次の方法で共有

Microsoft Power Automate (Flow) での条件付きアクセスと多要素認証に関する推奨事項

  • [アーティクル]

条件付きアクセス は、ユーザーがアプリケーションやサービスにアクセスできる方法とタイミングを制御できる Microsoft Entra ID の機能です。 その有用性にもかかわらず、条件付きアクセスを使用すると、Microsoft Power Automate (Flow) を使用して条件付きアクセス ポリシーに関連するMicrosoft サービスに接続する組織内のユーザーに悪影響や予期しない影響が生じる可能性があることに注意してください。

適用対象: Power Automate
元の KB 番号: 4467879

推奨事項

詳細

条件付きアクセス ポリシーは Azure portal を使用して管理され、次のようないくつかの要件があります (ただし、これらに限定されません)。

  • 一部またはすべてのクラウド サービスにアクセスするには、 多要素認証 (MFA) (通常はパスワードと生体認証またはその他のデバイス) を使用してサインインする必要があります。
  • ユーザーは、一部またはすべてのクラウド サービスに企業ネットワークからのみアクセスでき、ホーム ネットワークからはアクセスできません。
  • ユーザーは、承認されたデバイスまたはクライアント アプリケーションのみを使用して、一部またはすべてのクラウド サービスにアクセスできます。

次のスクリーンショットは、特定のユーザーが Azure 管理ポータルにアクセスするときに MFA を必要とする MFA ポリシーの例を示しています。

スクリーンショットは、Azure 管理ポータルにアクセスするときに特定のユーザーに対して M F A を必要とする例を示しています。

Azure portal から MFA 構成を開くこともできます。 これを行うには、 Microsoft Entra ID>ユーザーとグループ>すべてのユーザー>Multi-Factor Authentication を選択し、 サービス設定 タブを使用してポリシーを構成します。

Azure portal から M F A 構成を開く手順を示すスクリーンショット。

MFA は、Microsoft 365 管理センターから構成することもできます。 Microsoft Entra 多要素認証機能のサブセットは、Office 365 サブスクライバーが利用できます。 MFA を有効にする方法の詳細については、「 Office 365 ユーザーの多要素認証を設定するを参照してください。

スクリーンショットは、M F A を Microsoft 365 管理センター から構成できることを示しています。

[多要素認証を記憶する] オプションの詳細のスクリーンショット。

の多要素認証設定は、永続的な Cookie を使用してユーザーのログオン数を減らすのに役立ちます。 このポリシーは、信頼されたデバイスの多要素認証に記載されている Microsoft Entra 設定を制御します。

残念ながら、この設定により、接続の有効期限が 14 日ごとに切れるトークン ポリシー設定が変更されます。 これは、MFA が有効になった後に接続が頻繁に失敗する一般的な理由の 1 つです。 この設定は使用しないことをお勧めします。

Power Automate ポータルと埋め込みエクスペリエンスへの影響

このセクションでは、Power Automate を使用してポリシーに関連するMicrosoft サービスに接続する組織内のユーザーに条件付きアクセスが及ぼす可能性がある悪影響の一部について説明します。

効果 1 - 将来の実行でエラーが発生する

フローと接続の作成後に条件付きアクセス ポリシーを有効にした場合、フローは今後の実行で失敗します。 接続の所有者は、失敗した実行を調査すると、Power Automate ポータルに次のエラー メッセージが表示されます。

AADSTS50076: 管理者によって行われた構成の変更、または新しい場所に移動したため、多要素認証を使用して <サービスにアクセスする必要があります>。

時間、状態、エラー、エラーの詳細、修正方法などのエラーの詳細のスクリーンショット。

ユーザーが Power Automate ポータルで接続を表示すると、次のようなエラー メッセージが表示されます。

Power Automate ポータルに表示されるサービス ユーザーのアクセス トークンの更新に失敗したエラーのスクリーンショット。

この問題を解決するには、ユーザーがアクセスしようとしているサービスのアクセス ポリシー (多要素、企業ネットワークなど) に一致する条件で Power Automate ポータルにサインインし、接続を修復または再作成する必要があります。

効果 2 - 自動接続作成エラー

ユーザーがポリシーに一致する条件を使用して Power Automate にサインインしない場合、条件付きアクセス ポリシーによって制御されるファースト パーティ Microsoft サービスへの自動接続の作成は失敗します。 ユーザーは、アクセスしようとしているサービスの条件付きアクセス ポリシーに一致する条件を使用して、接続を手動で作成して認証する必要があります。 この動作は、Power Automate ポータルから作成された 1 クリック テンプレートにも適用されます。

AADSTS50076での自動接続作成エラーのスクリーンショット。

この問題を解決するには、ユーザーがテンプレートを作成する前に、アクセスしようとしているサービスのアクセス ポリシー (多要素、企業ネットワークなど) に一致する条件で Power Automate ポータルにサインインする必要があります。

効果 3 - ユーザーが直接接続を作成できない

ユーザーがポリシーに一致する条件を使用して Power Automate にサインインしない場合、Power Apps または Flow を使用して直接接続を作成することはできません。 ユーザーが接続を作成しようとすると、次のエラー メッセージが表示されます。

AADSTS50076: 管理者によって行われた構成の変更、または新しい場所に移動したため、多要素認証を使用して <サービスにアクセスする必要があります>。

接続を作成しようとしたときのAADSTS50076 エラーのスクリーンショット。

この問題を解決するには、ユーザーがアクセスしようとしているサービスのアクセス ポリシーに一致する条件でサインインし、接続を再作成する必要があります。

効果 4 - Power Automate ポータルのユーザーとメール ピッカーが失敗する

Exchange Online または SharePoint アクセスが条件付きアクセス ポリシーによって制御され、ユーザーが同じポリシーで Power Automate にサインインしない場合、Power Automate ポータルのユーザーと電子メール ピッカーは失敗します。 ユーザーが次のクエリを実行すると、組織内のグループの完全な結果を取得できません (これらのクエリに対して Office 365 グループは返されません)。

  • 所有権または実行のみのアクセス許可をフローに共有しようとしています
  • デザイナーでフローを構築するときに電子メール アドレスを選択する
  • フローへの入力を選択するときに、 Flow 実行 パネルでユーザーを選択する

効果 5 - 他のMicrosoft サービスに埋め込まれている Power Automate 機能を使用する

フローが SharePoint、Power Apps、Excel、Teams などのMicrosoft サービスに埋め込まれている場合、Power Automate ユーザーは、ホスト サービスに対する認証方法に基づいて条件付きアクセスと多要素ポリシーの対象にもなります。 たとえば、ユーザーが単一要素認証を使用して SharePoint にサインインしても、Microsoft Graph への多要素アクセスを必要とするフローを作成または使用しようとすると、エラー メッセージが表示されます。

効果 6 - SharePoint リストとライブラリを使用してフローを共有する

SharePoint リストとライブラリを使用して所有権または実行のみのアクセス許可を共有しようとすると、Power Automate ではリストの表示名を指定できません。 代わりに、リストの一意識別子が表示されます。 既に共有されているフローのフロー詳細ページの所有者タイルと実行専用タイルは、識別子を表示できますが、表示名は表示できません。

さらに重要なのは、ユーザーが SharePoint から自分のフローを検出または実行できない場合もあります。 これは、現在のところ、条件付きアクセス ポリシー情報が Power Automate と SharePoint の間で渡されず、SharePoint がアクセスの決定を行えるようにするためです。

SharePoint リストとライブラリとフローを共有するスクリーンショット。

スクリーンショットは、サイト U R L とリスト ID 所有者が確認できることを示しています。

効果 7 - SharePoint のアウトオブボックス フローの作成

効果 6 に関連して、 Request サインオフPage 承認 フローなど、SharePoint の既定のフローの作成と実行は、条件付きアクセス ポリシーによってブロックできます。 ネットワークの場所に基づいて SharePoint と OneDrive のデータへのアクセスを制御する これらのポリシーによって、ファースト パーティとサード パーティの両方のアプリに影響するアクセスの問題が発生する可能性があることを示します。

このシナリオは、ネットワークの場所と条件付きアクセス ポリシー (非管理対象デバイスの禁止など) の両方に適用されます。 SharePoint アウトオブボックス フローの作成のサポートは現在開発中です。 このサポートが利用可能になったときに、この記事の詳細情報を投稿します。

その間、ユーザー自身で同様のフローを作成し、これらのフローを目的のユーザーと手動で共有するか、この機能が必要な場合は条件付きアクセス ポリシーを無効にすることをお勧めします。