Microsoft Power Automate (Flow) 中的条件访问和多重身份验证的建议

  • 项目

条件访问是Microsoft Entra ID的一项功能,可用于控制用户访问应用程序和服务的方式和时间。 尽管它很有用,但你应该知道,使用条件访问可能会对组织中使用 Microsoft Power Automate (Flow) 连接到与条件访问策略相关的 Microsoft 服务的用户产生不利影响或意外影响。

适用于: Power Automate
原始 KB 编号: 4467879

建议

  • 不要 对受信任的设备使用记住多重身份验证 ,因为令牌生存期将缩短,并导致连接需要按配置的间隔刷新,而不是按标准扩展长度刷新。
  • 若要避免策略冲突错误,请确保登录到 Power Automate 的用户使用的条件与流所使用的连接策略相匹配。

详细信息

条件访问策略通过Azure 门户进行管理,并可能有多个要求,包括 (但不限于以下) :

  • 用户必须使用 多重身份验证 (MFA) 登录, (通常是密码加生物识别或其他设备) 才能访问部分或所有云服务。
  • 用户只能从其公司网络访问部分或所有云服务,而不能从其家庭网络访问。
  • 用户可能仅使用批准的设备或客户端应用程序来访问部分或所有云服务。

以下屏幕截图显示了一个 MFA 策略示例,该示例要求特定用户在访问 Azure 管理门户时进行 MFA。

屏幕截图显示了访问 Azure 管理门户时需要特定用户 M F A 的示例。

还可以从 Azure 门户打开 MFA 配置。 为此,请选择“Microsoft Entra ID>用户和组>所有用户>多重身份验证”,然后使用“服务设置”选项卡配置策略。

屏幕截图显示了从Azure 门户打开 M F A 配置的步骤。

还可以从 Microsoft 365 管理中心 配置 MFA。 Office 365订阅者可以使用一部分Microsoft Entra多重身份验证功能。 有关如何启用 MFA 的详细信息,请参阅为Office 365用户设置多重身份验证

屏幕截图显示可以从Microsoft 365 管理中心配置 M F A。

“记住多重身份验证”选项详细信息的屏幕截图。

“记住多重身份验证”设置可以帮助你使用持久性 Cookie 减少用户登录次数。 此策略控制记住受信任设备的多重身份验证中所述的Microsoft Entra设置。

遗憾的是,此设置更改使连接每 14 天过期的令牌策略设置。 这是启用 MFA 后连接更频繁失败的常见原因之一。 建议不要使用此设置。

对 Power Automate 门户和嵌入体验的影响

本部分详细介绍了条件访问对组织中使用 Power Automate 连接到与策略相关的 Microsoft 服务的用户可能产生的一些不利影响。

效果 1 - 将来运行失败

如果在创建流和连接后启用条件访问策略,则流在将来的运行时会失败。 连接所有者在调查失败的运行时,会在 Power Automate 门户中看到以下错误消息:

AADSTS50076:由于管理员进行了配置更改,或者已移动到新位置,必须使用多重身份验证来访问 <服务>。

错误详细信息的屏幕截图,包括时间、状态、错误、错误详细信息以及如何修复。

当用户在 Power Automate 门户中查看连接时,会看到类似于以下内容的错误消息:

Power Automate 门户中显示“无法刷新服务访问令牌”错误的屏幕截图。

若要解决此问题,用户必须在符合其尝试访问的服务的访问策略的条件(如多重、公司网络等) ) (登录到 Power Automate 门户,然后修复或重新创建连接。

效果 2 - 自动连接创建失败

如果用户未使用与策略匹配的条件登录到 Power Automate,则自动创建由条件访问策略控制的第一方 Microsoft 服务的连接会失败。 用户必须使用符合他们尝试访问的服务的条件访问策略来手动创建连接并进行身份验证。 此行为也适用于从 Power Automate 门户创建的一键式模板。

使用AADSTS50076自动创建连接错误的屏幕截图。

若要解决此问题,用户在创建模板之前,必须在与尝试访问的服务的访问策略匹配的情况下登录到 Power Automate 门户, (如多重、企业网络等) 。

效果 3 - 用户无法直接创建连接

如果用户未使用与策略匹配的条件登录到 Power Automate,则无法直接通过 Power Apps 或 Flow 创建连接。 用户在尝试创建连接时看到以下错误消息:

AADSTS50076:由于管理员进行了配置更改,或者已移动到新位置,必须使用多重身份验证来访问 <服务>。

尝试创建连接时AADSTS50076错误的屏幕截图。

若要解决此问题,用户必须在与尝试访问的服务的访问策略匹配的条件下登录,然后重新创建连接。

效果 4 - Power Automate 门户上的人员和电子邮件选取器失败

如果Exchange Online或 SharePoint 访问由条件访问策略控制,并且用户未在同一策略下登录到 Power Automate,则 Power Automate 门户上的人员和电子邮件选取器将失败。 用户在执行以下查询时,无法获取组织中组的完整结果, (Office 365 组将不会为这些查询返回) :

  • 尝试共享流所有权或仅运行权限
  • 在设计器中生成流时选择电子邮件地址
  • 选择流输入时,在“ 流运行 ”面板中选择人员

效果 5 - 使用其他 Microsoft 服务中嵌入的 Power Automate 功能

当流嵌入 Microsoft 服务(如 SharePoint、Power Apps、Excel 和 Teams)中时,Power Automate 用户也会受到条件访问和多重策略的约束,具体取决于他们向主机服务进行身份验证的方式。 例如,如果用户使用单因素身份验证登录到 SharePoint,但尝试创建或使用需要对 Microsoft Graph 进行多重访问的流,则用户会收到错误消息。

效果 6 - 使用 SharePoint 列表和库共享流

尝试使用 SharePoint 列表和库共享所有权或仅运行权限时,Power Automate 无法提供列表的显示名称。 而是显示列表的唯一标识符。 已共享流的流详细信息页上的所有者和仅运行磁贴将能够显示标识符,但不能显示显示名称。

更重要的是,用户可能也无法从 SharePoint 发现或运行其流。 这是因为,目前,条件访问策略信息不会在 Power Automate 和 SharePoint 之间传递,以使 SharePoint 能够做出访问决策。

与 SharePoint 列表和库共享流的屏幕截图。

屏幕截图显示网站 U L 和列表 ID 所有者可以看到。

效果 7 - 创建 SharePoint 现装流

与效果 6 相关,条件访问策略可能会阻止创建和执行 SharePoint 现成流,例如 请求注销 流和 页面审批 流。 基于网络位置控制对 SharePoint 和 OneDrive 数据的访问 表明,这些策略可能会导致影响第一方和第三方应用的访问问题。

此方案适用于网络位置和条件访问策略 (,例如禁止非托管设备) 。 目前正在开发对创建 SharePoint 现装流的支持。 当此支持可用时,我们将在本文中发布详细信息。

在此期间,我们建议用户自行创建类似的流,并手动与所需用户共享这些流,或禁用条件访问策略(如果需要此功能)。