Udostępnij za pośrednictwem


Zalecenia dotyczące dostępu warunkowego i uwierzytelniania wieloskładnikowego w usłudze Microsoft Power Automate (Flow)

Dostęp warunkowy to funkcja Tożsamość Microsoft Entra, która pozwala kontrolować, jak i kiedy użytkownicy mogą uzyskiwać dostęp do aplikacji i usług. Pomimo jego przydatności należy pamiętać, że korzystanie z dostępu warunkowego może mieć niekorzystny lub nieoczekiwany wpływ na użytkowników w organizacji korzystających z usługi Microsoft Power Automate (Flow) w celu nawiązania połączenia z usługami firmy Microsoft, które są istotne dla zasad dostępu warunkowego.

Dotyczy: Power Automate
Oryginalny numer KB: 4467879

Zalecenia

  • Nie należy używać uwierzytelniania wieloskładnikowego dla zaufanych urządzeń , ponieważ okresy istnienia tokenu zostaną skrócone i spowodują, że połączenia będą wymagały odświeżania w skonfigurowanym interwale, a nie w standardowej długości rozszerzonej.
  • Aby uniknąć błędów powodujących konflikt zasad, upewnij się, że użytkownicy, którzy logują się do usługi Power Automate, używają kryteriów zgodnych z zasadami dla połączeń używanych przez przepływ.

Szczegóły

Zasady dostępu warunkowego są zarządzane za pośrednictwem Azure Portal i mogą mieć kilka wymagań, w tym (ale nie tylko) następujące:

  • Użytkownicy muszą zalogować się przy użyciu uwierzytelniania wieloskładnikowego (MFA) (zazwyczaj hasła oraz urządzenia biometrycznego lub innego), aby uzyskać dostęp do niektórych lub wszystkich usług w chmurze.
  • Użytkownicy mogą uzyskiwać dostęp do niektórych lub wszystkich usług w chmurze tylko z sieci firmowej, a nie z sieci domowych.
  • Użytkownicy mogą korzystać tylko z zatwierdzonych urządzeń lub aplikacji klienckich, aby uzyskać dostęp do niektórych lub wszystkich usług w chmurze.

Poniższy zrzut ekranu przedstawia przykład zasad uwierzytelniania wieloskładnikowego, który wymaga uwierzytelniania wieloskładnikowego dla określonych użytkowników podczas uzyskiwania dostępu do portalu zarządzania platformy Azure.

Zrzut ekranu przedstawia przykład, który wymaga uwierzytelniania wieloskładnikowego dla określonych użytkowników podczas uzyskiwania dostępu do portalu usługi Azure Management.

Konfigurację uwierzytelniania wieloskładnikowego można również otworzyć z Azure Portal. W tym celu wybierz pozycję Tożsamość Microsoft Entra>Użytkownicy i grupy>Wszyscy użytkownicy>Multi-Factor Authentication, a następnie skonfiguruj zasady przy użyciu karty ustawienia usługi.

Zrzut ekranu przedstawiający kroki otwierania konfiguracji usługi M F A z Azure Portal.

Uwierzytelnianie wieloskładnikowe można również skonfigurować z poziomu Centrum administracyjne platformy Microsoft 365. Podzestaw Microsoft Entra możliwości uwierzytelniania wieloskładnikowego jest dostępny dla Office 365 subskrybentów. Aby uzyskać więcej informacji na temat włączania uwierzytelniania wieloskładnikowego, zobacz Konfigurowanie uwierzytelniania wieloskładnikowego dla użytkowników Office 365.

Zrzut ekranu pokazuje, że usługę M F A można skonfigurować z poziomu Centrum administracyjne platformy Microsoft 365.

Zrzut ekranu przedstawiający szczegóły opcji zapamiętywania uwierzytelniania wieloskładnikowego.

Zapamiętywanie ustawienia uwierzytelniania wieloskładnikowego może pomóc w zmniejszeniu liczby logowania użytkowników przy użyciu trwałego pliku cookie. Te zasady sterują ustawieniami Microsoft Entra, które zostały udokumentowane w temacie Zapamiętywanie uwierzytelniania wieloskładnikowego dla zaufanych urządzeń.

Niestety to ustawienie zmienia ustawienia zasad tokenu, które sprawiają, że połączenia wygasają co 14 dni. Jest to jeden z typowych powodów częstszego niepowodzenia połączeń po włączeniu uwierzytelniania wieloskładnikowego. Zalecamy, aby nie używać tego ustawienia.

Wpływ na portal usługi Power Automate i środowiska osadzone

W tej sekcji opisano niektóre niekorzystne skutki, jakie dostęp warunkowy może mieć dla użytkowników w organizacji korzystających z usługi Power Automate w celu nawiązania połączenia z usługami firmy Microsoft odpowiednimi dla zasad.

Efekt 1 — niepowodzenie przyszłych przebiegów

Jeśli zasady dostępu warunkowego zostaną włączone po utworzeniu przepływów i połączeń, przepływy będą kończyć się niepowodzeniem w przyszłych uruchomieniach. Właściciele połączeń zobaczą następujący komunikat o błędzie w portalu usługi Power Automate podczas badania przebiegów zakończonych niepowodzeniem:

AADSTS50076: Ze względu na zmianę konfiguracji dokonaną przez administratora lub przeniesienie do nowej lokalizacji wymaga użycia uwierzytelniania wieloskładnikowego w celu uzyskania dostępu do <usługi>.

Zrzut ekranu przedstawiający szczegóły błędu, w tym czas, stan, błąd, szczegóły błędu i sposób naprawiania.

Gdy użytkownicy wyświetlają połączenia w portalu usługi Power Automate, zostanie wyświetlony komunikat o błędzie podobny do następującego:

Zrzut ekranu przedstawiający błąd Nie można odświeżyć tokenu dostępu dla użytkowników usługi w portalu usługi Power Automate.

Aby rozwiązać ten problem, użytkownicy muszą zalogować się do portalu usługi Power Automate w warunkach zgodnych z zasadami dostępu usługi, do której próbują uzyskać dostęp (np. wieloskładnikowa, sieci firmowej itd.), a następnie naprawić lub ponownie utworzyć połączenie.

Efekt 2 — Niepowodzenie automatycznego tworzenia połączenia

Jeśli użytkownicy nie logują się do usługi Power Automate przy użyciu kryteriów zgodnych z zasadami, automatyczne tworzenie połączenia z usługami firmy Microsoft firmy Microsoft kontrolowanymi przez zasady dostępu warunkowego zakończy się niepowodzeniem. Użytkownicy muszą ręcznie tworzyć i uwierzytelniać połączenia przy użyciu kryteriów zgodnych z zasadami dostępu warunkowego usługi, do których próbują uzyskać dostęp. To zachowanie dotyczy również szablonów 1-kliknięciowych utworzonych w portalu usługi Power Automate.

Zrzut ekranu przedstawiający błąd automatycznego tworzenia połączenia z AADSTS50076.

Aby rozwiązać ten problem, użytkownicy muszą zalogować się do portalu usługi Power Automate w warunkach zgodnych z zasadami dostępu usługi, do których próbują uzyskać dostęp (np. wieloskładnikową, siecią firmową itd.) przed utworzeniem szablonu.

Efekt 3 — użytkownicy nie mogą bezpośrednio utworzyć połączenia

Jeśli użytkownicy nie logują się do usługi Power Automate przy użyciu kryteriów zgodnych z zasadami, nie mogą utworzyć połączenia bezpośrednio za pośrednictwem usługi Power Apps lub Flow. Podczas próby utworzenia połączenia użytkownicy widzą następujący komunikat o błędzie:

AADSTS50076: Ze względu na zmianę konfiguracji dokonaną przez administratora lub przeniesienie do nowej lokalizacji wymaga użycia uwierzytelniania wieloskładnikowego w celu uzyskania dostępu do <usługi>.

Zrzut ekranu przedstawiający błąd AADSTS50076 podczas próby utworzenia połączenia.

Aby rozwiązać ten problem, użytkownicy muszą zalogować się w warunkach zgodnych z zasadami dostępu usługi, do której próbują uzyskać dostęp, a następnie ponownie utworzyć połączenie.

Efekt 4 — niepowodzenie selektorów Osoby i wiadomości e-mail w portalu usługi Power Automate

Jeśli dostęp Exchange Online lub sharepoint jest kontrolowany przez zasady dostępu warunkowego i jeśli użytkownicy nie logują się do usługi Power Automate w ramach tych samych zasad, osoby i selektory wiadomości e-mail w portalu usługi Power Automate kończą się niepowodzeniem. Użytkownicy nie mogą uzyskać pełnych wyników dla grup w swojej organizacji podczas wykonywania następujących zapytań (Office 365 grupy nie zostaną zwrócone dla tych zapytań):

  • Próba współużytkowania uprawnień własności lub uprawnień tylko do uruchamiania przepływu
  • Wybieranie adresów e-mail podczas tworzenia przepływu w projektancie
  • Wybieranie osób w panelu Przebiegi przepływu podczas wybierania danych wejściowych do przepływu

Efekt 5 — korzystanie z funkcji usługi Power Automate osadzonych w innych usługach firmy Microsoft

Gdy przepływ jest osadzony w usługach firmy Microsoft, takich jak SharePoint, Power Apps, Excel i Teams, użytkownicy usługi Power Automate są również objęci dostępem warunkowym i zasadami wieloskładnikowymi w oparciu o sposób uwierzytelniania w usłudze hosta. Jeśli na przykład użytkownik zaloguje się do programu SharePoint przy użyciu uwierzytelniania jednoskładnikowego, ale spróbuje utworzyć lub użyć przepływu wymagającego wieloskładnikowego dostępu do programu Microsoft Graph, użytkownik otrzyma komunikat o błędzie.

Efekt 6 — udostępnianie przepływów przy użyciu list i bibliotek programu SharePoint

Podczas próby udostępnienia uprawnień własności lub tylko do uruchamiania przy użyciu list i bibliotek programu SharePoint usługa Power Automate nie może podać nazwy wyświetlanej list. Zamiast tego zostanie wyświetlony unikatowy identyfikator listy. Kafelki właściciela i tylko do uruchomienia na stronie szczegółów przepływu dla przepływów już udostępnionych będą mogły wyświetlać identyfikator, ale nie nazwę wyświetlaną.

Co ważniejsze, użytkownicy mogą również nie być w stanie odnaleźć lub uruchomić swoich przepływów z programu SharePoint. Dzieje się tak dlatego, że obecnie informacje o zasadach dostępu warunkowego nie są przekazywane między usługą Power Automate i programem SharePoint, aby umożliwić programowi SharePoint podejmowanie decyzji dotyczących dostępu.

Zrzut ekranu przedstawiający udostępnianie przepływów z listami i bibliotekami programu SharePoint.

Zrzut ekranu przedstawiający witrynę U R L i identyfikator listy, które mogą zobaczyć właściciele.

Efekt 7 — tworzenie przepływów out-of-box programu SharePoint

Związane z efektem 6 tworzenie i wykonywanie wychodzących przepływów programu SharePoint, takich jak przepływy podpisywania żądań i zatwierdzania strony , może być blokowane przez zasady dostępu warunkowego. Kontrola dostępu do danych programu SharePoint i usługi OneDrive na podstawie lokalizacji sieciowej wskazuje, że te zasady mogą powodować problemy z dostępem, które mają wpływ zarówno na aplikacje innych firm, jak i aplikacje innych firm.

Ten scenariusz dotyczy zarówno lokalizacji sieciowej, jak i zasad dostępu warunkowego (takich jak Nie zezwalaj na urządzenia niezarządzane). Obsługa tworzenia wychodzących przepływów programu SharePoint jest obecnie w fazie opracowywania. Po udostępnieniu tej pomocy technicznej opublikujemy więcej informacji w tym artykule.

W międzyczasie zalecamy użytkownikom samodzielne tworzenie podobnych przepływów i ręczne udostępnianie tych przepływów żądanym użytkownikom lub wyłączanie zasad dostępu warunkowego, jeśli ta funkcja jest wymagana.