Zalecenia dotyczące dostępu warunkowego i uwierzytelniania wieloskładnikowego w usłudze Microsoft Power Automate (Flow)
Dostęp warunkowy to funkcja Tożsamość Microsoft Entra, która pozwala kontrolować, jak i kiedy użytkownicy mogą uzyskiwać dostęp do aplikacji i usług. Pomimo jego przydatności należy pamiętać, że korzystanie z dostępu warunkowego może mieć niekorzystny lub nieoczekiwany wpływ na użytkowników w organizacji korzystających z usługi Microsoft Power Automate (Flow) w celu nawiązania połączenia z usługami firmy Microsoft, które są istotne dla zasad dostępu warunkowego.
Dotyczy: Power Automate
Oryginalny numer KB: 4467879
Zalecenia
- Nie należy używać uwierzytelniania wieloskładnikowego dla zaufanych urządzeń , ponieważ okresy istnienia tokenu zostaną skrócone i spowodują, że połączenia będą wymagały odświeżania w skonfigurowanym interwale, a nie w standardowej długości rozszerzonej.
- Aby uniknąć błędów powodujących konflikt zasad, upewnij się, że użytkownicy, którzy logują się do usługi Power Automate, używają kryteriów zgodnych z zasadami dla połączeń używanych przez przepływ.
Szczegóły
Zasady dostępu warunkowego są zarządzane za pośrednictwem Azure Portal i mogą mieć kilka wymagań, w tym (ale nie tylko) następujące:
- Użytkownicy muszą zalogować się przy użyciu uwierzytelniania wieloskładnikowego (MFA) (zazwyczaj hasła oraz urządzenia biometrycznego lub innego), aby uzyskać dostęp do niektórych lub wszystkich usług w chmurze.
- Użytkownicy mogą uzyskiwać dostęp do niektórych lub wszystkich usług w chmurze tylko z sieci firmowej, a nie z sieci domowych.
- Użytkownicy mogą korzystać tylko z zatwierdzonych urządzeń lub aplikacji klienckich, aby uzyskać dostęp do niektórych lub wszystkich usług w chmurze.
Poniższy zrzut ekranu przedstawia przykład zasad uwierzytelniania wieloskładnikowego, który wymaga uwierzytelniania wieloskładnikowego dla określonych użytkowników podczas uzyskiwania dostępu do portalu zarządzania platformy Azure.
Konfigurację uwierzytelniania wieloskładnikowego można również otworzyć z Azure Portal. W tym celu wybierz pozycję Tożsamość Microsoft Entra>Użytkownicy i grupy>Wszyscy użytkownicy>Multi-Factor Authentication, a następnie skonfiguruj zasady przy użyciu karty ustawienia usługi.
Uwierzytelnianie wieloskładnikowe można również skonfigurować z poziomu Centrum administracyjne platformy Microsoft 365. Podzestaw Microsoft Entra możliwości uwierzytelniania wieloskładnikowego jest dostępny dla Office 365 subskrybentów. Aby uzyskać więcej informacji na temat włączania uwierzytelniania wieloskładnikowego, zobacz Konfigurowanie uwierzytelniania wieloskładnikowego dla użytkowników Office 365.
Zapamiętywanie ustawienia uwierzytelniania wieloskładnikowego może pomóc w zmniejszeniu liczby logowania użytkowników przy użyciu trwałego pliku cookie. Te zasady sterują ustawieniami Microsoft Entra, które zostały udokumentowane w temacie Zapamiętywanie uwierzytelniania wieloskładnikowego dla zaufanych urządzeń.
Niestety to ustawienie zmienia ustawienia zasad tokenu, które sprawiają, że połączenia wygasają co 14 dni. Jest to jeden z typowych powodów częstszego niepowodzenia połączeń po włączeniu uwierzytelniania wieloskładnikowego. Zalecamy, aby nie używać tego ustawienia.
Wpływ na portal usługi Power Automate i środowiska osadzone
W tej sekcji opisano niektóre niekorzystne skutki, jakie dostęp warunkowy może mieć dla użytkowników w organizacji korzystających z usługi Power Automate w celu nawiązania połączenia z usługami firmy Microsoft odpowiednimi dla zasad.
Efekt 1 — niepowodzenie przyszłych przebiegów
Jeśli zasady dostępu warunkowego zostaną włączone po utworzeniu przepływów i połączeń, przepływy będą kończyć się niepowodzeniem w przyszłych uruchomieniach. Właściciele połączeń zobaczą następujący komunikat o błędzie w portalu usługi Power Automate podczas badania przebiegów zakończonych niepowodzeniem:
AADSTS50076: Ze względu na zmianę konfiguracji dokonaną przez administratora lub przeniesienie do nowej lokalizacji wymaga użycia uwierzytelniania wieloskładnikowego w celu uzyskania dostępu do <usługi>.
Gdy użytkownicy wyświetlają połączenia w portalu usługi Power Automate, zostanie wyświetlony komunikat o błędzie podobny do następującego:
Aby rozwiązać ten problem, użytkownicy muszą zalogować się do portalu usługi Power Automate w warunkach zgodnych z zasadami dostępu usługi, do której próbują uzyskać dostęp (np. wieloskładnikowa, sieci firmowej itd.), a następnie naprawić lub ponownie utworzyć połączenie.
Efekt 2 — Niepowodzenie automatycznego tworzenia połączenia
Jeśli użytkownicy nie logują się do usługi Power Automate przy użyciu kryteriów zgodnych z zasadami, automatyczne tworzenie połączenia z usługami firmy Microsoft firmy Microsoft kontrolowanymi przez zasady dostępu warunkowego zakończy się niepowodzeniem. Użytkownicy muszą ręcznie tworzyć i uwierzytelniać połączenia przy użyciu kryteriów zgodnych z zasadami dostępu warunkowego usługi, do których próbują uzyskać dostęp. To zachowanie dotyczy również szablonów 1-kliknięciowych utworzonych w portalu usługi Power Automate.
Aby rozwiązać ten problem, użytkownicy muszą zalogować się do portalu usługi Power Automate w warunkach zgodnych z zasadami dostępu usługi, do których próbują uzyskać dostęp (np. wieloskładnikową, siecią firmową itd.) przed utworzeniem szablonu.
Efekt 3 — użytkownicy nie mogą bezpośrednio utworzyć połączenia
Jeśli użytkownicy nie logują się do usługi Power Automate przy użyciu kryteriów zgodnych z zasadami, nie mogą utworzyć połączenia bezpośrednio za pośrednictwem usługi Power Apps lub Flow. Podczas próby utworzenia połączenia użytkownicy widzą następujący komunikat o błędzie:
AADSTS50076: Ze względu na zmianę konfiguracji dokonaną przez administratora lub przeniesienie do nowej lokalizacji wymaga użycia uwierzytelniania wieloskładnikowego w celu uzyskania dostępu do <usługi>.
Aby rozwiązać ten problem, użytkownicy muszą zalogować się w warunkach zgodnych z zasadami dostępu usługi, do której próbują uzyskać dostęp, a następnie ponownie utworzyć połączenie.
Efekt 4 — niepowodzenie selektorów Osoby i wiadomości e-mail w portalu usługi Power Automate
Jeśli dostęp Exchange Online lub sharepoint jest kontrolowany przez zasady dostępu warunkowego i jeśli użytkownicy nie logują się do usługi Power Automate w ramach tych samych zasad, osoby i selektory wiadomości e-mail w portalu usługi Power Automate kończą się niepowodzeniem. Użytkownicy nie mogą uzyskać pełnych wyników dla grup w swojej organizacji podczas wykonywania następujących zapytań (Office 365 grupy nie zostaną zwrócone dla tych zapytań):
- Próba współużytkowania uprawnień własności lub uprawnień tylko do uruchamiania przepływu
- Wybieranie adresów e-mail podczas tworzenia przepływu w projektancie
- Wybieranie osób w panelu Przebiegi przepływu podczas wybierania danych wejściowych do przepływu
Efekt 5 — korzystanie z funkcji usługi Power Automate osadzonych w innych usługach firmy Microsoft
Gdy przepływ jest osadzony w usługach firmy Microsoft, takich jak SharePoint, Power Apps, Excel i Teams, użytkownicy usługi Power Automate są również objęci dostępem warunkowym i zasadami wieloskładnikowymi w oparciu o sposób uwierzytelniania w usłudze hosta. Jeśli na przykład użytkownik zaloguje się do programu SharePoint przy użyciu uwierzytelniania jednoskładnikowego, ale spróbuje utworzyć lub użyć przepływu wymagającego wieloskładnikowego dostępu do programu Microsoft Graph, użytkownik otrzyma komunikat o błędzie.
Efekt 6 — udostępnianie przepływów przy użyciu list i bibliotek programu SharePoint
Podczas próby udostępnienia uprawnień własności lub tylko do uruchamiania przy użyciu list i bibliotek programu SharePoint usługa Power Automate nie może podać nazwy wyświetlanej list. Zamiast tego zostanie wyświetlony unikatowy identyfikator listy. Kafelki właściciela i tylko do uruchomienia na stronie szczegółów przepływu dla przepływów już udostępnionych będą mogły wyświetlać identyfikator, ale nie nazwę wyświetlaną.
Co ważniejsze, użytkownicy mogą również nie być w stanie odnaleźć lub uruchomić swoich przepływów z programu SharePoint. Dzieje się tak dlatego, że obecnie informacje o zasadach dostępu warunkowego nie są przekazywane między usługą Power Automate i programem SharePoint, aby umożliwić programowi SharePoint podejmowanie decyzji dotyczących dostępu.
Efekt 7 — tworzenie przepływów out-of-box programu SharePoint
Związane z efektem 6 tworzenie i wykonywanie wychodzących przepływów programu SharePoint, takich jak przepływy podpisywania żądań i zatwierdzania strony , może być blokowane przez zasady dostępu warunkowego. Kontrola dostępu do danych programu SharePoint i usługi OneDrive na podstawie lokalizacji sieciowej wskazuje, że te zasady mogą powodować problemy z dostępem, które mają wpływ zarówno na aplikacje innych firm, jak i aplikacje innych firm.
Ten scenariusz dotyczy zarówno lokalizacji sieciowej, jak i zasad dostępu warunkowego (takich jak Nie zezwalaj na urządzenia niezarządzane). Obsługa tworzenia wychodzących przepływów programu SharePoint jest obecnie w fazie opracowywania. Po udostępnieniu tej pomocy technicznej opublikujemy więcej informacji w tym artykule.
W międzyczasie zalecamy użytkownikom samodzielne tworzenie podobnych przepływów i ręczne udostępnianie tych przepływów żądanym użytkownikom lub wyłączanie zasad dostępu warunkowego, jeśli ta funkcja jest wymagana.