Compartir a través de

Recomendaciones para el acceso condicional y la autenticación multifactor en Microsoft Power Automate (Flow)

  • Artículo

El acceso condicional es una característica de Microsoft Entra ID que le permite controlar cómo y cuándo los usuarios pueden acceder a aplicaciones y servicios. A pesar de su utilidad, debe tener en cuenta que el uso del acceso condicional podría tener un efecto adverso o inesperado en los usuarios de su organización que usan Microsoft Power Automate (Flow) para conectarse a servicios Microsoft que son relevantes para las directivas de acceso condicional.

Se aplica a: Power Automate
Número de KB original: 4467879

Recomendaciones

  • No use recordar la autenticación multifactor para dispositivos de confianza, ya que las duraciones de tokens se acortarán y harán que las conexiones requieran la actualización en el intervalo configurado en lugar de a la longitud extendida estándar.
  • Para evitar errores de conflicto de directivas, asegúrese de que los usuarios que inicien sesión en Power Automate usen criterios que coincidan con las directivas de las conexiones que usa un flujo.

Detalles

Las directivas de acceso condicional se administran a través de Azure Portal y pueden tener varios requisitos, incluidos (pero no limitados a) lo siguiente:

  • Los usuarios deben iniciar sesión con la autenticación multifactor (MFA) (normalmente contraseña más biométrica u otro dispositivo) para acceder a algunos o todos los servicios en la nube.
  • Los usuarios pueden acceder a algunos o todos los servicios en la nube solo desde su red corporativa y no desde sus redes domésticas.
  • Los usuarios pueden usar solo dispositivos aprobados o aplicaciones cliente para acceder a algunos o todos los servicios en la nube.

En la captura de pantalla siguiente se muestra un ejemplo de directiva de MFA que requiere MFA para usuarios específicos cuando acceden al Portal de administración de Azure.

Captura de pantalla que muestra un ejemplo que requiere M F A para los usuarios específicos al acceder al Portal de administración de Azure.

También puede abrir la configuración de MFA desde Azure Portal. Para ello, seleccione Microsoft Entra ID Users and groups All users Multi-Factor Authentication (Usuarios y grupos de Microsoft Entra ID>Users and groups>All users>Multi-Factor Authentication) y, a continuación, configure directivas mediante la pestaña de configuración del servicio.

Captura de pantalla que muestra los pasos para abrir la configuración de M F A desde Azure Portal.

MFA también se puede configurar desde Centro de administración de Microsoft 365. Un subconjunto de funcionalidades de autenticación multifactor de Microsoft Entra está disponible para los suscriptores de Office 365. Para obtener más información sobre cómo habilitar MFA, vea Configurar la autenticación multifactor para usuarios de Office 365.

Captura de pantalla que muestra que se puede configurar M F A desde Centro de administración de Microsoft 365.

Captura de pantalla de los detalles de la opción recordar autenticación multifactor.

La configuración recordar la autenticación multifactor puede ayudarle a reducir el número de inicios de sesión de usuario mediante una cookie persistente. Esta directiva controla la configuración de Microsoft Entra que se documenta en Recordar la autenticación multifactor para dispositivos de confianza.

Desafortunadamente, esta configuración cambia la configuración de directiva de token que hace que las conexiones expiren cada 14 días. Esta es una de las razones comunes por las que las conexiones producen errores con más frecuencia después de habilitar MFA. Se recomienda no usar esta configuración.

Efectos en el portal de Power Automate y las experiencias insertadas

En esta sección se detallan algunos de los efectos adversos que el acceso condicional puede tener en los usuarios de su organización que usan Power Automate para conectarse a servicios Microsoft relevantes para una directiva.

Efecto 1: error en ejecuciones futuras

Si habilita una directiva de acceso condicional después de crear flujos y conexiones, los flujos producirán un error en futuras ejecuciones. Los propietarios de las conexiones verán el siguiente mensaje de error en el portal de Power Automate cuando investiguen las ejecuciones con errores:

AADSTS50076: debido a un cambio de configuración realizado por el administrador o porque se ha movido a una nueva ubicación, debe usar la autenticación multifactor para acceder <al servicio>.

Captura de pantalla de los detalles del error, incluidos Time, Status, Error, Error Details y how to fix.

Cuando los usuarios ven las conexiones en el portal de Power Automate, ven un mensaje de error similar al siguiente:

Captura de pantalla del error Error al actualizar el token de acceso para los usuarios del servicio, consulte en el portal de Power Automate.

Para resolver este problema, los usuarios deben iniciar sesión en el portal de Power Automate en condiciones que coincidan con la directiva de acceso del servicio al que intentan acceder (como multifactor, red corporativa, etc.) y, a continuación, reparar o volver a crear la conexión.

Efecto 2: Error de creación automática de la conexión

Si los usuarios no inician sesión en Power Automate mediante criterios que coinciden con las directivas, se produce un error en la creación automática de conexiones a servicios Microsoft de primera entidad controladas por las directivas de acceso condicional. Los usuarios deben crear y autenticar manualmente las conexiones mediante criterios que coincidan con la directiva de acceso condicional del servicio al que intentan acceder. Este comportamiento también se aplica a las plantillas de 1 clic que se crean desde el portal de Power Automate.

Captura de pantalla del error de creación automática de la conexión con AADSTS50076.

Para resolver este problema, los usuarios deben iniciar sesión en el portal de Power Automate en condiciones que coincidan con la directiva de acceso del servicio al que intentan acceder (como multifactor, red corporativa, etc.) antes de crear una plantilla.

Efecto 3: los usuarios no pueden crear una conexión directamente

Si los usuarios no inician sesión en Power Automate mediante criterios que coincidan con las directivas, no pueden crear una conexión directamente, ya sea a través de Power Apps o Flow. Los usuarios ven el siguiente mensaje de error cuando intentan crear una conexión:

AADSTS50076: debido a un cambio de configuración realizado por el administrador o porque se ha movido a una nueva ubicación, debe usar la autenticación multifactor para acceder <al servicio>.

Captura de pantalla del error AADSTS50076 al intentar crear una conexión.

Para resolver este problema, los usuarios deben iniciar sesión en condiciones que coincidan con la directiva de acceso del servicio al que intentan acceder y, a continuación, volver a crear la conexión.

Efecto 4: Se produce un error en los selectores de personas y correo electrónico en el portal de Power Automate

Si el acceso a Exchange Online o SharePoint está controlado por una directiva de acceso condicional y si los usuarios no inician sesión en Power Automate en la misma directiva, se producirá un error en los selectores de personas y correo electrónico en el portal de Power Automate. Los usuarios no pueden obtener resultados completos para los grupos de su organización cuando realizan las siguientes consultas (los grupos de Office 365 no se devolverán para estas consultas):

  • Intentar compartir permisos de propiedad o de solo ejecución en un flujo
  • Selección de direcciones de correo electrónico al compilar un flujo en el diseñador
  • Selección de personas en el panel Ejecuciones de flujo al seleccionar entradas en un flujo

Efecto 5: Uso de características de Power Automate insertadas en otras servicios Microsoft

Cuando un flujo se inserta en servicios Microsoft como SharePoint, Power Apps, Excel y Teams, los usuarios de Power Automate también están sujetos a acceso condicional y directivas multifactor en función de cómo se autentican en el servicio host. Por ejemplo, si un usuario inicia sesión en SharePoint mediante la autenticación de un solo factor, pero intenta crear o usar un flujo que requiere acceso multifactor a Microsoft Graph, el usuario recibe un mensaje de error.

Efecto 6: Uso compartido de flujos mediante listas y bibliotecas de SharePoint

Al intentar compartir permisos de propiedad o de solo ejecución mediante listas y bibliotecas de SharePoint, Power Automate no puede proporcionar el nombre para mostrar de las listas. En su lugar, muestra el identificador único de una lista. Los iconos propietarios y de solo ejecución de la página de detalles del flujo para los flujos ya compartidos podrán mostrar el identificador, pero no el nombre para mostrar.

Lo más importante es que los usuarios también no puedan detectar o ejecutar sus flujos desde SharePoint. Esto se debe a que, actualmente, la información de la directiva de acceso condicional no se pasa entre Power Automate y SharePoint para permitir que SharePoint tome una decisión de acceso.

Captura de pantalla para compartir flujos con listas y bibliotecas de SharePoint.

Captura de pantalla que muestra el sitio U R L y los propietarios del identificador de lista pueden ver.

Efecto 7: Creación de flujos predefinidos de SharePoint

Relacionado con Effect 6, la creación y ejecución de flujos de SharePoint listas para usar, como los flujos de aprobación de página y signo de solicitud, se puede bloquear mediante directivas de acceso condicional. Controlar el acceso a los datos de SharePoint y OneDrive en función de la ubicación de red indica que estas directivas pueden causar problemas de acceso que afectan tanto a aplicaciones de terceros como de terceros.

Este escenario se aplica tanto a la ubicación de red como a las directivas de acceso condicional (como No permitir dispositivos no administrados). La compatibilidad con la creación de flujos predefinidos de SharePoint está actualmente en desarrollo. Publicaremos más información en este artículo cuando este soporte técnico esté disponible.

Mientras tanto, aconsejamos a los usuarios que creen flujos similares y compartan manualmente estos flujos con los usuarios deseados o para deshabilitar las directivas de acceso condicional si se requiere esta funcionalidad.