다음을 통해 공유


Microsoft Power Automate의 조건부 액세스 및 다단계 인증에 대한 권장 사항(흐름)

조건부 액세스는 사용자가 애플리케이션 및 서비스에 액세스할 수 있는 방법과 시기를 제어할 수 있는 Microsoft Entra ID 기능입니다. 유용성에도 불구하고 조건부 액세스를 사용하면 조건부 액세스 정책과 관련된 Microsoft 서비스에 연결하기 위해 Microsoft Power Automate(흐름)를 사용하는 organization 사용자에게 불리하거나 예기치 않은 영향을 미칠 수 있습니다.

적용 대상: Power Automate
원본 KB 번호: 4467879

권장 사항

  • 토큰 수명이 단축되고 표준 확장 길이가 아닌 구성된 간격으로 연결을 새로 고쳐야 하므로 신뢰할 수 있는 디바이스에 다단계 인증 을 사용하지 마세요.
  • 정책 충돌 오류를 방지하려면 Power Automate에 로그인하는 사용자가 흐름에서 사용하는 연결에 대한 정책과 일치하는 조건을 사용해야 합니다.

세부 정보

조건부 액세스 정책은 Azure Portal 통해 관리되며 다음을 포함하여 몇 가지 요구 사항이 있을 수 있습니다.

  • 사용자는 일부 또는 모든 클라우드 서비스에 액세스하려면 MFA(다단계 인증) (일반적으로 암호와 생체 인식 또는 기타 디바이스)를 사용하여 로그인해야 합니다.
  • 사용자는 홈 네트워크가 아닌 회사 네트워크에서만 일부 또는 모든 클라우드 서비스에 액세스할 수 있습니다.
  • 사용자는 승인된 디바이스 또는 클라이언트 애플리케이션만 사용하여 일부 또는 모든 클라우드 서비스에 액세스할 수 있습니다.

다음 스크린샷은 특정 사용자가 Azure 관리 포털에 액세스할 때 MFA가 필요한 MFA 정책 예제를 보여 줍니다.

스크린샷은 Azure 관리 포털에 액세스할 때 특정 사용자에 대해 M F A가 필요한 예제를 보여줍니다.

Azure Portal MFA 구성을 열 수도 있습니다. 이렇게 하려면 Microsoft Entra ID>사용자 및 그룹>모든 사용자>Multi-Factor Authentication을 선택한 다음, 서비스 설정 탭을 사용하여 정책을 구성합니다.

스크린샷은 Azure Portal M F A 구성을 여는 단계를 보여줍니다.

MFA는 Microsoft 365 관리 센터 구성할 수도 있습니다. Office 365 구독자는 Microsoft Entra 다단계 인증 기능의 하위 집합을 사용할 수 있습니다. MFA를 사용하도록 설정하는 방법에 대한 자세한 내용은 Office 365 사용자에 대한 다단계 인증 설정을 참조하세요.

스크린샷은 M F A를 Microsoft 365 관리 센터 구성할 수 있음을 보여줍니다.

다단계 인증 기억 옵션 세부 정보의 스크린샷

다단계 인증 기억 설정은 영구 쿠키를 사용하여 사용자 로그온 수를 줄이는 데 도움이 될 수 있습니다. 이 정책은 신뢰할 수 있는 디바이스에 대한 다단계 인증 저장에 설명된 Microsoft Entra 설정을 제어합니다.

아쉽게도 이 설정은 14일마다 연결이 만료되도록 하는 토큰 정책 설정을 변경합니다. 이는 MFA를 사용하도록 설정한 후 연결이 더 자주 실패하는 일반적인 이유 중 하나입니다. 이 설정을 사용하지 않는 것이 좋습니다.

Power Automate 포털 및 포함된 환경에 미치는 영향

이 섹션에서는 Power Automate를 사용하여 정책과 관련된 Microsoft 서비스에 연결하는 organization 사용자에게 조건부 액세스가 미칠 수 있는 몇 가지 부정적인 영향에 대해 자세히 설명합니다.

효과 1 - 향후 실행에 실패

흐름 및 연결을 만든 후 조건부 액세스 정책을 사용하도록 설정하면 이후 실행 시 흐름이 실패합니다. 연결 소유자는 실패한 실행을 조사할 때 Power Automate 포털에 다음 오류 메시지가 표시됩니다.

AADSTS50076: 관리자가 구성을 변경했거나 새 위치로 이동했기 때문에 다단계 인증을 사용하여 서비스에> 액세스<해야 합니다.

시간, 상태, 오류, 오류 세부 정보 및 해결 방법을 비롯한 오류 세부 정보의 스크린샷.

사용자가 Power Automate 포털에서 연결을 볼 때 다음과 유사한 오류 메시지가 표시됩니다.

서비스 사용자에 대한 액세스 토큰을 새로 고치지 못했습니다. 오류의 스크린샷은 Power Automate 포털에 표시됩니다.

이 문제를 resolve 사용자는 액세스하려는 서비스의 액세스 정책과 일치하는 조건(예: 다단계, 회사 네트워크 등)에 따라 Power Automate 포털에 로그인한 다음 연결을 복구하거나 다시 만들어야 합니다.

효과 2 - 자동 연결 만들기 실패

사용자가 정책과 일치하는 조건을 사용하여 Power Automate에 로그인하지 않으면 조건부 액세스 정책에 의해 제어되는 자사 Microsoft 서비스에 대한 자동 연결 생성이 실패합니다. 사용자는 액세스하려는 서비스의 조건부 액세스 정책과 일치하는 조건을 사용하여 연결을 수동으로 만들고 인증해야 합니다. 이 동작은 Power Automate 포털에서 만든 1클릭 템플릿에도 적용됩니다.

AADSTS50076 있는 자동 연결 만들기 오류의 스크린샷

이 문제를 resolve 사용자는 템플릿을 만들기 전에 액세스하려는 서비스의 액세스 정책(예: 다단계, 회사 네트워크 등)과 일치하는 조건에서 Power Automate 포털에 로그인해야 합니다.

효과 3 - 사용자가 직접 연결을 만들 수 없습니다.

사용자가 정책과 일치하는 조건을 사용하여 Power Automate에 로그인하지 않으면 Power Apps 또는 Flow를 통해 직접 연결을 만들 수 없습니다. 사용자가 연결을 만들려고 할 때 다음 오류 메시지가 표시됩니다.

AADSTS50076: 관리자가 구성을 변경했거나 새 위치로 이동했기 때문에 다단계 인증을 사용하여 서비스에> 액세스<해야 합니다.

연결을 만들려고 할 때 AADSTS50076 오류의 스크린샷.

이 문제를 resolve 위해 사용자는 액세스하려는 서비스의 액세스 정책과 일치하는 조건에서 로그인한 다음 연결을 다시 만들어야 합니다.

효과 4 - Power Automate 포털에서 사람 및 전자 메일 선택기 실패

Exchange Online 또는 SharePoint 액세스가 조건부 액세스 정책에 의해 제어되고 사용자가 동일한 정책에 따라 Power Automate에 로그인하지 않으면 Power Automate 포털의 사용자 및 전자 메일 선택기가 실패합니다. 사용자는 다음 쿼리를 수행할 때 organization 그룹에 대한 전체 결과를 얻을 수 없습니다(Office 365 그룹은 이러한 쿼리에 대해 반환되지 않음).

  • 흐름에 소유권 또는 실행 전용 권한을 공유하려고 시도
  • 디자이너에서 흐름을 빌드할 때 전자 메일 주소 선택
  • 흐름에 대한 입력을 선택할 때 흐름 실행 패널에서 사용자 선택

효과 5 - 다른 Microsoft 서비스에 포함된 Power Automate 기능 사용

흐름이 SharePoint, Power Apps, Excel 및 Teams와 같은 Microsoft 서비스에 포함된 경우 Power Automate 사용자는 호스트 서비스에 인증하는 방법에 따라 조건부 액세스 및 다단계 정책도 적용됩니다. 예를 들어 사용자가 단일 요소 인증을 사용하여 SharePoint에 로그인하지만 Microsoft Graph에 대한 다단계 액세스가 필요한 흐름을 만들거나 사용하려고 하면 사용자에게 오류 메시지가 표시됩니다.

효과 6 - SharePoint 목록 및 라이브러리를 사용하여 흐름 공유

SharePoint 목록 및 라이브러리를 사용하여 소유권 또는 실행 전용 권한을 공유하려고 하면 Power Automate에서 목록의 표시 이름을 제공할 수 없습니다. 대신 목록의 고유 식별자를 표시합니다. 이미 공유된 흐름에 대한 흐름 세부 정보 페이지의 소유자 및 실행 전용 타일은 표시 이름이 아니라 식별자를 표시할 수 있습니다.

더 중요한 것은 사용자가 SharePoint에서 흐름을 검색하거나 실행할 수 없다는 것입니다. 이는 현재 SharePoint가 액세스 결정을 내릴 수 있도록 Power Automate와 SharePoint 간에 조건부 액세스 정책 정보가 전달되지 않기 때문입니다.

SharePoint 목록 및 라이브러리와 흐름을 공유하는 스크린샷

스크린샷은 사이트 U R L과 목록 ID 소유자가 볼 수 있는 것을 보여줍니다.

효과 7 - SharePoint 기본 흐름 만들기

효과 6과 관련하여 요청 로그오프페이지 승인 흐름과 같은 SharePoint 기본 제공 흐름의 생성 및 실행은 조건부 액세스 정책에 의해 차단될 수 있습니다. 네트워크 위치에 따라 SharePoint 및 OneDrive 데이터에 대한 액세스를 제어 하는 것은 이러한 정책으로 인해 자사 및 타사 앱 모두에 영향을 주는 액세스 문제가 발생할 수 있음을 나타냅니다.

이 시나리오는 네트워크 위치와 조건부 액세스 정책(예: 관리되지 않는 디바이스 허용 불허)에 모두 적용됩니다. SharePoint 기본 제공 흐름 만들기에 대한 지원은 현재 개발 중입니다. 이 지원을 사용할 수 있게 되면 이 문서에 자세한 정보를 게시합니다.

그 동안 유사한 흐름을 직접 만들고 이러한 흐름을 원하는 사용자와 수동으로 공유하거나 이 기능이 필요한 경우 조건부 액세스 정책을 사용하지 않도록 설정하는 것이 좋습니다.