Condividi tramite

Raccomandazioni per l'accesso condizionale e l'autenticazione a più fattori in Microsoft Power Automate (Flow)

  • Articolo

L'accesso condizionale è una funzionalità di Microsoft Entra ID che consente di controllare come e quando gli utenti possono accedere ad applicazioni e servizi. Nonostante la sua utilità, è necessario tenere presente che l'uso dell'accesso condizionale potrebbe avere un effetto negativo o imprevisto sugli utenti dell'organizzazione che usano Microsoft Power Automate (Flow) per connettersi a servizi Microsoft rilevanti per i criteri di accesso condizionale.

Si applica a: Power Automate
Numero KB originale: 4467879

Elementi consigliati

  • Non usare ricordare l'autenticazione a più fattori per i dispositivi attendibili perché la durata dei token abbrevierà e causerà l'aggiornamento delle connessioni all'intervallo configurato anziché alla lunghezza estesa standard.
  • Per evitare errori di conflitto dei criteri, assicurarsi che gli utenti che accedono a Power Automate usino criteri che corrispondono ai criteri per le connessioni usate da un flusso.

Dettagli

I criteri di accesso condizionale vengono gestiti tramite il portale di Azure e possono avere diversi requisiti, tra cui (ma non solo) i seguenti:

  • Gli utenti devono accedere usando l'autenticazione a più fattori (MFA) (in genere password più biometrica o altro dispositivo) per accedere ad alcuni o a tutti i servizi cloud.
  • Gli utenti possono accedere ad alcuni o a tutti i servizi cloud solo dalla rete aziendale e non dalle reti home.
  • Gli utenti possono usare solo dispositivi o applicazioni client approvati per accedere ad alcuni o a tutti i servizi cloud.

Lo screenshot seguente mostra un esempio di criteri MFA che richiede l'autenticazione a più fattori per utenti specifici quando accedono al portale di gestione di Azure.

Screenshot che mostra un esempio che richiede M F A per gli utenti specifici quando si accede al portale di gestione di Azure.

È anche possibile aprire la configurazione MFA dal portale di Azure. A tale scopo, selezionare Utenti e gruppi>Di Microsoft Entra ID>Tutti gli utenti>Multi-Factor Authentication e quindi configurare i criteri usando la scheda impostazioni del servizio.

Screenshot che mostra i passaggi per aprire la configurazione M F A dal portale di Azure.

L'autenticazione a più fattori può essere configurata anche da interfaccia di amministrazione di Microsoft 365. Un subset di funzionalità di autenticazione a più fattori di Microsoft Entra è disponibile per gli abbonati a Office 365. Per altre informazioni su come abilitare l'autenticazione a più fattori, vedere Configurare l'autenticazione a più fattori per gli utenti di Office 365.

Screenshot che mostra che M F A può essere configurato da interfaccia di amministrazione di Microsoft 365.

Screenshot dell'opzione memorizza i dettagli dell'opzione di autenticazione a più fattori.

L'impostazione di memorizzazione dell'autenticazione a più fattori consente di ridurre il numero di accessi utente usando un cookie permanente. Questo criterio controlla le impostazioni di Microsoft Entra documentate in Ricordare l'autenticazione a più fattori per i dispositivi attendibili.

Sfortunatamente, questa impostazione modifica le impostazioni dei criteri del token che fanno scadere le connessioni ogni 14 giorni. Questo è uno dei motivi comuni per cui le connessioni hanno esito negativo più frequentemente dopo l'abilitazione di MFA. È consigliabile non usare questa impostazione.

Effetti sul portale di Power Automate e sulle esperienze incorporate

Questa sezione descrive in dettaglio alcuni degli effetti negativi che l'accesso condizionale può avere sugli utenti dell'organizzazione che usano Power Automate per connettersi a servizi Microsoft pertinenti a un criterio.

Effetto 1 - Errore nelle esecuzioni future

Se si abilitano criteri di accesso condizionale dopo la creazione di flussi e connessioni, i flussi hanno esito negativo nelle esecuzioni future. I proprietari delle connessioni visualizzeranno il messaggio di errore seguente nel portale di Power Automate quando esaminano le esecuzioni non riuscite:

AADSTS50076: a causa di una modifica della configurazione apportata dall'amministratore o perché è stata spostata in una nuova posizione, è necessario usare l'autenticazione a più fattori per accedere al <servizio>.

Screenshot dei dettagli dell'errore, tra cui Time, Status, Error, Error Details e how to fix.

Quando gli utenti visualizzano le connessioni nel portale di Power Automate, viene visualizzato un messaggio di errore simile al seguente:

Screenshot dell'errore Non è stato possibile aggiornare il token di accesso per gli utenti del servizio nel portale di Power Automate.

Per risolvere questo problema, gli utenti devono accedere al portale di Power Automate in condizioni che soddisfano i criteri di accesso del servizio a cui sta tentando di accedere (ad esempio, multi-factor, rete aziendale e così via) e quindi ripristinare o ricreare la connessione.

Effetto 2 - Errore di creazione automatica della connessione

Se gli utenti non accedono a Power Automate usando criteri che corrispondono ai criteri, la creazione automatica della connessione ai servizi Microsoft proprietari controllati dai criteri di accesso condizionale ha esito negativo. Gli utenti devono creare e autenticare manualmente le connessioni usando criteri che corrispondono ai criteri di accesso condizionale del servizio a cui tentano di accedere. Questo comportamento si applica anche ai modelli con 1 clic creati dal portale di Power Automate.

Screenshot dell'errore di creazione automatica della connessione con AADSTS50076.

Per risolvere questo problema, gli utenti devono accedere al portale di Power Automate in condizioni che corrispondono ai criteri di accesso del servizio a cui tentano di accedere (ad esempio, multi-factor, rete aziendale e così via) prima di creare un modello.

Effetto 3: gli utenti non possono creare direttamente una connessione

Se gli utenti non accedono a Power Automate usando criteri che soddisfano i criteri, non possono creare direttamente una connessione tramite Power Apps o Flow. Gli utenti visualizzano il messaggio di errore seguente quando tentano di creare una connessione:

AADSTS50076: a causa di una modifica della configurazione apportata dall'amministratore o perché è stata spostata in una nuova posizione, è necessario usare l'autenticazione a più fattori per accedere al <servizio>.

Screenshot dell'errore di AADSTS50076 durante il tentativo di creare una connessione.

Per risolvere questo problema, gli utenti devono accedere in condizioni che corrispondano ai criteri di accesso del servizio a cui tentano di accedere e quindi ricreare la connessione.

Effetto 4 - Selezione utenti e messaggi di posta elettronica nel portale di Power Automate hanno esito negativo

Se l'accesso a Exchange Online o SharePoint è controllato da un criterio di accesso condizionale e se gli utenti non accedono a Power Automate con gli stessi criteri, gli utenti e le selezione di posta elettronica nel portale di Power Automate hanno esito negativo. Gli utenti non possono ottenere risultati completi per i gruppi nell'organizzazione quando eseguono le query seguenti (i gruppi di Office 365 non verranno restituiti per queste query):

  • Tentativo di condividere le autorizzazioni di proprietà o di sola esecuzione per un flusso
  • Selezione degli indirizzi di posta elettronica durante la creazione di un flusso nella finestra di progettazione
  • Selezione di persone nel pannello Esecuzioni di flussi quando si selezionano gli input in un flusso

Effetto 5- Uso delle funzionalità di Power Automate incorporate in altri servizi Microsoft

Quando un flusso viene incorporato in servizi Microsoft come SharePoint, Power Apps, Excel e Teams, gli utenti di Power Automate sono soggetti anche all'accesso condizionale e ai criteri a più fattori in base alla modalità di autenticazione al servizio host. Ad esempio, se un utente accede a SharePoint usando l'autenticazione a singolo fattore, ma tenta di creare o usare un flusso che richiede l'accesso a più fattori a Microsoft Graph, l'utente riceve un messaggio di errore.

Effetto 6 - Condivisione dei flussi tramite elenchi e raccolte di SharePoint

Quando si tenta di condividere le autorizzazioni di proprietà o di sola esecuzione usando elenchi e raccolte di SharePoint, Power Automate non può fornire il nome visualizzato degli elenchi. Visualizza invece l'identificatore univoco di un elenco. Il proprietario e i riquadri di sola esecuzione nella pagina dei dettagli del flusso per i flussi già condivisi potranno visualizzare l'identificatore, ma non il nome visualizzato.

Più importante, gli utenti potrebbero anche non essere in grado di individuare o eseguire i flussi da SharePoint. Questo perché, attualmente, le informazioni sui criteri di accesso condizionale non vengono passate tra Power Automate e SharePoint per consentire a SharePoint di prendere una decisione di accesso.

Screenshot per condividere i flussi con elenchi e raccolte di SharePoint.

Screenshot che mostra il sito U R L e i proprietari dell'ID elenco possono vedere.

Effetto 7 - Creazione di flussi predefiniti di SharePoint

Correlato all'effetto 6, la creazione e l'esecuzione di flussi predefiniti di SharePoint, ad esempio i flussi di approvazione della richiesta e approvazione della pagina, possono essere bloccati dai criteri di accesso condizionale. Controllare l'accesso ai dati di SharePoint e OneDrive in base al percorso di rete indica che questi criteri possono causare problemi di accesso che interessano sia le app di terze parti che quelle di terze parti.

Questo scenario si applica sia al percorso di rete che ai criteri di accesso condizionale(ad esempio Non consentire dispositivi non gestiti). Il supporto per la creazione di flussi predefiniti di SharePoint è attualmente in fase di sviluppo. In questo articolo verranno pubblicate altre informazioni quando questo supporto diventa disponibile.

Nel frattempo, si consiglia agli utenti di creare flussi simili e di condividere manualmente questi flussi con gli utenti desiderati o di disabilitare i criteri di accesso condizionale se questa funzionalità è necessaria.