はじめに

条件付きアクセスは、ユーザーがアプリケーションとサービスにアクセスする方法とタイミングを制御できる Azure Active Directory (Azure AD) の機能です。 その有用性にもかかわらず、条件付きアクセスを使用すると、Microsoft Flow を使用して条件付きアクセス ポリシーに関連する Microsoft サービスに接続する組織内のユーザーに悪影響または予期しない影響を与える可能性があることに注意してください。

概要

条件付きアクセス ポリシーは、Azure portal を通じて管理され、以下を含む (ただしこれらに限定されない) いくつかの要件がある場合があります。

  • ユーザーは、一部またはすべてのクラウド サービスにアクセスするには、Multi-Factor Authentication (MFA) (通常はパスワードと生体認証またはその他のデバイス) を使用してサインインする必要があります。

  • ユーザーは一部またはすべてのクラウド サービスに企業ネットワークからのみアクセスでき、ホーム ネットワークからはアクセスできません。

  • ユーザーは、承認されたデバイスまたはクライアント アプリケーションのみを使用して、一部またはすべてのクラウド サービスにアクセスできます。

次のスクリーンショットは、特定のユーザーが Azure 管理ポータルにアクセスするときに MFA を必要とする MFA ポリシーの例を示しています。

Azure 管理ポータルにアクセスするときに、ユーザーの多要素認証を必要とします。

Azure portal から MFA 構成を開くこともできます。 これを行うには、[Azure Active Directory] > [ユーザーとグループ] > [すべてのユーザー] > [Multi-Factor Authentication] を選択し、サービス設定タブを使用してポリシーを構成します。

Azure ポータルから多要素認証を選択します。

MFA は、Microsoft 365 管理センターからも構成できます。 Azure MFA 機能のサブセットは、Office 365 サブスクライバーが利用できます。 MFA を有効にする方法の詳細については、「Office 365 ユーザーの Multi-Factor Authentication をセットアップする」を参照してください。 

Office 365 管理センターから Azure の多要素認証を選択します。

記憶の多要素認証オプションの詳細

[Multi-Factor Authentication を記憶する] 設定は、永続的な Cookie を使用してユーザー ログオンの数を減らすのに役立ちます。 このポリシーは、「信頼されたデバイスの Multi-Factor Authentication を記憶する」に記載されている Azure AD 設定を制御します。

残念ながら、この設定は、Flow 接続を 14 日ごとに期限切れにするトークン ポリシー設定を変更します。 これは、MFA が有効になった後、Flow 接続がより頻繁に失敗する一般的な理由の 1 つです。 この設定は使用しないことをお勧めします。 代わりに、次のトークン ライフタイム ポリシーを使用して同じ機能を実現できます。

MFA が有効になった後のトークン ライフタイムの推奨設定

Flow への条件付きアクセスの主な悪影響は、次の表の設定によって引き起こされます。 この表は、トークン ライフタイム設定の既定値を示しています。 これらの値は変更しないことをお勧めします。

設定

推奨値

Flow への影響

MaxInactiveTime

90 日間

Flow 接続がこのタイムスパンよりも長い間 (Flow 実行で使用されていない) アイドル状態の場合、有効期限が切れた後に新しい Flow が実行され、次のエラーが返されます。

AADSTS70008: 非アクティブのため、更新トークンの有効期限が切れています。 トークンは 90.00:00:00 の時間に発行され、非アクティブでした

MaxAgeMultiFactor

取り消されるまで

この設定は、多要素更新トークン (Flow 接続で使用されるトークンの種類) の有効期間を制御します。

既定の設定では、テナント管理者がユーザーのアクセスを明示的に取り消さない限り、Flow 接続を使用できる期間に実質的に制限がないことを意味します。

この値を任意の固定タイムスパンに設定すると、その期間が経過すると (使用または非アクティブに関係なく)、Flow 接続が無効になり、Flow の実行が失敗します。 これが発生すると、次のエラー メッセージが生成されます。 このエラーでは、ユーザーが接続を修復または再作成する必要があります。

AADSTS50076: 管理者による構成変更、または新しい場所に移動したため、アクセスするには Multi-Factor Authentication を使用する必要があります…

MaxAgeSingleFactor

取り消されるまで

この設定は MaxAgeMultiFactor 設定と同じですが、単一要素の更新トークン用です。

MaxAgeSessionMultiFactor

取り消されるまで

Flow 接続への直接的な影響はありません。 この設定は、Web アプリのユーザー セッションの有効期限を定義します。 この設定は、ユーザー セッションが期限切れになる前にユーザーが Web アプリにサインインする頻度に応じて、管理者が変更できます。


多要素の有効化の一部として構成されているいくつかの設定は、Flow 接続に影響を与える可能性があります。 Microsoft 365 管理センターから MFA が有効になっていて、[Multi-Factor Authentication を記憶する] 設定が選択されている場合、構成された値は、既定のトークン ポリシー設定である MaxAgeMultiFactor および MaxAgeSessionMultiFactor を上書きします。 MaxAgeMultiFactor の有効期限が切れると Flow 接続が失敗し始め、ユーザーは明示的なログオンを使用して接続を修正する必要があります。

MaxAgeMultiFactor と MaxAgeSessionMultiFactor 設定に異なる値を設定するには、[Multi-Factor Authentication を記憶する] 設定の代わりにトークン ポリシーを使用することをお勧めします。 トークン ポリシーにより、Flow 接続が機能し続けると同時に、Office 365 Web アプリのユーザー ログオン セッションも制御できます。 MaxAgeMultiFactor の期間はかなりかける必要があります。理想的には、「取り消されるまで」の値です。 これは、更新トークンが管理者によって取り消されるまで、Flow 接続が機能し続けるようにするためです。 MaxAgeSessionMultiFactor は、ユーザー ログオン セッションに影響します。 テナント管理者は、セッションの有効期限が切れる前にユーザーが Office 365 Web アプリにサインインする頻度に応じて、必要な値を選択できます。

組織の Active Directory ポリシーを表示するには、次のコマンドを使用できます。 「Azure Active Directory の構成可能なトークン ライフタイム (プレビュー)」ドキュメントには、組織内の設定をクエリおよび更新するための具体的な手順が記載されています。

既存のトークン ライフタイム ポリシーを表示する

Install-Module AzureADPreview
PS C:\WINDOWS\system32> Connect-AzureAD
PS C:\WINDOWS\system32> Get-AzureADPolicy


次のセクションのコマンドを実行して、次のシナリオでポリシーを作成するか、既存のポリシーを変更します。

  • [Multi-Factor Authentication を記憶する] 設定は、Microsoft 365 管理センターから有効にします。

  • MaxAgeMultiFactor 設定の短い有効期限値を使用して、既存のトークン ライフタイム ポリシーを構成します。

新しいトークン ライフタイム ポリシーを作成する

PS C:\WINDOWS\system32>  New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1,"MaxAgeMultiFactor":"until-revoked","MaxAgeSessionMultiFactor":"14.00:00:00"}}') -DisplayName "DefaultPolicyScenario" -IsOrganizationDefault $true -Type "TokenLifetimePolicy"


既存のトークン ライフタイム ポリシーを変更する

既定の組織ポリシーがすでに存在する場合は、次の手順に従って設定を更新および上書きします。

  1. 次のコマンドを実行して、IsOrganizationalDefault 属性が True に設定されているポリシー ID を見つけます。
      get-azureadpolicy

  2. 次のコマンドを実行して、トークン ポリシー設定を更新します。
      PS > Set-AzureADPolicy -Id <PoliycId> -DisplayName "<PolicyName>" -Definition @('{"TokenLifetimePolicy":{"Version":1,"MaxAgeMultiFactor":"until-revoked","MaxAgeSessionMultiFactor":"14.00:00:00"}}}}')


    注: 元のポリシーで構成されている追加の設定はすべて、このコマンドにコピーする必要があります。

ポリシーを構成すると、ユーザー セッションの有効期限はトークン ライフタイム ポリシーを使用して構成されるため、テナント管理者は [Multi-Factor Authentication を記憶する] チェック ボックスをオフにすることができます。 トークン ライフタイム ポリシーの設定により、Flow 接続が次の状況でも引き続き機能するようになります。

  • Office 365 Web アプリは、X 日 (手順 2 の例では 14 日) 後にユーザー セッションを期限切れにするように構成されています。

  • アプリは、MFA を使用して再度ログオンするようユーザーに要求します。

詳細情報

Flow ポータルと組み込みエクスペリエンスへの影響

このセクションでは、ポリシーに関連する Microsoft サービスに接続するために Flow を使用する組織内のユーザーに条件付きアクセスが及ぼす可能性のある悪影響について詳しく説明します。
 

影響 1: 将来の実行での失敗

フローと接続の作成後に条件付きアクセス ポリシーを有効にすると、フローは将来の実行で失敗します。 接続の所有者が失敗した実行を調査すると、Flow ポータルに次のエラー メッセージが表示されます。

AADSTS50076: 管理者による構成の変更、または新しい場所に移動したため、<service> にアクセスするには多要素認証を使用する必要があります。


時間、ステータス、エラー、エラーの詳細、および修正する方法を含むエラー メッセージの詳細

ユーザーが Flow ポータルで接続を表示すると、次のようなエラー メッセージが表示されます。

サービスのアクセス トークンを更新するのにはユーザーを参照してください」という内容のフロー状態エラーが失敗しました。

この問題を解決するには、ユーザーは、(多要素、企業ネットワークなど) アクセスしようとしているサービスのアクセス ポリシーに一致する条件で Flow ポータルにサインインし、接続を修復または再作成する必要があります。
 

影響 2: 自動接続作成の失敗

ユーザーがポリシーに一致する基準を使用して Flow にサインインしない場合、条件付きアクセス ポリシーによって制御されるファーストパーティの Microsoft サービスへの自動接続の作成は失敗します。 ユーザーは、アクセスしようとするサービスの条件付きアクセス ポリシーに一致する基準を使用して、接続を手動で作成および認証する必要があります。 この動作は、Flow ポータルから作成されたワンクリック テンプレートにも適用されます。

AADSTS50076 で自動接続の作成エラー

この問題を解決するには、ユーザーは、テンプレートを作成する前に、アクセスしようとするサービス (多要素、企業ネットワークなど) のアクセス ポリシーに一致する条件で Flow ポータルにサインインする必要があります。
 

影響 3: ユーザーが直接接続を作成できない

ユーザーがポリシーに一致する基準を使用して Flow にサインインしない場合、PowerApps または Flow を介して直接接続を作成することはできません。 ユーザーが接続を作成しようとすると、次のエラー メッセージが表示されます。

AADSTS50076: 管理者による構成の変更、または新しい場所に移動したため、<service> にアクセスするには多要素認証を使用する必要があります。


AADSTS50076 エラーの接続を作成しようとしています。

この問題を解決するには、ユーザーは、アクセスしようとしているサービスのアクセス ポリシーと一致する条件でサインインしてから、接続を再作成する必要があります。
 

影響 4: Flow ポータルでのユーザーと電子メールの選択が失敗する

Exchange Online または SharePoint のアクセスが条件付きアクセス ポリシーによって制御されており、ユーザーが同じポリシーで Flow にサインインしない場合、Flow ポータルでのユーザーおよび電子メールの選択は失敗します。 ユーザーが次のクエリを実行すると、組織内のグループの完全な結果を取得できません (これらのクエリに対して Office 365 グループは返されません)。

  • フローに対する所有権または実行専用のアクセス許可を共有しようとしている

  • デザイナーでフローを構築する際のメール アドレスを選択する

  • フローへの入力を選択するときに [Flow 実行] パネルでユーザーを選択する


影響 5: 他の Microsoft サービスに組み込まれたフロー機能を使用する

SharePoint、PowerApps、Excel、Teams などの Microsoft サービスにフローが組み込まれている場合、フロー ユーザーは、ホスト サービスに対する認証方法に基づいて、条件付きアクセスと多要素ポリシーの対象にもなります。 たとえば、ユーザーが単一要素認証を使用して SharePoint にサインインしたが、Microsoft Graph への多要素アクセスを必要とするフローを作成または使用しようとすると、ユーザーはエラー メッセージを受け取ります。
 

影響 6: SharePoint リストとライブラリを使用してフローを共有する

SharePoint リストとライブラリを使用して所有権または実行専用のアクセス許可を共有しようとすると、Flow はリストの表示名を提供できません。 代わりに、リストの一意の識別子を表示します。 既に共有されているフローの [Flow] プロパティ ページの所有者タイルと実行専用のタイルは、表示名ではなく識別子を表示できます。

さらに重要なことに、ユーザーは SharePoint からフローを検出または実行できない場合もあります。 これは、現在、SharePoint でアクセスを決定できるようにするために、Power Automate と SharePoint の間で条件付きアクセス ポリシー情報が渡されないためです。

SharePoint リストおよびライブラリでのフローを共有します。

所有者がサイトの url を参照してくださいし、ID の一覧を表示
 

影響 7: SharePoint の既定のフローの作成

影響 6 に関連して、「要求のサインオフ」や「ページの承認」フローなどの SharePoint の既定のフローの作成と実行は、条件付きアクセス ポリシーによってブロックできます。 「条件付きアクセス ポリシーに関する SharePoint のドキュメント」は、これらのポリシーがファーストパーティとサードパーティの両方のアプリに影響するアクセスの問題を引き起こす可能性があることを示しています。 

このシナリオは、ネットワークの場所と条件付きアクセス ポリシー (「管理されていないデバイスを許可しない」など) の両方に適用されます。 SharePoint の既定のフローの作成に対するサポートは現在開発中です。 詳細については、このサポートが利用可能になったときに、この記事に掲載する予定です。

暫定的に、同様のフローを自分で作成し、これらのフローを目的のユーザーと手動で共有するか、この機能が必要な場合は条件付きアクセス ポリシーを無効にすることをお勧めします。

ヘルプを表示

スキルを磨く
トレーニングの探索
新機能を最初に入手
Microsoft Insider に参加する

この情報は役に立ちましたか?

翻訳品質にどの程度満足していますか?
どのような要因がお客様の操作性に影響しましたか?

フィードバックをお送りいただきありがとうございます!

×