Azure Active Directory 条件付きアクセスのサービス依存関係の概要What are service dependencies in Azure Active Directory Conditional Access?

• 2020/05/04
• • 
  • 

条件付きアクセス ポリシーを使用すると、Web サイトやサービスに対するアクセス要件を指定できます。With Conditional Access policies, you can specify access requirements to websites and services. たとえば、アクセス要件に、Multi-Factor Authentication (MFA) またはマネージド デバイスの要件を含めることができます。For example, your access requirements can include requiring multi-factor authentication (MFA) or .

サイトまたはサービスに直接アクセスすると、通常、関連するポリシーの影響を簡単に確認できます。When you access a site or service directly, the impact of a related policy is typically easy to assess. たとえば、SharePoint Online に Multi-Factor Authentication (MFA) を必要とするポリシーを構成すると、SharePoint Web ポータルにサインインするたびに MFA が適用されます。For example, if you have a policy that requires multi-factor authentication (MFA) for SharePoint Online configured, MFA is enforced for each sign-in to the SharePoint web portal. ただし、他のクラウド アプリとの依存関係があるクラウド アプリがあるため、ポリシーの影響が常に簡単に確認できるとは限りません。However, it is not always straight-forward to assess the impact of a policy because there are cloud apps with dependencies to other cloud apps. たとえば、Microsoft Teams では SharePoint Online のリソースへのアクセスを提供できます。For example, Microsoft Teams can provide access to resources in SharePoint Online. そのため、現在のシナリオで Microsoft Teams にアクセスすると、SharePoint MFA ポリシーの対象にもなります。So, when you access Microsoft Teams in our current scenario, you are also subject to the SharePoint MFA policy.

ポリシーの適用Policy enforcement

サービス依存関係を構成している場合は、事前バインディングまたは遅延バインディングを使用してポリシーを適用できます。If you have a service dependency configured, the policy may be applied using early-bound or late-bound enforcement.

• 事前バインディング ポリシー適用では、ユーザーが呼び出し元のアプリにアクセスする前に依存サービス ポリシーを満たす必要があります。 means a user must satisfy the dependent service policy before accessing the calling app. たとえば、ユーザーが MS Teams にサインインする前に SharePoint ポリシーを満たす必要があります。For example, a user must satisfy SharePoint policy before signing into MS Teams.
• 遅延バインディング ポリシー適用は、ユーザーが呼び出し元アプリにサインインした後で行われます。 occurs after the user signs into the calling app. 呼び出し元アプリがダウンストリーム サービスのトークンを要求するまで、適用が延期されます。Enforcement is deferred to when calling app requests, a token for the downstream service. 例としては、Planner にアクセスする MS Teams や SharePoint にアクセスする Office.com があります。Examples include MS Teams accessing Planner and Office.com accessing SharePoint.

次の図は、MS Teams のサービス依存関係を示しています。The diagram below illustrates MS Teams service dependencies. 実線矢印は事前バインディング適用を示し、Planner を指す破線矢印は遅延バインディング適用を示します。Solid arrows indicate early-bound enforcement the dashed arrow for Planner indicates late-bound enforcement.

ベスト プラクティスとして、可能な場合には常に、関連するアプリおよびサービスに対して共通のポリシーを設定することをお勧めします。As a best practice, you should set common policies across related apps and services whenever possible. 一貫性のあるセキュリティ体制によって、最適なユーザー エクスペリエンスが実現します。Having a consistent security posture provides you with the best user experience. たとえば、業務のための Exchange Online、SharePoint Online、Microsoft Teams、Skype に対して共通のポリシーを設定すると、ダウンストリーム サービスに適用されるさまざまなポリシーからのプロンプトが予期せずに生成される回数が大幅に減少します。For example, setting a common policy across Exchange Online, SharePoint Online, Microsoft Teams, and Skype for business significantly reduces unexpected prompts that may arise from different policies being applied to downstream services.

Office スタックでアプリケーションを使用してこれを実現する優れた方法は、個々のアプリケーションを対象にするのではなく、Office 365 (プレビュー) を使用することです。A great way to accomplish this with applications in the Office stack is to use the instead of targeting individual applications.

次の表には、クライアント アプリが満たす必要があるその他のサービス依存関係を示します。The below table lists additional service dependencies, where the client apps must satisfy

次のステップNext steps

お使いの環境に条件付きアクセスを実装する方法については、「Azure Active Directory の条件付きアクセスの展開を計画する」をご覧ください。To learn how to implement Conditional Access in your environment, see .