Recomendações para acesso condicional e autenticação multifator no Microsoft Flow

O Acesso Condicional é um recurso do Azure Active Directory (Azure AD) que permite controlar como e quando os usuários podem acessar aplicativos e serviços. Apesar de sua utilidade, você deve estar ciente de que o uso do acesso condicional pode ter um efeito adverso ou inesperado nos usuários em sua organização que usam o Microsoft Flow para se conectar aos serviços da Microsoft que são relevantes para políticas de acesso condicional.

Aplica-se a: Power Automate
Número KB original: 4467879

Resumo

As políticas de acesso condicional são gerenciadas por meio do portal do Azure e podem ter vários requisitos, incluindo (mas não se limitando a) o seguinte:

  • Os usuários devem entrar usando a MFA (autenticação multifator) ( normalmente senha mais biometria ou outro dispositivo) para acessar alguns ou todos os serviços de nuvem.
  • Os usuários podem acessar alguns ou todos os serviços de nuvem somente de sua rede corporativa e não de suas redes base.
  • Os usuários podem usar apenas dispositivos aprovados ou aplicativos cliente para acessar alguns ou todos os serviços de nuvem.

A captura de tela a seguir mostra um exemplo de política de MFA que requer MFA para usuários específicos quando eles acessam o portal de gerenciamento do Azure.

A captura de tela mostra um exemplo que exige o M F A para os usuários específicos ao acessar o portal de Gerenciamento do Azure.

Você também pode abrir a configuração de MFA no portal do Azure. Para fazer isso, selecione Usuários e grupos do Azure Active Directory>>> para Todos os usuários daAutenticação Multifator e, em seguida, configure políticas usando a guia configurações de serviço.

A captura de tela mostra as etapas para abrir a configuração do MF A do portal do Azure.

A MFA também pode ser configurada Centro de administração do Microsoft 365. Um subconjunto de recursos do Azure MFA está disponível para Office 365 assinantes. Para obter mais informações sobre como habilitar a MFA, consulte Configurar a autenticação multifator para Office 365 usuários.

A captura de tela mostra que o M F A pode ser configurado Centro de administração do Microsoft 365.

Captura de tela dos detalhes da opção lembrar autenticação multifator.

A configuração de autenticação multifator de lembrar pode ajudá-lo a reduzir o número de logons de usuário usando um cookie persistente. Essa política controla as Azure AD configurações que estão documentadas em Lembrar Autenticação Multifator para dispositivos confiáveis.

Infelizmente, essa configuração altera as configurações de política de token que fazem com que as conexões do Flow expirem a cada 14 dias. Esse é um dos motivos comuns pelos quais as conexões do Flow falham com mais frequência depois que a MFA está habilitada. Recomendamos que você não use essa configuração. Em vez disso, você pode obter a mesma funcionalidade usando a política de tempo de vida do token a seguir.

O principal efeito adverso do acesso condicional no Flow é causado pelas configurações na tabela a seguir. A tabela mostra os valores padrão para as configurações de tempo de vida do token. Recomendamos que você não altere esses valores.

Setting Valor recomendado Efeito no Fluxo
MaxInactiveTime 90 dias Se qualquer conexão de Fluxo estiver ociosa (não usada por execuções do Flow) por mais tempo do que esse período, qualquer nova execução do Flow após o tempo de expiração falhará e retornará o seguinte erro:

AADSTS70008: o token de atualização expirou devido à inatividade. O token foi emitido na hora e estava inativo por 90.00:00:00
MaxAgeMultiFactor Until-Revoked Essa configuração controla por quanto tempo os tokens de atualização multifator (o tipo de tokens usados em conexões do Flow) são válidos.

A configuração padrão significa que efetivamente não há limite de quanto tempo uma conexão do Flow pode ser usada, a menos que um administrador de locatários revogue especificamente o acesso do usuário.

Definir esse valor como qualquer período de tempo fixo significa que, após essa duração (independentemente do uso ou da inatividade), uma conexão de Fluxo se tornará inválida e as execuções de Fluxo falharão. Quando isso ocorre, a seguinte mensagem de erro é gerada. Esse erro exige que os usuários reparem ou criem novamente a conexão:

AADSTS50076: devido a uma alteração de configuração feita pelo administrador ou porque você foi movido para um novo local, você deve usar a autenticação multifator para acessar...
MaxAgeSingleFactor Until-Revoked Essa configuração é igual à configuração MaxAgeMultiFactor , mas para tokens de atualização de fator único.
MaxAgeSessionMultiFactor Until-Revoked Não há nenhum efeito direto nas conexões de fluxo. Essa configuração define a expiração de uma sessão de usuário para aplicativos Web. Essa configuração pode ser alterada pelos administradores, dependendo da frequência com que eles querem que os usuários se conectem aos aplicativos Web antes que a sessão do usuário expire.

Algumas configurações que são definidas como parte da habilitação de vários fatores podem afetar a conexão do Flow. Quando a MFA está habilitada no Centro de administração do Microsoft 365 e a configuração lembrar autenticação multifator é selecionada, o valor configurado substitui as configurações de política de token padrão, MaxAgeMultiFactor e MaxAgeSessionMultiFactor. As conexões de fluxo começam a falhar quando MaxAgeMultiFactor expira e exige que o usuário use um logon explícito para corrigir as conexões.

Recomendamos que você use a política de token em vez da configuração lembrar autenticação multifator para definir valores diferentes para as configuraçõesMaxAgeMultiFactor e MaxAgeSessionMultiFactor . A política de token permite que as conexões do Flow continuem funcionando enquanto também controlam uma sessão de logon do usuário para os aplicativos Web do Office 365. MaxAgeMultiFactor precisa ter um período razoavelmente mais longo – idealmente, o valor de Until-Revoked. Isso é para fazer com que as conexões do Flow continuem funcionando até que o token de atualização seja revogado pelo administrador. MaxAgeSessionMultiFactor afeta uma sessão de logon do usuário. Os administradores de locatários podem selecionar o valor desejado, dependendo da frequência com que eles querem que os usuários se conectem aos Office 365 Web antes que a sessão expire.

Para exibir as políticas do Active Directory em sua organização, você pode usar os comandos a seguir. Os tempos de vida do token configurável no documento do Azure Active Directory ( versão prévia) fornecem instruções específicas para consultar e atualizar as configurações em sua organização.

Exibir políticas de tempo de vida de token existentes

Install-Module AzureADPreview
PS C:\WINDOWS\system32> Connect-AzureAD
PS C:\WINDOWS\system32> Get-AzureADPolicy

Execute os comandos nas próximas seções para criar uma política ou alterar uma política existente nos seguintes cenários:

  • A configuração de autenticação multifator de lembrar está habilitada Centro de administração do Microsoft 365.
  • Uma política de tempo de vida do token existente é configurada usando um valor de expiração curto para a configuração MaxAgeMultiFactor.

Criar uma nova política de tempo de vida do token

PS C:\WINDOWS\system32> New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1,"MaxAgeMultiFactor":"until-revoked","MaxAgeSessionMultiFactor":"14.00:00:00"}}') -DisplayName "DefaultPolicyScenario" -IsOrganizationDefault $true -Type "TokenLifetimePolicy"

Alterar uma política de tempo de vida de token existente

Se uma política de organização padrão já existir, atualize e substitua as configurações seguindo estas etapas:

  1. Execute o get-azureadpolicy comando para localizar a ID da política que tem o atributo IsOrganizationalDefault definido como True:

  2. Execute o seguinte comando para atualizar as configurações de política de token:

    PS > Set-AzureADPolicy -Id <PoliycId> -DisplayName "<PolicyName>" -Definition @('{"TokenLifetimePolicy":{"Version":1,"MaxAgeMultiFactor":"until-revoked","MaxAgeSessionMultiFactor":"14.00:00:00"}}}}')
    

    Observação

    Todas as configurações adicionais definidas na política original precisam ser copiadas para esse comando.

Depois de configurar a política, os administradores de locatários podem desmarcar a caixa de seleção lembrar autenticação multifator porque a expiração de uma sessão de usuário é configurada usando a política de tempo de vida do token. As configurações de política de tempo de vida do token garantem que as conexões do Flow continuem a funcionar nas seguintes condições:

  • Office 365 aplicativos Web estão configurados para expirar a sessão do usuário após X dias (14 dias, por exemplo, na etapa 2).
  • Os aplicativos solicitam que os usuários faça logon novamente usando a MFA.

Mais informações

Efeitos no portal do Flow e experiências inseridas

Esta seção detalha alguns dos efeitos adversos que o acesso condicional pode ter sobre os usuários em sua organização que usam o Flow para se conectar aos serviços da Microsoft relevantes para uma política.

Efeito 1 – Falha em execuções futuras

Se você habilitar uma política de acesso condicional após a criação de fluxos e conexões, os fluxos falharão em execuções futuras. Os proprietários das conexões verão a seguinte mensagem de erro no portal do Flow quando investigarem as execuções com falha:

AADSTS50076: devido a uma alteração de configuração feita pelo administrador ou porque você foi movido para um novo local, você deve usar a autenticação multifator <para acessar o serviço>.

Captura de tela dos detalhes do erro, incluindo Hora, Status, Erro, Detalhes do Erro e como corrigir.

Quando os usuários exibem conexões no portal do Flow, eles veem uma mensagem de erro semelhante à seguinte:

Captura de tela do erro Falha ao atualizar o token de acesso para os usuários do serviço no portal do Flow.

Para resolver esse problema, os usuários devem entrar no portal do Flow em condições que correspondam à política de acesso do serviço que estão tentando acessar (como multifator, rede corporativa e assim por diante) e, em seguida, reparar ou criar novamente a conexão.

Efeito 2 – Falha na criação automática de conexão

Se os usuários não entrarem no Flow usando critérios que correspondam às políticas, a criação automática de conexão com serviços internos da Microsoft controlados pelas políticas de acesso condicional falhará. Os usuários devem criar e autenticar manualmente as conexões usando critérios que correspondam à política de acesso condicional do serviço que eles tentam acessar. Esse comportamento também se aplica a modelos com um clique criados no portal do Flow.

Captura de tela do erro de criação automática de conexão com AADSTS50076.

Para resolver esse problema, os usuários devem entrar no portal do Flow sob condições que correspondam à política de acesso do serviço que tentam acessar (como multifator, rede corporativa e assim por diante) antes de criar um modelo.

Efeito 3 – Os usuários não podem criar uma conexão diretamente

Se os usuários não entrarem no Flow usando critérios que correspondam às políticas, eles não poderão criar uma conexão diretamente, seja por meio do Power Appsor Flow. Os usuários veem a seguinte mensagem de erro quando tentam criar uma conexão:

AADSTS50076: devido a uma alteração de configuração feita pelo administrador ou porque você foi movido para um novo local, você deve usar a autenticação multifator <para acessar o serviço>.

Captura de tela do erro AADSTS50076 ao tentar criar uma conexão.

Para resolver esse problema, os usuários devem entrar em condições que correspondam à política de acesso do serviço que estão tentando acessar e, em seguida, criar novamente a conexão.

Efeito 4 – Pessoas e seletores de email no portal do Flow falham

Se Exchange Online ou o acesso ao SharePoint for controlado por uma política de acesso condicional e se os usuários não entrarem no Flow sob a mesma política, as pessoas e os seletores de email no portal do Flow falharão. Os usuários não podem obter resultados completos para grupos em sua organização quando executam as seguintes consultas (Office 365 grupos não serão retornados para essas consultas):

  • Tentando compartilhar a propriedade ou as permissões somente execução para um fluxo
  • Selecionando endereços de email ao criar um fluxo no designer
  • Selecionando pessoas no painel Execução de Fluxo ao selecionar entradas para um fluxo

Efeito 5 – Usar recursos de fluxo inseridos em outros serviços da Microsoft

Quando um fluxo é inserido em serviços da Microsoft, como SharePoint, Power Apps, Excel e Teams, os usuários do fluxo também estão sujeitos ao acesso condicional e a políticas multifator com base em como eles se autenticam no serviço host. Por exemplo, se um usuário entrar no SharePoint usando a autenticação de fator único, mas tentar criar ou usar um fluxo que exija acesso multifator ao Microsoft Graph, o usuário receberá uma mensagem de erro.

Efeito 6 – Compartilhar fluxos usando listas e bibliotecas do SharePoint

Quando você tenta compartilhar a propriedade ou permissões somente execução usando listas e bibliotecas do SharePoint, o Flow não pode fornecer o nome de exibição das listas. Em vez disso, ele exibe o identificador exclusivo de uma lista. O proprietário e os blocos somente execução na página de propriedades do Flow para fluxos já compartilhados poderão exibir o identificador, não o nome de exibição.

O mais importante é que os usuários também podem não conseguir descobrir ou executar seus fluxos do SharePoint. Isso ocorre porque, atualmente, as informações da política de acesso condicional não são passadas entre o Power Automate e o SharePoint para permitir que o SharePoint tome uma decisão de acesso.

Captura de tela para compartilhar fluxos com listas e bibliotecas do SharePoint.

Captura de tela que mostra o site U R L e os proprietários de ID de lista podem ver.

Efeito 7 – Criação de fluxos integrados do SharePoint

Relacionado ao Efeito 6, a criação e a execução de fluxos de saída do SharePoint, como os fluxos de Aprovação de Solicitação e Aprovação de Página, podem ser bloqueadas por políticas de acesso condicional. Controlar o acesso aos dados do SharePoint e do OneDrive com base no local da rede indica que essas políticas podem causar problemas de acesso que afetam aplicativos de terceiros e de terceiros.

Esse cenário se aplica tanto ao local de rede quanto às políticas de acesso condicional (como Não Permitir Dispositivos Não Gerenciados). O suporte para a criação de fluxos integrados do SharePoint está atualmente em desenvolvimento. Postaremos mais informações neste artigo quando esse suporte estiver disponível.

Nesse ínterim, recomendamos que os usuários criem fluxos semelhantes por conta própria e compartilhem manualmente esses fluxos com os usuários desejados ou desabilitem as políticas de acesso condicional se essa funcionalidade for necessária.