Aanbevelingen voor voorwaardelijke toegang en meervoudige verificatie in Microsoft flow

Inleiding

Voorwaardelijke toegang is een functie van Azure Active Directory (Azure AD) waarmee u kunt bepalen hoe en wanneer gebruikers toegang hebben tot toepassingen en services. Ondanks de bruikbaarheid dient u zich te realiseren dat het gebruik van voorwaardelijke toegang een negatief of onverwacht effect heeft op gebruikers in uw organisatie die Microsoft flow gebruiken om verbinding te maken met Microsoft-services die relevant zijn voor regels voor voorwaardelijke toegang.

Samenvatting

Beleidsregels voor voorwaardelijke toegang worden beheerd via de Azure-Portal en u kunt verschillende vereisten hebben, waaronder (maar niet beperkt tot), als volgt:

  • Gebruikers moeten zich aanmelden met multi-factor Authentication (MFA) (meestal wachtwoord plus biometrisch of ander apparaat) voor toegang tot bepaalde of alle cloudservices.

  • Gebruikers hebben toegang tot bepaalde of alle cloudservices alleen vanuit hun bedrijfsnetwerk en niet vanuit hun thuisnetwerken.

  • Gebruikers kunnen alleen goedgekeurde apparaten of clienttoepassingen gebruiken voor toegang tot bepaalde of alle cloudservices.

In de volgende schermafbeelding ziet u een voorbeeld van een MFA-beleid dat MFA vereist voor specifieke gebruikers wanneer ze toegang krijgen tot de Azure-beheerportal.

Meerledige verificatie vereist voor een gebruiker toegang tot de portal Management Azure

U kunt de MFA-configuratie ook openen via de Azure-Portal. Selecteer hiervoor Azure Active Directory > gebruikers en groepen > alle gebruikers> Meervoudige verificatieen configureer vervolgens beleidsregels via het tabblad Service-instellingen .

Selecteer meerledige verificatie in Azure portal MFA kan ook worden geconfigureerd via Microsoft 365-Beheercentrum. Er is een subset van Azure MFA-mogelijkheden beschikbaar voor Office 365-abonnees. Zie Meervoudige verificatie instellen voor Office 365-gebruikersvoor meer informatie over het inschakelen van MFA. 

Selecteer Azure meerledige verificatie in Office 365 admin center

De details onthouden meerledige verificatie-optie

Met de instelling multi-factor Authentication onthouden kunt u het aantal gebruikers dat zich aanmeldt, reduceren met een permanente cookie. Met dit beleid beheert u de instellingen van Azure AD die worden beschreven in een Meervoudige verificatie voor vertrouwde apparaten onthouden.

Met deze instelling worden de token beleidsinstellingen gewijzigd waarmee de stroom verbindingen elk veertien dagen verlopen. Dit is een van de veelvoorkomende redenen waarom stroom verbindingen vaker mislukt nadat MFA is ingeschakeld. U wordt aangeraden deze instelling niet te gebruiken. In plaats daarvan kunt u dezelfde functionaliteit bereiken door het volgende token levensduur beleid te gebruiken.

Instellingen aanbevolen token levensduur nadat MFA is ingeschakeld

De primaire nadelige gevolgen van voorwaardelijke toegang in de stroom worden veroorzaakt door de instellingen in de volgende tabel. De tabel bevat de standaardwaarden voor de levensduur instellingen van het token. U wordt aangeraden deze waarden niet te wijzigen.

Stelling

Aanbevolen waarde

Kracht voor stroom

MaxInactiveTime

90 dagen

Als een stroom verbinding niet actief is (ongebruikt door stroom) gedurende langer dan deze tijdsspanne, wordt de nieuwe stroom uitgevoerd na de verlooptijd en wordt het volgende foutbericht weergegeven:

AADSTS70008: het vernieuwingstoken is verlopen vanwege de inactiviteit. Het token is op tijd uitgegeven en was inactief voor 90.00:00:00

MaxAgeMultiFactor

Tot-ingetrokken

Met deze instelling wordt bepaald hoe lang vernieuwingstokens voor meerdere vermenigvuldigingen (het soort tokens die worden gebruikt in stroom verbindingen) geldig zijn.

De standaardinstelling houdt in dat er geen beperkingen gelden voor hoelang een stroom verbinding kan worden gebruikt, tenzij een tenantbeheerder de toegang van de gebruiker specifiek trekt.

Als u deze waarde instelt op een vaste TimeSpan, betekent dit dat een stroom verbinding ongeldig wordt en dat de stroom vervolgens mislukt. Wanneer dit gebeurt, wordt het volgende foutbericht gegenereerd. Voor deze fout moeten gebruikers de verbinding herstellen of opnieuw maken:

AADSTS50076: vanwege een configuratiewijziging van de beheerder of omdat u naar een andere locatie hebt overgezet, moet u multi-factor Authentication gebruiken om toegang te krijgen tot...

MaxAgeSingleFactor

Tot-ingetrokken

Deze instelling is hetzelfde als de instelling MaxAgeMultiFactor  , maar voor het vernieuwen van enkele factor.

MaxAgeSessionMultiFactor

Tot-ingetrokken

Er is geen directe werking van flow verbindingen. Met deze instelling wordt het verlopen van een gebruikerssessie voor web apps gedefinieerd. U kunt deze instelling wijzigen door de beheerders, afhankelijk van hoe vaak gebruikers zich willen aanmelden bij Web-apps voordat ze de gebruikerssessie verloopt.

Sommige instellingen die zijn geconfigureerd als onderdeel van het inschakelen van multi-factor, kunnen de stroom verbinding beïnvloeden. Wanneer MFA is ingeschakeld vanuit Microsoft 365-Beheercentrum en de instelling Meervoudige verificatie van meerdere factoren onthouden is ingeschakeld, vervangt de geconfigureerde waarde de standaardinstellingen voor token beleid, MaxAgeMultiFactor en MaxAgeSessionMultiFactor.Stroom verbindingen beginnen met vastlopen wanneer MaxAgeMultiFactor  verloopt en de gebruiker moet een expliciete aanmelding gebruiken om de verbindingen op te lossen.

U wordt aangeraden het token beleid te gebruiken in plaats van de instelling voor Meervoudige verificatie, zodat verschillende waarden worden geconfigureerd voor de instellingen voor MaxAgeMultiFactor en MaxAgeSessionMultiFactor . Met token beleid kunnen stroom verbindingen blijven werken terwijl ook een gebruikers aanmeldsessie wordt beheerd voor de Office 365-web-apps. MaxAgeMultiFactor moet een redelijkerwijs langere periode-idealiter hebben, de tot-intrekken waarde. Dit zorgt ervoor dat stroom verbindingen blijven werken totdat het vernieuwingstoken door de beheerder wordt ingetrokken. MaxAgeSessionMultiFactor is van invloed op een gebruikers aanmeldsessie. Tenant beheerders kunnen de gewenste waarde selecteren, afhankelijk van hoe vaak gebruikers zich willen aanmelden bij de Office 365-web-apps voordat de sessie verloopt.

Als u het Active Directory-beleid in uw organisatie wilt weergeven, kunt u de volgende opdrachten gebruiken. De levensduur van configureerbare tokens in azure Active Directory (preview)het document bevat specifieke instructies voor het uitvoeren van query's en het bijwerken van de instellingen in uw organisatie.

Beleidsregels voor bestaande token levensduur weergeven

Install-Module AzureADPreview
PS C:\WINDOWS\system32> Connect-AzureAD
PS C:\WINDOWS\system32> Get-AzureADPolicy

Voer de opdrachten in de volgende secties uit om een beleid te maken of een bestaand beleid te wijzigen in de volgende scenario's:

  • De instelling multi-factor Authentication onthouden wordt ingeschakeld via microsoft 365-Beheercentrum.

  • Het beleid voor een bestaand token levensduur wordt geconfigureerd met behulp van een korte vervaldatum voor de instelling MaxAgeMultiFactor .

Beleid voor levensduur van nieuwe tokens maken

PS C:\WINDOWS\system32>  New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1,"MaxAgeMultiFactor":"until-revoked","MaxAgeSessionMultiFactor":"14.00:00:00"}}') -DisplayName "DefaultPolicyScenario" -IsOrganizationDefault $true -Type "TokenLifetimePolicy"

Een bestaand token levensduur beleid wijzigen

Als er al een standaardorganisatie beleid bestaat, moet u de instellingen bijwerken en vervangen door de volgende stappen uit te voeren:

  1. Voer de volgende opdracht uit om de beleids-ID te vinden waarop het kenmerk IsOrganizationalDefault is ingesteld op waar:   get-azureadpolicy

  2. Voer de volgende opdracht uit om de beleidsinstellingen voor tokens bij te werken:   PS > Set-AzureADPolicy -Id <PoliycId> -DisplayName "<PolicyName>" -Definition @('{"TokenLifetimePolicy":{"Version":1,"MaxAgeMultiFactor":"until-revoked","MaxAgeSessionMultiFactor":"14.00:00:00"}}}}')

    Opmerking Alle extra instellingen die in het oorspronkelijke beleid zijn geconfigureerd, moeten worden gekopieerd naar deze opdracht.

Nadat u het beleid hebt geconfigureerd, kunnen tenantbeheerders het selectievakje Meervoudige authenticatie onthouden uitschakelen,omdat het verlopen van een gebruikerssessie wordt geconfigureerd met behulp van het token levensduur beleid. De beleidsinstellingen voor levensduur van tokens zorgen ervoor dat flow verbindingen blijven werken in de volgende gevallen:

  • Office 365-web-apps zijn geconfigureerd om de gebruikerssessie na X dagen (14 dagen in het voorbeeld in stap 2) te verstrijken.

  • De apps stellen gebruikers vragen zich opnieuw aan te melden met behulp van MFA.

Meer informatie

Effecten voor de stroom Portal en ingesloten ervaring

In deze sectie vindt u meer informatie over de negatieve effecten die voorwaardelijke toegang kan hebben aan gebruikers in uw organisatie die de stroom gebruiken om verbinding te maken met Microsoft-services die relevant zijn voor een beleid.  

Effect 1: fout bij toekomstige uitvoeringen

Als u een beleid voor voorwaardelijke toegang inschakelt na het maken van stromen en verbindingen, mislukt de stromen voor toekomstige uitvoeringen. Eigenaren van de verbindingen zien het volgende foutbericht in de stroom Portal wanneer ze de mislukte uitvoering onderzoeken:

AADSTS50076: als gevolg van een configuratiewijziging van de beheerder of omdat u naar een nieuwe locatie bent verplaatst, moet u meervoudige verificatie gebruiken om toegang te krijgen tot <service>.

Details van het foutbericht wordt weergegeven met inbegrip van tijd, Status, fout, foutdetails en het oplossen van Wanneer gebruikers verbindingen weergeven op de stroom Portal, zien ze een foutbericht van de volgende strekking:

Status fout die wordt weergegeven in de stroom met de melding tijdens het toegangstoken voor service vernieuwen

Om dit probleem op te lossen, moeten gebruikers zich aanmelden bij de Portal Portal onder voorwaarden die overeenkomen met het toegangsbeleid van de service waartoe ze toegang willen (zoals een multi-factor, zakelijk netwerk, enzovoort) en vervolgens de verbinding herstellen of opnieuw maken.  

Kracht 2: fout tijdens het maken van de verbinding.

Als gebruikers zich niet aanmelden om aan te melden met criteria die overeenkomen met het beleid, mislukt de verbinding voor automatisch maken naar Microsoft-services van derden die door het beleid voor voorwaardelijke toegang worden beheerd. Gebruikers moeten de verbindingen handmatig maken en verifiëren met behulp van criteria die overeenkomen met het voorwaardelijke toegangsbeleid van de service waartoe ze toegang hebben. Dit probleem geldt ook voor 1-klik sjablonen die zijn gemaakt op de stroom Portal.

Fout bij het automatisch verbinding maken met AADSTS50076

Om dit probleem op te lossen, moeten gebruikers zich aanmelden bij de Portal Portal onder voorwaarden die overeenkomen met het toegangsbeleid van de service waartoe ze toegang willen ( zoals een multi- factor, zakelijk netwerk, enzovoort) voordat ze een sjabloon maken.  

Effect 3: gebruikers kunnen geen verbinding rechtstreeks maken

Als gebruikers zich niet aanmelden om aan te gaan met het instellen van criteria die overeenkomen met de beleidsregels, kunnen ze niet rechtstreeks verbinding maken met behulp van PowerApps of flow. Gebruikers zien het volgende foutbericht wanneer ze een verbinding proberen te maken:

AADSTS50076: als gevolg van een configuratiewijziging van de beheerder of omdat u naar een nieuwe locatie bent verplaatst, moet u meervoudige verificatie gebruiken om toegang te krijgen tot <service>.

AADSTS50076 foutbericht wanneer u probeert een verbinding te maken

U kunt dit probleem oplossen door gebruikers aan te melden onder voorwaarden die overeenkomen met het toegangsbeleid van de service waartoe ze toegang willen hebben, en de verbinding vervolgens opnieuw te maken.  

Kracht 4: personen en e-mail kiezers op de stroom Portal mislukt

Als Exchange Online of SharePoint Online wordt beheerd door een beleid voor voorwaardelijke toegang en als gebruikers zich niet aanmelden om te werken onder hetzelfde beleid, mislukt personen en e-mail kiezers op de stroom Portal. Gebruikers kunnen geen volledige resultaten krijgen voor groepen binnen hun organisatie wanneer ze de volgende query's uitvoeren (Office 365 groepen worden niet geretourneerd voor deze query's):

  • Het delen van de eigendoms-of uitvoeringsmachtigingen voor een stroom

  • E-mailadressen selecteren tijdens het maken van een stroom in de ontwerpfunctie

  • Personen selecteren in het deelvenster flow-uitvoering bij het selecteren van invoer in een stroom

Effect 5: stroom functies gebruiken die zijn ingesloten in andere Microsoft-services

Wanneer een stroom is ingesloten in Microsoft-services zoals SharePoint, PowerApps, Excel en teams, worden de stroom gebruikers ook onderworpen aan voorwaardelijke toegang en regels met meerdere factoren op basis van de manier waarop ze zijn geverifieerd voor de host-service. Als een gebruiker zich aanmeldt bij SharePoint met één ledige verificatie maar wel probeert een stroom te maken of te gebruiken waarvoor toegang met meerdere factoren voor Microsoft Graph is vereist, wordt de gebruiker een foutbericht ontvangen.  

Kracht 6: gegevensstromen delen met SharePoint-lijsten en-bibliotheken

Wanneer u de machtigingen van SharePoint-lijsten en-bibliotheken wilt delen of alleen-uitvoeren, kunt u niet de weergavenaam van de lijsten geven. In plaats daarvan wordt de unieke id van een lijst weergegeven. De tegels van de gebruikers eigenaren en alleen-uitvoeren op de pagina flow -eigenschappen voor al gedeelde stromen kunnen de id weergeven, niet de weergavenaam.

Belangrijker kunnen gebruikers ook hun stromen van SharePoint niet ontdekken of uitvoeren. Dit komt doordat de gegevens van het voorwaardelijke toegangsbeleid niet worden door-Automatiseer en SharePoint worden door lopend en in SharePoint te gebruiken om een toegangs beslissing te nemen.

Stromen delen met SharePoint-lijsten en bibliotheken

Eigenaren kunnen de url van de site zien en lijst-ID  

Kracht 7: het maken van niet-werkstromen in SharePoint

Het maken en uitvoeren van niet-uitgevoerde externe SharePoint-kasstromen, zoals het ' aanvragen van Signoff ' en ' goedkeuring van pagina's ', kunnen worden geblokkeerd door het beleid voor voorwaardelijke toegang. SharePoint-documentatie op beleidsregels voor voorwaardelijke toegang geeft aan dat deze beleidsregels toegangsproblemen veroorzaken die van toepassing kunnen zijn op apps van derden en van derden. 

Dit scenario geldt voor de netwerklocatie en voor voorwaardelijke toegangsregels (zoals ' niet toestaan dat niet-beheerde apparaten worden gebruikt '). Ondersteuning voor het maken van kant-en-klare SharePoint-kasstromen wordt momenteel momenteel ontwikkeld. In dit artikel vindt u meer informatie, wanneer deze ondersteuning beschikbaar wordt.

In de tussenwaarde adviseren we gebruikers om soortgelijke stromen te maken en ze handmatig te delen met de gewenste gebruikers, of om regels voor voorwaardelijke toegang uit te schakelen als deze functie is vereist.

Meer hulp nodig?

Uw vaardigheden uitbreiden
Training verkennen
Als eerste nieuwe functies krijgen
Deelnemen aan Microsoft insiders

Was deze informatie nuttig?

Bedankt voor uw feedback.

Hartelijk dank voor uw feedback! Het lijkt ons een goed idee om u in contact te brengen met een van onze Office-ondersteuningsagenten.

×