Consigli per l'accesso condizionale e l'autenticazione a più fattori in Microsoft Power Automate (Flow)

  • Articolo

L'accesso condizionale è una funzionalità di Microsoft Entra ID che consente di controllare come e quando gli utenti possono accedere ad applicazioni e servizi. Nonostante la sua utilità, è necessario tenere presente che l'uso dell'accesso condizionale potrebbe avere un effetto negativo o imprevisto sugli utenti dell'organizzazione che usano Microsoft Power Automate (Flow) per connettersi ai servizi Microsoft rilevanti per i criteri di accesso condizionale.

Si applica a: Power Automate
Numero KB originale: 4467879

Suggerimenti

  • Non usare l'autenticazione a più fattori per i dispositivi attendibili perché la durata dei token si riduce e le connessioni richiedono l'aggiornamento all'intervallo configurato anziché alla lunghezza estesa standard.
  • Per evitare errori di conflitto dei criteri, assicurarsi che gli utenti che accedono a Power Automate usano criteri corrispondenti ai criteri per le connessioni usate da un flusso.

Dettagli

I criteri di accesso condizionale vengono gestiti tramite il portale di Azure e possono avere diversi requisiti, tra cui ( a titolo esemplificandolo) i seguenti:

  • Gli utenti devono accedere usando l'autenticazione a più fattori (MFA) ( in genere password più biometrica o altro dispositivo) per accedere ad alcuni o a tutti i servizi cloud.
  • Gli utenti possono accedere ad alcuni o a tutti i servizi cloud solo dalla rete aziendale e non dalle reti home.
  • Gli utenti possono usare solo dispositivi approvati o applicazioni client per accedere ad alcuni o a tutti i servizi cloud.

Lo screenshot seguente mostra un esempio di criteri MFA che richiede L'autenticazione a più fattori per utenti specifici quando accedono al portale di gestione di Azure.

Screenshot che mostra un esempio che richiede M F A per gli utenti specifici quando si accede al portale di gestione di Azure.

È anche possibile aprire la configurazione MFA dal portale di Azure. A tale scopo, selezionare Microsoft Entra ID>Utenti e gruppi>Tutti gli utenti>Multi-Factor Authentication e quindi configurare i criteri usando la scheda Impostazioni servizio.

Screenshot che mostra i passaggi per aprire la configurazione di M F A dal portale di Azure.

L'autenticazione a più fattori può essere configurata anche da interfaccia di amministrazione di Microsoft 365. Un subset di funzionalità di autenticazione a più fattori Microsoft Entra è disponibile per Office 365 sottoscrittori. Per altre informazioni su come abilitare MFA, vedere Configurare l'autenticazione a più fattori per gli utenti Office 365.

Screenshot che mostra che M F A può essere configurato da interfaccia di amministrazione di Microsoft 365.

Screenshot dei dettagli dell'opzione di autenticazione a più fattori.

L'impostazione Memorizza autenticazione a più fattori consente di ridurre il numero di accessi utente usando un cookie permanente. Questo criterio controlla le impostazioni Microsoft Entra documentate in Memorizza l'autenticazione a più fattori per i dispositivi attendibili.

Sfortunatamente, questa impostazione modifica le impostazioni dei criteri del token che fanno scadere le connessioni ogni 14 giorni. Questo è uno dei motivi comuni per cui le connessioni hanno esito negativo più frequentemente dopo l'abilitazione dell'autenticazione a più fattori. È consigliabile non usare questa impostazione.

Effetti sul portale di Power Automate ed esperienze incorporate

Questa sezione descrive in dettaglio alcuni degli effetti negativi che l'accesso condizionale può avere sugli utenti dell'organizzazione che usano Power Automate per connettersi ai servizi Microsoft rilevanti per un criterio.

Effetto 1 - Errore nelle esecuzioni future

Se si abilita un criterio di accesso condizionale dopo la creazione di flussi e connessioni, i flussi hanno esito negativo nelle esecuzioni future. I proprietari delle connessioni visualizzeranno il messaggio di errore seguente nel portale di Power Automate quando esaminano le esecuzioni non riuscite:

AADSTS50076: a causa di una modifica della configurazione apportata dall'amministratore o perché si è spostato in una nuova posizione, è necessario usare l'autenticazione a più fattori per accedere <al servizio>.

Screenshot dei dettagli dell'errore, tra cui Ora, Stato, Errore, Dettagli errore e come correggere.

Quando gli utenti visualizzano le connessioni nel portale di Power Automate, viene visualizzato un messaggio di errore simile al seguente:

Screenshot dell'errore Non è stato possibile aggiornare il token di accesso per gli utenti del servizio visualizzato nel portale di Power Automate.

Per risolvere questo problema, gli utenti devono accedere al portale di Power Automate in condizioni che corrispondono ai criteri di accesso del servizio a cui stanno tentando di accedere (ad esempio multi-factor, rete aziendale e così via) e quindi ripristinare o ricreare la connessione.

Effetto 2 - Errore di creazione automatica della connessione

Se gli utenti non accedono a Power Automate usando criteri che corrispondono ai criteri, la creazione automatica della connessione ai servizi Microsoft di prima parte controllati dai criteri di accesso condizionale non riesce. Gli utenti devono creare e autenticare manualmente le connessioni usando criteri che corrispondono ai criteri di accesso condizionale del servizio a cui tentano di accedere. Questo comportamento si applica anche ai modelli con 1 clic creati dal portale di Power Automate.

Screenshot dell'errore di creazione automatica della connessione con AADSTS50076.

Per risolvere questo problema, gli utenti devono accedere al portale di Power Automate in condizioni che corrispondono ai criteri di accesso del servizio a cui tentano di accedere (ad esempio multi-factor, rete aziendale e così via) prima di creare un modello.

Effetto 3: gli utenti non possono creare direttamente una connessione

Se gli utenti non accedono a Power Automate usando criteri che corrispondono ai criteri, non possono creare una connessione direttamente, tramite Power Apps o Flow. Quando tentano di creare una connessione, gli utenti visualizzano il messaggio di errore seguente:

AADSTS50076: a causa di una modifica della configurazione apportata dall'amministratore o perché si è spostato in una nuova posizione, è necessario usare l'autenticazione a più fattori per accedere <al servizio>.

Screenshot dell'errore AADSTS50076 durante il tentativo di creare una connessione.

Per risolvere questo problema, gli utenti devono accedere in condizioni che corrispondono ai criteri di accesso del servizio a cui stanno tentando di accedere e quindi ricreare la connessione.

Effetto 4: i Persone e i selezionatori di posta elettronica nel portale di Power Automate hanno esito negativo

Se Exchange Online o l'accesso a SharePoint è controllato da un criterio di accesso condizionale e se gli utenti non accedono a Power Automate con gli stessi criteri, le persone e i selezionatori di posta elettronica nel portale di Power Automate hanno esito negativo. Gli utenti non possono ottenere risultati completi per i gruppi nell'organizzazione quando eseguono le query seguenti (Office 365 gruppi non verranno restituiti per queste query):

  • Tentativo di condividere le autorizzazioni di proprietà o di sola esecuzione in un flusso
  • Selezione degli indirizzi di posta elettronica durante la compilazione di un flusso nella finestra di progettazione
  • Selezione di persone nel pannello Esecuzioni flusso quando si selezionano gli input in un flusso

Effetto 5 - Uso delle funzionalità di Power Automate incorporate in altri servizi Microsoft

Quando un flusso è incorporato nei servizi Microsoft, ad esempio SharePoint, Power Apps, Excel e Teams, anche gli utenti di Power Automate sono soggetti all'accesso condizionale e ai criteri a più fattori in base alla modalità di autenticazione al servizio host. Ad esempio, se un utente accede a SharePoint usando l'autenticazione a fattore singolo, ma tenta di creare o usare un flusso che richiede l'accesso a più fattori a Microsoft Graph, l'utente riceve un messaggio di errore.

Effetto 6 - Condivisione di flussi tramite elenchi e raccolte di SharePoint

Quando si tenta di condividere le autorizzazioni di proprietà o di sola esecuzione usando elenchi e raccolte di SharePoint, Power Automate non può fornire il nome visualizzato degli elenchi. Viene invece visualizzato l'identificatore univoco di un elenco. I riquadri proprietario e di sola esecuzione nella pagina dei dettagli del flusso per i flussi già condivisi potranno visualizzare l'identificatore, ma non il nome visualizzato.

Ancora più importante, gli utenti potrebbero anche non essere in grado di individuare o eseguire i propri flussi da SharePoint. Questo perché, attualmente, le informazioni sui criteri di accesso condizionale non vengono passate tra Power Automate e SharePoint per consentire a SharePoint di prendere una decisione di accesso.

Screenshot per condividere i flussi con elenchi e raccolte di SharePoint.

Screenshot che mostra il sito U R L e i proprietari dell'ID elenco possono visualizzare.

Effetto 7 - Creazione di flussi predefiniti di SharePoint

In relazione all'effetto 6, la creazione e l'esecuzione di flussi predefiniti di SharePoint, ad esempio i flussi Di approvazione richiesta e Approvazione pagina , possono essere bloccati dai criteri di accesso condizionale. Controllare l'accesso ai dati di SharePoint e OneDrive in base alla posizione di rete indica che questi criteri possono causare problemi di accesso che interessano app di prima e di terze parti.

Questo scenario si applica sia al percorso di rete che ai criteri di accesso condizionale ,ad esempio Non consentire dispositivi non gestiti. Il supporto per la creazione di flussi predefiniti di SharePoint è attualmente in fase di sviluppo. Verranno visualizzate altre informazioni in questo articolo quando questo supporto diventa disponibile.

Nel frattempo, si consiglia agli utenti di creare autonomamente flussi simili e di condividere manualmente questi flussi con gli utenti desiderati o di disabilitare i criteri di accesso condizionale se questa funzionalità è necessaria.