Cerrar
InicioAzureAzure AD: Acceso Condicional + Teams + Office 365 Apps

Azure AD: Acceso Condicional + Teams + Office 365 Apps

En el último artículo os comenté como configurar el Acceso Condicional en Azure Active Directory, donde os mostrar como para iniciar sesión en las aplicaciones registradas en Azure AD debíamos cumplir una serie de requisitos:

  • Autenticación MultiFactor
  • Equipo registrado en AzureAD
  • Estado de Cumplimiento (Intune)

Pues ahora, vamos a ver otra cosa muy interesante e importante que debemos tener en cuenta, las dependencias de servicio del acceso condicional de Azure Active Directory. Esto básicamente es que cuando queremos iniciar sesión en una aplicación la cual tiene dependencias con otras aplicaciones, caso de Microsoft Teams. Teams tiene muchísimas dependencias, entre las cuales están con Exchange, SharePoint Online y Planner, pero esta relación con ellas es diferente. Todo ello va en función de cumplimiento de directivas, las cuales os comento a continuación (Texto de Microsoft):

  • El cumplimiento de directivas enlazadas en tiempo de compilación: significa que un usuario debe satisfacer la directiva de servicio dependiente para acceder a la aplicación que realiza la llamada. Por ejemplo, un usuario debe satisfacer la directiva de SharePoint antes de iniciar sesión en MS Teams. (la flecha continua en la infografía)
  • El cumplimiento de directivas enlazadas en tiempo de ejecución: se produce después de que el usuario inicia sesión en la aplicación que realiza la llamada. El cumplimiento se aplaza hasta que la aplicación que realiza la llamada solicita un token para el servicio de nivel inferior. Algunos ejemplos son el acceso de MS Teams a Planner y el acceso de Office.com a SharePoint.  (la flecha discontinua en la infografía)

Como siempre, aquí os dejo una pequeña infografía al respecto:

Lo segundo, voy a mostraros como sino tenemos en cuenta las dependencias de los servicios que puede ocurrir cuando tenemos configurado Acceso Condicional para todas las aplicaciones de Cloud. Por ejemplo, hemos iniciado sesión en Teams y tenemos una pestaña configurada con una lista de SPO, si tratamos de acceder lo que nos ocurrirá será lo siguiente:

  1. Nos solicitará autenticación cuando queremos accede a la lista de SPO que tenemos en una pestaña de Teams, pero teoría ya nos hemos logueado en Teams

2. Nos solicita autenticación multifactor (nuevamente, porque ya lo hemos hecho para iniciar Teams)

3. Nos dará un error de que no hemos pasado la validación del Acceso Condicional

Ahora matizo esto, porque esto es un error documento por MSFT y mirad lo que nos dice que hagamos:

Pues esto es justo lo que nos pasa, si nos guiamos por las dependencias entre servicios, se supone que primero deberíamos satisfacer las necesidades de los diferentes servicios antes de hacerlo desde Teams directamente. Vamos, que iniciemos sesión en SPO y/o Exchange antes de ir a Teams .. así es como yo entiendo su frase … “un usuario debe satisfacer la directiva de SharePoint antes de iniciar sesión en MS Teams”. Pues bien, ahora os voy a comentar mi situación con este caso. Yo había agregado una pestaña a una lista de contactos de SharePoint en el mismo Site del Teams donde estoy, pero agregándolo como Website:

Donde simplemente escribimos un nombre para la Pestaña y escribimos la URL de la lista

Pero como he comentado, con esta configuración el sistema y el acceso condicional pues me dice que no puedo conectarme porque no cumplo las directivas. Claro, esto era una configuración “antigua”, porque ahora podemos enlazar listas o bibliotecas de SPO directamente:

Si ahora iniciamos sesión en Teams y luego directamente a esta nueva pestaña primero, veremos que podemos acceder sin problema:

Si ahora accedemos a la otra pestaña veremos que ya podemos acceder sin porque hemos satisfecho la directiva de SPO!!

Por lo que, lo “único” que tenemos que hacer para acceder a SPO vía Teams es configurar las pestañas como SharePoint y no como enlaces Web. Las configuraciones con Sitios Web no funcionan y MSFT la solución que nos daría de momento es abrir un navegador y hacer login y eso claro, funciona sin problema.

Como vemos el tener claras las dependencias es vital, otra cosa ya es que las pestañas con Sitios Web no funcionen como se espera, pero que en todo caso con SPO sólo tenemos que cambiarlas por pestañas de SharePoint y así cumplimos previamente la dependencia del servicio.

Espero que os sea de ayuda, ahora como siempre, os toca a vosotros probarlo!!

Azure MFA: Acceso Co
Azure Firewall: Inte
NO HAY COMENTARIOS

Este sitio web utiliza cookies. Si continúas navegando, consideramos que aceptas su uso. Puedes obtener más información en nuestra política de cookies. ACEPTAR

Aviso de cookies
Share This