共用方式為

Microsoft Power Automate 中條件式存取和多重要素驗證的建議 (Flow)

  • 發行項

條件式存取 是一項Microsoft Entra識別符的功能,可讓您控制使用者存取應用程式和服務的方式和時機。 儘管其有用性,但您應該知道使用條件式存取可能會對組織中使用 Microsoft Power Automate (Flow) 的用戶產生不良或非預期的影響,以連線到與條件式存取原則相關的 Microsoft 服務。

適用於: Power Automate
原始 KB 編號: 4467879

建議

  • 請勿對受信任的裝置使用多重要素驗證,因為令牌存留期會縮短,並導致聯機需要在設定的間隔進行重新整理,而不是以標準延伸長度進行重新整理。
  • 若要避免原則衝突錯誤,請確定登入 Power Automate 的使用者會使用符合流程所使用之聯機原則的準則。

詳細資料

條件式存取原則是透過 Azure 入口網站 進行管理,而且可能有數個需求,包括(但不限於)下列各項:

  • 用戶必須使用 多重要素驗證登入(MFA) (通常是密碼加上生物特徵辨識或其他裝置),才能存取部分或所有雲端服務。
  • 使用者只能從公司網路存取部分或所有雲端服務,而不是從其主網路存取。
  • 使用者只能使用核准的裝置或用戶端應用程式來存取部分或所有雲端服務。

下列螢幕快照顯示存取 Azure 管理入口網站時需要特定使用者的 MFA 原則範例。

此螢幕快照顯示存取 Azure 管理入口網站時需要特定使用者的 M F A 範例。

您也可以從 Azure 入口網站 開啟 MFA 組態。 若要這樣做,請選取 [Microsoft Entra ID>使用者和群組>[所有使用者>Multi-Factor Authentication],然後使用 [服務設定] 索引卷標來設定原則。

螢幕快照顯示從 Azure 入口網站 開啟 M F A 設定的步驟。

您也可以從 Microsoft 365 系統管理中心 設定 MFA。 Microsoft Entra 多重要素驗證功能的子集可供 Office 365 訂閱者使用。 如需如何啟用 MFA 的詳細資訊,請參閱 設定 Office 365 使用者的多重要素驗證。

螢幕快照顯示可從 Microsoft 365 系統管理中心 設定 M F A。

記住多重要素驗證選項詳細數據的螢幕快照。

記住多重要素驗證設定可協助您減少使用持續性Cookie的使用者登入次數。 此原則會控制記錄在 [記住受信任裝置多重要素驗證] 中記錄的 Microsoft Entra 設定。

不幸的是,此設定會變更讓連線每 14 天到期的令牌原則設定。 這是啟用 MFA 之後,連線更頻繁失敗的常見原因之一。 我們建議您不要使用此設定。

Power Automate 入口網站和內嵌體驗的影響

本節詳述條件式存取對組織中使用 Power Automate 連線到與原則相關的 Microsoft 服務 使用者可能會有的一些負面影響。

效果 1 - 未來執行失敗

如果您在建立流程和連線之後啟用條件式存取原則,則未來執行流程會失敗。 線上的擁有者會在調查失敗的執行時,在Power Automate入口網站中看到下列錯誤訊息:

AADSTS50076:由於系統管理員所做的設定變更,或因為您移至新位置,您必須使用多重要素驗證來存取 <服務>。

錯誤詳細數據的螢幕快照,包括時間、狀態、錯誤、錯誤詳細數據,以及如何修正。

當使用者在Power Automate入口網站上檢視連線時,他們會看到類似下列的錯誤訊息:

[無法重新整理服務使用者的存取令牌] 錯誤螢幕快照,請參閱 Power Automate 入口網站。

若要解決此問題,用戶必須在符合他們嘗試存取之服務存取原則的條件下登入 Power Automate 入口網站(例如多重要素、公司網路等),然後修復或重新建立連線。

效果 2 - 自動建立連線失敗

如果使用者未使用符合原則的準則登入 Power Automate,則自動建立連線到受條件式存取原則控制的第一方 Microsoft 服務 失敗。 用戶必須使用符合其嘗試存取之服務條件式存取原則的準則,手動建立和驗證連線。 此行為也適用於從 Power Automate 入口網站建立的 1 鍵範本。

使用 AADSTS50076 自動建立連線錯誤的螢幕快照。

若要解決此問題,用戶必須在符合他們嘗試存取的服務存取原則的條件下登入 Power Automate 入口網站(例如多重要素、公司網路等),才能建立範本。

效果 3 - 用戶無法直接建立連線

如果使用者未使用符合原則的準則登入 Power Automate,他們就無法透過 Power Apps 或 Flow 直接建立連線。 當使用者嘗試建立連線時,會看到下列錯誤訊息:

AADSTS50076:由於系統管理員所做的設定變更,或因為您移至新位置,您必須使用多重要素驗證來存取 <服務>。

嘗試建立連線時AADSTS50076錯誤的螢幕快照。

若要解決此問題,用戶必須在符合他們嘗試存取之服務存取原則的條件下登入,然後重新建立連線。

效果 4 - Power Automate 入口網站上的人員與電子郵件選擇器失敗

如果 Exchange Online 或 SharePoint 存取是由條件式存取原則所控制,而且如果使用者未以相同的原則登入 Power Automate,Power Automate 入口網站上的人員和電子郵件選擇器就會失敗。 當使用者執行下列查詢時,無法取得組織中群組的完整結果(這些查詢不會傳回 Office 365 群組):

  • 嘗試共用流程的擁有權或僅限執行許可權
  • 在設計工具中建置流程時選取電子郵件位址
  • 在選取流程輸入時,選取 [流程執行] 面板中的人員

效果 5 - 使用內嵌在其他 Microsoft 服務 中的 Power Automate 功能

當流程內嵌在 SharePoint、Power Apps、Excel 和 Teams 等 Microsoft 服務 時,Power Automate 使用者也會受限於條件式存取和多重要素原則,視他們向主機服務驗證的方式而定。 例如,如果使用者使用單一要素驗證登入 SharePoint,但嘗試建立或使用需要多重要素存取Microsoft Graph 的流程,使用者會收到錯誤訊息。

效果 6 - 使用 SharePoint 清單和文檔庫共用流程

當您嘗試使用 SharePoint 清單和文檔庫共用擁有權或僅限執行許可權時,Power Automate 無法提供清單的顯示名稱。 相反地,它會顯示清單的唯一標識符。 已共用流程之流程詳細數據頁面上的擁有者和僅限執行磚將能夠顯示標識元,但無法顯示名稱。

更重要的是,使用者可能無法從 SharePoint 探索或執行其流程。 這是因為目前,Power Automate 與 SharePoint 之間不會傳遞條件式存取原則資訊,讓 SharePoint 做出存取決策。

使用 SharePoint 清單和文檔庫共用流程的螢幕快照。

顯示網站U R L和清單標識碼擁有者可以看到的螢幕快照。

效果 7 - 建立 SharePoint 現用流程

與效果 6 相關,您可以透過條件式存取原則封鎖 SharePoint 現成流程的建立和執行,例如 要求註銷頁面核准 流程。 根據網路位置 控制對 SharePoint 和 OneDrive 數據的存取,表示這些原則可能會導致影響第一方和第三方應用程式的存取問題。

此案例同時適用於網路位置和條件式存取原則(例如不允許非受控裝置)。 目前開發中支援建立 SharePoint 現用流程。 當此支援可供使用時,我們會在此文章中張貼詳細資訊。

在過渡期間,我們建議使用者自行建立類似的流程,並手動與所需的使用者共用這些流程,或在必要時停用條件式存取原則。