinie festlegen, die eine mehrstufige Authentifizierung (MFA) für SharePoint Online erfordert, ist MFA für jede Anmeldung beim SharePoint-Webportal erforderlich. Manchmal ist es jedoch schwierig zu wissen, wie sich eine Richtlinie auf Sie auswirkt, da einige Cloud-Apps von anderen Cloud-Apps abhängen. Beispielsweise können Sie in Microsoft Teams Ressourcen in SharePoint Online verwenden. Wenn Sie also Microsoft Teams in diesem Szenario verwenden, unterliegen Sie auch der SharePoint MFA-Richtlinie.
Tipp
Verwenden Sie die Office 365-App , um alle Office-Apps als Ziel zu verwenden und Probleme mit Dienstabhängigkeiten im Office-Stapel zu vermeiden.
Richtlinienerzwingung
Wenn Sie eine Dienstabhängigkeit konfiguriert haben, kann die Richtlinie per früh oder spät gebundener Erzwingung angewendet werden.
- Frühzeitige Durchsetzung der Richtlinie bedeutet, dass ein Benutzer die Richtlinie für abhängige Dienste erfüllen muss, bevor er die aufrufende App verwenden kann. Beispielsweise muss ein Benutzer die SharePoint-Richtlinie erfüllen, bevor er sich bei Microsoft Teams anmeldet.
- Späte Durchsetzung der Richtlinie erfolgt, nachdem sich der Benutzer bei der aufrufenden App angemeldet hat. Die Erzwingung wird zurückgestellt, bis die aufrufende App ein Token für den downstream-Dienst anfordert. Beispiele sind Microsoft Teams, das auf Planner zugreift, und Office.com, das auf SharePoint zugreift.
Das folgende Diagramm zeigt Microsoft Teams-Dienstabhängigkeiten. Die durchgehenden Pfeile zeigen die frühzeitige Durchsetzung an, und der gestrichelte Pfeil für Planner zeigt die späte Durchsetzung an.
Legen Sie allgemeine Richtlinien für verwandte Apps und Dienste fest, wenn möglich. Ein einheitlicher Sicherheitsstatus bietet Ihnen die beste Benutzererfahrung. Wenn Sie beispielsweise eine gemeinsame Richtlinie in Exchange Online, SharePoint Online und Microsoft Teams festlegen, werden Aufforderungen reduziert, die aus verschiedenen Richtlinien stammen können, die auf nachgeschaltete Dienste angewendet werden.
Um eine allgemeine Richtlinie für Microsoft 365-Apps festzulegen, verwenden Sie die Office 365-App , anstatt auf einzelne Anwendungen zu abzielen.
In der folgenden Tabelle sind einige weitere Dienstabhängigkeiten aufgeführt, die von den Client-Apps erfüllt werden müssen. Die Liste ist nicht vollständig.
| Client-Apps | Downstreamdienst | Durchsetzung |
|---|---|---|
| Azure Data Lake | Windows Azure Dienstverwaltungs-API (Portal und API) | Früh gebunden |
| Microsoft Classroom | Umtausch | Früh gebunden |
| SharePoint | Früh gebunden | |
| Microsoft Teams | Umtausch | Früh gebunden |
| Microsoft Planner | Spät gebunden | |
| Microsoft Stream | Spät gebunden | |
| SharePoint | Früh gebunden | |
| Skype for Business Online | Früh gebunden | |
| Microsoft Whiteboard | Spät gebunden | |
| Office-Portal | Umtausch | Spät gebunden |
| SharePoint | Spät gebunden | |
| Outlook-Gruppen | Umtausch | Früh gebunden |
| SharePoint | Früh gebunden | |
| Leistungsstarke Anwendungen | Windows Azure Dienstverwaltungs-API (Portal und API) | Früh gebunden |
| Microsoft Azure Active Directory | Früh gebunden | |
| SharePoint | Früh gebunden | |
| Umtausch | Früh gebunden | |
| Power Automate | Leistungsstarke Anwendungen | Früh gebunden |
| Projekt | Dynamics CRM | Früh gebunden |
| Skype for Business | Umtausch | Früh gebunden |
| Visual Studio | Windows Azure Dienstverwaltungs-API (Portal und API) | Früh gebunden |
| Microsoft Forms | Umtausch | Früh gebunden |
| SharePoint | Früh gebunden | |
| Microsoft To-Do | Umtausch | Früh gebunden |
| SharePoint | SharePoint Online Web-Clienterweiterbarkeit | Früh gebunden |
| SharePoint Online Web-Clienterweiterbarkeit (isoliert) | Früh gebunden | |
| SharePoint Client-Erweiterbarkeit Webanwendungsprinzipal (sofern vorhanden) | Früh gebunden |
Problembehandlung bei Dienstabhängigkeiten
Das Microsoft Entra-Anmeldeprotokoll ist eine wertvolle Informationsquelle, wenn Sie probleme mit dem Grund und der Anwendung einer Richtlinie für bedingten Zugriff in Ihrer Umgebung beheben. Die Anmeldeprotokolle enthalten hilfreiche Informationen wie Anwendungen, Ressourcen und Zielgruppen. Weitere Informationen zur Problembehandlung bei unerwarteten Anmeldeergebnissen im Zusammenhang mit bedingtem Zugriff finden Sie im Artikel Beheben von Anmeldeproblemen bei bedingtem Zugriff.
Nächste Schritte
Erfahren Sie, wie Sie bedingten Zugriff in Ihrer Umgebung in der Planung Ihrer Bereitstellung für bedingten Zugriff in Microsoft Entra ID implementieren.