Uvod

Pogojni dostop je funkcija storitve Azure Active Directory (Azure AD), s katere lahko nadzorujete, kako in kdaj lahko uporabniki dostopajo do aplikacij in storitev. Čeprav je pogojni dostop uporaben, morate vedeti, da ima lahko uporaba pogojnega dostopa vpliv na uporabnike v organizaciji, ki uporabljajo Microsoft Flow za povezovanje s pravilniki za Microsoftove storitve, ki so pomembni za pravilnike o pogojnem dostopu.

Povzetek

Pravilniki o pogojnem dostopu se upravljajo prek portala Azure in lahko vključujejo več zahtev, vključno s (vendar ne omejeno na) to:

  • Uporabniki se morajo vpisati z večkratno preverjanjem pristnosti (MFA) (običajno z geslom in biometričnimi ali drugimi napravami) za dostop do nekaterih ali vseh storitev v oblaku.

  • Uporabniki lahko do nekaterih ali vseh storitev v oblaku dostopajo le v omrežju podjetja in ne v domačem omrežju.

  • Uporabniki lahko za dostop do nekaterih ali vseh storitev v oblaku uporabljajo le odobrene naprave ali odjemalske aplikacije.

Na tem posnetku zaslona je prikazan primer pravilnika storitve MFA, ki zahteva storitev MFA za določene uporabnike, ko dostopajo do portala za upravljanje Azure.

Zahtevanje storitve Multi-Factor Authorization za uporabnika pri dostopanju do portala Azure Management Portal

Konfiguracijo storitve MFA lahko odprete tudi na portalu Azure. To naredite tako, da izberete Azure Active Directory > Uporabniki > skupine> Večkratno preverjanje pristnosti in nato konfigurirate pravilnike na zavihku Nastavitve storitve.



Izberite Multi-Factor Authentication v portalu Azure Storitev MFA lahko konfigurirate tudi v Skrbniško središče za Microsoft 365. Podnabor zmogljivosti storitve Azure MFA je na voljo Office 365 naročnikom. Če želite več informacij o tem, kako omogočite večkratno preverjanje pristnosti, glejte Nastavitev storitve Multi-Factor Authentication Office 365 uporabnikih

V skrbniškem središču za Office Office 365 Azure Multi-Factor Authentication

Podrobnosti možnosti večkratnega preverjanja pristnosti

Zapomnite si nastavitev večkratnega preverjanja pristnosti vam pomaga zmanjšati število prijav uporabnikov tako, da uporabite trajni piškotek. Ta pravilnik nadzira nastavitve imenika Azure AD, navedene v zbirki Remember Multi-Factor Authentication za zaupanja vredne naprave.

Žal s to nastavitvijo spremenite nastavitve pravilnika žetonov, zaradi Flow povezave potečejo vsakih 14 dni. To je eden od pogostih razlogov, zakaj Flow povezave ne uspejo pogosteje, ko omogočite večkratno uporabo storitve MFA. Priporočamo, da te nastavitve ne uporabljate. Enako funkcionalnost lahko dosežete tako, da uporabite ta pravilnik o življenjskem žetonu.

Priporočene nastavitve življenjske dobe žetona, ko je omogočena možnost »MFA«

Primarni vpliv pogojnega dostopa do storitve Flow je posledica nastavitev v tej tabeli. V tabeli so prikazane privzete vrednosti za vse nastavitve življenjske dobe žetona. Priporočamo, da teh vrednosti ne spreminjate.

Nastavitev

Priporočena vrednost

Učinek na Flow

MaxInactiveTime

90 dni

Če je katera Flow povezava nedejavna (ki jo Flow uporabi funkcija Flow) dlje časa od tega časovnega razpona, se morebitne nove povezave Flow ne zaženejo po poteku obdobja, zato vrne to napako:

AADSTS70008: Žeton za osvežitev je potekel zaradi nedejavnosti. Žeton je bil izdan ob času in je bil nedejaven 90.00:00:00

MaxAgeMultiFactor

Until-Revoked

Ta nastavitev nadzoruje, koliko časa so veljavni žetoni za večkratno osveževanje (vrste žetonov, uporabljenih v Flow povezave).

Privzeta nastavitev pomeni, da dejansko ni nobene omejitve glede tega, kako dolgo je mogoče uporabljati Flow povezavo – razen če skrbnik najemnika posebej prekliče dostop uporabnika.

Če to vrednost nastavite na katero koli nespremenljivo obdobje, to pomeni, da po tem trajanju (ne glede na uporabo ali nedejavnost) povezava Flow postane neveljavna in Flow se nato zažene. Ko pride do tega, se ustvari to sporočilo o napaki. Ta napaka zahteva, da uporabniki popravijo ali znova ustvarijo povezavo:

AADSTS50076: Zaradi spremembe konfiguracije, ki jo je naredil skrbnik, ali ker ste se premaknili na novo mesto, morate za dostop do ...

MaxAgeSingleFactor

Until-Revoked

Ta nastavitev je enaka kot nastavitev MaxAgeMultiFactorsetting , vendar za žetone za enkratno osveževanje.

MaxAgeSessionMultiFactor

Until-Revoked

V povezavah ni neposrednega Flow povezave. Ta nastavitev določa potek uporabniške seje za spletne aplikacije. To nastavitev lahko skrbniki spremenijo glede na to, kako pogosto se želijo uporabniki vpisati v spletne aplikacije, preden uporabniška seja poteče.


Nekatere nastavitve, ki so konfigurirane kot del omogočanja večkratnega dejavnika, lahko vplivajo na Flow povezave. Ko je storitev MFA omogočena v strežniku Skrbniško središče za Microsoft 365 in je izbrana nastavitev storitve Multi-Factor Authentication, konfigurirana vrednost preglasi privzete nastavitve pravilnika žetonov, MaxAgeMultiFactor in MaxAgeSessionMultiFactor. Flow se začnejo neuspešne, ko se MaxAgeMultiFactorexpires , in zahteva, da uporabnik uporabi eksplicitno prijavo, da popravi povezave.

Priporočamo, da namesto nastavitve storitve Multi-Factor Authentication uporabite pravilnik žetona, da konfigurirate različne vrednosti za nastavitvi MaxAgeMultiFactor in MaxAgeSessionMultiFactor . Pravilnik žetona omogoča, Flow povezave še naprej delajo, hkrati pa nadzirajo sejo prijave uporabnika za spletne Office 365 spletne aplikacije. MaxAgeMultiFactor mora imeti razumno daljše obdobje – v idealnem primeru je Until-Revoked vrednost. To je zato, Flow bodo povezave še naprej delale, dokler skrbnik ne prekliče žetona za osvežitev. MaxAgeSessionMultiFactor vpliva na sejo prijave uporabnika. Skrbniki najemnika lahko izbrali vrednost, ki jo želijo, odvisno od tega, kako pogosto želijo, da se uporabniki vpišejo v Office 365 spletne aplikacije, preden seja poteče.

Če si želite ogledati pravilnike imenika Active Directory v organizaciji, lahko uporabite te ukaze. V dokumentu z življenjsko dobo žetona Azure Active Directory ki ga je mogoče konfigurirati (predogled) so na voljo določena navodila za poizvedovanje in posodabljanje nastavitev v organizaciji.

Ogled pravilnikov o življenjskem žetonu

Install-Module AzureADPreview
PS C:\WINDOWS\system32> Connect-AzureAD
PS C:\WINDOWS\system32> Get-AzureADPolicy


Zaženite ukaze v naslednjih razdelkih, da ustvarite pravilnik ali spremenite obstoječi pravilnik v teh primerih:

  • Nastavitev večkratnega preverjanja pristnosti je omogočena v Skrbniško središče za Microsoft 365.

  • Obstoječi pravilnik o življenjskem času žetona je konfiguriran tako, da se uporabi vrednost kratke vrednosti poteka za nastavitev MaxAgeMultiFactor .

Ustvarjanje novega pravilnika o življenjskem žetonu

PS C:\WINDOWS\system32>  New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1,"MaxAgeMultiFactor":"until-revoked","MaxAgeSessionMultiFactor":"14.00:00:00"}}') -DisplayName "DefaultPolicyScenario" -IsOrganizationDefault $true -Type "TokenLifetimePolicy"


Spreminjanje obstoječega pravilnika o življenjskem žetonu

Če privzeti pravilnik organizacije že obstaja, posodobite in preglasite nastavitve tako, da sledite tem korakom:

  1. Zaženite ta ukaz, da najdete ID pravilnika, ki ima atribut IsOrganizationalDefault nastavljen na True:
      get-azureadpolicy

  2. Zaženite ta ukaz, da posodobite nastavitve pravilnika žetona:
      PS > Set-AzureADPolicy -Id <PravilnikycId> -DisplayName "<PolicyName>" -Definition @('{"TokenLifetimePolicy":{"Version":1,"MaxAgeMultiFactor":"until-revoked","MaxAgeSessionMultiFactor":"14.00:00:00"}}}')


    Opomba V ta ukaz morate kopirati vse dodatne nastavitve, ki so konfigurirane v izvirnem pravilniku.

Ko konfigurirate pravilnik, lahko skrbniki najemnika počistijo potrditveno polje Multi-Factor Authentication , ker je potek uporabniške seje konfiguriran z uporabo pravilnika življenjske dobe žetona. Nastavitve pravilnika življenjske dobe žetona poskrbijo, Flow bodo povezave še naprej delovale v teh pogojih:

  • Office 365 programi so konfigurirani tako, da potečejo uporabnikova seja po X dneh (14 dni, v 2. koraku).

  • Aplikacije od uporabnikov zahtevajo, da se znova prijavijo s storitvijo MFA.

Več informacij

Učinki na Flow in vdelanih izkušnjah

V tem razdelku so podrobno navedeni nekateri vplivi, ki jih pogojni dostop lahko ima na uporabnike v organizaciji, ki uporabljajo Flow za povezovanje s Microsoftove storitve pomembnimi s pravilnikom.
 

Učinek 1: Napaka v prihodnjem deluje

Če omogočite pravilnik pogojnega dostopa po tem, ko so poteki in povezave ustvarjeni, poteki v prihodnje ne bodo uspeli. Ko bodo lastniki povezav raziskali neuspeli zagon, bodo v portalu storitve Flow videli to sporočilo o napaki:

AADSTS50076: Zaradi spremembe konfiguracije, ki jo je naredil skrbnik, ali ker ste se premaknili na novo mesto, morate za dostop do storitve <uporabiti storitev> .




Podrobnosti sporočila o napaki, vključno s podatki o času, stanju, napaki, podrobnosti o napaki in odpravljanju napake Ko si uporabniki ogledajo povezave Flow portalu, vidijo sporočilo o napaki, podobno tem:

Napaka stanja, ki se prikaže uporabnikom Flow, da ni bilo mogoče osvežiti žetona za dostop za storitev

Če želijo uporabniki odpraviti to težavo, se morajo vpisati v portal za Flow pod pogoji, ki ustrezajo pravilniku za dostop storitve, do katerih želijo dostopati (na primer multi-factor, omrežje podjetja itn.), nato pa popraviti ali znova ustvariti povezavo.
 

Učinek 2: Napaka pri samodejnem ustvarjanju povezave

Če se uporabniki ne vpišejo v Flow s pogoji, ki se ujemajo s pravilniki, samodejna ustvarjanje povezave do storitve Microsoftove storitve ki jih nadzirajo pravilniki za pogojni dostop, ne uspe. Uporabniki morajo ročno ustvariti povezave in preveriti pristnost povezav tako, da uporabljajo pogoje, ki se ujemajo s pravilnikom o pogojnem dostopu storitve, do katerih poskušajo dostopati. To delovanje velja tudi za predloge z enim klikom, ki so ustvarjene s Flow strani.

Napaka pri samodejnem ustvarjanju povezave z AADSTS50076

Če želijo uporabniki odpraviti to težavo, se morajo vpisati v portal za Flow v skladu s pogoji, ki ustrezajo pravilniku o dostopu storitve, do katerih poskušajo dostopati (na primer multi-factor, omrežje podjetja itn.), preden ustvarijo predlogo.
 

3. učinek: uporabniki ne morejo neposredno ustvariti povezave

Če se uporabniki ne vpišejo v Flow s pogoji, ki se ujemajo s pravilniki, ne morejo ustvariti povezave neposredno prek storitve PowerApps ali prek Flow. Ko uporabniki poskušajo ustvariti povezavo, vidijo to sporočilo o napaki:

AADSTS50076: Zaradi spremembe konfiguracije, ki jo je naredil skrbnik, ali ker ste se premaknili na novo mesto, morate za dostop do storitve <uporabiti storitev> .


Napaka AADSTS50076 pri poskusu ustvarjanja povezave

Če želite odpraviti to težavo, se morajo uporabniki vpisati v skladu s pogoji, ki ustrezajo pravilniku za dostop storitve, do katerih želijo dostopati, in nato znova ustvariti povezavo.
 

4. učinek: Uporabniki in izbirniki e-pošte v Flow niso uspeli

Če Exchange Online ali SharePoint za dostop nadzira pravilnik o pogojnem dostopu in se uporabniki ne vpišejo v Flow v skladu z istim pravilnikom, osebe in izbirniki e-pošte v portalu storitve Flow ne uspejo. Uporabniki ne morejo dobiti vseh rezultatov za skupine v organizaciji, ko izvajajo te poizvedbe (Office 365 skupine ne bodo vrnjene za te poizvedbe):

  • Poskus skupne rabe lastništva ali dovoljenj le za zagon za tok

  • Selecting email addresses when building a flow in the designer

  • Selecting people in the Flow Run panel when selecting inputs to a flow


Učinek 5: Uporaba funkcij toka, vdelanih v druge Microsoftove storitve

Ko je tok vdelan v storitev Microsoftove storitve, kot so SharePoint, PowerApps, Excel in Teams, za uporabnike toka veljajo tudi pogojni dostop in pravilniki z več dejavniki, ki temeljijo na tem, kako so preverjali pristnost gostiteljske storitve. Če se na primer uporabnik v SharePoint v storitev SharePoint enkratnim preverjanjem pristnosti, vendar poskuša ustvariti ali uporabiti tok, ki zahteva večkratni dostop do storitve Microsoft Graph, uporabnik prejme sporočilo o napaki.
 

6. učinek: skupna raba potekov z SharePoint seznami in knjižnicami

Ko poskušate dati v skupno rabo lastništvo ali dovoljenja le za zagon z SharePoint seznami in knjižnicami, Flow ni mogoče prikazati prikazanega imena seznamov. Namesto tega prikaže enolični identifikator seznama. Lastnik in ploščice samo za zagon na strani z Flow za poteke, ki so že v skupni rabi, bodo lahko prikazali identifikator in ne prikazanega imena.

Uporabniki morda tudi ne bodo mogli odkriti ali zagnati svojih tokov iz SharePoint. Do tega zato, ker informacije pravilnika o pogojnem dostopu trenutno niso posredovane med Power Automate in SharePoint, SharePoint lahko sprejme odločitev o dostopu.

Skupna raba tokov SharePoint seznami in knjižnicami

Lastniki si lahko ogledajo URL mesta in ID seznama
 

Učinek 7: SharePoint vnaprej ustvarjenih tokov

V povezavi s učinkom 6 lahko ustvarjanje SharePoint izvajanje vnaprej ustvarjenih tokov, kot sta tokovi »Zahteva za prijavo« in »Odobritev strani«, blokirajo pravilniki pogojnega dostopa. SharePoint dokumentov o pravilnikih pogojnega dostopa označujejo, da lahko ti pravilniki povzročijo težave z dostopom, ki vplivajo na programe drugih iz drugih izdvajav. 

Ta scenarij velja tako za omrežno mesto kot tudi za pravilnike pogojnega dostopa (kot je »Disallow Unmanaged Devices«). Podpora za ustvarjanje novih SharePoint, ki so trenutno v razvoju. Ko bo ta podpora na voljo, bomo v tem članku objavili več informacij.

V začasnem času svetujemo uporabnikom, da sami ustvarijo podobne tokove in ročno delijo te tokove s želenimi uporabniki ali onemogočijo pravilnike o pogojnem dostopu, če je ta funkcija potrebna.

Ali potrebujete dodatno pomoč?

Razširite svoja znanja
Oglejte si izobraževanje

Vam je bila informacija v pomoč?

Kako ste zadovoljni s kakovostjo jezika?
Kaj je vplivalo na vašo izkušnjo?

Zahvaljujemo se vam za povratne informacije.

×