Microsoft Flow의 조건부 액세스 및 다단계 인증에 대한 권장 사항

조건부 액세스는 사용자가 애플리케이션 및 서비스에 액세스할 수 있는 방법과 시기를 제어할 수 있는 Azure Active Directory(Azure AD)의 기능입니다. 유용성에도 불구하고 조건부 액세스를 사용하면 조건부 액세스 정책과 관련된 Microsoft 서비스에 연결하기 위해 Microsoft Flow를 사용하는 조직의 사용자에게 불리하거나 예기치 않은 영향을 줄 수 있다는 점에 유의해야 합니다.

적용 대상:   Power Automate
원래 KB 번호:   4467879

요약

조건부 액세스 정책은 Azure Portal 통해 관리되며 다음을 비롯한 몇 가지 요구 사항이 있을 수 있습니다.

  • 사용자는 MFA(다단계 인증)( 일반적으로 암호와 생체 인식 또는 기타 디바이스)를 사용하여 일부 또는 모든 클라우드 서비스에 액세스하여 로그인해야 합니다.
  • 사용자는 홈 네트워크가 아닌 회사 네트워크에서만 일부 또는 모든 클라우드 서비스에 액세스할 수 있습니다.
  • 사용자는 승인된 디바이스 또는 클라이언트 애플리케이션만 사용하여 일부 또는 모든 클라우드 서비스에 액세스할 수 있습니다.

다음 스크린샷은 특정 사용자가 Azure 관리 포털에 액세스할 때 MFA가 필요한 MFA 정책 예제를 보여 줍니다.

스크린샷은 Azure 관리 포털에 액세스할 때 특정 사용자에 대해 M F A가 필요한 예제를 보여 줍니다.

Azure Portal MFA 구성을 열 수도 있습니다. 이렇게 하려면 Azure Active Directory > 사용자를 선택하고 모든 사용자 > Multi-Factor Authentication을 그룹 > 화한 다음 , 서비스 설정 탭을 사용하여 정책을 구성합니다.

스크린샷은 Azure Portal M F A 구성을 여는 단계를 보여줍니다.

MFA는 Microsoft 365 관리 센터 구성할 수도 있습니다. Azure MFA 기능의 하위 집합은 Office 365 구독자가 사용할 수 있습니다. MFA를 사용하도록 설정하는 방법에 대한 자세한 내용은 Office 365 사용자에 대한 다단계 인증 설정을 참조하세요.

스크린샷은 M F A를 Microsoft 365 관리 센터 구성할 수 있음을 보여줍니다.

다단계 인증 옵션 세부 정보 저장 스크린샷.

다단계 인증 기억 설정은 영구 쿠키를 사용하여 사용자 로그온 수를 줄이는 데 도움이 될 수 있습니다. 이 정책은 신뢰할 수 있는 디바이스에 대한 Multi-Factor Authentication 저장에 설명된 Azure AD 설정을 제어합니다.

아쉽게도 이 설정은 흐름 연결이 14일마다 만료되도록 하는 토큰 정책 설정을 변경합니다. 이는 MFA를 사용하도록 설정한 후 흐름 연결이 더 자주 실패하는 일반적인 이유 중 하나입니다. 이 설정을 사용하지 않는 것이 좋습니다. 대신 다음 토큰 수명 정책을 사용하여 동일한 기능을 수행할 수 있습니다.

Flow에 대한 조건부 액세스의 주요 부작용은 다음 표의 설정에 의해 발생합니다. 표에는 토큰 수명 설정의 기본값이 표시됩니다. 이러한 값은 변경하지 않는 것이 좋습니다.

설정 권장 값 흐름에 미치는 영향
MaxInactiveTime 90일 흐름 연결이 이 시간 범위보다 오랫동안 유휴 상태인 경우(Flow 실행에서 사용하지 않음) 만료 시간 이후에 새 흐름 실행이 실패하고 다음 오류가 반환됩니다.

AADSTS70008: 비활성으로 인해 새로 고침 토큰이 만료되었습니다. 토큰은 시간에 발급되었으며 90.00:00:00에 대해 비활성 상태였습니다.
MaxAgeMultiFactor Until-Revoked 이 설정은 다단계 새로 고침 토큰(흐름 연결에 사용되는 토큰 종류)이 유효한 기간을 제어합니다.

기본 설정은 테넌트 관리자가 사용자의 액세스를 구체적으로 해지하지 않는 한 흐름 연결을 사용할 수 있는 기간에 대한 제한이 없음을 의미합니다.

이 값을 고정된 시간 범위로 설정하면 해당 기간(사용 또는 비활성)이 지나면 흐름 연결이 잘못되고 흐름 실행이 실패합니다. 이 경우 다음 오류 메시지가 생성됩니다. 이 오류는 사용자가 연결을 복구하거나 다시 만들어야 합니다.

AADSTS50076: 관리자가 구성을 변경했거나 새 위치로 이동했기 때문에 다단계 인증을 사용하여 액세스해야 합니다...
MaxAgeSingleFactor Until-Revoked 이 설정은 MaxAgeMultiFactor 설정과 동일하지만 단일 요소 새로 고침 토큰의 경우입니다.
MaxAgeSessionMultiFactor Until-Revoked 흐름 연결에는 직접적인 영향이 없습니다. 이 설정은 웹앱에 대한 사용자 세션의 만료를 정의합니다. 이 설정은 사용자가 사용자 세션이 만료되기 전에 웹앱에 로그인하려는 빈도에 따라 관리자가 변경할 수 있습니다.

다단계 사용의 일부로 구성된 일부 설정은 흐름 연결에 영향을 줄 수 있습니다. Microsoft 365 관리 센터 MFA를 사용하도록 설정하고 다단계 인증 저장 설정을 선택하면 구성된 값이 기본 토큰 정책 설정, MaxAgeMultiFactorMaxAgeSessionMultiFactor 를 재정의합니다. MaxAgeMultiFactor 가 만료되면 흐름 연결이 실패하기 시작하고 사용자가 명시적 로그온을 사용하여 연결을 수정해야 합니다.

단계 인증 저장 설정 대신 토큰 정책을 사용하여 MaxAgeMultiFactorMaxAgeSessionMultiFactor 설정에 대해 다른 값을 구성하는 것이 좋습니다. 토큰 정책을 사용하면 흐름 연결이 계속 작동하면서 Office 365 웹앱에 대한 사용자 로그온 세션을 제어할 수 있습니다.MaxAgeMultiFactor 는 합리적으로 더 긴 기간(이상적으로는 Until-Revoked 값)을 가져야 합니다. 이는 관리자가 새로 고침 토큰을 해지할 때까지 흐름 연결이 계속 작동하도록 하기 위한 것입니다. MaxAgeSessionMultiFactor 는 사용자 로그온 세션에 영향을 줍니다. 테넌트 관리자는 세션이 만료되기 전에 사용자가 Office 365 웹앱에 로그인하는 빈도에 따라 원하는 값을 선택할 수 있습니다.

조직에서 Active Directory 정책을 보려면 다음 명령을 사용할 수 있습니다. Azure Active Directory(미리 보기) 문서의 구성 가능한 토큰 수명은 조직의 설정을 쿼리하고 업데이트하는 특정 지침을 제공합니다.

기존 토큰 수명 정책 보기

Install-Module AzureADPreview
PS C:\WINDOWS\system32> Connect-AzureAD
PS C:\WINDOWS\system32> Get-AzureADPolicy

다음 섹션에서 명령을 실행하여 정책을 만들거나 다음 시나리오에서 기존 정책을 변경합니다.

  • 저장 다단계 인증 설정은 Microsoft 365 관리 센터 사용하도록 설정됩니다.
  • 기존 토큰 수명 정책은 MaxAgeMultiFactor 설정에 짧은 만료 값을 사용하여 구성됩니다.

새 토큰 수명 정책 만들기

PS C:\WINDOWS\system32> New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1,"MaxAgeMultiFactor":"until-revoked","MaxAgeSessionMultiFactor":"14.00:00:00"}}') -DisplayName "DefaultPolicyScenario" -IsOrganizationDefault $true -Type "TokenLifetimePolicy"

기존 토큰 수명 정책 변경

기본 조직 정책이 이미 있는 경우 다음 단계에 따라 설정을 업데이트하고 재정의합니다.

  1. get-azureadpolicy 명령을 실행하여 IsOrganizationalDefault 특성이 True로 설정된 정책 ID를 찾 습니다.

  2. 다음 명령을 실행하여 토큰 정책 설정을 업데이트합니다.

    PS > Set-AzureADPolicy -Id <PoliycId> -DisplayName "<PolicyName>" -Definition @('{"TokenLifetimePolicy":{"Version":1,"MaxAgeMultiFactor":"until-revoked","MaxAgeSessionMultiFactor":"14.00:00:00"}}}}')
    

    참고

    원래 정책에 구성된 추가 설정은 이 명령에 복사해야 합니다.

정책을 구성한 후 테넌트 관리자는 토큰 수명 정책을 사용하여 사용자 세션의 만료가 구성되므로 다단계 인증 기억 확인란을 지울 수 있습니다. 토큰 수명 정책 설정은 흐름 연결이 다음 조건에서 계속 작동하는지 확인합니다.

  • Office 365 웹앱은 X 일 후에 사용자 세션을 만료하도록 구성됩니다(예: 2단계의 경우 14일).
  • 앱은 사용자에게 MFA를 사용하여 다시 로그온하도록 요청합니다.

추가 정보

Flow 포털 및 포함된 환경에 미치는 영향

이 섹션에서는 Flow를 사용하여 정책과 관련된 Microsoft 서비스에 연결하는 조직의 사용자에게 조건부 액세스가 미칠 수 있는 몇 가지 부정적인 영향에 대해 자세히 설명합니다.

효과 1 - 이후 실행에 실패

흐름 및 연결을 만든 후 조건부 액세스 정책을 사용하도록 설정하면 이후 실행에서 흐름이 실패합니다. 연결 소유자는 실패한 실행을 조사할 때 Flow 포털에 다음 오류 메시지가 표시됩니다.

AADSTS50076: 관리자가 구성을 변경했거나 새 위치로 이동했기 때문에 다단계 인증을 사용하여 액세스 <service>해야 합니다.

시간, 상태, 오류, 오류 세부 정보 및 해결 방법을 포함한 오류 세부 정보의 스크린샷.

사용자가 Flow 포털에서 연결을 볼 때 다음과 유사한 오류 메시지가 표시됩니다.

Flow 포털에 표시되는 서비스 사용자의 액세스 토큰을 새로 고치지 못한 오류의 스크린샷

이 문제를 해결하려면 사용자가 액세스하려는 서비스의 액세스 정책(예: 다단계, 회사 네트워크 등)과 일치하는 조건에서 Flow 포털에 로그인한 다음 연결을 복구하거나 다시 만들어야 합니다.

효과 2 - 자동 연결 만들기 실패

사용자가 정책과 일치하는 조건을 사용하여 Flow에 로그인하지 않으면 조건부 액세스 정책에 의해 제어되는 자사 Microsoft 서비스에 대한 자동 연결 생성이 실패합니다. 사용자는 액세스하려는 서비스의 조건부 액세스 정책과 일치하는 조건을 사용하여 연결을 수동으로 만들고 인증해야 합니다. 이 동작은 Flow 포털에서 만든 클릭 1개 템플릿에도 적용됩니다.

AADSTS50076의 자동 연결 만들기 오류 스크린샷

이 문제를 해결하려면 사용자는 템플릿을 만들기 전에 액세스하려는 서비스의 액세스 정책(예: 다단계, 회사 네트워크 등)과 일치하는 조건에서 Flow 포털에 로그인해야 합니다.

효과 3 - 사용자가 직접 연결을 만들 수 없습니다.

사용자가 정책과 일치하는 조건을 사용하여 Flow에 로그인하지 않으면 Power Appsor Flow를 통해 직접 연결을 만들 수 없습니다. 연결을 만들려고 하면 다음과 같은 오류 메시지가 표시됩니다.

AADSTS50076: 관리자가 구성을 변경했거나 새 위치로 이동했기 때문에 다단계 인증을 사용하여 액세스 <service>해야 합니다.

연결을 만들려고 할 때 발생하는 AADSTS50076 오류의 스크린샷.

이 문제를 해결하려면 사용자가 액세스하려는 서비스의 액세스 정책과 일치하는 조건에서 로그인한 다음 연결을 다시 만들어야 합니다.

효과 4 - 흐름 포털에서 사람 및 전자 메일 선택 실패

Exchange Online 또는 SharePoint 액세스가 조건부 액세스 정책에 의해 제어되고 사용자가 동일한 정책에 따라 Flow에 로그인하지 않으면 Flow 포털의 사용자 및 전자 메일 선택기가 실패합니다. 사용자는 다음 쿼리를 수행할 때 조직의 그룹에 대한 전체 결과를 얻을 수 없습니다(Office 365 그룹은 이러한 쿼리에 대해 반환되지 않음).

  • 흐름에 소유권 또는 실행 전용 권한을 공유하려고 시도
  • 디자이너에서 흐름을 빌드할 때 전자 메일 주소 선택
  • 흐름에 대한 입력을 선택할 때 흐름 실행 패널에서 사용자 선택

효과 5 - 다른 Microsoft 서비스에 포함된 흐름 기능 사용

흐름이 SharePoint, Power Apps, Excel 및 Teams와 같은 Microsoft 서비스에 포함된 경우 흐름 사용자는 호스트 서비스에 인증된 방법에 따라 조건부 액세스 및 다단계 정책의 적용을 받습니다. 예를 들어 사용자가 1단계 인증을 사용하여 SharePoint에 로그인하지만 Microsoft Graph에 다단계 액세스가 필요한 흐름을 만들거나 사용하려고 하면 오류 메시지가 표시됩니다.

효과 6 - SharePoint 목록 및 라이브러리를 사용하여 흐름 공유

SharePoint 목록 및 라이브러리를 사용하여 소유권 또는 실행 전용 권한을 공유하려고 하면 Flow에서 목록의 표시 이름을 제공할 수 없습니다. 대신 목록의 고유 식별자를 표시합니다. 이미 공유된 흐름에 대한 Flow 속성 페이지의 소유자 및 실행 전용 타일은 표시 이름이 아닌 식별자를 표시할 수 있습니다.

더 중요한 것은 사용자가 SharePoint에서 흐름을 검색하거나 실행할 수 없다는 것입니다. 이는 현재 SharePoint가 액세스 결정을 내릴 수 있도록 Power Automate와 SharePoint 간에 조건부 액세스 정책 정보가 전달되지 않기 때문입니다.

SharePoint 목록 및 라이브러리와 흐름을 공유하는 스크린샷

스크린샷은 사이트 U R L과 목록 ID 소유자가 볼 수 있는 것을 보여줍니다.

효과 7 - SharePoint 기본 제공 흐름 만들기

효과 6과 관련하여 요청 로그오프페이지 승인 흐름과 같은 SharePoint 기본 제공 흐름의 생성 및 실행은 조건부 액세스 정책에 의해 차단될 수 있습니다. 네트워크 위치를 기반으로 SharePoint 및 OneDrive 데이터에 대한 액세스를 제어 하는 것은 이러한 정책이 자사 및 타사 앱 모두에 영향을 주는 액세스 문제를 일으킬 수 있음을 나타냅니다.

이 시나리오는 네트워크 위치 및 조건부 액세스 정책(예: 관리되지 않는 디바이스 허용 안 함)에 모두 적용됩니다. SharePoint 기본 제공 흐름 만들기에 대한 지원은 현재 개발 중입니다. 이 지원을 사용할 수 있게 되면 이 문서에 추가 정보를 게시할 예정입니다.

그 동안 유사한 흐름을 직접 만들고 이러한 흐름을 원하는 사용자와 수동으로 공유하거나 이 기능이 필요한 경우 조건부 액세스 정책을 사용하지 않도록 설정하는 것이 좋습니다.