Aracılığıyla paylaş

Microsoft Power Automate'te (Flow) koşullu erişim ve çok faktörlü kimlik doğrulaması önerileri

  • Makale

Koşullu Erişim, kullanıcıların uygulamalara ve hizmetlere nasıl ve ne zaman erişebileceğini denetlemenizi sağlayan bir Microsoft Entra ID özelliğidir. Yararlı olmasına rağmen, koşullu erişim kullanmanın kuruluşunuzda koşullu erişim ilkeleriyle ilgili Microsoft hizmetlerine bağlanmak için Microsoft Power Automate 'i (Flow) kullanan kullanıcılar üzerinde olumsuz veya beklenmeyen bir etkisi olabileceğini unutmayın.

Şunlar için geçerlidir: Power Automate
Özgün KB numarası: 4467879

Öneriler

  • Belirteç ömrü kısaltılacağı ve bağlantıların standart genişletilmiş uzunluk yerine yapılandırılan aralıkta yenileme gerektirmesine neden olacağı için güvenilen cihazlar için çok faktörlü kimlik doğrulamasını anımsa özelliğini kullanmayın.
  • İlke çakışması hatalarını önlemek için Power Automate'te oturum açan kullanıcıların bir akışın kullandığı bağlantılarla ilgili ilkelerle eşleşen ölçütleri kullandığından emin olun.

Ayrıntılar

Koşullu erişim ilkeleri Azure portal aracılığıyla yönetilir ve aşağıdakiler de dahil olmak üzere (ancak bunlarla sınırlı olmamak üzere) çeşitli gereksinimleri olabilir:

  • Kullanıcıların bulut hizmetlerinin bir kısmına veya tümüne erişmek için çok faktörlü kimlik doğrulaması (MFA) (genellikle parola artı biyometrik veya başka bir cihaz) kullanarak oturum açması gerekir.
  • Kullanıcılar bulut hizmetlerinin bir kısmına veya tümüne ev ağlarından değil yalnızca şirket ağlarından erişebilir.
  • Kullanıcılar, bulut hizmetlerinin bir kısmına veya tümüne erişmek için yalnızca onaylı cihazları veya istemci uygulamalarını kullanabilir.

Aşağıdaki ekran görüntüsünde, Azure yönetim portalına erişen belirli kullanıcılar için MFA gerektiren bir MFA ilkesi örneği gösterilmektedir.

Azure Yönetim portalına erişirken belirli kullanıcılar için M F A gerektiren bir örneği gösteren ekran görüntüsü.

MFA yapılandırmasını Azure portal da açabilirsiniz. Bunu yapmak için Microsoft Entra ID>Kullanıcılar ve gruplar>Tüm kullanıcılar>Multi-Factor Authentication'ı seçin ve ardından hizmet ayarları sekmesini kullanarak ilkeleri yapılandırın.

M F A yapılandırmasını Azure portal açma adımlarını gösteren ekran görüntüsü.

MFA, Microsoft 365 yönetim merkezi'dan da yapılandırılabilir. çok faktörlü Microsoft Entra kimlik doğrulama özelliklerinin bir alt kümesi Office 365 aboneler tarafından kullanılabilir. MFA'yı etkinleştirme hakkında daha fazla bilgi için bkz. Office 365 kullanıcılar için çok faktörlü kimlik doğrulamasını ayarlama.

M F A'nın Microsoft 365 yönetim merkezi'dan yapılandırılabildiğini gösteren ekran görüntüsü.

Çok faktörlü kimlik doğrulama seçeneği ayrıntılarını anımsama işleminin ekran görüntüsü.

Çok faktörlü kimlik doğrulamasını anımsa ayarı, kalıcı bir tanımlama bilgisi kullanarak kullanıcı oturum açma sayısını azaltmanıza yardımcı olabilir. Bu ilke, Güvenilen cihazlar için çok faktörlü kimlik doğrulamasını anımsa bölümünde belgelenen Microsoft Entra ayarlarını denetler.

Ne yazık ki bu ayar, bağlantıların süresinin her 14 günde bir dolmasına neden olan belirteç ilkesi ayarlarını değiştirir. Bu, MFA etkinleştirildikten sonra bağlantıların daha sık başarısız olmasının yaygın nedenlerinden biridir. Bu ayarı kullanmamanızı öneririz.

Power Automate portalı ve ekli deneyimler üzerindeki etkileri

Bu bölümde, koşullu erişimin kuruluşunuzda power automate kullanarak ilkeyle ilgili Microsoft hizmetlerine bağlanan kullanıcılar üzerindeki olumsuz etkilerinden bazıları ayrıntılı olarak açıklanmaktadır.

Efekt 1 - Gelecekteki çalıştırmalarda hata

Akışlar ve bağlantılar oluşturulduktan sonra koşullu erişim ilkesini etkinleştirirseniz, akışlar gelecekteki çalıştırmalarda başarısız olur. Bağlantıların sahipleri, başarısız çalıştırmaları araştırdığında Power Automate portalında aşağıdaki hata iletisini görür:

AADSTS50076: Yöneticiniz tarafından yapılan bir yapılandırma değişikliği nedeniyle veya yeni bir konuma taşıdığınızdan, hizmete> erişmek <için çok faktörlü kimlik doğrulamasını kullanmanız gerekir.

Zaman, Durum, Hata, Hata Ayrıntıları ve nasıl düzeltileceğini içeren hata ayrıntılarının ekran görüntüsü.

Kullanıcılar Power Automate portalında bağlantıları görüntülediğinde aşağıdakine benzer bir hata iletisi görür:

Kullanıcıların Power Automate portalında gördüğü hizmet için erişim belirteci yenilenemedi hatasının ekran görüntüsü.

Bu sorunu çözmek için, kullanıcıların erişmeye çalıştıkları hizmetin erişim ilkesiyle (çok faktörlü, kurumsal ağ vb.) eşleşen koşullar altında Power Automate portalında oturum açması ve ardından bağlantıyı onarması veya yeniden oluşturması gerekir.

Efekt 2 - Otomatik bağlantı oluşturma hatası

Kullanıcılar ilkelere uyan ölçütleri kullanarak Power Automate'te oturum açmazsa, koşullu erişim ilkeleri tarafından denetlenen birinci taraf Microsoft hizmetlerine otomatik bağlantı oluşturma işlemi başarısız olur. Kullanıcıların erişmeye çalıştıkları hizmetin koşullu erişim ilkesiyle eşleşen ölçütleri kullanarak bağlantıları el ile oluşturması ve kimlik doğrulaması yapması gerekir. Bu davranış, Power Automate portalından oluşturulan 1 tıklamalı şablonlar için de geçerlidir.

AADSTS50076 ile otomatik bağlantı oluşturma hatasının ekran görüntüsü.

Bu sorunu çözmek için, kullanıcıların şablon oluşturmadan önce erişmeye çalıştıkları hizmetin erişim ilkesiyle (çok faktörlü, kurumsal ağ vb.) eşleşen koşullar altında Power Automate portalında oturum açması gerekir.

Efekt 3 - Kullanıcılar doğrudan bağlantı oluşturamaz

Kullanıcılar ilkelerle eşleşen ölçütleri kullanarak Power Automate'te oturum açmazsa, Power Apps veya Flow aracılığıyla doğrudan bağlantı oluşturamaz. Kullanıcılar bağlantı oluşturmaya çalıştıkları zaman aşağıdaki hata iletisini görür:

AADSTS50076: Yöneticiniz tarafından yapılan bir yapılandırma değişikliği nedeniyle veya yeni bir konuma taşıdığınızdan, hizmete> erişmek <için çok faktörlü kimlik doğrulamasını kullanmanız gerekir.

Bağlantı oluşturmaya çalışırken oluşan AADSTS50076 hatasının ekran görüntüsü.

Bu sorunu çözmek için, kullanıcıların erişmeye çalıştıkları hizmetin erişim ilkesiyle eşleşen koşullar altında oturum açması ve ardından bağlantıyı yeniden oluşturması gerekir.

Efekt 4 - Power Automate portalında Kişiler ve e-posta seçiciler başarısız oldu

Exchange Online veya SharePoint erişimi bir koşullu erişim ilkesi tarafından denetleniyorsa ve kullanıcılar aynı ilke altında Power Automate'te oturum açmazsa, Power Automate portalındaki kişiler ve e-posta seçiciler başarısız olur. Kullanıcılar, aşağıdaki sorguları gerçekleştirdiklerinde kuruluşlarındaki gruplar için tam sonuçlar alamaz (Office 365 gruplar bu sorgular için döndürülemez):

  • Bir akışa sahiplik veya yalnızca çalıştırma izinlerini paylaşmaya çalışma
  • Tasarımcıda akış oluştururken e-posta adreslerini seçme
  • Akış Çalıştırmaları panelinde akışa girişler seçilirken kişileri seçme

Efekt 5 - Diğer Microsoft hizmetlerine eklenmiş Power Automate özelliklerini kullanma

SharePoint, Power Apps, Excel ve Teams gibi Microsoft hizmetlerine bir akış eklendiğinde Power Automate kullanıcıları, konak hizmetinde kimlik doğrulaması yapma şekline bağlı olarak koşullu erişime ve çok faktörlü ilkelere de tabi tutulur. Örneğin, bir kullanıcı SharePoint'te tek faktörlü kimlik doğrulaması kullanarak oturum açarsa ancak Microsoft Graph'a çok faktörlü erişim gerektiren bir akış oluşturmaya veya kullanmaya çalışırsa, kullanıcı bir hata iletisi alır.

Efekt 6 - SharePoint listelerini ve kitaplıklarını kullanarak akışları paylaşma

SharePoint listelerini ve kitaplıklarını kullanarak sahiplik veya yalnızca çalıştırma izinlerini paylaşmaya çalıştığınızda, Power Automate listelerin görünen adını sağlayamaz. Bunun yerine, listenin benzersiz tanımlayıcısını görüntüler. Zaten paylaşılan akışların akış ayrıntıları sayfasındaki sahip ve yalnızca çalıştır kutucukları tanımlayıcıyı görüntüleyebilir, ancak görünen adı görüntüleyemeyecektir.

Daha da önemlisi, kullanıcılar akışlarını SharePoint'ten bulamayabilir veya çalıştıramayabilir. Bunun nedeni, şu anda koşullu erişim ilkesi bilgilerinin SharePoint'in erişim kararı almasını sağlamak için Power Automate ile SharePoint arasında geçirilmemiş olmasıdır.

SharePoint listeleri ve kitaplıklarıyla akışları paylaşma ekran görüntüsü.

Ekran görüntüsü, U R L sitesini ve liste kimliği sahiplerinin görebileceğini gösterir.

Efekt 7 - SharePoint ilk çalıştırma akışlarını oluşturma

Efekt 6 ile ilgili olarak, İstek Oturumu Kapatma ve Sayfa Onayı akışları gibi SharePoint ilk çalıştırma akışlarının oluşturulması ve yürütülmesi koşullu erişim ilkeleri tarafından engellenebilir. Ağ konumuna göre SharePoint ve OneDrive verilerine erişimi denetleme, bu ilkelerin hem birinci taraf hem de üçüncü taraf uygulamaları etkileyen erişim sorunlarına neden olabileceğini gösterir.

Bu senaryo hem ağ konumuna hem de koşullu erişim ilkelerine (Yönetilmeyen Cihazlara İzin Verme gibi) için geçerlidir. SharePoint kullanıma hazır akış oluşturma desteği şu anda geliştirme aşamasındadır. Bu destek kullanıma sunulduğunda bu makalede daha fazla bilgi yayınlayacağız.

Bu arada, kullanıcılara benzer akışlar oluşturmalarını ve bu akışları istenen kullanıcılarla el ile paylaşmalarını veya bu işlev gerekiyorsa koşullu erişim ilkelerini devre dışı bırakmalarını öneririz.