Recomendaciones para el acceso condicional y la autenticación multifactor en Microsoft Flow

Introducción

El acceso condicional es una característica de Azure Active Directory (Azure ad) que le permite controlar cómo y cuándo los usuarios pueden acceder a las aplicaciones y los servicios. A pesar de su utilidad, debe tener en cuenta que el uso de acceso condicional puede tener un efecto adverso o inesperado en los usuarios de su organización que usen el flujo de Microsoft para conectarse a los servicios de Microsoft que sean relevantes para las directivas de acceso condicional.

Resumen

Las directivas de acceso condicional se administran a través de Azure portal y pueden tener varios requisitos, entre los que se incluyen (entre otros) los siguientes:

  • Para obtener acceso a algunos o todos los servicios de nube, los usuarios deben iniciar sesión con la autenticación multifactor ( normalmente contraseña más la contraseña o un dispositivo biométrico).

  • Los usuarios pueden acceder a algunos o a todos los servicios en la nube solo desde la red corporativa y no desde las redes domésticas.

  • Los usuarios pueden usar únicamente dispositivos aprobados o aplicaciones cliente para acceder a algunos o a todos los servicios en la nube.

La siguiente captura de pantalla muestra un ejemplo de directiva MFA que requiere MFA para usuarios específicos al acceder al portal de administración de Azure.

Necesita autorización de varios factor para un usuario al acceso al portal de administración de Azure

También puede abrir la configuración de MFA desde Azure portal. Para ello, seleccione usuarios y grupos de Azure Active Directory > > todos los usuarios> la autenticación multifactory, a continuación, configure las directivas mediante la pestaña configuración del servicio .

Seleccione autenticación con varios factores en el portal de Azure MFA también se puede configurar desde el centro de administración de Microsoft 365. Un subconjunto de capacidades de Azure MFA está disponible para los suscriptores de Office 365. Para obtener más información sobre cómo habilitar MFA, consulte configurar la autenticación multifactor para usuarios de Office 365

Seleccione la autenticación multifactor Azure desde el centro de administración de Office 365

El recordar detalles de la opción de autenticación con varios factores

La configuración de autenticación de varios factores puede ayudarle a reducir el número de inicios de sesión de usuario mediante una cookie persistente. Esta directiva controla la configuración de Azure AD que se describe en recordar autenticación multifactor para dispositivos de confianza.

Lamentablemente, esta configuración cambia la configuración de la Directiva de tokens que hace que las conexiones de flujo expiren cada 14 días. Este es uno de los motivos más comunes por los que las conexiones de flujo producen errores más frecuentes después de habilitar MFA. Le recomendamos que no use esta configuración. En su lugar, puede lograr la misma funcionalidad utilizando la siguiente directiva de duración del token.

Se recomienda la configuración de vigencia del token después de habilitar MFA

El efecto negativo principal del acceso condicional en el flujo se debe a la configuración de la tabla siguiente. En la tabla se muestran los valores predeterminados para la configuración de duración del token. Le recomendamos que no cambie estos valores.

Configuración

Valor recomendado

Efecto sobre el flujo

MaxInactiveTime

90 días

Si una conexión de flujo está inactiva (no se usa en el flujo) durante más tiempo que este TimeSpan, cualquier nuevo flujo se ejecutará después de que se produzca un error en la fecha de expiración y devolverá el error siguiente:

AADSTS70008: el token de actualización ha expirado debido a inactividad. El token se emitió en el tiempo y estuvo inactivo para 90.00:00:00

MaxAgeMultiFactor

Hasta el revocado

Esta configuración controla el tiempo que son válidos los tokens de actualización multifactor (el tipo de tokens que se usan en las conexiones de flujo).

La configuración predeterminada significa que no hay ningún límite en cuanto a la frecuencia con la que se puede usar una conexión de flujo, a menos que un administrador de inquilinos revoque específicamente el acceso del usuario.

Establecer este valor en cualquier TimeSpan fijo significa que, después de esa duración (independientemente del uso o de la inactividad), una conexión de flujo deja de ser válida y se produce un error en el flujo. Cuando esto sucede, se genera el siguiente mensaje de error. Este error requiere que los usuarios reparen o vuelvan a crear la conexión:

AADSTS50076: debido a un cambio de configuración realizado por el administrador o porque se movió a una nueva ubicación, debe usar la autenticación multifactor para acceder a...

MaxAgeSingleFactor

Hasta el revocado

Esta configuración es igual que la configuración MaxAgeMultiFactor  , pero para los tokens de actualización de factor único.

MaxAgeSessionMultiFactor

Hasta el revocado

No hay ningún efecto directo en las conexiones de flujo. Esta configuración define la expiración de una sesión de usuario para las aplicaciones Web. Los administradores pueden cambiar esta configuración según la frecuencia con la que los usuarios inician sesión en las aplicaciones Web antes de que venza la sesión de usuario.

Algunos parámetros que se configuran como parte de la habilitación de varios factores pueden afectar a la conexión de flujo. Cuando MFA está habilitado en el centro de administración de Microsoft 365 y la opción recordar autenticación multifactor está seleccionada, el valor configurado invalida la configuración predeterminada de la Directiva de token, MaxAgeMultiFactor y MaxAgeSessionMultiFactor.Las conexiones de flujo comienzan a fallar cuando MaxAgeMultiFactor  vence y requiere que el usuario Use un inicio de sesión explícito para corregir las conexiones.

Le recomendamos que use la Directiva de token en lugar del parámetro recordar autenticación multifactorpara configurar valores diferentes para la configuración de MaxAgeMultiFactor y MaxAgeSessionMultiFactor . La Directiva de tokens permite que las conexiones de flujo continúen funcionando mientras se controla una sesión de inicio de usuario para las aplicaciones Web de Office 365. MaxAgeMultiFactor debe tener un período razonablemente más largo, idealmente, el valor hasta el que se ha revocado. Esto hace que las conexiones de flujo continúen funcionando hasta que el administrador anule el token de actualización. MaxAgeSessionMultiFactor afecta a un inicio de sesión de usuario. Los administradores de inquilinos pueden seleccionar el valor que desean, en función de la frecuencia con la que quieran que los usuarios inicien sesión en las aplicaciones Web de Office 365 antes de que venza la sesión.

Para ver las directivas de Active Directory de su organización, puede usar los siguientes comandos. Las duraciones del token configurables en Azure Active Directory (versión preliminar)documento proporciona instrucciones específicas para consultar y actualizar la configuración de su organización.

Ver directivas de vigencia de token existentes

Install-Module AzureADPreview
PS C:\WINDOWS\system32> Connect-AzureAD
PS C:\WINDOWS\system32> Get-AzureADPolicy

Ejecute los comandos de las secciones siguientes para crear una directiva o cambiar una existente en los siguientes escenarios:

  • La opción de configuración de autenticación multifactor está habilitada en el centro de administración de Microsoft 365.

  • Una directiva de vigencia de tokens existente se configura con un valor de expiración corto para la configuración MaxAgeMultiFactor .

Crear una nueva Directiva de duración del token

PS C:\WINDOWS\system32>  New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1,"MaxAgeMultiFactor":"until-revoked","MaxAgeSessionMultiFactor":"14.00:00:00"}}') -DisplayName "DefaultPolicyScenario" -IsOrganizationDefault $true -Type "TokenLifetimePolicy"

Cambiar una directiva de duración de token existente

Si ya existe una directiva de organización predeterminada, actualice y reemplace la configuración siguiendo estos pasos:

  1. Ejecute el siguiente comando para buscar el identificador de directiva que tiene el atributo IsOrganizationalDefault establecido en true:   get-azureadpolicy

  2. Ejecute el siguiente comando para actualizar la configuración de la Directiva de token:   PS > Set-AzureADPolicy -Id <PoliycId> -DisplayName "<PolicyName>" -Definition @('{"TokenLifetimePolicy":{"Version":1,"MaxAgeMultiFactor":"until-revoked","MaxAgeSessionMultiFactor":"14.00:00:00"}}}}')

    Nota Cualquier configuración adicional que esté configurada en la directiva original debe copiarse a este comando.

Después de configurar la Directiva, los administradores de inquilinos pueden desactivar la casillade verificación recordar autenticación multifactor porque la expiración de una sesión de usuario se configura mediante la Directiva de duración del token. La configuración de directiva de duración del token Asegúrese de que las conexiones de flujo siguen funcionando en las siguientes condiciones:

  • Las aplicaciones Web de Office 365 están configuradas para que venzan la sesión de usuario después de X días (14 días en el ejemplo del paso 2).

  • Las aplicaciones piden a los usuarios que inicien sesión de nuevo mediante MFA.

Más información

Efectos en el portal de flujo y experiencias integradas

En esta sección se detallan algunos de los efectos negativos que el acceso condicional puede tener en los usuarios de su organización que usan el flujo para conectarse a los servicios de Microsoft relevantes para una directiva.  

Efecto 1: error en futuras ejecuciones

Si habilita una directiva de acceso condicional después de crear los flujos y las conexiones, los flujos fracasarán en futuras ejecuciones. Los propietarios de las conexiones verán el siguiente mensaje de error en el portal de flujo al investigar las ejecuciones fallidas:

AADSTS50076: debido a un cambio de configuración realizado por el administrador o porque se movió a una nueva ubicación, debe usar la autenticación multifactor para acceder a <> de servicio .

Detalles del mensaje de error, incluyendo el tiempo, estado, Error, detalles del Error y cómo corregir Cuando los usuarios ven las conexiones en el portal de flujo, verán un mensaje de error similar al siguiente:

Estado que ven los usuarios en dicho flujo error al actualizar el token de acceso para el servicio

Para resolver este problema, los usuarios deben iniciar sesión en el portal de flujo en condiciones que coincidan con la Directiva de acceso del servicio al que están intentando tener acceso (como multifactor, red corporativa, etc.) y, a continuación, reparar o volver a crear la conexión.  

Efecto 2: error de creación automática de conexión

Si los usuarios no inician sesión en el flujo usando criterios que coincidan con las directivas, la creación de la conexión automática a los servicios de Microsoft de primera empresa que se controlan mediante las directivas de acceso condicional producen errores. Los usuarios deben crear y autenticar manualmente las conexiones mediante criterios que coincidan con la Directiva de acceso condicional del servicio al que intentan acceder. Este comportamiento también se aplica a las plantillas de 1 clic que se crean desde el portal de flujo.

Error de creación de la conexión automática con AADSTS50076

Para resolver este problema, los usuarios deben iniciar sesión en el portal de flujo en condiciones que coincidan con la Directiva de acceso del servicio al que intentan teneracceso (como multifactor, red corporativa, etc.) antes de crear una plantilla.  

Efecto 3: los usuarios no pueden crear una conexión directamente

Si los usuarios no inician sesión en el flujo usando criterios que coincidan con las directivas, no pueden crear una conexión directamente, ya sea a través de PowerApps o de flujo. Los usuarios ven el siguiente mensaje de error cuando intentan crear una conexión:

AADSTS50076: debido a un cambio de configuración realizado por el administrador o porque se movió a una nueva ubicación, debe usar la autenticación multifactor para acceder a <> de servicio .

AADSTS50076 error al intentar crear una conexión

Para resolver este problema, los usuarios deben iniciar sesión en condiciones que coincidan con la Directiva de acceso del servicio al que están intentando tener acceso y, a continuación, volver a crear la conexión.  

Efecto 4: fallan las personas y los selectores de correo electrónico en el portal de flujo

Si el acceso de Exchange online o SharePoint está controlado por una directiva de acceso condicional y los usuarios no inician sesión en el flujo en la misma directiva, se producirá un error en el portal de flujo. Los usuarios no pueden obtener resultados completos para los grupos de su organización cuando realizan las siguientes consultas (no se devolverán los grupos de Office 365 para estas consultas):

  • Intentando compartir la propiedad o los permisos solo de ejecución para un flujo

  • Selección de direcciones de correo electrónico al crear un flujo en el diseñador

  • Selección de personas en el panel ejecución de flujo al seleccionar las entradas de un flujo

Efecto 5: usar características de flujo insertadas en otros servicios de Microsoft

Cuando un flujo está incrustado en los servicios de Microsoft, como SharePoint, PowerApps, Excel y Teams, los usuarios de flujo también están sujetos a las directivas de acceso condicional y de factor múltiple según el modo en que se autentican en el servicio de hospedaje. Por ejemplo, si un usuario inicia sesión en SharePoint con la autenticación de factor único, pero intenta crear o usar un flujo que requiere acceso multifactor a Microsoft Graph, el usuario recibe un mensaje de error.  

Efecto 6: compartir flujos mediante bibliotecas y listas de SharePoint

Al intentar compartir la propiedad o los permisos de solo ejecución mediante las listas y bibliotecas de SharePoint, el flujo no puede proporcionar el nombre para mostrar de las listas. En su lugar, muestra el identificador único de una lista. Los mosaicos de propietario y de solo ejecución de la página de propiedades de flujo para los flujos ya compartidos podrán mostrar el identificador, no el nombre para mostrar.

Lo más importante es que los usuarios tampoco pueden descubrir ni ejecutar sus flujos de SharePoint. Esto se debe a que, en este momento, la información de la Directiva de acceso condicional no se pasa entre SharePoint y Power automatización para habilitar SharePoint para tomar una decisión de acceso.

Compartir flujos con bibliotecas y listas de SharePoint

Los propietarios pueden ver la dirección url del sitio e identificador de lista  

Efecto 7: creación de flujos de salida de SharePoint

En relación con el efecto 6, la creación y la ejecución de flujos de salida de SharePoint, como los flujos "solicitar firma" y "aprobación de la página", puede bloquearse mediante directivas de acceso condicional. La documentación de SharePoint en directivas de acceso condicional indica que estas directivas pueden provocar problemas de acceso que afectan a aplicaciones de origen y de terceros. 

Este escenario se aplica tanto a la ubicación de red como a las directivas de acceso condicional (como "no permitir dispositivos no administrados"). La compatibilidad con la creación de flujos de salida de SharePoint actualmente está en desarrollo. En este artículo, publicaremos más información cuando esta asistencia esté disponible.

Mientras tanto, recomendamos a los usuarios que creen flujos similares, que compartan manualmente estos flujos con los usuarios deseados o que deshabiliten directivas de acceso condicional si se requiere esta funcionalidad.

¿Necesita más ayuda?

Ampliar sus conocimientos
Explorar los cursos
Obtener nuevas características primero
Unirse a Microsoft Insider

¿Le ha sido útil esta información?

¡Gracias por sus comentarios!

×