Od Power Automate pro desktopy verze 2.24 vyžaduje oprávnění správce následující:
-
Změna tenanta, ke kterému je počítač zaregistrovaný.
-
Registrace počítače připojeného k AAD v jiném tenantovi, než je tenant připojený k AAD.
Počítače je také možné nakonfigurovat tak, aby umožňovaly provádění těchto operací uživatelům, kteří nejsou správci, jak je vysvětleno níže.
Jaké jsou cíle těchto omezení?
Tato omezení znesnadňují, aby aktéři se zlými úmysly na již ohrožených počítačích používali Power Automate Desktop k zesílení problému příkazem a řízením počítače přes síť.
Pomocí nového nastavení omezení tenanta můžete řídit, kteří tenanti můžou na vašich počítačích spouštět Power Automate pro desktopy skripty.
Počáteční registrace počítače nevyžaduje oprávnění správce, ale změna omezení registrace ano.
Jak zaregistrovat počítač do jiného tenanta?
Doporučujeme definovat seznam povolených tenantů a přidat je do registru, jak je vidět v části Povolení konkrétních tenantů.
Důležité informace:
-
Spuštění aplikace modulu runtime počítače Power Automate nebo aplikace pro bezobslužnou registraci jako správce ve výchozím nastavení umožňuje registraci počítačů bez ohledu na níže uvedené konfigurace registru.
-
Možnost přepsat omezení změn tenanta spuštěním příkazu jako správce je možné z registru zakázat:
-
Přejděte na tento klíč: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration
-
Vytvořte novou hodnotu DWORD (Upravit > novou hodnotu > DWORD (32bitová) s názvem DisableTenantChangeRegistrationAdminOverride.
-
Nastavte hodnotu na 1.
Povolení konkrétních tenantů
Nejbezpečnějším a doporučeným způsobem, jak řídit, ke kterým tenantům se vaše počítače můžou registrovat, je seznam povolených tenantů registrace. Váš počítač vždy povolí registraci tenantů v seznamu povolených a odepře registraci libovolnému jinému tenantovi.
Důležité informace: Nastavení seznamu povolených bude ignorovat nastavení AllowTenantSwitching a AllowRegisteringOutsideOfAADJoinedTenant popsaná níže.
Definování tohoto seznamu:
-
Spuštění editoru registru (regedit.exe)
-
Přejděte na tento klíč: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration
-
Vytvořte novou řetězcovou hodnotu (Upravit > novou > řetězcovou hodnotu) s názvem AllowedRegistrationTenants
-
Poklikejte na novou hodnotu a nastavte jeho datové pole na čárkami oddělený seznam ID tenanta, do kterého má počítač povolit registraci, například: 3EF1d993-CBD4-4DEA-A50E-939AEDB23F21,5B19777D-814C-43F3-9317-CDBAD0846ED8
Pokud není možné nastavit seznam povolených tenantů, můžete podle následujících možností povolit registraci mezi tenanty.
Povolení registrace počítače do jiného tenanta než tenanta AAD počítače
-
Spuštění editoru registru (regedit.exe)
-
Přejděte na tento klíč: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration
-
Vytvořte novou hodnotu DWORD (Upravit > novou hodnotu > DWORD (32 bitů) s názvem AllowRegisteringOutsideOfAADJoinedTenant.
-
Poklikejte na novou hodnotu a nastavte její datové pole na 1. Jakákoli jiná hodnota než 1 toto nastavení zakáže.
Přepnutí registrace počítače do jiného tenanta
-
Spuštění editoru registru (regedit.exe)
-
Přejděte na tento klíč: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration
-
Vytvořte novou hodnotu DWORD (Upravit > novou hodnotu > DWORD (32 bitů) s názvem AllowTenantSwitching.
-
Poklikejte na novou hodnotu a nastavte její datové pole na 1. Jakákoli jiná hodnota než 1 toto nastavení zakáže.
Vyhledání ID tenanta
Z portálu Power Automate
Přihlaste se k portálu Power Automate a stiskněte Ctrl + Alt + A. Otevře se dokument, ve kterém najdete ID tenanta v části userInfo > tenantId.
Z portálu Power Apps
Přihlaste se k portálu Power Apps a v nastavení (vlevo nahoře) zvolte Power Apps > podrobnosti o relaci. Zobrazí se automaticky otevírané okno s ID vašeho tenanta.
