Recomendaciones para el acceso condicional y la autenticación multifactor en Microsoft Power Automate (Flow)

  • Artículo

El acceso condicional es una característica de Microsoft Entra ID que permite controlar cómo y cuándo los usuarios pueden acceder a aplicaciones y servicios. A pesar de su utilidad, debe tener en cuenta que el uso del acceso condicional puede tener un efecto adverso o inesperado en los usuarios de su organización que usan Microsoft Power Automate (Flow) para conectarse a servicios de Microsoft que son relevantes para las directivas de acceso condicional.

Se aplica a: Power Automate
Número de KB original: 4467879

Recomendaciones

  • No use recordar la autenticación multifactor para dispositivos de confianza porque la duración del token se acortará y provocará que las conexiones requieran la actualización en el intervalo configurado en lugar de en la longitud extendida estándar.
  • Para evitar errores de conflicto de directivas, asegúrese de que los usuarios que inician sesión en Power Automate usan criterios que coinciden con las directivas de las conexiones que usa un flujo.

Detalles

Las directivas de acceso condicional se administran a través de la Azure Portal y pueden tener varios requisitos, entre los que se incluyen (entre otros) los siguientes:

  • Los usuarios deben iniciar sesión con la autenticación multifactor (MFA) (normalmente contraseña más biométrica u otro dispositivo) para acceder a algunos o todos los servicios en la nube.
  • Los usuarios pueden acceder a algunos o todos los servicios en la nube solo desde su red corporativa y no desde sus redes domésticas.
  • Los usuarios solo pueden usar dispositivos aprobados o aplicaciones cliente para acceder a algunos o todos los servicios en la nube.

En la captura de pantalla siguiente se muestra un ejemplo de directiva de MFA que requiere MFA para usuarios específicos cuando acceden al portal de administración de Azure.

Captura de pantalla que muestra un ejemplo que requiere M F A para los usuarios específicos al acceder al portal de administración de Azure.

También puede abrir la configuración de MFA desde el Azure Portal. Para ello, seleccione Microsoft Entra ID>Usuarios y grupos>Todos los usuarios>Multi-Factor Authentication y, a continuación, configure las directivas mediante la pestaña Configuración del servicio.

Captura de pantalla que muestra los pasos para abrir la configuración de M F A desde el Azure Portal.

MFA también se puede configurar desde Centro de administración de Microsoft 365. Hay disponible un subconjunto de funcionalidades de autenticación multifactor Microsoft Entra para Office 365 suscriptores. Para obtener más información sobre cómo habilitar MFA, consulte Configuración de la autenticación multifactor para Office 365 usuarios.

Captura de pantalla que muestra que M F A se puede configurar desde Centro de administración de Microsoft 365.

Captura de pantalla de los detalles de la opción recordar la autenticación multifactor.

La configuración recordar la autenticación multifactor puede ayudarle a reducir el número de inicios de sesión de usuario mediante una cookie persistente. Esta directiva controla la configuración de Microsoft Entra que se documenta en Recordar la autenticación multifactor para dispositivos de confianza.

Desafortunadamente, esta configuración cambia la configuración de la directiva de token que hace que las conexiones expiren cada 14 días. Esta es una de las razones comunes por las que las conexiones producen errores con más frecuencia después de habilitar MFA. Se recomienda no usar esta configuración.

Efectos en el portal de Power Automate y experiencias insertadas

En esta sección se detallan algunos de los efectos adversos que el acceso condicional puede tener en los usuarios de su organización que usan Power Automate para conectarse a los servicios de Microsoft pertinentes para una directiva.

Efecto 1: error en ejecuciones futuras

Si habilita una directiva de acceso condicional después de crear flujos y conexiones, se producirá un error en las ejecuciones futuras. Los propietarios de las conexiones verán el siguiente mensaje de error en el portal de Power Automate cuando investiguen las ejecuciones con errores:

AADSTS50076: debido a un cambio de configuración realizado por el administrador o porque se ha movido a una nueva ubicación, debe usar la autenticación multifactor para acceder <al servicio>.

Captura de pantalla de los detalles del error, incluidos Tiempo, Estado, Error, Detalles del error y cómo corregirlo.

Cuando los usuarios ven conexiones en el portal de Power Automate, ven un mensaje de error similar al siguiente:

Captura de pantalla del error No se pudo actualizar el token de acceso para los usuarios del servicio que se ve en el portal de Power Automate.

Para resolver este problema, los usuarios deben iniciar sesión en el portal de Power Automate en condiciones que coincidan con la directiva de acceso del servicio al que están intentando acceder (como multifactor, red corporativa, etc.) y, a continuación, reparar o volver a crear la conexión.

Efecto 2: error de creación automática de conexiones

Si los usuarios no inician sesión en Power Automate mediante criterios que coincidan con las directivas, se producirá un error en la creación automática de conexiones a servicios de Microsoft de primer nivel controlados por las directivas de acceso condicional. Los usuarios deben crear y autenticar manualmente las conexiones mediante criterios que coincidan con la directiva de acceso condicional del servicio al que intentan acceder. Este comportamiento también se aplica a las plantillas de 1 clic que se crean desde el portal de Power Automate.

Captura de pantalla del error de creación automática de conexiones con AADSTS50076.

Para resolver este problema, los usuarios deben iniciar sesión en el portal de Power Automate en condiciones que coincidan con la directiva de acceso del servicio al que intentan acceder (por ejemplo, multifactor, red corporativa, etc.) antes de crear una plantilla.

Efecto 3: los usuarios no pueden crear una conexión directamente

Si los usuarios no inician sesión en Power Automate mediante criterios que coincidan con las directivas, no podrán crear una conexión directamente, ya sea a través de Power Apps o Flow. Los usuarios ven el siguiente mensaje de error cuando intentan crear una conexión:

AADSTS50076: debido a un cambio de configuración realizado por el administrador o porque se ha movido a una nueva ubicación, debe usar la autenticación multifactor para acceder <al servicio>.

Captura de pantalla del error de AADSTS50076 al intentar crear una conexión.

Para resolver este problema, los usuarios deben iniciar sesión en condiciones que coincidan con la directiva de acceso del servicio al que están intentando acceder y, a continuación, volver a crear la conexión.

Efecto 4: error en los selectores de correo electrónico y Personas en el portal de Power Automate

Si el acceso a Exchange Online o SharePoint está controlado por una directiva de acceso condicional y si los usuarios no inician sesión en Power Automate en la misma directiva, se producirá un error en los selectores de personas y correo electrónico en el portal de Power Automate. Los usuarios no pueden obtener resultados completos para los grupos de su organización cuando realizan las siguientes consultas (Office 365 grupos no se devolverán para estas consultas):

  • Intentar compartir la propiedad o los permisos de solo ejecución en un flujo
  • Selección de direcciones de correo electrónico al compilar un flujo en el diseñador
  • Selección de personas en el panel Ejecuciones de flujo al seleccionar entradas para un flujo

Efecto 5: uso de características de Power Automate insertadas en otros servicios de Microsoft

Cuando se inserta un flujo en servicios de Microsoft como SharePoint, Power Apps, Excel y Teams, los usuarios de Power Automate también están sujetos a directivas de acceso condicional y multifactor en función de cómo se autenticaron en el servicio host. Por ejemplo, si un usuario inicia sesión en SharePoint mediante la autenticación de un solo factor, pero intenta crear o usar un flujo que requiere acceso multifactor a Microsoft Graph, el usuario recibe un mensaje de error.

Efecto 6: uso compartido de flujos mediante listas y bibliotecas de SharePoint

Al intentar compartir la propiedad o los permisos de solo ejecución mediante listas y bibliotecas de SharePoint, Power Automate no puede proporcionar el nombre para mostrar de las listas. En su lugar, muestra el identificador único de una lista. El propietario y los iconos de solo ejecución de la página de detalles del flujo para los flujos ya compartidos podrán mostrar el identificador, pero no el nombre para mostrar.

Lo que es más importante, es posible que los usuarios también no puedan detectar o ejecutar sus flujos desde SharePoint. Esto se debe a que, actualmente, la información de la directiva de acceso condicional no se pasa entre Power Automate y SharePoint para permitir que SharePoint tome una decisión de acceso.

Captura de pantalla para compartir flujos con listas y bibliotecas de SharePoint.

Captura de pantalla que muestra el sitio U R L y los propietarios de id. de lista pueden ver.

Efecto 7: creación de flujos integrados de SharePoint

En relación con el efecto 6, las directivas de acceso condicional pueden bloquear la creación y ejecución de flujos integrados de SharePoint, como los flujos de aprobación de solicitudes y aprobación de página. Controlar el acceso a los datos de SharePoint y OneDrive en función de la ubicación de red indica que estas directivas pueden causar problemas de acceso que afectan a aplicaciones de terceros y de terceros.

Este escenario se aplica tanto a la ubicación de red como a las directivas de acceso condicional (como No permitir dispositivos no administrados). La compatibilidad con la creación de flujos integrados de SharePoint está actualmente en desarrollo. Publicaremos más información en este artículo cuando esta compatibilidad esté disponible.

Entretanto, recomendamos a los usuarios que creen flujos similares y compartan manualmente estos flujos con los usuarios deseados, o que deshabiliten las directivas de acceso condicional si se requiere esta funcionalidad.