こんにちは、日本マイクロソフト Power Automate サポートの清水です。
今回は、Power Automate で Azure AD 認証の「接続」が無効になってしまうケースとその仕組みについてご説明いたします。
はじめに
Power Automate を業務で使用するうえで、気になるのが「接続」の有効期限です。
Power Automate の「接続」は、ユーザーの資格情報を使用して Azure AD からトークンを取得しています。
そのため、資格情報に変更があった場合に接続が無効となる場合があることは、ご存じの方も多いかと存じますが、
「実際にパスワードを変更しても接続が切れない」
「認証情報は変更していないのに、突然接続が無効になってしまった」
といったお問い合わせをいただくことが多々ございます。
この記事では、接続が無効になるケース、ならないケースと、接続が無効になるまでの仕組みについて、詳細にご説明いたします。
Power Automate で「無効な接続」と表示される原因
実際に接続が無効になるケース、ならないケースは以下の通りです。
| 接続が無効になるケース | 接続が無効にならないケース |
|---|---|
Power Automate での認証の仕組み
さて、具体的な Power Automate での認証の仕組みについて、ご説明します。
Power Automate で使用するコネクタは、Azure AD での認証を行うことで、下記 2 種類のトークンを取得しています。
- リソースに対するトークン (アクセス トークン)
- 継続的なアクセスを行うためのトークン (更新 トークン)
トークンの取得後、コネクタは上記のうちアクセス トークンを利用してリソースにアクセスします。
なお、アクセス トークンは取り消すことはできず、有効期限が切れるまでの間は使用可能です。
アクセス トークンの有効期限なそれほど長くないため、有効期限が切れた場合には、
更新 トークンを利用してアクセス トークンを更新することで、継続的にリソースに対してアクセス可能な仕組みとなっています。
また、更新 トークンには、認証を行った際の IP アドレスや条件付きアクセス ポリシーの情報など、
内部的にユーザーがどのような認証を行ったかの情報が含まれています。
したがって、更新 トークンを使用してアクセストークンを更新する際、
条件付きアクセス ポリシーや多要素認証などの設定が認証時と異なっていると、アクセス トークンの更新は失敗し、
接続が「無効な接続」となってしまいます。
また、資格情報の変更や管理者の操作により、更新 トークン自体が無効となる場合もございます。
原因として表に挙げた例の中では、以下が当てはまります。
ユーザーまたは管理者が PowerShell を使用して更新トークンを無効化
Power Automate の接続は、「機密クライアントのトークン」として認識されます。
そのため、公開情報の表に記載の通り、更新トークンを無効化した場合のみトークンが取り消されます。
パスワード変更や期限切れでは、更新 トークンは無効となりません。接続が長期間 (90 日以上) 使用されていない
更新 トークンの最大非アクティブ時間の制限により、接続が 90 日以上使用されていない場合、更新 トークンは失効いたします。
上記の場合、更新 トークンが失効してアクセス トークンの更新ができないため、「無効な接続」となってしまいます。
ご説明した動作をまとめると、Power Automate では、
- アクセス トークンの有効期限が切れ、
- 更新 トークンが失効した
場合に、リソースにアクセスするためのアクセス トークンの更新ができず、「無効な接続」が発生します。
(補足) 時間が経ってから接続が無効になる
上述の仕組みからお分かりの通り、接続が無効になるまでには、
- アクセス トークンの有効期限切れ
- 更新 トークンの失効
の 2 つのステップがあります。
そのため、実際に接続が切れるような操作を行ってから接続が無効となるまで、
アクセス トークンの有効期限に応じて、期間が空く場合があることにご留意ください。
おわりに
以上、Power Automate での認証の仕組みについてご説明しました。
認証が切れるケースに該当するような操作を行う場合は、Power Automate での接続の再認証もお忘れないよう、ご留意ください。
※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。