Freigeben über

Empfehlungen für bedingten Zugriff und mehrstufige Authentifizierung in Microsoft Power Automate (Flow)

  • Artikel

Bedingter Zugriff ist ein Feature der Microsoft Entra-ID, mit dem Sie steuern können, wie und wann Benutzer auf Anwendungen und Dienste zugreifen können. Trotz ihrer Nützlichkeit sollten Sie beachten, dass die Verwendung des bedingten Zugriffs möglicherweise nachteilige oder unerwartete Auswirkungen auf Benutzer in Ihrer Organisation hat, die Microsoft Power Automate (Flow) verwenden, um eine Verbindung mit Microsoft-Dienste herzustellen, die für Richtlinien für bedingten Zugriff relevant sind.

Gilt für: Power Automate
Ursprüngliche KB-Nummer: 4467879

Empfehlungen

  • Verwenden Sie nicht die mehrstufige Authentifizierung für vertrauenswürdige Geräte , da die Tokenlebensdauer verkürzt und bewirkt, dass Verbindungen im konfigurierten Intervall aktualisiert werden müssen, anstatt bei der standardmäßigen erweiterten Länge.
  • Um Richtlinienkonfliktfehler zu vermeiden, stellen Sie sicher, dass Benutzer, die sich bei Power Automate anmelden, Kriterien verwenden, die den Richtlinien für die Verbindungen entsprechen, die von einem Fluss verwendet werden.

Details

Richtlinien für bedingten Zugriff werden über die Azure-Portal verwaltet und verfügen möglicherweise über mehrere Anforderungen, einschließlich (aber nicht beschränkt auf) folgendes:

  • Benutzer müssen sich mit der mehrstufigen Authentifizierung (MFA) (in der Regel Kennwort plus biometrischen Daten oder einem anderen Gerät) anmelden, um auf einige oder alle Clouddienste zuzugreifen.
  • Benutzer können nur über ihr Unternehmensnetzwerk und nicht über ihre Heimnetzwerke auf einige oder alle Clouddienste zugreifen.
  • Benutzer können nur genehmigte Geräte oder Clientanwendungen verwenden, um auf einige oder alle Clouddienste zuzugreifen.

Der folgende Screenshot zeigt ein MFA-Richtlinienbeispiel, das MFA für bestimmte Benutzer erfordert, wenn sie auf das Azure-Verwaltungsportal zugreifen.

Screenshot zeigt ein Beispiel, das M F A für die spezifischen Benutzer benötigt, wenn sie auf das Azure-Verwaltungsportal zugreifen.

Sie können die MFA-Konfiguration auch über die Azure-Portal öffnen. Wählen Sie dazu Microsoft Entra-ID-Benutzer>und -Gruppen>"Alle Benutzer>mehrstufige Authentifizierung" aus, und konfigurieren Sie dann Richtlinien mithilfe der Registerkarte "Diensteinstellungen".

Screenshot zeigt Die Schritte zum Öffnen der M F A-Konfiguration aus dem Azure-Portal.

MFA kann auch über das Microsoft 365 Admin Center konfiguriert werden. Eine Teilmenge der mehrstufigen Authentifizierungsfunktionen von Microsoft Entra ist für Office 365-Abonnenten verfügbar. Weitere Informationen zum Aktivieren von MFA finden Sie unter Einrichten der mehrstufigen Authentifizierung für Office 365-Benutzer.

Screenshot zeigt, dass M F A über das Microsoft 365 Admin Center konfiguriert werden kann.

Screenshot der Details der mehrstufigen Authentifizierungsoption.

Die Einstellung für die mehrstufige Authentifizierung kann Ihnen helfen, die Anzahl der Benutzeranmeldungen mithilfe eines persistenten Cookies zu reduzieren. Diese Richtlinie steuert die Microsoft Entra-Einstellungen, die in der mehrstufigen Authentifizierung für vertrauenswürdige Geräte dokumentiert sind.

Leider ändert diese Einstellung die Tokenrichtlinieneinstellungen, die die Verbindungen alle 14 Tage ablaufen. Dies ist einer der häufigsten Gründe, warum Verbindungen häufiger fehlschlagen, nachdem MFA aktiviert wurde. Es wird empfohlen, diese Einstellung nicht zu verwenden.

Auswirkungen auf das Power Automate-Portal und eingebettete Erfahrungen

In diesem Abschnitt werden einige der nachteiligen Auswirkungen beschrieben, die bedingten Zugriff auf Benutzer in Ihrer Organisation haben können, die Power Automate verwenden, um eine Verbindung mit Microsoft-Dienste herzustellen, die für eine Richtlinie relevant sind.

Effekt 1 – Fehler bei zukünftigen Läufen

Wenn Sie eine Richtlinie für bedingten Zugriff nach der Erstellung von Flüssen und Verbindungen aktivieren, schlagen Flüsse bei zukünftigen Ausführungen fehl. Besitzer der Verbindungen sehen die folgende Fehlermeldung im Power Automate-Portal, wenn sie die fehlgeschlagenen Ausführungen untersuchen:

AADSTS50076: Aufgrund einer vom Administrator vorgenommenen Konfigurationsänderung oder weil Sie an einen neuen Speicherort verschoben haben, müssen Sie die mehrstufige Authentifizierung verwenden, um auf den Dienst> zuzugreifen<.

Screenshot der Fehlerdetails, einschließlich Uhrzeit, Status, Fehler, Fehlerdetails und Behebung.

Wenn Benutzer Verbindungen im Power Automate-Portal anzeigen, wird eine Fehlermeldung angezeigt, die etwa wie folgt aussieht:

Screenshot des Fehlers Fehler Fehler beim Aktualisieren des Zugriffstokens für Dienstbenutzer im Power Automate-Portal.

Um dieses Problem zu beheben, müssen sich Benutzer unter Bedingungen beim Power Automate-Portal anmelden, die der Zugriffsrichtlinie des Diensts entsprechen, auf den sie zugreifen möchten (z. B. mehrstufiges Unternehmensnetzwerk usw.), und reparieren oder erstellen Sie dann die Verbindung erneut.

Effekt 2: Fehler bei der automatischen Verbindungserstellung

Wenn sich Benutzer nicht mit Kriterien, die den Richtlinien entsprechen, bei Power Automate anmelden, schlägt die automatische Verbindungserstellung mit erstanbieterbasierten Microsoft-Dienste fehl, die von den Richtlinien für bedingten Zugriff gesteuert werden. Benutzer müssen die Verbindungen manuell mithilfe von Kriterien erstellen und authentifizieren, die der Richtlinie für den bedingten Zugriff des Diensts entsprechen, auf den sie zugreifen möchten. Dieses Verhalten gilt auch für 1-Klick-Vorlagen, die aus dem Power Automate-Portal erstellt werden.

Screenshot des Fehlers zur automatischen Verbindungserstellung mit AADSTS50076.

Um dieses Problem zu beheben, müssen sich Benutzer unter Bedingungen beim Power Automate-Portal anmelden, die der Zugriffsrichtlinie des Diensts entsprechen, auf den sie zugreifen möchten (z. B. mehrstufiges Unternehmensnetzwerk usw.), bevor sie eine Vorlage erstellen.

Effekt 3: Benutzer können keine direkte Verbindung erstellen

Wenn sich Benutzer nicht mithilfe von Kriterien, die den Richtlinien entsprechen, bei Power Automate anmelden, können sie weder über Power Apps noch Flow eine direkte Verbindung erstellen. Benutzern wird die folgende Fehlermeldung angezeigt, wenn sie versuchen, eine Verbindung zu erstellen:

AADSTS50076: Aufgrund einer vom Administrator vorgenommenen Konfigurationsänderung oder weil Sie an einen neuen Speicherort verschoben haben, müssen Sie die mehrstufige Authentifizierung verwenden, um auf den Dienst> zuzugreifen<.

Screenshot des AADSTS50076 Fehlers beim Versuch, eine Verbindung zu erstellen.

Um dieses Problem zu beheben, müssen sich Benutzer unter Bedingungen anmelden, die der Zugriffsrichtlinie des Diensts entsprechen, auf den sie zugreifen möchten, und dann die Verbindung erneut erstellen.

Effekt 4 : Personen und E-Mail-Auswahlen im Power Automate-Portal schlagen fehl

Wenn exchange Online- oder SharePoint-Zugriff durch eine Richtlinie für bedingten Zugriff gesteuert wird und sich Benutzer nicht unter derselben Richtlinie bei Power Automate anmelden, schlagen Personen und E-Mail-Auswahlen im Power Automate-Portal fehl. Benutzer können keine vollständigen Ergebnisse für Gruppen in ihrer Organisation erhalten, wenn sie die folgenden Abfragen ausführen (Office 365-Gruppen werden für diese Abfragen nicht zurückgegeben):

  • Versuchen, Den Besitz freizugeben oder nur ausgeführte Berechtigungen für einen Fluss freizugeben
  • Auswählen von E-Mail-Adressen beim Erstellen eines Flusses im Designer
  • Auswählen von Personen im Bereich "Ablaufläufe " beim Auswählen von Eingaben in einen Fluss

Effekt 5 – Verwenden von Power Automate-Features, die in anderen Microsoft-Dienste

Wenn ein Fluss in Microsoft-Dienste wie SharePoint, Power Apps, Excel und Teams eingebettet ist, unterliegen die Power Automate-Benutzer auch bedingten Zugriff und mehrstufige Richtlinien basierend auf der Authentifizierung beim Hostdienst. Wenn sich beispielsweise ein Benutzer mit einer einstufigen Authentifizierung bei SharePoint anmeldet, aber versucht, einen Fluss zu erstellen oder zu verwenden, der einen mehrstufigen Zugriff auf Microsoft Graph erfordert, erhält der Benutzer eine Fehlermeldung.

Effekt 6 – Freigeben von Flüssen mithilfe von SharePoint-Listen und -Bibliotheken

Wenn Sie versuchen, den Besitz oder die nur ausgeführten Berechtigungen mithilfe von SharePoint-Listen und -Bibliotheken freizugeben, kann Power Automate den Anzeigenamen der Listen nicht angeben. Stattdessen wird der eindeutige Bezeichner einer Liste angezeigt. Die Kacheln "Besitzer" und "Nur ausführen" auf der Seite "Ablaufdetails" für bereits freigegebene Flüsse können den Bezeichner, aber nicht den Anzeigenamen anzeigen.

Wichtiger ist, dass Benutzer möglicherweise auch nicht in der Lage sind, ihre Flüsse aus SharePoint zu ermitteln oder auszuführen. Dies liegt daran, dass derzeit die Richtlinieninformationen für bedingten Zugriff zwischen Power Automate und SharePoint nicht übergeben werden, um SharePoint zu ermöglichen, eine Zugriffsentscheidung zu treffen.

Screenshot zum Freigeben von Flüssen für SharePoint-Listen und -Bibliotheken.

Screenshot der Website U R L und der Listen-ID-Besitzer können sehen.

Effekt 7 – Erstellen von sofort einsatzbereiten SharePoint-Flüssen

Im Zusammenhang mit Effekt 6 können die Erstellung und Ausführung von sofort einsatzbereiten SharePoint-Flüssen, wie z. B. die Ablaufe " Anforderungsanmeldung " und "Seitengenehmigung ", durch Richtlinien für bedingten Zugriff blockiert werden. Die Steuerung des Zugriffs auf SharePoint- und OneDrive-Daten basierend auf dem Netzwerkspeicherort weist darauf hin, dass diese Richtlinien Zugriffsprobleme verursachen können, die sich sowohl auf Apps von Erstanbietern als auch auf Apps von Drittanbietern auswirken.

Dieses Szenario gilt sowohl für den Netzwerkspeicherort als auch für Richtlinien für bedingten Zugriff (z. B. "Nicht verwaltete Geräte nicht zulassen"). Die Unterstützung für die Erstellung vordefinierter SharePoint-Flüsse befindet sich derzeit in der Entwicklung. Weitere Informationen werden in diesem Artikel bereitgestellt, wenn dieser Support verfügbar ist.

In der Zwischenzeit empfehlen wir Benutzern, ähnliche Flüsse selbst zu erstellen und diese Flüsse manuell für die gewünschten Benutzer freizugeben oder bedingte Zugriffsrichtlinien zu deaktivieren, wenn diese Funktionalität erforderlich ist.