Refre sh токен для пользователя с политикой CA, примененной в Azure AD не удалось

Question

Я применил политику условного доступа в Azure AD для некоторых пользователей, чтобы заблокировать доступ к Microsoft Teams. Но мне по-прежнему нужен доступ к Teams из моей веб-службы в токене refre sh (для публикации некоторых данных от имени этого пользователя). Когда я пытаюсь обновить токен sh для пользователя, который отображается в этом списке, я получаю следующую ошибку: AADSTS53003: Access has been blocked by Conditional Access policies. The access policy does not allow token issuance..

Я попытался добавить условие местоположения, чтобы разрешить доступ к командам только с IP-адреса моего сервера. Я могу получить доступ к Teams из браузера, установленного на сервере (я не мог получить доступ с другого компьютера), но эта ошибка все еще воспроизводится.

Как я могу решить эту проблему и заблокировать доступ к Teams, но все еще могу обновить sh токены и действовать от имени этого пользователя в моем веб-сервисе?

Answer 1

Обычно Несколько условий могут быть объединены для создания детализированных и специфичных c политик условного доступа. Если вы заблокируете Teams для определенных пользователей, он будет включать веб-сервис. Если вы примените CA на основе местоположения, он также будет разрешать из определенных мест и блокировать все другие местоположения, включая клиентские и веб-сайты. Если вы блокируете устаревшую аутентификацию с помощью условия Другие клиенты, вы также можете устанавливать и блокировать веб-приложения, но разрешая мобильные или настольные приложения, поддерживающие Microsoft Teams, но блокирующие пользователей и разрешающие доступ через Интернет через политику CA, не документированы, и я пытался с конца в различных способами, но недоступны.