Partager via

Recommandations pour l’accès conditionnel et l’authentification multifacteur dans Microsoft Power Automate (Flow)

  • Article

L’accès conditionnel est une fonctionnalité de Microsoft Entra ID qui vous permet de contrôler quand et comment les utilisateurs peuvent accéder aux applications et aux services. En dépit de son utilité, vous devez savoir que l’utilisation de l’accès conditionnel peut avoir un effet négatif ou inattendu sur les utilisateurs de votre organization qui utilisent Microsoft Power Automate (Flow) pour se connecter aux services Microsoft pertinents pour les stratégies d’accès conditionnel.

S’applique à : Power Automate
Numéro de la base de connaissances d’origine : 4467879

Recommandations

  • N’utilisez pas mémorisez l’authentification multifacteur pour les appareils approuvés , car les durées de vie des jetons raccourciront et entraîneront l’actualisation des connexions à l’intervalle configuré plutôt qu’à la longueur étendue standard.
  • Pour éviter les erreurs de conflit de stratégie, assurez-vous que les utilisateurs qui se connectent à Power Automate utilisent des critères qui correspondent aux stratégies pour les connexions utilisées par un flux.

Détails

Les stratégies d’accès conditionnel sont gérées via le Portail Azure et peuvent avoir plusieurs exigences, notamment (mais sans s’y limiter) les suivantes :

  • Les utilisateurs doivent se connecter à l’aide de l’authentification multifacteur (MFA) (généralement un mot de passe plus un appareil biométrique ou autre) pour accéder à certains ou à tous les services cloud.
  • Les utilisateurs peuvent accéder à certains ou à tous les services cloud uniquement à partir de leur réseau d’entreprise et non à partir de leurs réseaux domestiques.
  • Les utilisateurs peuvent utiliser uniquement des appareils approuvés ou des applications clientes pour accéder à tout ou partie des services cloud.

La capture d’écran suivante montre un exemple de stratégie MFA qui nécessite l’authentification multifacteur pour des utilisateurs spécifiques lorsqu’ils accèdent au portail de gestion Azure.

Capture d’écran montrant un exemple qui nécessite la gestion des ressources pour les utilisateurs spécifiques lors de l’accès au portail de gestion Azure.

Vous pouvez également ouvrir la configuration MFA à partir de la Portail Azure. Pour ce faire, sélectionnez Microsoft Entra ID>Utilisateurs et groupes>Tous les utilisateurs>Multi-Factor Authentication, puis configurez des stratégies à l’aide de l’onglet Paramètres du service.

Capture d’écran montrant les étapes d’ouverture de la configuration MDF A à partir du Portail Azure.

L’authentification multifacteur peut également être configurée à partir de Centre d'administration Microsoft 365. Un sous-ensemble de fonctionnalités d’authentification multifacteur Microsoft Entra est disponible pour Office 365 abonnés. Pour plus d’informations sur l’activation de l’authentification multifacteur, consultez Configurer l’authentification multifacteur pour les utilisateurs Office 365.

Capture d’écran montrant que m F A peut être configuré à partir de Centre d'administration Microsoft 365.

Capture d’écran des détails de l’option mémoriser l’authentification multifacteur.

Le paramètre Mémoriser l’authentification multifacteur peut vous aider à réduire le nombre de connexions utilisateur à l’aide d’un cookie persistant. Cette stratégie contrôle les paramètres Microsoft Entra documentés dans Mémoriser l’authentification multifacteur pour les appareils approuvés.

Malheureusement, ce paramètre modifie les paramètres de stratégie de jeton qui font expirer les connexions tous les 14 jours. C’est l’une des raisons courantes pour lesquelles les connexions échouent plus fréquemment après l’activation de l’authentification multifacteur. Nous vous recommandons de ne pas utiliser ce paramètre.

Effets sur le portail Power Automate et les expériences incorporées

Cette section détaille certains des effets négatifs que l’accès conditionnel peut avoir sur les utilisateurs de votre organization qui utilisent Power Automate pour se connecter aux services Microsoft pertinents pour une stratégie.

Effet 1 - Échec sur les exécutions futures

Si vous activez une stratégie d’accès conditionnel après la création de flux et de connexions, les flux échouent lors des exécutions ultérieures. Les propriétaires des connexions voient le message d’erreur suivant dans le portail Power Automate lorsqu’ils examinent les exécutions ayant échoué :

AADSTS50076 : en raison d’une modification de configuration apportée par votre administrateur ou d’un nouvel emplacement, vous devez utiliser l’authentification multifacteur pour accéder <au service>.

Capture d’écran des détails de l’erreur, notamment l’heure, l’état, l’erreur, les détails de l’erreur et la façon de corriger.

Lorsque les utilisateurs affichent des connexions sur le portail Power Automate, un message d’erreur semblable à celui-ci s’affiche :

Capture d’écran de l’erreur Échec de l’actualisation du jeton d’accès pour les utilisateurs du service dans le portail Power Automate.

Pour résoudre ce problème, les utilisateurs doivent se connecter au portail Power Automate dans des conditions qui correspondent à la stratégie d’accès du service auquel ils tentent d’accéder (par exemple, multifacteur, réseau d’entreprise, etc.), puis réparer ou recréer la connexion.

Effet 2 - Échec de la création automatique de la connexion

Si les utilisateurs ne se connectent pas à Power Automate à l’aide de critères qui correspondent aux stratégies, la création automatique de la connexion aux services Microsoft internes contrôlés par les stratégies d’accès conditionnel échoue. Les utilisateurs doivent créer et authentifier manuellement les connexions à l’aide de critères qui correspondent à la stratégie d’accès conditionnel du service auquel ils tentent d’accéder. Ce comportement s’applique également aux modèles en 1 clic créés à partir du portail Power Automate.

Capture d’écran de l’erreur de création automatique de la connexion avec AADSTS50076.

Pour résoudre ce problème, les utilisateurs doivent se connecter au portail Power Automate dans des conditions qui correspondent à la stratégie d’accès du service auquel ils tentent d’accéder (par exemple, multifacteur, réseau d’entreprise, etc.) avant de créer un modèle.

Effet 3 : les utilisateurs ne peuvent pas créer de connexion directement

Si les utilisateurs ne se connectent pas à Power Automate à l’aide de critères qui correspondent aux stratégies, ils ne peuvent pas créer de connexion directement, via Power Apps ou Flow. Les utilisateurs voient le message d’erreur suivant lorsqu’ils tentent de créer une connexion :

AADSTS50076 : en raison d’une modification de configuration apportée par votre administrateur ou d’un nouvel emplacement, vous devez utiliser l’authentification multifacteur pour accéder <au service>.

Capture d’écran de l’erreur AADSTS50076 lors de la tentative de création d’une connexion.

Pour résoudre ce problème, les utilisateurs doivent se connecter dans des conditions qui correspondent à la stratégie d’accès du service auquel ils tentent d’accéder, puis recréer la connexion.

Effet 4 : les sélecteurs de Personnes et de courrier électronique sur le portail Power Automate échouent

Si l’accès Exchange Online ou SharePoint est contrôlé par une stratégie d’accès conditionnel, et si les utilisateurs ne se connectent pas à Power Automate sous la même stratégie, les personnes et les sélecteurs de courrier électronique sur le portail Power Automate échouent. Les utilisateurs ne peuvent pas obtenir les résultats complets pour les groupes de leur organization lorsqu’ils exécutent les requêtes suivantes (Office 365 groupes ne sont pas retournés pour ces requêtes) :

  • Tentative de partage d’autorisations de propriété ou d’exécution seule sur un flux
  • Sélection d’adresses e-mail lors de la création d’un flux dans le concepteur
  • Sélection de personnes dans le panneau Exécutions de flux lors de la sélection d’entrées dans un flux

Effet 5 - Utilisation des fonctionnalités Power Automate incorporées dans d’autres services Microsoft

Lorsqu’un flux est incorporé dans des services Microsoft tels que SharePoint, Power Apps, Excel et Teams, les utilisateurs de Power Automate sont également soumis à un accès conditionnel et à des stratégies multifacteur en fonction de la façon dont ils se sont authentifiés auprès du service hôte. Par exemple, si un utilisateur se connecte à SharePoint à l’aide de l’authentification à un seul facteur, mais tente de créer ou d’utiliser un flux qui nécessite un accès multifacteur à Microsoft Graph, l’utilisateur reçoit un message d’erreur.

Effet 6 - Partage de flux à l’aide de listes et de bibliothèques SharePoint

Lorsque vous essayez de partager des autorisations de propriété ou d’exécution seule à l’aide de listes et de bibliothèques SharePoint, Power Automate ne peut pas fournir le nom complet des listes. Au lieu de cela, il affiche l’identificateur unique d’une liste. Les vignettes propriétaire et exécution seule sur la page des détails du flux pour les flux déjà partagés peuvent afficher l’identificateur, mais pas le nom d’affichage.

Plus important encore, les utilisateurs peuvent également ne pas être en mesure de découvrir ou d’exécuter leurs flux à partir de SharePoint. En effet, actuellement, les informations de stratégie d’accès conditionnel ne sont pas transmises entre Power Automate et SharePoint pour permettre à SharePoint de prendre une décision d’accès.

Capture d’écran de partage de flux avec des listes et des bibliothèques SharePoint.

Capture d’écran montrant l’URL du site et la liste des propriétaires d’ID peuvent voir.

Effet 7 - Création de flux SharePoint out-of-box

En lien avec l’effet 6, la création et l’exécution de flux SharePoint out-of-box, tels que les flux d’approbation de demande et d’approbation de page , peuvent être bloquées par des stratégies d’accès conditionnel. Contrôler l’accès aux données SharePoint et OneDrive en fonction de l’emplacement réseau indique que ces stratégies peuvent entraîner des problèmes d’accès qui affectent les applications internes et tierces.

Ce scénario s’applique à la fois à l’emplacement réseau et aux stratégies d’accès conditionnel (telles que Interdire les appareils non gérés). La prise en charge de la création de flux SharePoint out-of-box est en cours de développement. Nous publierons plus d’informations dans cet article lorsque cette prise en charge sera disponible.

En attendant, nous conseillons aux utilisateurs de créer eux-mêmes des flux similaires et de les partager manuellement avec les utilisateurs souhaités, ou de désactiver les stratégies d’accès conditionnel si cette fonctionnalité est requise.