Alkaen Power Automate -työpöytäsovellus versiosta 2.24, seuraava edellyttää järjestelmänvalvojan oikeuksia:
-
Muuta vuokraajaa, johon kone on rekisteröity.
-
AAD:hen liittämän koneen rekisteröiminen vuokraajaan, joka eroaa sen AAD:hen liittyneestä vuokraajasta.
Koneet voidaan myös määrittää sallimaan muiden kuin järjestelmänvalvojien suorittaa nämä toiminnot alla kuvatulla tavalla.
Mitkä ovat näiden rajoitusten tavoitteet?
Nämä rajoitukset vaikeuttavat jo vaarantuneiden koneiden haittaohjelmien näyttelijöitä käyttämään Power Automate Desktopia ongelman vahvistamiseen komentamalla ja hallitsemalla laitetta verkon kautta.
Uusien vuokraajan rajoitusasetusten avulla voit määrittää, mitkä vuokraajat voivat suorittaa Power Automate -työpöytäsovellus komentosarjoja koneissasi.
Ensimmäinen konerekisteröinti ei edellytä järjestelmänvalvojan oikeuksia, mutta rekisteröintirajoitusten muuttaminen edellyttää.
Miten voit rekisteröidä koneen toiseen alihallintaan?
Suosittelemme, että määrität sallittujen vuokraajien luettelon ja lisäät ne rekisteriin tiettyjen vuokraajien salliminen -osassa esitetyllä tavalla.
Tärkeää:
-
Power Automate machine runtime -sovelluksen tai hiljaisen rekisteröintisovelluksen suorittaminen järjestelmänvalvojana mahdollistaa koneiden rekisteröinnin alla olevista rekisterikokoonpanoista riippumatta oletusarvoisesti.
-
Mahdollisuus ohittaa vuokraajan muutosrajoitukset suorittamalla järjestelmänvalvojana voidaan poistaa käytöstä rekisteristä:
-
Siirry tähän avaimeen: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration
-
Luo uusi DWORD-arvo (Muokkaa > uusi > DWORD (32-bittinen) -arvo), jonka nimi on DisableTenantChangeRegistrationAdminOverride
-
Määritä arvoksi 1
Tiettyjen vuokraajien salliminen
Turvallisin ja suositeltu tapa hallita, mihin vuokraajaan koneesi voivat rekisteröityä, on rekisteröintivuokraajan sallittujen luettelo. Laitteesi sallii aina rekisteröinnin sallittujen alihallintaluettelon vuokraajille ja estää rekisteröinnin millekään muulle vuokraajalle.
Tärkeää: Salli-luettelon määrittäminen ohittaa AllowTenantSwitching- ja AllowRegisteringOutsideOfAADJoinedTenant-asetukset , jotka on kuvattu alla.
Voit määrittää tämän luettelon seuraavasti:
-
Rekisterieditorin suorittaminen (regedit.exe)
-
Siirry tähän avaimeen: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration
-
Luo uusi merkkijonoarvo (Muokkaa > uutta > merkkijonoarvoa), jonka nimi on AllowedRegistrationTenants
-
Kaksoisnapsauta uutta arvoa ja määritä sen tietokenttä pilkuin erotettuun luetteloon vuokraajatunnuksista, joihin tietokoneen tulisi sallia rekisteröinti, kuten: 3EF1d993-CBD4-4DEA-A50E-939AEDB23F21,5B19777D-814C-43F3-9317-CDBAD0846ED8
Vaihtoehtoisesti, jos vuokraajan sallittujen luettelon määrittäminen ei ole mahdollista, voit ottaa vuokraajien välisen rekisteröinnin käyttöön noudattamalla seuraavia asetuksia.
Konerekisteröinnin salliminen toiselle vuokraajalle kuin koneen AAD-vuokraajalle
-
Rekisterieditorin suorittaminen (regedit.exe)
-
Siirry tähän avaimeen: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration
-
Luo uusi DWORD-arvo (Muokkaa > uusi > DWORD (32-bittinen) -arvo), jonka nimi on AllowRegisteringOutsideOfAADJoinedTenant
-
Kaksoisnapsauta uutta arvoa ja määritä sen tietokentäksi 1. Jokin muu arvo kuin 1 poistaa tämän asetuksen käytöstä.
Konerekisteröinnin vaihtaminen toiseen alihallintaan
-
Rekisterieditorin suorittaminen (regedit.exe)
-
Siirry tähän avaimeen: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration
-
Luo uusi DWORD-arvo (Muokkaa > uusi > DWORD (32-bittinen) -arvo), jonka nimi on AllowTenantSwitching
-
Kaksoisnapsauta uutta arvoa ja määritä sen tietokentäksi 1. Jokin muu arvo kuin 1 poistaa tämän asetuksen käytöstä.
Konerekisteröinnin vahvistaminen palvelun käynnistyessä
Edellä kuvattuja rekisteröintirajoituksia sovelletaan vain, kun laitetta yritetään rekisteröidä. Versiosta 2.31 alkaen voit määrittää Power Automate -työpöytäsovellus tarkistamaan, sallitaanko nykyinen konerekisteröinti, kun Power Automate -palvelu (UIFlowService) käynnistyy. Jos rekisteröintiä ei sallita, laite ei voi muodostaa yhteyttä Power Automate -pilvipalveluihin.
Jatkuvan kelpoisuuden tarkistamisen ottaminen käyttöön:
-
Rekisterieditorin suorittaminen (regedit.exe)
-
Siirry tähän avaimeen: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration
-
Luo uusi DWORD-arvo (Muokkaa > uusi > DWORD (32-bittinen) -arvo), jonka nimi on EnforceRegistrationTenantRestrictionsOnServiceStart
-
Kaksoisnapsauta uutta arvoa ja määritä sen tietokentäksi 1. Jokin muu arvo kuin 1 poistaa tämän asetuksen käytöstä.
Vuokraajan tunnuksen etsiminen
Power Automate -portaalista
Kirjaudu Power Automate -portaaliin ja paina näppäinyhdistelmää Ctrl + Alt + A. Tämä avaa asiakirjan, josta löydät vuokraajan tunnuksen userInfo > tenantId -kohdasta.
Power Apps -portaalista
Kirjaudu Power Apps -portaaliin ja valitse asetuksista (ylhäällä vasemmalla) Power Apps > istunnon tiedot. Näkyviin tulee ponnahdusikkuna, jossa on vuokraajan tunnus.