Empfehlungen für bedingten Zugriff und mehrstufige Authentifizierung in Microsoft Power Automate (Flow)

Gilt für: Power Automate
Ursprüngliche KB-Nummer: 4467879

Zusammenfassung

Richtlinien für bedingten Zugriff und mehrstufige Authentifizierung (MFA) in Microsoft Entra ID können Authentifizierungsfehler, fehlerhafte Verbindungen und fehlgeschlagenen Ablauf in Microsoft Power Automate verursachen. Diese Probleme treten häufig auf, wenn die Anforderungen für den bedingten Zugriff von Power Automate nicht mit denen der Dienste übereinstimmen, zu denen es eine Verbindung herstellt, wie SharePoint, Teams und Excel. Dieser Artikel enthält Empfehlungen zum Konfigurieren von Richtlinien für bedingten Zugriff, erläutert häufige Probleme wie AADSTS50076 Fehler und Nutzungsbedingungen-Konflikte und beschreibt, wie fehlerhafte Verbindungen in eingebetteten Erfahrungen behoben werden.

Empfehlungen

  • Um Authentifizierungsfehler zu vermeiden, wenn Benutzer über SharePoint, Teams oder Excel auf Power Automate zugreifen, richten Sie die Office 365-App oder alle Cloud-Apps in Ihrer Richtlinie für bedingten Zugriff ein. Dieser Ansatz stellt einheitliche Anforderungen für Power Automate und die Apps sicher, die sie einbetten. Wenn Sie stattdessen auf einzelne Anwendungen abzielen, müssen Sie sicherstellen, dass alle Anforderungen für den bedingten Zugriff (MFA, Nutzungsbedingungen, Gerätecompliance) für alle Apps übereinstimmen. Weitere Informationen finden Sie unter Verwenden von Power Automate-Features, die in andere Microsoft-Dienste eingebettet sind.
  • Wenn Ihre Richtlinien für bedingten Zugriff Steuerelemente zur Nutzungserteilung enthalten, schließen Sie Dienstkonten und dedizierte Flussverbindungsbesitzer aus diesen Richtlinien aus. Power Automate-Verbindungen aktualisieren Token im Hintergrund automatisch. Sie können die UI für die Akzeptanz der Nutzungsbedingungen nicht präsentieren. Weitere Informationen finden Sie unter Nutzungsbedingungen, die vorhandene Flussverbindungen beeinträchtigen.
  • Verwenden Sie nicht die Multifaktor-Authentifizierungsfunktion für vertrauenswürdige Geräte. Es wird empfohlen, das Feature zu vermeiden, da die Lebensdauer der Tokens verkürzt wird und es erzwungen wird, dass die Verbindungen in den von Ihnen konfigurierten Intervallen anstelle der standardmäßigen erweiterten Länge aktualisiert werden.
  • Um Richtlinienkonfliktfehler zu vermeiden, stellen Sie sicher, dass Benutzer, die sich bei Power Automate anmelden, Kriterien verwenden, die den Richtlinien für die verbindungen entsprechen, die ein Fluss verwendet.

Details

Verwalten sie Richtlinien für bedingten Zugriff über das Azure-Portal. Diese Richtlinien können mehrere Anforderungen umfassen, z. B. (aber nicht beschränkt auf) die folgenden Bedingungen:

  • Benutzer müssen sich mit der mehrstufigen Authentifizierung (MFA) ( in der Regel Kennwort plus biometrischem oder einem anderen Gerät) anmelden, um auf einige oder alle Clouddienste zuzugreifen.
  • Benutzer können nur über ihr Unternehmensnetzwerk und nicht über ihre Heimnetzwerke auf einige oder alle Clouddienste zugreifen.
  • Benutzer können nur genehmigte Geräte oder Clientanwendungen verwenden, um auf einige oder alle Clouddienste zuzugreifen.

Der folgende Screenshot zeigt ein MFA-Richtlinienbeispiel, das MFA für bestimmte Benutzer erfordert, wenn sie auf das Azure-Verwaltungsportal zugreifen.

Screenshot eines Beispiels, das M F A für die spezifischen Benutzer benötigt, wenn sie auf das Azure-Portal zugreifen.

Sie können die MFA-Konfiguration auch über die Azure-Portal öffnen. Wählen Sie dazu Microsoft Entra ID>Benutzer und Gruppen>Alle Benutzer>Mehrstufige Authentifizierung aus, und konfigurieren Sie dann Richtlinien mithilfe der Registerkarte Diensteinstellungen.

Screenshot der Schritte zum Öffnen des M F A-Konfigurationsbereichs aus dem Azure-Portal.

Sie können MFA auch über das Microsoft 365 Admin Center konfigurieren. Eine Teilmenge der Microsoft Entra MFA-Funktionen ist für Office 365-Abonnenten verfügbar. Weitere Informationen zum Aktivieren von MFA finden Sie unter Einrichten der mehrstufigen Authentifizierung für Office 365-Benutzer.

Screenshot, der zeigt, dass M F A über das Microsoft 365 Admin Center konfiguriert werden kann.

Screenshot der Details der Option zum Erinnern an die mehrstufige Authentifizierung.

Die Funktion 'An multifaktorielle Authentifizierung erinnern' kann die Anzahl der Benutzeranmeldungen mithilfe eines persistenten Cookies verringern. Diese Richtlinie steuert die Microsoft Entra-Einstellungen, die in der mehrstufigen Authentifizierung für vertrauenswürdige Geräte dokumentiert sind.

Leider bewirkt diese Einstellung eine Änderung der Tokenrichtlinieneinstellungen, wodurch die Verbindungen alle 14 Tage ablaufen. Diese Änderung ist einer der häufigsten Gründe, warum Verbindungen häufiger fehlschlagen, nachdem MFA aktiviert wurde. Es wird empfohlen, diese Einstellung nicht zu verwenden.

Auswirkungen auf das Power Automate-Portal und eingebettete Erfahrungen

In diesem Abschnitt werden einige der nachteiligen Auswirkungen beschrieben, die der bedingte Zugriff auf Benutzer in Ihrer Organisation haben kann, die Power Automate verwenden, um eine Verbindung zu Microsoft-Diensten herzustellen, die für eine Richtlinie relevant sind.

Fehler bei zukünftigen Ausführungen

Wenn Sie eine Richtlinie für bedingten Zugriff aktivieren, nachdem Sie Abläufe und Verbindungen erstellt haben, schlagen die Abläufe bei künftigen Ausführungen fehl. Besitzer der Verbindungen sehen die folgende Fehlermeldung im Power Automate-Portal, wenn sie die fehlgeschlagenen Ausführungen untersuchen:

AADSTS50076: Aufgrund einer vom Administrator vorgenommenen Konfigurationsänderung oder weil Sie an einen neuen Speicherort verschoben haben, müssen Sie die mehrstufige Authentifizierung verwenden, um auf den Dienst< zuzugreifen>.

Screenshot der Fehlerdetails, einschließlich Uhrzeit, Status, Fehler, Fehlerdetails und Behebung des Fehlers.

Wenn Benutzer Verbindungen im Power Automate-Portal anzeigen, wird eine Fehlermeldung angezeigt, die der folgenden Meldung ähnelt:

Screenshot des Fehlers beim Aktualisieren des Zugriffstokens für Dienstbenutzer im Power Automate-Portal.

Um dieses Problem zu beheben, müssen sich Benutzer unter Bedingungen beim Power Automate-Portal anmelden, die der Zugriffsrichtlinie des Diensts entsprechen, auf den sie zugreifen möchten (z. B. mehrstufiges Unternehmensnetzwerk usw.), und reparieren oder erstellen Sie dann die Verbindung erneut.

Fehler bei der automatischen Verbindungserstellung

Wenn sich Benutzer nicht bei Power Automate anmelden, indem Kriterien verwendet werden, die den Richtlinien entsprechen, schlägt der Prozess der automatischen Verbindungserstellung bei Microsoft-Diensten von Drittanbietern fehl, die richtlinien für bedingten Zugriff steuern. Benutzer müssen die Verbindungen manuell mithilfe von Kriterien erstellen und authentifizieren, die der Richtlinie für den bedingten Zugriff des Diensts entsprechen, auf den sie zugreifen möchten. Dieses Verhalten gilt auch für 1-Klick-Vorlagen, die aus dem Power Automate-Portal erstellt werden.

Screenshot des Fehlers bei der automatischen Verbindungsherstellung mit AADSTS50076.

Um dieses Problem zu beheben, müssen sich Benutzer unter Bedingungen beim Power Automate-Portal anmelden, die der Zugriffsrichtlinie des Diensts entsprechen, auf den sie zugreifen möchten (z. B. mehrstufiges Unternehmensnetzwerk usw.), bevor sie eine Vorlage erstellen.

Benutzer können keine direkte Verbindung erstellen

Wenn sich Benutzer nicht mithilfe von Kriterien, die den Richtlinien entsprechen, bei Power Automate anmelden, können sie weder über Power Apps noch Flow eine direkte Verbindung erstellen. Benutzern wird die folgende Fehlermeldung angezeigt, wenn sie versuchen, eine Verbindung zu erstellen:

AADSTS50076: Aufgrund einer vom Administrator vorgenommenen Konfigurationsänderung oder weil Sie an einen neuen Speicherort verschoben haben, müssen Sie die mehrstufige Authentifizierung verwenden, um auf den Dienst< zuzugreifen>.

Screenshot des AADSTS50076 Fehlers, wenn Sie versuchen, eine Verbindung zu erstellen.

Um dieses Problem zu beheben, müssen sich Benutzer unter Bedingungen anmelden, die der Zugriffsrichtlinie des Diensts entsprechen, auf den sie zugreifen möchten, und dann die Verbindung erneut erstellen.

Personen- und E-Mail-Auswahlen im Power Automate-Portal schlagen fehl

Wenn Exchange Online- oder SharePoint-Zugriff durch eine Richtlinie für bedingten Zugriff gesteuert wird und sich Benutzer nicht unter derselben Richtlinie bei Power Automate anmelden, funktionieren die Personenauswahl und die E-Mail-Auswahl im Power Automate-Portal nicht. Benutzer können keine vollständigen Ergebnisse für Gruppen in ihrer Organisation erhalten, wenn sie die folgenden Abfragen ausführen (Office 365-Gruppen werden für diese Abfragen nicht zurückgegeben):

  • Versuchen, den Besitz oder nur-ausführbare Berechtigungen für einen Flow freizugeben
  • Auswählen von E-Mail-Adressen beim Erstellen eines Flusses im Designer
  • Auswählen von Personen in der Ansicht "Abläufe" beim Auswählen von Eingaben für einen Ablauf

Verwenden von Power Automate-Features, die in andere Microsoft-Dienste eingebettet sind

Wenn Sie einen Fluss in Microsoft-Dienste wie SharePoint, Power Apps, Excel und Teams einbetten, führt Power Automate einen Tokenaustausch mit der einbettenden App durch, um API-Aufrufe zu authentifizieren. Damit dieser Austausch erfolgreich verläuft, müssen die Anforderungen für bedingten Zugriff und MFA zwischen der Einbettungs-App und Power Automate konsistent sein.

Wenn sich die Anforderungen unterscheiden (z. B. wenn MFA für Power Automate, aber nicht für SharePoint erforderlich ist, oder umgekehrt), schlägt der Tokenaustausch fehl. In dieser Situation sehen Benutzer einen Authentifizierungsfehler (in der Regel AADSTS50076), wenn sie versuchen, Flüsse von der eingebetteten Oberfläche anzuzeigen oder auszuführen.

Ursache

Wenn Sie den bedingten Zugriff so konfigurieren, dass einzelne Anwendungen anstelle der Office 365-App oder aller Cloud-Apps als Ziel verwendet werden, müssen Sie sicherstellen, dass die MFA-Anforderungen für alle anwendungen erfüllt sind. Häufige Szenarien, die zu einer Fehlübereinstimmung führen, umfassen:

  • Ein Administrator erstellt eine Richtlinie für bedingten Zugriff, die nur MFA für Power Automate erfordert, ohne entsprechende Richtlinien für SharePoint oder Teams zu verwenden.
  • Ein Administrator erstellt eine Richtlinie für bedingten Zugriff, die MFA für SharePoint erfordert, aber nicht für Power Automate.
  • Ein Administrator wählt bestimmte Apps inkonsistent aus, wenn er zwischen Richtlinien für bedingten Zugriff migriert.

Lösung

  1. Wechseln Sie im Microsoft Entra Admin Center zu Schutz>Bedingter Zugriff>Richtlinien.
  2. Setzen Sie Ihre Richtlinie auf die Office 365-App oder Alle Cloud-Apps, um die konsistente Durchsetzung sicherzustellen.
  3. Wenn Sie auf einzelne Apps abzielen müssen, stellen Sie sicher, dass der Microsoft Flow-Dienst (Anwendungs-ID: 7df0a125-d3be-4c96-aa54-591f83ff541c) zusammen mit den Hostanwendungen (SharePoint, Teams, Excel) enthalten ist.

Nachdem sie Richtlinien aktualisiert haben, müssen sich betroffene Benutzer abmelden und sich wieder anmelden, damit die Änderungen wirksam werden.

Freigeben von Workflows mithilfe von SharePoint-Listen und -Bibliotheken

Wenn Sie versuchen, den Besitz oder Nur-ausführungsberechtigungen mithilfe von SharePoint-Listen und -Bibliotheken zu teilen, kann Power Automate die Anzeigenamen der Listen nicht anzeigen. Stattdessen wird der eindeutige Bezeichner einer Liste angezeigt. Die Kacheln "Besitzer" und "Nur ausführen" auf der Seite "Flow-Details" für bereits freigegebene Flows können den Bezeichner, aber nicht den Anzeigenamen anzeigbar machen.

Wichtiger ist jedoch, dass Benutzer möglicherweise auch nicht in der Lage sind, ihre Abläufe in SharePoint zu entdecken oder auszuführen. Diese Einschränkung besteht, da Power Automate derzeit keine Richtlinieninformationen für bedingten Zugriff an SharePoint übergibt, damit SharePoint eine Zugriffsentscheidung treffen kann.

Screenshot, der zeigt, wie Flows mithilfe von SharePoint-Listen und -Bibliotheken freigegeben werden.

Screenshot der Website U R L und der Liste, die ID-Besitzer sehen können.

Erstellen von sofort einsatzbereiten SharePoint-Flüssen

Richtlinien für bedingten Zugriff beziehen sich auf Freigabeflüsse mithilfe von SharePoint-Listen und -Bibliotheken. Diese Richtlinien können die Erstellung und Ausführung von Out-of-the-box-SharePoint-Flows blockieren, wie z. B. den Anforderungsanmeldung und Seitengenehmigung. Die Steuerung des Zugriffs auf SharePoint- und OneDrive-Daten basierend auf dem Netzwerkspeicherort weist darauf hin, dass diese Richtlinien Zugriffsprobleme verursachen können, die sich sowohl auf Apps von Erstanbietern als auch auf Drittanbieter auswirken.

Dieses Szenario gilt sowohl für den Netzwerkspeicherort als auch für Richtlinien für bedingten Zugriff (z. B. "Nicht verwaltete Geräte nicht zulassen"). Die Unterstützung für die Erstellung vordefinierter SharePoint-Flüsse befindet sich derzeit in der Entwicklung. Der Artikel wird aktualisiert, wenn dieser Support verfügbar wird.

Erstellen Sie in der Zwischenzeit selbst ähnliche Flüsse, und teilen Sie diese Flüsse manuell mit den gewünschten Benutzern. Wenn diese Funktionalität erforderlich ist, deaktivieren Sie richtlinien für bedingten Zugriff.

Nutzungsbedingungen unterbrechen vorhandene Flussverbindungen

Wenn ein Administrator eine Nutzungsbedingungenanforderung zu einer Richtlinie für bedingten Zugriff hinzufügt, nachdem flüsse bereits ausgeführt wurden, unterbrechen vorhandene Verbindungen. Power Automate-Verbindungen aktualisieren Token stillschweigend im Hintergrund, und der stille Tokenaktualisierungsprozess kann dem Benutzer die Seite zur Annahme der Nutzungsbedingungen nicht präsentieren. Die Verbindung wechselt in einen Fehlerzustand, und alle Flüsse, die sie verwenden, funktionieren nicht mehr.

Symptome

  • Flüsse, die zuvor funktionierten, funktionieren nicht mehr und generieren Verbindungsfehler.
  • Die Verbindung zeigt den Status "Fehler beim Aktualisieren des Zugriffstokens für den Dienst" im Power Automate-Portal an.
  • Der Ablauf wurde erstellt und funktionierte, bevor die Nutzungsbedingungen hinzugefügt wurden.
  • Microsoft Entra-Anmeldeprotokolle zeigen AADSTS50158 (externe Sicherheitsabfrage nicht erfüllt) oder AADSTS53003 (Zugriff durch Richtlinien für bedingten Zugriff blockiert) für die Microsoft Flow Service-Ressource.

Hinweis

Im Gegensatz zu MFA-Fehlern erzeugen Nutzungsbedingungen keinen bestimmten AADSTS-Fehlercode. AADSTS50158 und AADSTS53003 Codes sind generische Fehler für den bedingten Zugriff. Um zu überprüfen, ob die Nutzungsbedingungen die Ursache sind, rufen Sie die Registerkarte "Bedingter Zugriff" in den Anmeldeprotokollen von Microsoft Entra auf und suchen Sie nach einer Nutzungsbedingungsgenehmigungssteuerung, deren Status auf "Nicht erfüllt" steht.

Ursache

Dieses Problem kann durch eines der folgenden Szenarien verursacht werden:

  • Rückwirkende Richtlinie: Der Administrator fügt einem Dienst (z. B. SharePoint oder Exchange) eine Nutzungsbedingungen hinzu, die vorhandene Flussverbindungen bereits verwenden. Verbindungen werden bei der nächsten Aktualisierung des Tokens unterbrochen.
  • Ablauf der Zustimmung: Der Administrator konfiguriert nutzungsbedingungen durch Festlegen von Ablaufzustimmungen für einen Zeitplan (monatlich, vierteljährlich) oder ein rollierendes Wiederakzeptanzfenster (z. B. alle 30 Tage). Verbindungen unterbrechen jedes Mal, wenn die Zustimmung abläuft, und der Benutzer muss interaktiv erneut zustimmen.
  • Nutzungsbedingungen pro Gerät: Der Administrator aktiviert "Benutzer müssen auf jedem Gerät zustimmen". Die Ablaufausführung erfolgt in der Microsoft-Cloudinfrastruktur, nicht auf dem registrierten Gerät eines Benutzers. Daher kann die Zustimmung auf Geräteebene niemals erfüllt werden.

Lösung

  1. Der Ablaufbesitzer muss sich interaktiv beim Power Automate-Portal anmelden. Die Anmeldung löst die Zustimmungsaufforderung "Nutzungsbedingungen" aus.
  2. Reparieren Sie die betroffene Verbindung oder erstellen Sie sie erneut.
  3. Wenn die Nutzungsbedingungen einen wiederkehrenden Ablaufplan haben, wiederholen Sie diesen Vorgang jedes Mal, wenn die Zustimmung abläuft.

Verhütung

  • Schließen Sie Dienstkonten und dedizierte Eigentümer von Flow-Verbindungen aus Richtlinien für bedingten Zugriff aus, die Gewährungskontrollen für Nutzungsbedingungen enthalten. Weitere Informationen finden Sie unter Nutzungsbedingungen.
  • Wenn Nutzungsbedingungen für flussbasierte Benutzer gelten müssen, sollten Sie auf alle Cloud-Apps abzielen, damit die Akzeptanz bei einer interaktiven Anmeldung (z. B. Outlook oder Teams) auch Power Automate abdeckt.
  • Vermeiden Sie das Konfigurieren von Ablauf-Zustimmungen , indem Sie kurze Dauer festlegen, wenn Power Automate-Flüsse im Gültigkeitsbereich liegen. Bei jedem Ablauf werden alle Verbindungen für betroffene Benutzer unterbrochen.
  • Verwenden Sie niemals die Nutzungsbedingungen pro Gerät für Anwendungen, mit denen Power Automate eine Verbindung herstellt. Die Ablaufausführung wird in der Microsoft-Infrastruktur und nicht auf geräten mit Benutzerregistrierung ausgeführt.
  • Teilen Sie im Voraus geplante Änderungen der Nutzungsbedingungen mit den Besitzern von Abläufen, damit sie Verbindungen proaktiv reparieren können.
  • Last updated on