Delen via

Aanbevelingen voor voorwaardelijke toegang en meervoudige verificatie in Microsoft Power Automate (Flow)

  • Artikel

Voorwaardelijke toegang is een functie van Microsoft Entra ID waarmee u kunt bepalen hoe en wanneer gebruikers toegang hebben tot toepassingen en services. Ondanks de bruikbaarheid ervan moet u er rekening mee houden dat het gebruik van voorwaardelijke toegang een nadelig of onverwacht effect kan hebben op gebruikers in uw organisatie die Microsoft Power Automate (Flow) gebruiken om verbinding te maken met Microsoft-services die relevant zijn voor beleid voor voorwaardelijke toegang.

Van toepassing op: Power Automate
Oorspronkelijk KB-nummer: 4467879

Aanbevelingen

  • Onthoud niet dat meervoudige verificatie voor vertrouwde apparaten wordt gebruikt, omdat tokenlevensduur verkort en ervoor zorgt dat verbindingen worden vernieuwd tijdens het interval dat is geconfigureerd in plaats van op de standaard verlengde lengte.
  • Als u beleidsconflicten wilt voorkomen, moet u ervoor zorgen dat gebruikers die zich aanmelden bij Power Automate criteria gebruiken die overeenkomen met het beleid voor de verbindingen die door een stroom worden gebruikt.

DETAILS

Beleidsregels voor voorwaardelijke toegang worden beheerd via Azure Portal en hebben mogelijk verschillende vereisten, waaronder (maar niet beperkt tot) het volgende:

  • Gebruikers moeten zich aanmelden met meervoudige verificatie (MFA) (meestal wachtwoord plus biometrie of ander apparaat) voor toegang tot sommige of alle cloudservices.
  • Gebruikers hebben mogelijk alleen toegang tot sommige of alle cloudservices vanuit hun bedrijfsnetwerk en niet vanuit hun thuisnetwerken.
  • Gebruikers kunnen alleen goedgekeurde apparaten of clienttoepassingen gebruiken voor toegang tot sommige of alle cloudservices.

In de volgende schermopname ziet u een voorbeeld van een MFA-beleid waarvoor MFA is vereist voor specifieke gebruikers wanneer ze toegang hebben tot de Azure-beheerportal.

Schermopname van een voorbeeld waarvoor M F A is vereist voor de specifieke gebruikers bij het openen van de Azure Management-portal.

U kunt de MFA-configuratie ook openen vanuit Azure Portal. Hiervoor selecteert u Microsoft Entra ID-gebruikers en groept >u Alle gebruikers>Multi-Factor Authentication en configureert u vervolgens beleid met behulp van het tabblad Service-instellingen.>

Schermopname van de stappen voor het openen van de M F A-configuratie vanuit Azure Portal.

MFA kan ook worden geconfigureerd vanuit Microsoft 365-beheercentrum. Een subset van de mogelijkheden voor meervoudige verificatie van Microsoft Entra is beschikbaar voor Office 365-abonnees. Zie Meervoudige verificatie instellen voor Office 365-gebruikers voor meer informatie over het inschakelen van MFA.

Schermopname die laat zien dat M F A kan worden geconfigureerd vanuit Microsoft 365-beheercentrum.

Schermopname van de details van de optie voor meervoudige verificatie onthouden.

De instelling voor meervoudige verificatie kan u helpen het aantal aanmeldingen van gebruikers te verminderen met behulp van een permanente cookie. Met dit beleid worden de Microsoft Entra-instellingen beheerd die worden beschreven in Meervoudige verificatie onthouden voor vertrouwde apparaten.

Helaas worden met deze instelling de beleidsinstellingen voor tokens gewijzigd waardoor de verbindingen elke 14 dagen verlopen. Dit is een van de veelvoorkomende redenen waarom verbindingen vaker mislukken nadat MFA is ingeschakeld. U wordt aangeraden deze instelling niet te gebruiken.

Effecten op de Power Automate-portal en ingesloten ervaringen

In deze sectie worden enkele van de nadelige effecten beschreven die voorwaardelijke toegang kan hebben voor gebruikers in uw organisatie die Power Automate gebruiken om verbinding te maken met Microsoft-services relevant voor een beleid.

Effect 1- Fout bij toekomstige uitvoeringen

Als u beleid voor voorwaardelijke toegang inschakelt nadat stromen en verbindingen zijn gemaakt, mislukken stromen in toekomstige uitvoeringen. Eigenaren van de verbindingen zien het volgende foutbericht in de Power Automate-portal wanneer ze de mislukte uitvoeringen onderzoeken:

AADSTS50076: Vanwege een configuratiewijziging die door uw beheerder is aangebracht of omdat u bent verplaatst naar een nieuwe locatie, moet u meervoudige verificatie gebruiken om toegang te krijgen tot de <service>.

Schermopname van de foutdetails, waaronder Tijd, Status, Fout, Foutdetails en hoe u dit kunt oplossen.

Wanneer gebruikers verbindingen in de Power Automate-portal bekijken, zien ze een foutbericht dat er ongeveer als volgt uitziet:

Schermopname van de fout Kan het toegangstoken niet vernieuwen voor servicegebruikers in de Power Automate-portal.

Om dit probleem op te lossen, moeten gebruikers zich aanmelden bij de Power Automate-portal onder voorwaarden die overeenkomen met het toegangsbeleid van de service waartoe ze toegang proberen te krijgen (zoals multi-factor, bedrijfsnetwerk, enzovoort) en vervolgens de verbinding herstellen of opnieuw maken.

Effect 2: fout bij automatisch maken van verbinding

Als gebruikers zich niet aanmelden bij Power Automate met behulp van criteria die overeenkomen met het beleid, mislukt het automatisch maken van verbindingen met Microsoft-services van derden die worden beheerd door het beleid voor voorwaardelijke toegang. Gebruikers moeten de verbindingen handmatig maken en verifiëren met behulp van criteria die overeenkomen met het beleid voor voorwaardelijke toegang van de service waartoe ze toegang proberen te krijgen. Dit gedrag is ook van toepassing op sjablonen met één klik die zijn gemaakt vanuit de Power Automate-portal.

Schermopname van de fout bij het automatisch maken van de verbinding met AADSTS50076.

Om dit probleem op te lossen, moeten gebruikers zich aanmelden bij de Power Automate-portal onder voorwaarden die overeenkomen met het toegangsbeleid van de service waartoe ze toegang proberen te krijgen (zoals multi-factor, bedrijfsnetwerk, enzovoort) voordat ze een sjabloon maken.

Effect 3: gebruikers kunnen geen verbinding rechtstreeks maken

Als gebruikers zich niet aanmelden bij Power Automate met behulp van criteria die overeenkomen met het beleid, kunnen ze geen verbinding rechtstreeks maken via Power Apps of Flow. Gebruikers zien het volgende foutbericht wanneer ze een verbinding proberen te maken:

AADSTS50076: Vanwege een configuratiewijziging die door uw beheerder is aangebracht of omdat u bent verplaatst naar een nieuwe locatie, moet u meervoudige verificatie gebruiken om toegang te krijgen tot de <service>.

Schermopname van de fout AADSTS50076 bij het maken van een verbinding.

Om dit probleem op te lossen, moeten gebruikers zich aanmelden onder voorwaarden die overeenkomen met het toegangsbeleid van de service waartoe ze toegang proberen te krijgen en vervolgens de verbinding opnieuw maken.

Effect 4: personen en e-mailkiezers in de Power Automate-portal mislukken

Als Exchange Online- of SharePoint-toegang wordt beheerd door beleid voor voorwaardelijke toegang en als gebruikers zich niet aanmelden bij Power Automate onder hetzelfde beleid, mislukken personen en e-mailkiezers in de Power Automate-portal. Gebruikers kunnen geen volledige resultaten krijgen voor groepen in hun organisatie wanneer ze de volgende query's uitvoeren (Office 365-groepen worden niet geretourneerd voor deze query's):

  • Eigendom delen of machtigingen voor alleen uitvoeren voor een stroom
  • E-mailadressen selecteren bij het bouwen van een stroom in de ontwerpfunctie
  • Personen selecteren in het deelvenster Stroomuitvoeringen wanneer u invoer voor een stroom selecteert

Effect 5: Power Automate-functies gebruiken die zijn ingesloten in andere Microsoft-services

Wanneer een stroom is ingesloten in Microsoft-services zoals SharePoint, Power Apps, Excel en Teams, zijn de Power Automate-gebruikers ook onderworpen aan voorwaardelijke toegang en multi-factor-beleid op basis van hoe ze zijn geverifieerd bij de hostservice. Als een gebruiker zich bijvoorbeeld aanmeldt bij SharePoint met behulp van eenmalige verificatie, maar probeert een stroom te maken of te gebruiken waarvoor meervoudige toegang tot Microsoft Graph is vereist, ontvangt de gebruiker een foutbericht.

Effect 6: stromen delen met behulp van SharePoint-lijsten en -bibliotheken

Wanneer u probeert eigendom te delen of alleen-uitvoeren machtigingen te gebruiken met sharePoint-lijsten en -bibliotheken, kan Power Automate de weergavenaam van de lijsten niet opgeven. In plaats daarvan wordt de unieke id van een lijst weergegeven. De eigenaar- en alleen-uitvoerentegels op de pagina met stroomdetails voor al gedeelde stromen kunnen de id weergeven, maar niet de weergavenaam.

Belangrijker is dat gebruikers hun stromen mogelijk niet kunnen detecteren of uitvoeren vanuit SharePoint. Dit komt doordat de beleidsinformatie voor voorwaardelijke toegang momenteel niet wordt doorgegeven tussen Power Automate en SharePoint, zodat SharePoint een beslissing kan nemen over toegang.

Schermopname van het delen van stromen met SharePoint-lijsten en -bibliotheken.

Schermopname van de site-URL en de lijst-id-eigenaren kunnen zien.

Effect 7: Het maken van out-of-box-stromen van SharePoint

Gerelateerd aan effect 6, kan het maken en uitvoeren van Out-Of-Box-stromen van SharePoint, zoals de goedkeuringsstromen voor aanvragen en goedkeuring van pagina's, worden geblokkeerd door beleid voor voorwaardelijke toegang. Toegang tot SharePoint- en OneDrive-gegevens beheren op basis van de netwerklocatie geeft aan dat dit beleid toegangsproblemen kan veroorzaken die van invloed zijn op apps van zowel derden als apps van derden.

Dit scenario is zowel van toepassing op de netwerklocatie als op beleid voor voorwaardelijke toegang (zoals Niet-beheerde apparaten weigeren). Ondersteuning voor het maken van Out-Of-Box-stromen van SharePoint is momenteel in ontwikkeling. We plaatsen meer informatie in dit artikel wanneer deze ondersteuning beschikbaar is.

In de tussentijd adviseren we gebruikers om vergelijkbare stromen zelf te maken en deze stromen handmatig te delen met de gewenste gebruikers, of om beleid voor voorwaardelijke toegang uit te schakelen als deze functionaliteit is vereist.