通过

Microsoft Power Automate 中的条件访问和多重身份验证的建议(流)

  • 项目

条件访问 是 Microsoft Entra ID 的一项功能,可用于控制用户访问应用程序和服务的方式和时间。 尽管其有用性,但应注意,使用条件访问可能会对组织中使用 Microsoft Power Automate (Flow) 连接到与条件访问策略相关的Microsoft 服务的用户产生负面影响或意外影响。

适用于: Power Automate
原始 KB 数: 4467879

建议

  • 不要对受信任的设备使用多重身份验证,因为令牌生存期会缩短,并导致连接需要按配置的时间间隔进行刷新,而不是以标准延长的长度进行刷新。
  • 若要避免策略冲突错误,请确保登录到 Power Automate 的用户使用与流使用的连接策略匹配的条件。

详细信息

条件访问策略通过Azure 门户进行管理,可能有多个要求,包括(但不限于)以下要求:

  • 用户必须使用多重身份验证(MFA)(通常是密码加生物识别或其他设备)登录才能访问部分或所有云服务。
  • 用户只能从公司网络访问部分或所有云服务,而不能从其家庭网络访问。
  • 用户可能仅使用已批准的设备或客户端应用程序来访问部分或所有云服务。

以下屏幕截图显示了一个 MFA 策略示例,该示例要求特定用户在访问 Azure 管理门户时执行 MFA。

屏幕截图显示了访问 Azure 管理门户时需要特定用户的 M F A 的示例。

还可以从Azure 门户打开 MFA 配置。 为此,请选择Microsoft Entra ID>用户和组>所有用户>多重身份验证,然后使用“服务设置”选项卡配置策略。

屏幕截图显示了从Azure 门户打开 M F A 配置的步骤。

还可以从Microsoft 365 管理中心配置 MFA。 Office 365 订阅者可以使用一部分Microsoft Entra 多重身份验证功能。 有关如何启用 MFA 的详细信息,请参阅 为 Office 365 用户设置多重身份验证。

屏幕截图显示可以从Microsoft 365 管理中心配置 M F A。

记住多重身份验证选项详细信息的屏幕截图。

记住 的多重身份验证 设置可以帮助你通过使用持久性 Cookie 减少用户登录次数。 此策略控制在“记住受信任设备的多重身份验证”中记录的Microsoft Entra 设置。

遗憾的是,此设置会更改使连接每 14 天过期的令牌策略设置。 这是启用 MFA 后连接更频繁失败的常见原因之一。 建议不要使用此设置。

对 Power Automate 门户和嵌入式体验的影响

本部分详细介绍了条件访问对组织中使用 Power Automate 连接到与策略相关的Microsoft 服务的用户可能产生的一些负面影响。

效果 1 - 未来运行失败

如果在创建流和连接后启用条件访问策略,则将来运行的流会失败。 连接所有者在调查失败的运行时,会在 Power Automate 门户中看到以下错误消息:

AADSTS50076:由于管理员进行了配置更改,或者由于已移动到新位置,必须使用多重身份验证来访问 <服务>。

错误详细信息的屏幕截图,包括时间、状态、错误、错误详细信息以及如何修复。

当用户在 Power Automate 门户中查看连接时,他们会看到如下所示的错误消息:

Power Automate 门户中显示“未能刷新服务用户访问令牌”的错误屏幕截图。

若要解决此问题,用户必须在尝试访问的服务的访问策略(如多重、企业网络等)的情况下登录到 Power Automate 门户,然后修复或重新创建连接。

效果 2 - 自动连接创建失败

如果用户未使用与策略匹配的条件登录到 Power Automate,则与由条件访问策略控制的第一方Microsoft 服务的自动连接创建失败。 用户必须使用与尝试访问的服务的条件访问策略匹配的条件手动创建和验证连接。 此行为也适用于从 Power Automate 门户创建的 1 键式模板。

AADSTS50076自动连接创建错误的屏幕截图。

若要解决此问题,用户必须在与尝试访问的服务的访问策略(如多重、企业网络等)匹配的情况下登录到 Power Automate 门户,然后才能创建模板。

效果 3 - 用户无法直接创建连接

如果用户未使用与策略匹配的条件登录到 Power Automate,则他们无法直接通过 Power Apps 或 Flow 创建连接。 用户在尝试创建连接时看到以下错误消息:

AADSTS50076:由于管理员进行了配置更改,或者由于已移动到新位置,必须使用多重身份验证来访问 <服务>。

尝试创建连接时AADSTS50076错误的屏幕截图。

若要解决此问题,用户必须在与尝试访问的服务的访问策略匹配的条件下登录,然后重新创建连接。

效果 4 - Power Automate 门户上的人员和电子邮件选取器失败

如果 Exchange Online 或 SharePoint 访问受条件访问策略控制,并且如果用户未在同一策略下登录到 Power Automate,Power Automate 门户上的人员和电子邮件选取器将失败。 执行以下查询时,用户无法获取组织中组的完整结果(不会为这些查询返回 Office 365 组):

  • 尝试共享流所有权或仅运行权限
  • 在设计器中生成流时选择电子邮件地址
  • 在选择流输入时在 “流运行” 面板中选择人员

效果 5 - 使用嵌入在其他Microsoft 服务中的 Power Automate 功能

当流嵌入到 Microsoft 服务(如 SharePoint、Power Apps、Excel 和 Teams)中时,Power Automate 用户也会受到条件访问和多重策略的约束,具体取决于他们如何向主机服务进行身份验证。 例如,如果用户使用单因素身份验证登录到 SharePoint,但尝试创建或使用需要对 Microsoft Graph 进行多重访问的流,则用户会收到错误消息。

效果 6 - 使用 SharePoint 列表和库共享流

尝试使用 SharePoint 列表和库共享所有权或仅运行权限时,Power Automate 无法提供列表的显示名称。 而是显示列表的唯一标识符。 已共享流的流详细信息页上的所有者和仅运行磁贴能够显示标识符,但不能显示名称。

更重要的是,用户可能无法从 SharePoint 发现或运行其流。 这是因为,目前,条件访问策略信息不会在 Power Automate 和 SharePoint 之间传递,以使 SharePoint 能够做出访问决策。

使用 SharePoint 列表和库共享流的屏幕截图。

屏幕截图显示站点 U R L 和列表 ID 所有者可以看到。

效果 7 - 创建 SharePoint 现装流

与效果 6 相关,条件访问策略可以阻止创建和执行现成的 SharePoint 流,例如 请求注销页面审批 流。 根据网络位置 控制对 SharePoint 和 OneDrive 数据的访问,表明这些策略可能导致影响第一方和第三方应用的访问问题。

此方案适用于网络位置和条件访问策略(例如禁止非托管设备)。 目前正在开发中支持创建 SharePoint 现装流。 当此支持可用时,我们将在本文中发布详细信息。

在此期间,我们建议用户自行创建类似的流,并手动与所需用户共享这些流,或禁用条件访问策略(如果需要此功能)。