Udostępnij za pośrednictwem

Zalecenia dotyczące dostępu warunkowego i uwierzytelniania wieloskładnikowego w usłudze Microsoft Power Automate (Flow)

  • Artykuł

Dostęp warunkowy to funkcja identyfikatora Entra firmy Microsoft, która pozwala kontrolować, jak i kiedy użytkownicy mogą uzyskiwać dostęp do aplikacji i usług. Pomimo jego przydatności należy pamiętać, że korzystanie z dostępu warunkowego może mieć negatywny lub nieoczekiwany wpływ na użytkowników w organizacji, którzy używają usługi Microsoft Power Automate (Flow) do łączenia się z usługi firmy Microsoft, które są istotne dla zasad dostępu warunkowego.

Dotyczy: Power Automate
Oryginalny numer KB: 4467879

Zalecenia

  • Nie należy pamiętać uwierzytelniania wieloskładnikowego dla zaufanych urządzeń , ponieważ okresy istnienia tokenu skracają się i powodują, że połączenia wymagają odświeżania w skonfigurowanym interwale, a nie o standardowej długości rozszerzonej.
  • Aby uniknąć błędów konfliktów zasad, upewnij się, że użytkownicy logujący się do usługi Power Automate używają kryteriów spełniających zasady dla połączeń używanych przez przepływ.

Szczegóły

Zasady dostępu warunkowego są zarządzane za pośrednictwem witryny Azure Portal i mogą mieć kilka wymagań, w tym (ale nie tylko):

  • Użytkownicy muszą zalogować się przy użyciu uwierzytelniania wieloskładnikowego (MFA) (zazwyczaj hasła oraz urządzenia biometrycznego lub innego), aby uzyskać dostęp do niektórych lub wszystkich usług w chmurze.
  • Użytkownicy mogą uzyskiwać dostęp do niektórych lub wszystkich usług w chmurze tylko z sieci firmowej, a nie z sieci domowych.
  • Użytkownicy mogą używać tylko zatwierdzonych urządzeń lub aplikacji klienckich do uzyskiwania dostępu do niektórych lub wszystkich usług w chmurze.

Poniższy zrzut ekranu przedstawia przykład zasad uwierzytelniania wieloskładnikowego, który wymaga uwierzytelniania wieloskładnikowego dla określonych użytkowników podczas uzyskiwania dostępu do portalu zarządzania platformy Azure.

Zrzut ekranu przedstawia przykład, który wymaga języka M F A dla określonych użytkowników podczas uzyskiwania dostępu do portalu zarządzania Azure.

Konfigurację usługi MFA można również otworzyć w witrynie Azure Portal. W tym celu wybierz pozycję Użytkownicy i grupy>Microsoft Entra ID>Wszyscy użytkownicy>Multi-Factor Authentication, a następnie skonfiguruj zasady przy użyciu karty Ustawienia usługi.

Zrzut ekranu przedstawia kroki otwierania konfiguracji usługi M F A w witrynie Azure Portal.

Uwierzytelnianie wieloskładnikowe można również skonfigurować z poziomu Centrum administracyjne platformy Microsoft 365. Podzbiór możliwości uwierzytelniania wieloskładnikowego firmy Microsoft jest dostępny dla subskrybentów usługi Office 365. Aby uzyskać więcej informacji na temat włączania uwierzytelniania wieloskładnikowego, zobacz Konfigurowanie uwierzytelniania wieloskładnikowego dla użytkowników usługi Office 365.

Zrzut ekranu przedstawia, że można skonfigurować usługę M F A z Centrum administracyjne platformy Microsoft 365.

Zrzut ekranu przedstawiający szczegóły opcji zapamiętania uwierzytelniania wieloskładnikowego.

Ustawienie zapamiętania uwierzytelniania wieloskładnikowego może pomóc zmniejszyć liczbę logowania użytkowników przy użyciu trwałego pliku cookie. Te zasady sterują ustawieniami firmy Microsoft Entra opisanymi w artykule Zapamiętaj uwierzytelnianie wieloskładnikowe dla zaufanych urządzeń.

Niestety to ustawienie zmienia ustawienia zasad tokenu, które sprawiają, że połączenia wygasają co 14 dni. Jest to jeden z typowych powodów, dla których połączenia kończą się niepowodzeniem częściej po włączeniu uwierzytelniania wieloskładnikowego. Zalecamy, aby nie używać tego ustawienia.

Wpływ na portal usługi Power Automate i środowiska osadzone

Ta sekcja zawiera szczegółowe informacje o niektórych negatywnych skutkach, jakie może mieć dostęp warunkowy dla użytkowników w organizacji, którzy używają usługi Power Automate do nawiązywania połączenia z usługi firmy Microsoft odpowiednich dla zasad.

Efekt 1 — niepowodzenie w przyszłych przebiegach

Jeśli włączysz zasady dostępu warunkowego po utworzeniu przepływów i połączeń, przepływy kończą się niepowodzeniem w przyszłych uruchomieniach. Właściciele połączeń zobaczą następujący komunikat o błędzie w portalu usługi Power Automate podczas badania przebiegów, które zakończyły się niepowodzeniem:

AADSTS50076: ze względu na zmianę konfiguracji wprowadzoną przez administratora lub z powodu przeniesienia do nowej lokalizacji należy użyć uwierzytelniania wieloskładnikowego w celu uzyskania dostępu <do usługi>.

Zrzut ekranu przedstawiający szczegóły błędu, w tym czas, stan, błąd, szczegóły błędu i sposób naprawy.

Gdy użytkownicy wyświetlają połączenia w portalu usługi Power Automate, widzą komunikat o błędzie podobny do następującego:

Zrzut ekranu przedstawiający błąd Nie można odświeżyć tokenu dostępu dla użytkowników usługi widocznych w portalu usługi Power Automate.

Aby rozwiązać ten problem, użytkownicy muszą zalogować się do portalu usługi Power Automate w warunkach odpowiadających zasadom dostępu usługi, do której próbuje uzyskać dostęp (na przykład wieloskładnikowym, sieci firmowej itd.), a następnie naprawić lub ponownie utworzyć połączenie.

Efekt 2 — niepowodzenie automatycznego tworzenia połączenia

Jeśli użytkownicy nie logują się do usługi Power Automate przy użyciu kryteriów spełniających zasady, automatyczne tworzenie połączenia z usługi firmy Microsoft, które są kontrolowane przez zasady dostępu warunkowego, kończą się niepowodzeniem. Użytkownicy muszą ręcznie tworzyć i uwierzytelniać połączenia przy użyciu kryteriów spełniających zasady dostępu warunkowego usługi, do której próbują uzyskać dostęp. To zachowanie dotyczy również szablonów 1-kliknięć utworzonych w portalu usługi Power Automate.

Zrzut ekranu przedstawiający błąd automatycznego tworzenia połączenia z AADSTS50076.

Aby rozwiązać ten problem, użytkownicy muszą zalogować się do portalu usługi Power Automate w warunkach zgodnych z zasadami dostępu usługi, do której próbują uzyskać dostęp (np. wieloskładnikowy, sieć firmowa itd.), zanim utworzy szablon.

Efekt 3 — użytkownicy nie mogą bezpośrednio utworzyć połączenia

Jeśli użytkownicy nie logują się do usługi Power Automate przy użyciu kryteriów pasujących do zasad, nie będą mogli utworzyć połączenia bezpośrednio za pośrednictwem usługi Power Apps lub Flow. Podczas próby utworzenia połączenia użytkownicy zobaczą następujący komunikat o błędzie:

AADSTS50076: ze względu na zmianę konfiguracji wprowadzoną przez administratora lub z powodu przeniesienia do nowej lokalizacji należy użyć uwierzytelniania wieloskładnikowego w celu uzyskania dostępu <do usługi>.

Zrzut ekranu przedstawiający błąd AADSTS50076 podczas próby utworzenia połączenia.

Aby rozwiązać ten problem, użytkownicy muszą zalogować się zgodnie z zasadami dostępu usługi, do której próbuje uzyskać dostęp, a następnie ponownie utworzyć połączenie.

Efekt 4 — osoby i selektory wiadomości e-mail w portalu usługi Power Automate kończą się niepowodzeniem

Jeśli dostęp do usługi Exchange Online lub SharePoint jest kontrolowany przez zasady dostępu warunkowego, a użytkownicy nie logują się do usługi Power Automate w ramach tych samych zasad, użytkownicy i selektory poczty e-mail w portalu usługi Power Automate kończą się niepowodzeniem. Użytkownicy nie mogą uzyskać pełnych wyników dla grup w organizacji podczas wykonywania następujących zapytań (grupy usługi Office 365 nie zostaną zwrócone dla tych zapytań):

  • Próba współużytkowania własności lub uprawnień tylko do uruchamiania przepływu
  • Wybieranie adresów e-mail podczas tworzenia przepływu w projektancie
  • Wybieranie osób w panelu Przebiegi przepływu podczas wybierania danych wejściowych do przepływu

Efekt 5 — korzystanie z funkcji usługi Power Automate osadzonych w innych usługi firmy Microsoft

Gdy przepływ jest osadzony w usługi firmy Microsoft, takich jak SharePoint, Power Apps, Excel i Teams, użytkownicy usługi Power Automate podlegają również zasadom dostępu warunkowego i wieloskładnikowym na podstawie sposobu uwierzytelniania w usłudze hosta. Jeśli na przykład użytkownik loguje się do programu SharePoint przy użyciu uwierzytelniania jednoskładnikowego, ale próbuje utworzyć lub użyć przepływu wymagającego dostępu wieloskładnikowego do programu Microsoft Graph, użytkownik otrzymuje komunikat o błędzie.

Efekt 6 — udostępnianie przepływów przy użyciu list i bibliotek programu SharePoint

Podczas próby udostępnienia własności lub uprawnień tylko do uruchamiania przy użyciu list i bibliotek programu SharePoint usługa Power Automate nie może podać nazwy wyświetlanej list. Zamiast tego wyświetla unikatowy identyfikator listy. Kafelki właściciela i kafelki tylko do uruchamiania na stronie szczegółów przepływu dla już udostępnionych przepływów będą mogły wyświetlać identyfikator, ale nie nazwę wyświetlaną.

Co ważniejsze, użytkownicy mogą również nie być w stanie odnaleźć ani uruchomić swoich przepływów z programu SharePoint. Wynika to z faktu, że obecnie informacje o zasadach dostępu warunkowego nie są przekazywane między usługami Power Automate i SharePoint, aby umożliwić programowi SharePoint podjęcie decyzji o dostępie.

Zrzut ekranu przedstawiający udostępnianie przepływów listom i bibliotekom programu SharePoint.

Zrzut ekranu przedstawia witrynę U R L, a właściciele identyfikatorów listy mogą zobaczyć.

Efekt 7 — tworzenie wbudowanych przepływów programu SharePoint

Związane z efektem 6, tworzenie i wykonywanie przepływów gotowego do użycia programu SharePoint, takich jak przepływy żądania logowania i zatwierdzania strony, mogą być blokowane przez zasady dostępu warunkowego. Kontrola dostępu do danych programu SharePoint i usługi OneDrive w oparciu o lokalizację sieciową wskazuje, że te zasady mogą powodować problemy z dostępem, które mają wpływ zarówno na aplikacje innych firm, jak i aplikacje innych firm.

Ten scenariusz dotyczy zarówno lokalizacji sieciowej, jak i zasad dostępu warunkowego (takich jak Nie zezwalaj na urządzenia niezarządzane). Obsługa tworzenia wbudowanych przepływów programu SharePoint jest obecnie opracowywana. Jeśli ta pomoc techniczna stanie się dostępna, opublikujemy więcej informacji w tym artykule.

W międzyczasie zalecamy użytkownikom samodzielne tworzenie podobnych przepływów i ręczne udostępnianie tych przepływów żądanym użytkownikom lub wyłączenie zasad dostępu warunkowego, jeśli ta funkcja jest wymagana.