Ограничения за клиента за регистриране на Power Automate за настолни компютри машина

Започвайки с Power Automate за настолни компютри версия 2.24, следното изисква административни привилегии:

Промяна на клиента, към който е регистрирана машината.
Регистриране на присъединена от AAD машина към клиент, различен от клиента, присъединен към AAD.

Компютрите също могат да бъдат конфигурирани да позволяват на администратори, които не са администратори, да извършват тези операции, както е обяснено по-долу.

Какви са целите на тези ограничения?

Тези ограничения затрудняват злонамерените участници на вече компрометирани машини да използват Power Automate Desktop, за да усилят проблема, като управляват и управляват машина в мрежата.

Можете да използвате новите настройки за ограничаване на клиента, за да контролирате кои клиенти могат да изпълняват Power Automate за настолни компютри скриптове на вашите машини.

Първоначалната регистрация на машината не изисква привилегии на администратор, но промяната на ограниченията за регистрация се извършва.

Как да регистрирате вашата машина в друг клиент?

Препоръчваме ви да дефинирате списък с разрешени клиенти и да ги добавите към системния регистър, както се вижда в раздела Позволяване на определени клиенти.

Важно:

Изпълнението на приложението Power Automate machine runtime или мълчаливо приложение за регистрация като администратор позволява регистриране на машини, независимо от конфигурациите на системния регистър по-долу по подразбиране.
Възможността за заместване на ограниченията за промяна на клиента, изпълнявани като администратор, може да бъде забранена от системния регистър:

Навигирайте до този клавиш: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration
Създаване на нова DWORD стойност (Edit > new > DWORD (32-битова версия) с име DisableTenantChangeRegistrationAdminOverride
Задаване на стойността на 1

Позволяване на определени клиенти

Най-безопасният и препоръчителен начин да контролирате кои клиенти са разрешени да регистрират вашите машини е списъкът с разрешени клиенти за регистрация. Вашата машина винаги ще позволява регистрация за клиентите в списъка с разрешени клиенти и ще отказва регистрация за всеки друг клиент.

Важно: Задаването на списъка с разрешени адреси ще игнорира настройките за AllowTenantSwitching и AllowRegisteringOutsideOfAADJoinedTenant , описани по-долу.

За да дефинирате този списък:

Изпълнете редактора на системния регистър (regedit.exe)
Навигирайте до този клавиш: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration
Създаване на нова стойност на низ (Редактиране > нова стойност на > низ) с име AllowedRegistrationTenants
Щракнете двукратно върху новата стойност и задайте нейното поле за данни на разделен със запетая списък с ИД на клиента, към който машината трябва да позволи регистрация, като например: 3EF1d993-CBD4-4DEA-A50E-939AEDB23F21,5B19777D-814C-43F3-9317-CDBAD0846ED8

Като алтернатива, ако настройването на списъка с разрешени клиенти не е възможно, можете да следвате опциите по-долу, за да разрешите регистрирането за няколко клиента.

Позволяване на регистриране на машина към клиент, различен от клиента на AAD на машината

Изпълнете редактора на системния регистър (regedit.exe)
Навигирайте до този клавиш: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration
Създаване на нова DWORD стойност (Edit > new > DWORD (32 bit) value) с име AllowRegisteringOutsideOfAADJoinedTenant
Щракнете двукратно върху новата стойност и задайте нейното поле за данни на 1. Всяка стойност, различна от 1, забранява тази настройка.

Превключване на регистрирането на машината към друг клиент

Изпълнете редактора на системния регистър (regedit.exe)
Навигирайте до този клавиш: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration
Създаване на нова DWORD стойност (Edit > new > DWORD (32 bit) value) с име AllowTenantSwitching
Щракнете двукратно върху новата стойност и задайте нейното поле за данни на 1. Всяка стойност, различна от 1, забранява тази настройка.

Проверка на регистрирането на машината при стартиране на услугата

Ограниченията за регистрация, описани по-горе, се прилагат само когато се опитвате да регистрирате машината. Започвайки с версия 2.31, можете да конфигурирате Power Automate за настолни компютри да проверявате дали текущата регистрация на машината е разрешена, когато се стартира услугата Power Automate (UIFlowService). Ако регистрирането не е разрешено, машината няма да може да се свърже с услугите в облака Power Automate.

За да разрешите непрекъсната проверка:

Изпълнете редактора на системния регистър (regedit.exe)
Навигирайте до този клавиш: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration
Създаване на нова DWORD стойност (Редактиране > нова стойност > DWORD (32 бита) с име EnforceRegistrationTenantRestrictionsOnServiceStart
Щракнете двукратно върху новата стойност и задайте нейното поле за данни на 1. Всяка стойност, различна от 1, забранява тази настройка.

Намиране на ИД на вашия клиент

От портала Power Automate

Влезте в портала Power Automate и натиснете Ctrl + Alt + A. Това ще отвори документ, където можете да намерите своя ИД на клиент под userInfo > tenantId.

От портала за приложения на Power

Влезте в портала на Power Apps и от настройките (горе вляво) изберете Power Apps > подробности за сесията. Това ще покаже изскачащ прозорец с ИД на вашия клиент.