Microsoft Power Automate での条件付きアクセスと多要素認証に関する推奨事項 (Flow)

  • [アーティクル]

条件付きアクセスは、ユーザーがアプリケーションやサービスにアクセスできる方法とタイミングを制御できるMicrosoft Entra IDの機能です。 その有用性にもかかわらず、条件付きアクセスを使用すると、条件付きアクセス ポリシーに関連する Microsoft サービスに接続するために Microsoft Power Automate (Flow) を使用するorganizationのユーザーに悪影響または予期しない影響を与える可能性があることに注意してください。

適用先:Power Automate
元の KB 番号: 4467879

推奨事項

  • トークンの有効期間が短縮され、標準の拡張長ではなく構成された間隔で更新が必要になるため、 信頼されたデバイスに多要素認証を記憶 しないでください。
  • ポリシー競合エラーを回避するには、Power Automate にサインインするユーザーが、フローで使用される接続のポリシーに一致する条件を使用することを確認します。

詳細

条件付きアクセス ポリシーは、Azure portalを通じて管理され、次のような (ただしこれらに限定されない) いくつかの要件がある場合があります。

  • ユーザーは、一部またはすべてのクラウド サービスにアクセスするには 、多要素認証 (MFA) (通常はパスワードと生体認証またはその他のデバイス) を使用してサインインする必要があります。
  • ユーザーは、一部またはすべてのクラウド サービスに、ホーム ネットワークからではなく、会社のネットワークからのみアクセスできます。
  • ユーザーは、承認されたデバイスまたはクライアント アプリケーションのみを使用して、一部またはすべてのクラウド サービスにアクセスできます。

次のスクリーンショットは、特定のユーザーが Azure 管理ポータルにアクセスするときに MFA を必要とする MFA ポリシーの例を示しています。

Azure 管理ポータルにアクセスするときに特定のユーザーに M F A が必要な例を示すスクリーンショット。

Azure portalから MFA 構成を開くこともできます。 これを行うには、[Microsoft Entra ID>ユーザーとグループ>すべてのユーザー>Multi-Factor Authentication] を選択し、[サービス設定] タブを使用してポリシーを構成します。

Azure portalから M F A 構成を開く手順を示すスクリーンショット。

MFA は、Microsoft 365 管理センターから構成することもできます。 Microsoft Entra多要素認証機能のサブセットは、サブスクライバー Office 365使用できます。 MFA を有効にする方法の詳細については、「Office 365 ユーザーの多要素認証を設定する」を参照してください。

スクリーンショットは、M F A をMicrosoft 365 管理センターから構成できることを示しています。

多要素認証オプションの詳細を記憶するのスクリーンショット。

要素認証の記憶 設定は、永続的な Cookie を使用してユーザーのログオン数を減らすのに役立ちます。 このポリシーは、「信頼されたデバイスの多要素認証を記憶する」に記載されているMicrosoft Entra設定を制御します。

残念ながら、この設定では、接続が 14 日ごとに期限切れになるトークン ポリシー設定が変更されます。 これは、MFA を有効にした後に接続が頻繁に失敗する一般的な理由の 1 つです。 この設定は使用しないことをお勧めします。

Power Automate ポータルと埋め込みエクスペリエンスへの影響

このセクションでは、Power Automate を使用してポリシーに関連する Microsoft サービスに接続するorganizationのユーザーに条件付きアクセスが与える可能性がある悪影響の一部について説明します。

効果 1 - 将来の実行でエラーが発生する

フローと接続の作成後に条件付きアクセス ポリシーを有効にすると、フローは将来の実行で失敗します。 接続の所有者は、失敗した実行を調査すると、Power Automate ポータルに次のエラー メッセージが表示されます。

AADSTS50076: 管理者によって行われた構成の変更、または新しい場所に移動したため、多要素認証を使用してサービス>にアクセス<する必要があります。

時間、状態、エラー、エラーの詳細、修正方法などのエラーの詳細のスクリーンショット。

ユーザーが Power Automate ポータルで接続を表示すると、次のようなエラー メッセージが表示されます。

Power Automate ポータルに表示されるサービス ユーザーのアクセス トークンの更新に失敗したエラーのスクリーンショット。

この問題を解決するには、ユーザーがアクセスしようとしているサービスのアクセス ポリシー (多要素、企業ネットワークなど) と一致する条件で Power Automate ポータルにサインインし、接続を修復または再作成する必要があります。

効果 2 - 接続の自動作成エラー

ユーザーがポリシーに一致する条件を使用して Power Automate にサインインしない場合、条件付きアクセス ポリシーによって制御されるファースト パーティの Microsoft サービスへの自動接続の作成は失敗します。 ユーザーは、アクセスしようとするサービスの条件付きアクセス ポリシーに一致する条件を使用して、接続を手動で作成して認証する必要があります。 この動作は、Power Automate ポータルから作成された 1 クリック テンプレートにも適用されます。

AADSTS50076の自動接続作成エラーのスクリーンショット。

この問題を解決するには、ユーザーがテンプレートを作成する前に、アクセスしようとしているサービスのアクセス ポリシー (多要素、企業ネットワークなど) に一致する条件で Power Automate ポータルにサインインする必要があります。

効果 3 - ユーザーが直接接続を作成できない

ユーザーがポリシーに一致する条件を使用して Power Automate にサインインしない場合、Power Apps または Flow を介して直接接続を作成することはできません。 ユーザーが接続を作成しようとすると、次のエラー メッセージが表示されます。

AADSTS50076: 管理者によって行われた構成の変更、または新しい場所に移動したため、多要素認証を使用してサービス>にアクセス<する必要があります。

接続を作成しようとしたときに発生するAADSTS50076 エラーのスクリーンショット。

この問題を解決するには、ユーザーがアクセスしようとしているサービスのアクセス ポリシーに一致する条件でサインインし、接続を再作成する必要があります。

効果 4 - Power Automate ポータルのPeopleと電子メール ピッカーが失敗する

Exchange Onlineまたは SharePoint アクセスが条件付きアクセス ポリシーによって制御され、ユーザーが同じポリシーで Power Automate にサインインしない場合、Power Automate ポータルのユーザーと電子メール ピッカーは失敗します。 ユーザーは、次のクエリを実行するときに、organization内のグループの完全な結果を取得できません (Office 365グループはこれらのクエリに対して返されません)。

  • フローに所有権または実行のみのアクセス許可を共有しようとしています
  • デザイナーでフローを構築するときに電子メール アドレスを選択する
  • フローへの入力を選択するときに [フロー実行 ] パネルでユーザーを選択する

効果 5 - 他の Microsoft サービスに埋め込まれた Power Automate 機能の使用

SharePoint、Power Apps、Excel、Teams などの Microsoft サービスにフローが埋め込まれている場合、Power Automate ユーザーは、ホスト サービスに対する認証方法に基づいて条件付きアクセスと多要素ポリシーの対象にもなります。 たとえば、ユーザーが単一要素認証を使用して SharePoint にサインインし、Microsoft Graph への多要素アクセスを必要とするフローを作成または使用しようとすると、ユーザーはエラー メッセージを受け取ります。

効果 6 - SharePoint リストとライブラリを使用したフローの共有

SharePoint リストとライブラリを使用して所有権または実行専用のアクセス許可を共有しようとすると、Power Automate ではリストの表示名を指定できません。 代わりに、リストの一意の識別子が表示されます。 既に共有されているフローのフローの詳細ページの所有者タイルと実行専用タイルは、識別子を表示できますが、表示名は表示できません。

さらに重要なのは、ユーザーが SharePoint からフローを検出または実行できない場合もあります。 これは、現在、条件付きアクセス ポリシー情報が Power Automate と SharePoint の間で渡されないため、SharePoint がアクセスの決定を行えるようにするためです。

SharePoint リストとライブラリとフローを共有するスクリーンショット。

スクリーンショットは、サイト U R L とリスト ID 所有者が確認できるを示しています。

効果 7 - SharePoint のアウトボックス フローの作成

効果 6 に関連して、 要求のサインオフ フローや ページ承認 フローなど、SharePoint の既定のフローの作成と実行は、条件付きアクセス ポリシーによってブロックできます。 ネットワークの場所に基づいて SharePoint と OneDrive のデータへのアクセスを制御 すると、これらのポリシーによって、ファースト パーティとサード パーティの両方のアプリに影響するアクセスの問題が発生する可能性があることを示します。

このシナリオは、ネットワークの場所と条件付きアクセス ポリシー (非管理対象デバイスの禁止など) の両方に適用されます。 SharePoint の既定のフローの作成のサポートは現在開発中です。 このサポートが利用可能になったときに、この記事の詳細情報を投稿します。

その間、ユーザーは同様のフローを自分で作成し、これらのフローを目的のユーザーと手動で共有するか、この機能が必要な場合は条件付きアクセス ポリシーを無効にすることをお勧めします。