Compartilhar via

Recomendações para acesso condicional e autenticação multifator no Microsoft Power Automate (Flow)

  • Artigo

O Acesso Condicional é um recurso da ID do Microsoft Entra que permite controlar como e quando os usuários podem acessar aplicativos e serviços. Apesar de sua utilidade, você deve estar ciente de que o uso do acesso condicional pode ter um efeito adverso ou inesperado nos usuários em sua organização que usam o Microsoft Power Automate (Flow) para se conectar a serviços da Microsoft relevantes para políticas de acesso condicional.

Aplica-se a: Power Automate
Número original do KB: 4467879

Recomendações

  • Não use lembrar autenticação multifator para dispositivos confiáveis porque os tempos de vida do token serão reduzidos e farão com que as conexões exijam atualização no intervalo configurado, em vez de no comprimento estendido padrão.
  • Para evitar erros de conflito de política, certifique-se de que os usuários que entram no Power Automate usem critérios que correspondam às políticas para as conexões que um fluxo usa.

Detalhes

As políticas de acesso condicional são gerenciadas por meio do portal do Azure e podem ter vários requisitos, incluindo (mas não se limitando a) o seguinte:

  • Os usuários devem entrar usando a autenticação multifator (MFA) (normalmente senha mais biometria ou outro dispositivo) para acessar alguns ou todos os serviços em nuvem.
  • Os usuários podem acessar alguns ou todos os serviços de nuvem somente de sua rede corporativa e não de suas redes domésticas.
  • Os usuários podem usar apenas dispositivos ou aplicativos cliente aprovados para acessar alguns ou todos os serviços de nuvem.

A captura de tela a seguir mostra um exemplo de política de MFA que requer MFA para usuários específicos quando eles acessam o portal de gerenciamento do Azure.

A captura de tela mostra um exemplo que requer MFA para os usuários específicos ao acessar o Portal de Gerenciamento do Azure.

Você também pode abrir a configuração de MFA no portal do Azure. Para fazer isso, selecione Usuários e grupos>da ID>do Microsoft Entra Autenticação Multifator de Todos os usuários>e configure políticas usando a guia de configurações do serviço.

A captura de tela mostra as etapas para abrir a configuração MFA no portal do Azure.

A MFA também pode ser configurada no Centro de administração do Microsoft 365. Um subconjunto de recursos de autenticação multifator do Microsoft Entra está disponível para assinantes do Office 365. Para obter mais informações sobre como habilitar a MFA, consulte Configurar a autenticação multifator para usuários do Office 365.

A captura de tela mostra que o MFA pode ser configurado no Centro de administração do Microsoft 365.

Captura de tela dos detalhes da opção lembrar autenticação multifator.

A configuração lembrar autenticação multifator pode ajudá-lo a reduzir o número de logons de usuário usando um cookie persistente. Essa política controla as configurações do Microsoft Entra documentadas em Lembrar autenticação multifator para dispositivos confiáveis.

Infelizmente, essa configuração altera as configurações de política de token que fazem com que as conexões expirem a cada 14 dias. Esse é um dos motivos comuns pelos quais as conexões falham com mais frequência depois que a MFA é habilitada. Recomendamos que você não use essa configuração.

Efeitos no portal do Power Automate e nas experiências inseridas

Esta seção detalha alguns dos efeitos adversos que o acesso condicional pode ter sobre os usuários em sua organização que usam o Power Automate para se conectar aos serviços da Microsoft relevantes para uma política.

Efeito 1 - Falha em execuções futuras

Se você habilitar uma política de acesso condicional depois que os fluxos e conexões forem criados, os fluxos falharão em execuções futuras. Os proprietários das conexões verão a seguinte mensagem de erro no portal do Power Automate quando investigarem as execuções com falha:

AADSTS50076: Devido a uma alteração de configuração feita pelo administrador ou porque você se mudou para um novo local, você deve usar a autenticação multifator para acessar <o serviço>.

Captura de tela dos detalhes do erro, incluindo hora, status, erro, detalhes do erro e como corrigir.

Quando os usuários exibem conexões no portal do Power Automate, eles veem uma mensagem de erro semelhante à seguinte:

Captura de tela do erro Falha ao atualizar o token de acesso para usuários do serviço, consulte no portal do Power Automate.

Para resolver esse problema, os usuários devem entrar no portal do Power Automate em condições que correspondam à política de acesso do serviço que estão tentando acessar (como multifator, rede corporativa e assim por diante) e, em seguida, reparar ou recriar a conexão.

Efeito 2 - Falha na criação automática de conexão

Se os usuários não entrarem no Power Automate usando critérios que correspondam às políticas, a criação automática de conexão com serviços primários da Microsoft controlados pelas políticas de acesso condicional falhará. Os usuários devem criar e autenticar manualmente as conexões usando critérios que correspondam à política de acesso condicional do serviço que eles tentam acessar. Esse comportamento também se aplica a modelos de 1 clique criados no portal do Power Automate.

Captura de tela do erro de criação automática de conexão com AADSTS50076.

Para resolver esse problema, os usuários devem entrar no portal do Power Automate em condições que correspondam à política de acesso do serviço que tentam acessar (como multifator, rede corporativa e assim por diante) antes de criar um modelo.

Efeito 3 - Os usuários não podem criar uma conexão diretamente

Se os usuários não entrarem no Power Automate usando critérios que correspondam às políticas, eles não poderão criar uma conexão diretamente, seja por meio do Power Apps ou do Flow. Os usuários veem a seguinte mensagem de erro quando tentam criar uma conexão:

AADSTS50076: Devido a uma alteração de configuração feita pelo administrador ou porque você se mudou para um novo local, você deve usar a autenticação multifator para acessar <o serviço>.

Captura de tela do erro AADSTS50076 ao tentar criar uma conexão.

Para resolver esse problema, os usuários devem entrar em condições que correspondam à política de acesso do serviço que estão tentando acessar e, em seguida, recriar a conexão.

Efeito 4 - Pessoas e seletores de email no portal do Power Automate falham

Se o acesso ao Exchange Online ou ao SharePoint for controlado por uma política de acesso condicional e se os usuários não entrarem no Power Automate sob a mesma política, as pessoas e os seletores de email no portal do Power Automate falharão. Os usuários não podem obter resultados completos para grupos em sua organização quando executam as seguintes consultas (os grupos do Office 365 não serão retornados para essas consultas):

  • Tentando compartilhar permissões de propriedade ou somente execução com um fluxo
  • Selecionando endereços de email ao criar um fluxo no designer
  • Seleção de pessoas no painel Execuções de fluxo ao selecionar entradas para um fluxo

Efeito 5 – Usando recursos do Power Automate inseridos em outros serviços da Microsoft

Quando um fluxo é inserido em serviços da Microsoft, como SharePoint, Power Apps, Excel e Teams, os usuários do Power Automate também estão sujeitos a políticas de acesso condicional e multifator com base em como eles se autenticaram no serviço de host. Por exemplo, se um usuário entrar no SharePoint usando a autenticação de fator único, mas tentar criar ou usar um fluxo que exija acesso multifator ao Microsoft Graph, o usuário receberá uma mensagem de erro.

Efeito 6 – Compartilhamento de fluxos usando listas e bibliotecas do SharePoint

Quando você tenta compartilhar a propriedade ou permissões somente execução usando listas e bibliotecas do SharePoint, o Power Automate não pode fornecer o nome de exibição das listas. Em vez disso, ele exibe o identificador exclusivo de uma lista. Os blocos proprietário e somente execução na página de detalhes do fluxo para fluxos já compartilhados poderão exibir o identificador, mas não o nome de exibição.

Mais importante, os usuários também podem não conseguir descobrir ou executar seus fluxos do SharePoint. Isso ocorre porque, atualmente, as informações da política de acesso condicional não são passadas entre o Power Automate e o SharePoint para permitir que o SharePoint tome uma decisão de acesso.

Captura de tela para compartilhar fluxos com listas e bibliotecas do SharePoint.

A captura de tela mostra o site U R L e o ID da lista que os proprietários podem ver.

Efeito 7 - Criação de fluxos prontos para uso do SharePoint

Relacionado ao Efeito 6, a criação e a execução de fluxos prontos para uso do SharePoint, como os fluxos de Aprovação de Solicitação e Aprovação de Página , podem ser bloqueadas por políticas de acesso condicional. O controle de acesso aos dados do SharePoint e do OneDrive com base no local da rede indica que essas políticas podem causar problemas de acesso que afetam aplicativos próprios e de terceiros.

Esse cenário se aplica ao local de rede e às políticas de acesso condicional (como Não permitir Dispositivos Não Gerenciados). O suporte para a criação de fluxos prontos para uso do SharePoint está atualmente em desenvolvimento. Publicaremos mais informações neste artigo quando esse suporte estiver disponível.

Nesse ínterim, aconselhamos os usuários a criar fluxos semelhantes e compartilhar manualmente esses fluxos com os usuários desejados ou desabilitar políticas de acesso condicional se essa funcionalidade for necessária.