简介

条件访问是 Azure Active Directory (Azure AD)的一项功能,使你可以控制用户访问应用程序和服务的方式和时间。 尽管它有用,但你应该知道,使用条件访问可能对组织中的用户产生不利或意外影响,这些用户使用 Microsoft 流程连接到与条件访问策略相关的 Microsoft 服务。

摘要

条件访问策略通过 Azure 门户进行管理,可能有多个要求,包括(但不限于)以下各项:

  • 用户必须使用多重身份验证(MFA) (通常是密码加生物识别或其他设备)登录才能访问某些或所有云服务。

  • 用户只能从其公司网络访问部分或所有云服务,而不能从其家庭网络访问。

  • 用户只能使用经过批准的设备或客户端应用程序访问某些或所有云服务。

以下屏幕截图显示了一个 MFA 策略示例,该示例要求特定用户在访问 Azure 管理门户时进行 MFA。

Require multi-factor authorization for a user when accessing the Azure Management portal

你还可以从 Azure 门户打开 MFA 配置。 若要执行此操作,请选择 " Azure Active Directory >用户和组" >所有用户>多重身份验证",然后使用"服务设置"选项卡配置策略。

Select Multi-Factor Authentication from Azure portal 也可以从Microsoft 365 管理中心配置 MFA。 Office 365 订阅者可以使用 Azure MFA 功能的子集。 有关如何启用 MFA 的详细信息,请参阅为 Office 365 用户设置多重身份验证。 

Select Azure multi-factor authentication from Office 365 admin center

The remember multi-factor authentication option details

"记住多重身份验证" 设置可帮助你通过使用永久性 cookie 减少用户登录次数。 此策略控制为受信任的设备记住多因素身份验证的 Azure AD 设置。

很遗憾,此设置将更改使流连接每隔14天过期的令牌策略设置。 这是在启用 MFA 后,流连接更频繁地失败的常见原因之一。 我们建议您不要使用此设置。 相反,你可以通过使用以下令牌生存期策略来实现相同的功能。

启用 MFA 后推荐的令牌生存期设置

条件访问流的主要不利影响是由下表中的设置导致的。 下表显示了令牌生命周期设置的默认值。 我们建议您不要更改这些值。

设置

推荐值

对流程的影响

MaxInactiveTime

90天

如果任何流连接均处于空闲状态(通过流程运行)超过此时间跨度,则在到期时间失败后将运行任何新流,并返回以下错误:

AADSTS70008:由于处于不活动状态,刷新令牌已过期。 令牌是按时发出的,在90.00:00: 00 中处于非活动状态

MaxAgeMultiFactor

直到被吊销

此设置控制多因素刷新令牌(流连接中使用的令牌类型)的有效期。

默认设置表示不会对可使用流连接的时间有一定的限制,除非租户管理员专门撤消用户的访问权限。

将此值设置为任何固定时间跨度意味着在该持续时间(无论使用或不活动)之后,流连接将失效,流程运行失败。 出现这种情况时,将生成以下错误消息。 此错误要求用户修复或重新创建连接:

AADSTS50076:由于管理员所做的配置更改,或者你已移动到新位置,因此必须使用多重身份验证访问 .。。

MaxAgeSingleFactor

直到被吊销

此设置与MaxAgeMultiFactor  设置相同,但适用于单因素刷新令牌。

MaxAgeSessionMultiFactor

直到被吊销

流连接无直接影响。 此设置定义 web 应用的用户会话的到期时间。 管理员可以更改此设置,具体取决于用户在用户会话过期之前登录 web 应用的频率。

某些配置为启用多因素的部分设置可能会影响流连接。 当从Microsoft 365 管理中心启用 MFA 并选中 "记住多重身份验证设置" 时,配置的值将覆盖默认令牌策略设置MaxAgeMultiFactorMaxAgeSessionMultiFactor。MaxAgeMultiFactor过期时,流连接开始失败   ,并且它要求用户使用显式登录来修复连接。

我们建议你使用令牌策略,而不是 "记住多重身份验证" 设置来配置MaxAgeMultiFactor 和 MaxAgeSessionMultiFactor设置的不同值。 令牌策略允许流连接在同时控制 Office 365 web 应用的用户登录会话的同时保持正常工作。 MaxAgeMultiFactor必须有一个相当长的一段时间-理想的,即撤回值。 这是为了使流连接继续正常工作,直到管理员撤销刷新令牌。 MaxAgeSessionMultiFactor会影响用户登录会话。 租户管理员可以选择所需的值,具体取决于他们希望用户在会话过期之前登录到 Office 365 web 应用的频率。

若要查看组织中的 Active Directory 策略,可以使用以下命令。Azure Active Directory 中的可配置令牌生存期(预览版)文档提供有关查询和更新组织中的设置的具体说明。

查看现有令牌生命周期策略

Install-Module AzureADPreview
PS C:\WINDOWS\system32> Connect-AzureAD
PS C:\WINDOWS\system32> Get-AzureADPolicy

运行下一节中的命令,在以下情况下创建策略或更改现有策略:

  • "记住多重身份验证" 设置已从 Microsoft 365 管理中心启用。

  • 现有令牌生存期策略是使用MaxAgeMultiFactor设置的短过期值配置的。

创建新的令牌生存期策略

PS C:\WINDOWS\system32>  New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1,"MaxAgeMultiFactor":"until-revoked","MaxAgeSessionMultiFactor":"14.00:00:00"}}') -DisplayName "DefaultPolicyScenario" -IsOrganizationDefault $true -Type "TokenLifetimePolicy"

更改现有令牌生存期策略

如果默认组织策略已存在,请按照以下步骤更新并重写设置:

  1. 运行以下命令以查找将IsOrganizationalDefault属性设置为TRUE的策略 ID:   get-azureadpolicy

  2. 运行以下命令更新令牌策略设置:   PS > Set-AzureADPolicy -Id <PoliycId> -DisplayName "<PolicyName>" -Definition @('{"TokenLifetimePolicy":{"Version":1,"MaxAgeMultiFactor":"until-revoked","MaxAgeSessionMultiFactor":"14.00:00:00"}}}}')

    注意 必须将原始策略中配置的任何其他设置复制到此命令中。

配置策略后,租户管理员可以清除 "记住多重身份验证" 复选框,因为用户会话的过期是使用令牌生存期策略配置的。 令牌生存期策略设置确保流连接在以下情况下继续正常工作:

  • Office 365 web 应用配置为在X天后过期用户会话(步骤2中的14天)。

  • 应用要求用户使用 MFA 再次登录。

更多信息

流门户和嵌入式体验的影响

本节详细介绍条件访问对组织中的用户可以使用流连接与策略相关的 Microsoft 服务的一些不利影响。  

效果1:未来运行失败

如果在创建流和连接后启用条件访问策略,则流将在将来运行时失败。 当这些连接的所有者调查失败的运行时,将在流门户中看到以下错误消息:

AADSTS50076:由于管理员所做的配置更改,或者你已移动到新位置,因此必须使用多重身份验证来访问 <服务>。

Details of the error message including Time, Status, Error, Error Details, and how to fix 当用户查看流门户上的连接时,它们会看到类似于以下内容的错误消息:

Status error that users see in Flow saying failed to refresh access token for service

若要解决此问题,用户必须登录条件与他们尝试访问的服务(如多因素、公司网络等)的访问策略相匹配的流门户,然后修复或重新创建连接。  

效果2:自动连接创建失败

如果用户不通过使用与策略匹配的条件登录到流,则自动连接创建到由条件访问策略控制的第一方 Microsoft 服务将失败。 用户必须使用与用户尝试访问的服务的条件访问策略匹配的条件,手动创建和验证连接。 此行为也适用于从流门户创建的1单击模板。

Automatic connection creation error with AADSTS50076

若要解决此问题,用户必须在条件下登录流门户,条件与他们在创建模板之前尝试访问的服务的访问策略(如多因素、公司网络等)相匹配。  

效果3:用户无法直接创建连接

如果用户不通过使用与策略匹配的条件登录到流,则他们不能通过 PowerApps 或流程直接创建连接。 用户尝试创建连接时看到以下错误消息:

AADSTS50076:由于管理员所做的配置更改,或者你已移动到新位置,因此必须使用多重身份验证来访问 <服务>。

AADSTS50076 error when attempting to create a connection

若要解决此问题,用户必须登录与他们尝试访问的服务的访问策略匹配的条件,然后重新创建连接。  

效果4:流门户上的人员和电子邮件选取器失败

如果 Exchange Online 或 SharePoint 访问由条件访问策略控制,并且如果用户未登录到流中的相同策略,则流门户上的人员和电子邮件选取器将失败。 当用户执行以下查询时,用户无法获取其组织中的组的完整结果(这些查询不会返回 Office 365 组):

  • 尝试为流共享所有权或仅运行权限

  • 在设计器中生成流时选择电子邮件地址

  • 选择流的输入时,在 "流程运行" 面板中选择 "人员"

效果5:使用嵌入在其他 Microsoft 服务中的流功能

当流嵌入在 Microsoft services (如 SharePoint、PowerApps、Excel 和团队)中时,流用户还将根据其对主机服务进行身份验证的方式受到条件访问和多重策略的制约。 例如,如果用户使用单因素身份验证登录到 SharePoint,但尝试创建或使用需要对 Microsoft Graph 进行多重访问的流,用户会收到一条错误消息。  

效果6:使用 SharePoint 列表和库共享流

当你尝试使用 SharePoint 列表和库来共享所有权或仅运行权限时,流无法提供列表的显示名称。 而是显示列表的唯一标识符。 已共享流的 "属性" 页面上的 "所有者" 和 "仅运行" 图块将能够显示标识符,而不是显示名称。

更重要的是,用户也可能无法从 SharePoint 发现或运行其流。 这是因为当前,条件访问策略信息不会在 "Power 自动化" 和 "SharePoint" 之间传递,从而使 SharePoint 能够做出访问决策。

Share Flows with SharePoint lists and libraries

Owners can see the site url and list ID  

效果7:创建 SharePoint "外" 流

与效果6相关的是,SharePoint 外接程序流的创建和执行(如 "请求注销" 和 "页面审批" 流)可由条件访问策略阻止。 条件访问策略上的 SharePoint 文档指示这些策略可能会导致影响第一方和第三方应用的访问问题。 

此方案既适用于网络位置,也适用于条件访问策略(如 "禁止非托管设备")。 目前正在开发对 SharePoint 外流的创建的支持。 如果此支持可用,我们将在本文中发布详细信息。

在这种情况下,我们建议用户创建类似流本身,并手动与所需用户共享这些流,或者,如果需要此功能,则禁用条件访问策略。

需要更多帮助?

扩展你的技能
了解培训
抢先获得新功能
加入 Microsoft 内部人员

此信息是否有帮助?

你对翻译质量的满意程度如何?
哪些因素影响了你的体验?

谢谢您的反馈意见!

×