Recomendações para acesso condicional e autenticação multifator no fluxo da Microsoft

Introdução

O acesso condicional é um recurso do Azure Active Directory (Azure AD) que permite que você controle como e quando os usuários podem acessar aplicativos e serviços. Apesar da sua utilidade, você deve estar ciente de que o uso de acesso condicional pode ter um efeito adverso ou inesperado em usuários em sua organização que usam o fluxo da Microsoft para se conectar aos serviços da Microsoft que sejam relevantes para políticas de acesso condicional.

Resumo

As políticas de acesso condicional são gerenciadas por meio do portal do Azure e podem ter vários requisitos, incluindo (mas não se limitando a) o seguinte:

  • Os usuários devem se conectar usando a MFA (autenticação multifator) (geralmente senha mais biométrica ou outro dispositivo) para acessar alguns ou todos os serviços de nuvem.

  • Os usuários podem acessar alguns ou todos os serviços de nuvem apenas da rede corporativa e não das redes domésticas.

  • Os usuários podem usar somente dispositivos aprovados ou aplicativos cliente para acessar alguns ou todos os serviços de nuvem.

A captura de tela a seguir mostra um exemplo de política MFA que requer MFA para usuários específicos quando eles acessam o portal de gerenciamento do Azure.

Exigir autorização de vários fator para um usuário, ao acessar o portal de gerenciamento do Azure

Você também pode abrir a configuração da MFA a partir do portal do Azure. Para fazer isso, selecione Azure Active Directory > usuários e grupos > todos os usuários> autenticação multifatore, em seguida, configure as políticas usando a guia configurações de serviço .

Selecione autenticação de multifatores no portal do Azure A MFA também pode ser configurada no centro de administração do Microsoft 365. Um subconjunto de recursos do Azure MFA está disponível para assinantes do Office 365. Para obter mais informações sobre como habilitar a MFA, consulte Configurar a autenticação multifator para usuários do Office 365

Selecione autenticação de multifator Azure no Centro de administração do Office 365

Os detalhes de opção de autenticação de multifatores lembrar

A configuração lembrar de autenticação multi-fator pode ajudá-lo a reduzir o número de logons de usuário usando um cookie persistente. Essa política controla as configurações do Azure AD documentadas em memorizar a autenticação multifator para dispositivos confiáveis.

Infelizmente, essa configuração altera as configurações de política de token que fazem com que as conexões de fluxo expirem a cada 14 dias. Esse é um dos motivos comuns pelos quais as conexões de fluxo falham com mais frequência após a habilitação da MFA. Recomendamos que você não use essa configuração. Em vez disso, você pode obter a mesma funcionalidade usando a política de vida útil de token a seguir.

Configurações de tempo de vida de token recomendado após a habilitação da MFA

O efeito adverso principal do acesso condicional no fluxo é causado pelas configurações da tabela a seguir. A tabela mostra os valores padrão das configurações de tempo de vida do token. Recomendamos que você não altere esses valores.

Configuração

Valor recomendado

Efeito no fluxo

MaxInactiveTime

90 dias

Se houver uma conexão de fluxo ociosa (não usada por execuções de fluxo) por mais tempo do que esse TimeSpan, qualquer novo fluxo será executado após o tempo de expiração falhar e retornará o seguinte erro:

AADSTS70008: o token de atualização expirou devido a inatividade. O token foi emitido no tempo e estava inativo para 90.00:00:00

MaxAgeMultiFactor

Até a revogação

Esta configuração controla por quanto tempo os tokens de atualização de vários fatores (o tipo de tokens usados em conexões de fluxo) são válidos.

A configuração padrão significa que não há um limite de tempo que uma conexão de fluxo pode ser usada, a menos que um administrador de locatários revoge especificamente o acesso do usuário.

Definir esse valor como qualquer TimeSpan fixo significa que, após essa duração (independentemente de uso ou inatividade), uma conexão de fluxo se torna inválida e o fluxo é executado, falhando. Quando isso ocorre, a seguinte mensagem de erro é gerada. Este erro requer que os usuários reparem ou recriem a conexão:

AADSTS50076: devido a uma alteração de configuração feita pelo administrador ou da mudança para um novo local, você deve usar a autenticação multifator para acessar...

MaxAgeSingleFactor

Até a revogação

Essa configuração é a mesma que a configuração MaxAgeMultiFactor  , mas para tokens de atualização de fator único.

MaxAgeSessionMultiFactor

Até a revogação

Não há nenhum efeito direto sobre as conexões de fluxo. Essa configuração define a expiração de uma sessão de usuário para aplicativos Web. Essa configuração pode ser alterada pelos administradores, dependendo da frequência com que eles querem que os usuários entrem em aplicativos Web antes que a sessão do usuário expire.

Algumas configurações que são configuradas como parte da habilitação de vários fatores podem afetar a conexão de fluxo. Quando a MFA está habilitada no centro de administração do Microsoft 365 e a configuração memorizar a autenticação de vários fatores está selecionada, o valor configurado substitui as configurações padrão de política de token, MaxAgeMultiFactor e MaxAgeSessionMultiFactor.As conexões de fluxo começam falham quando o MaxAgeMultiFactor  expira, e requer que o usuário use um logon explícito para corrigir as conexões.

Recomendamos que você use a política de token em vez da configuração memorizar a autenticação multifatorpara configurar valores diferentes para as configurações MaxAgeMultiFactor e MaxAgeSessionMultiFactor . A política de token permite que as conexões de fluxo continuem trabalhando enquanto controlam uma sessão de logon do usuário para os aplicativos Web do Office 365. MaxAgeMultiFactor deve ter um período razoavelmente mais longo: o ideal é o valor até a revogação. Isso é para que as conexões de fluxo continuem funcionando até que o token de atualização seja revogado pelo administrador. MaxAgeSessionMultiFactor afeta uma sessão de logon do usuário. Os administradores de locatários podem selecionar o valor desejado, dependendo da frequência com que eles querem que os usuários entrem nos aplicativos Web do Office 365 antes de a sessão expirar.

Para exibir as políticas do Active Directory em sua organização, você pode usar os comandos a seguir. A vida útil de token configurável no Azure Active Directory (visualização)documento fornece instruções específicas para consultar e atualizar as configurações em sua organização.

Exibir políticas de tempo de vida de token existentes

Install-Module AzureADPreview
PS C:\WINDOWS\system32> Connect-AzureAD
PS C:\WINDOWS\system32> Get-AzureADPolicy

Execute os comandos nas próximas seções para criar uma política ou alterar uma política existente nos seguintes cenários:

  • A configuração lembrar a autenticação de vários fatores está habilitada no centro de administração do Microsoft 365.

  • Uma política de tempo de vida de token existente é configurada usando um valor de expiração curto para a configuração MaxAgeMultiFactor .

Criar uma nova política de tempo de vida de token

PS C:\WINDOWS\system32>  New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1,"MaxAgeMultiFactor":"until-revoked","MaxAgeSessionMultiFactor":"14.00:00:00"}}') -DisplayName "DefaultPolicyScenario" -IsOrganizationDefault $true -Type "TokenLifetimePolicy"

Alterar uma política de tempo de vida de token existente

Se uma política de organização padrão já existe, atualize e substitua as configurações seguindo estas etapas:

  1. Execute o seguinte comando para localizar a ID da política que tem o atributo IsOrganizationalDefault definido como true:   get-azureadpolicy

  2. Execute o seguinte comando para atualizar as configurações de política de token:   PS > Set-AzureADPolicy -Id <PoliycId> -DisplayName "<PolicyName>" -Definition @('{"TokenLifetimePolicy":{"Version":1,"MaxAgeMultiFactor":"until-revoked","MaxAgeSessionMultiFactor":"14.00:00:00"}}}}')

    Observação Todas as configurações adicionais configuradas na política original precisarão ser copiadas para esse comando.

Depois de configurar a política, os administradores de locatários podem desmarcar a caixade seleção lembrar a autenticação multifator porque a expiração de uma sessão de usuário é configurada usando a política de tempo de vida de token. As configurações da política de tempo de vida do token verificam se as conexões de fluxo continuam funcionando nas seguintes condições:

  • Os aplicativos Web do Office 365 são configurados para expirar a sessão do usuário após X dias (14 dias no exemplo na etapa 2).

  • Os aplicativos pedem que os usuários façam logon novamente usando a MFA.

Mais informações

Efeitos sobre o portal de fluxo e experiências incorporadas

Esta seção detalha alguns dos efeitos negativos que o acesso condicional pode ter em usuários em sua organização que usam o fluxo para se conectar aos serviços da Microsoft relevantes para uma política.  

Efeito 1: falha em execuções futuras

Se você habilitar uma política de acesso condicional após a criação de fluxos e conexões, os fluxos falharão em execuções futuras. Os proprietários das conexões verão a seguinte mensagem de erro no portal de fluxo durante a investigação das execuções com falha:

AADSTS50076: devido a uma alteração de configuração feita pelo administrador ou da mudança para um novo local, você deve usar a autenticação multifator para acessar o serviço de <>.

Detalhes da mensagem de erro, incluindo tempo, Status, erro, detalhes do erro e como corrigir Quando os usuários exibem conexões no portal de fluxo, eles vêem uma mensagem de erro semelhante à seguinte:

Erro de status que os usuários veem no fluxo dizendo Falha ao atualizar o token de acesso de serviço

Para solucionar esse problema, os usuários devem entrar no portal de fluxo em condições que correspondam à política de acesso do serviço que ele está tentando acessar (como multifator, rede corporativa e assim por diante) e, em seguida, reparar ou recriar a conexão.  

Efeito 2: falha na criação automática da conexão

Se os usuários não entrarem em fluxo usando critérios que correspondam às políticas, a criação automática de conexão para serviços da Microsoft de terceiros controlados pelas políticas de acesso condicional falhará. Os usuários devem criar e autenticar manualmente as conexões usando critérios que correspondam à política de acesso condicional do serviço que tentam acessar. Esse comportamento também se aplica a modelos de 1 clique que são criados a partir do portal de fluxo.

Erro na criação de conexão automática com AADSTS50076

Para solucionar esse problema, os usuários devem entrar no portal de fluxo em condições que correspondam à política de acesso do serviço que tentam acessar (como multifator, rede corporativa e assim por diante) antes de criar um modelo.  

Efeito 3: os usuários não podem criar uma conexão diretamente

Se os usuários não entrarem no fluxo usando critérios que correspondam às políticas, eles não poderão criar uma conexão diretamente, seja por meio de PowerApps ou de fluxo. Os usuários visualizam a seguinte mensagem de erro quando tentam criar uma conexão:

AADSTS50076: devido a uma alteração de configuração feita pelo administrador ou da mudança para um novo local, você deve usar a autenticação multifator para acessar o serviço de <>.

Erro AADSTS50076 ao tentar criar uma conexão

Para solucionar esse problema, os usuários devem entrar em condições que correspondam à política de acesso do serviço que ele está tentando acessar e, em seguida, recriar a conexão.  

Efeito 4: as pessoas e os seletores de email no portal de fluxo falham

Se o Exchange Online ou o acesso ao SharePoint for controlado por uma política de acesso condicional e se os usuários não entrarem no fluxo na mesma política, as pessoas e os seletores de email no portal de fluxo falharão. Os usuários não podem obter resultados completos para grupos na organização ao executarem as seguintes consultas (os grupos do Office 365 não serão retornados para essas consultas):

  • Tentando compartilhar a propriedade ou somente permissões de execução para um fluxo

  • Selecionar endereços de email ao criar um fluxo no designer

  • Selecionar pessoas no painel fluxo de execução ao selecionar entradas para um fluxo

Efeito 5: usando recursos de fluxo incorporados em outros serviços da Microsoft

Quando um fluxo é inserido nos serviços da Microsoft como o SharePoint, o PowerApps, o Excel e o Microsoft Teams, os usuários do fluxo também estão sujeitos ao acesso condicional e às políticas de vários fatores com base na forma como são autenticados para o serviço de host. Por exemplo, se um usuário entrar no SharePoint usando a autenticação de fator único, mas tentar criar ou usar um fluxo que exija acesso multifator ao Microsoft Graph, o usuário receberá uma mensagem de erro.  

Efeito 6: compartilhando fluxos usando bibliotecas e listas do SharePoint

Quando você tenta compartilhar as permissões de propriedade ou somente execução usando as listas e bibliotecas do SharePoint, o fluxo não pode fornecer o nome de exibição das listas. Em vez disso, exibe o identificador exclusivo de uma lista. Os blocos de proprietário e somente de execução na página de propriedades de fluxo de fluxos já compartilhados poderão exibir o identificador, não o nome de exibição.

Além disso, os usuários também podem não conseguir descobrir ou executar seus fluxos no SharePoint. Isso porque, no momento, as informações da política de acesso condicional não são passadas entre automatização de energia e SharePoint para permitir que o SharePoint tome uma decisão de acesso.

Compartilhar fluxos com bibliotecas e listas do SharePoint

Os proprietários podem ver a url do site e ID da lista  

Efeito 7: criação de fluxos de check-in-of-Box do SharePoint

Relacionados ao efeito 6, a criação e a execução de fluxos de check-in-box do SharePoint, como os fluxos "solicitação de aprovação" e "aprovação de página", podem ser bloqueadas por políticas de acesso condicional. A documentação do SharePoint em políticas de acesso condicional indica que essas políticas podem causar problemas de acesso que afetam os aplicativos de terceiros e de terceiros. 

Esse cenário se aplica ao local de rede e às políticas de acesso condicional (como "impedir dispositivos não gerenciados"). O suporte para a criação de fluxos de check-in-box do SharePoint está em desenvolvimento no momento. Publicaremos mais informações neste artigo quando esse suporte estiver disponível.

Na interim, recomendamos que os usuários criem fluxos semelhantes e compartilhem esses fluxos manualmente com os usuários desejados ou para desabilitar políticas de acesso condicional se essa funcionalidade for necessária.

Precisa de mais ajuda?

Expanda suas habilidades
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Microsoft Insider

Estas informações foram úteis?

Obrigado por seus comentários!

×