Microsoft Power Automate (Flow 中的條件式存取和多重要素驗證建議)
條件式存取是 Microsoft Entra ID 的功能,可讓您控制使用者存取應用程式和服務的存取方式和時機。 儘管其實用性,但您應該注意,使用條件式存取可能會對組織中使用 Microsoft Power Automate (Flow) 聯機到與條件式存取原則相關之 Microsoft 服務的使用者造成不良或非預期的影響。
適用于: Power Automate
原始 KB 編號: 4467879
建議
- 請勿 對受信任的裝置使用記住多重要素驗證 ,因為令牌存留期將會縮短,並導致聯機需要在設定的間隔進行重新整理,而不是以標準延伸長度進行。
- 若要避免原則衝突錯誤,請確定登入 Power Automate 的使用者使用符合流程所使用連線原則的準則。
詳細資料
條件式存取原則是透過 Azure 入口網站 來管理,而且可能有數個需求,包括 (但不限於) 下列各項:
- 用戶必須使用 多重要素驗證 (MFA) (通常密碼加上生物特徵辨識或其他裝置) 來存取部分或所有雲端服務。
- 使用者可能只能從公司網路存取部分或所有雲端服務,而非從其主機網路存取。
- 使用者可能只使用核准的裝置或用戶端應用程式來存取部分或所有雲端服務。
下列螢幕快照顯示在特定使用者存取 Azure 管理入口網站時需要 MFA 的 MFA 原則範例。
您也可以從 Azure 入口網站 開啟 MFA 設定。 若要這樣做,請選取 [Microsoft Entra ID>使用者和群組>所有使用者>Multi-Factor Authentication],然後使用 [服務設定] 索引卷標來設定原則。
您也可以從 Microsoft 365 系統管理中心 設定 MFA。 Microsoft Entra 多重要素驗證功能的子集可供 Office 365 訂閱者使用。 如需如何啟用 MFA 的詳細資訊,請參閱設定 Office 365 使用者的多重要素驗證。
[記住多重要素驗證] 設定可協助您使用永續性 Cookie 來減少使用者登入數目。 此原則會控制受信任裝置的記住多重要素驗證中所記載的 Microsoft Entra 設定。
不幸的是,此設定會變更令牌原則設定,讓聯機每隔 14 天到期一次。 這是啟用 MFA 之後連線失敗頻率更頻繁的常見原因之一。 建議您不要使用此設定。
對 Power Automate 入口網站和內嵌體驗的影響
本節詳細說明條件式存取對組織中使用 Power Automate 連線到與原則相關之 Microsoft 服務的使用者可能產生的一些負面影響。
效果 1 - 未來執行失敗
如果您在建立流程和連線之後啟用條件式存取原則,則流程會在未來執行時失敗。 當連線的擁有者調查失敗的執行時,他們會在Power Automate入口網站中看到下列錯誤訊息:
AADSTS50076:由於系統管理員所做的組態變更,或因為您移至新的位置,您必須使用多重要素驗證來存取 <服務>。
當使用者在Power Automate入口網站上檢視連線時,會看到類似下列的錯誤訊息:
若要解決此問題,用戶必須在符合他們嘗試存取 (服務存取原則的條件下登入 Power Automate 入口網站,例如多重要素、公司網路等) ,然後修復或重新建立連線。
效果 2 - 自動建立連線失敗
如果使用者未使用符合原則的準則登入 Power Automate,則由條件式存取原則所控制之第一方 Microsoft 服務的自動連線建立會失敗。 用戶必須使用符合他們嘗試存取之服務之條件式存取原則的準則,手動建立和驗證連線。 此行為也適用於從 Power Automate 入口網站建立的 1 鍵範本。
若要解決此問題,用戶必須在符合他們嘗試存取 (服務存取原則的條件下登入 Power Automate 入口網站,例如多重要素、公司網路等) ,才能建立範本。
效果 3 - 用戶無法直接建立連線
如果使用者未使用符合原則的準則登入 Power Automate,則無法透過 Power Apps 或 Flow 直接建立連線。 當使用者嘗試建立連線時,會看到下列錯誤訊息:
AADSTS50076:由於系統管理員所做的組態變更,或因為您移至新的位置,您必須使用多重要素驗證來存取 <服務>。
若要解決此問題,用戶必須在符合其嘗試存取之服務存取原則的條件下登入,然後重新建立連線。
效果 4 - Power Automate 入口網站上的 人員 和電子郵件選擇器失敗
如果 Exchange Online 或 SharePoint 存取是由條件式存取原則所控制,而且使用者未在相同原則下登入 Power Automate,Power Automate 入口網站上的人員和電子郵件選擇器就會失敗。 當使用者執行下列查詢時,無法取得其組織中群組的完整結果, (Office 365 不會針對這些查詢傳回群組) :
- 嘗試共用流程的擁有權或僅限執行許可權
- 在設計工具中建置流程時選取電子郵件位址
- 選取流程輸入時,在 [流程執行] 面板中選取人員
效果 5 - 使用內嵌在其他 Microsoft 服務中的 Power Automate 功能
當流程內嵌在 SharePoint、Power Apps、Excel 和 Teams 等 Microsoft 服務中時,Power Automate 使用者也會根據向主機服務驗證的方式,受限於條件式存取和多重要素原則。 例如,如果使用者使用單一要素驗證登入 SharePoint,但嘗試建立或使用需要 Microsoft Graph 多重要素存取的流程,則使用者會收到錯誤訊息。
效果 6 - 使用 SharePoint 清單和文檔庫共用流程
當您嘗試使用 SharePoint 清單和文檔庫共用擁有權或僅限執行許可權時,Power Automate 無法提供清單的顯示名稱。 相反地,它會顯示清單的唯一標識符。 已共用流程之流程詳細數據頁面上的擁有者和僅限執行磚將能夠顯示標識元,但無法顯示顯示名稱。
更重要的是,使用者可能也無法從 SharePoint 探索或執行其流程。 這是因為目前不會在Power Automate與SharePoint之間傳遞條件式存取原則資訊,讓SharePoint能夠做出存取決策。
效果 7 - 建立現成可用的 SharePoint 流程
與效果 6 相關,條件式存取原則可以封鎖 SharePoint 現成流程的建立和執行,例如 要求簽核 和 頁面核准 流程。 根據網路位置控制 SharePoint 和 OneDrive 數據 的存取,表示這些原則可能會造成存取問題,進而影響第一方和第三方應用程式。
此案例同時適用於網路位置和條件式存取原則 (例如不允許非受控裝置) 。 建立 SharePoint 現成流程的支援目前正在開發中。 當此支援可供使用時,我們將在本文中張貼詳細資訊。
在過渡期間,我們建議使用者自行建立類似的流程,並手動與所需的使用者共用這些流程,或在需要這項功能時停用條件式存取原則。