A partire da Power Automate desktop versione 2.24, per eseguire le operazioni seguenti sono necessari privilegi amministrativi:
-
Modifica del tenant in cui è registrato un computer.
-
Registrazione di un computer aggiunto a AAD in un tenant diverso dal tenant aggiunto a AAD.
I computer possono anche essere configurati in modo da consentire agli utenti non amministratori di eseguire queste operazioni, come illustrato di seguito.
Quali sono gli obiettivi di queste restrizioni?
Queste restrizioni rendono più difficile per gli attori malintenzionati su macchine già compromesse utilizzare Power Automate Desktop per amplificare il problema comandando e controllando una macchina in rete.
È possibile usare le nuove impostazioni di restrizione tenant per controllare quali tenant possono eseguire script di Power Automate desktop nei computer.
La registrazione iniziale del computer non richiede privilegi di amministratore, ma la modifica delle restrizioni di registrazione lo fa.
Come registrare il computer in un tenant diverso?
È consigliabile definire un elenco di tenant consentiti e aggiungerli al Registro di sistema come indicato nella sezione Consentire specifici tenant.
Importante:
-
L'esecuzione dell'app Power Automate Machine Runtime o dell'app di registrazione invisibile all'utente come amministratore consente di registrare i computer indipendentemente dalle configurazioni del Registro di sistema seguenti per impostazione predefinita.
-
La possibilità di ignorare le restrizioni di modifica del tenant eseguendo come amministratore può essere disabilitata dal Registro di sistema:
-
Passa a questo tasto: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration
-
Creare un nuovo valore DWORD (Edit > nuovo > valore DWORD (32 bit) denominato DisableTenantChangeRegistrationAdminOverride
-
Impostare il valore su 1
Consentire tenant specifici
Il modo più sicuro e consigliato per controllare a quali tenant i computer possono registrarsi è l'elenco dei tenant di registrazione consentiti. Il computer consentirà sempre la registrazione ai tenant nell'elenco dei domini consentiti e negherà la registrazione a qualsiasi altro tenant.
Importante: L'impostazione dell'elenco di indirizzi consentiti ignorerà le impostazioni AllowTenantSwitching e AllowRegisteringOutsideOfAADJoinedTenant descritte di seguito.
Per definire questo elenco:
-
Eseguire l'editor del Registro di sistema (regedit.exe)
-
Passa a questo tasto: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration
-
Creare un nuovo valore stringa (Edit > nuovo valore stringa >) denominato AllowedRegistrationTenants
-
Fare doppio clic sul nuovo valore e impostare il relativo campo dati su un elenco separato da virgola degli ID tenant a cui la macchina dovrebbe consentire la registrazione, ad esempio: 3EF1d993-CBD4-4DEA-A50E-939AEDB23F21,5B19777D-814C-43F3-9317-CDBAD0846ED8
In alternativa, se non è possibile configurare l'elenco dei tenant consentiti, è possibile seguire le opzioni seguenti per abilitare la registrazione tra tenant.
Consentire la registrazione del computer a un tenant diverso dal tenant AAD del computer
-
Eseguire l'editor del Registro di sistema (regedit.exe)
-
Passa a questo tasto: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration
-
Creare un nuovo valore DWORD (Edit > nuovo valore DWORD > (32 bit) denominato AllowRegisteringOutsideOfAADJoinedTenant
-
Fare doppio clic sul nuovo valore e impostare il relativo campo dati su 1. Qualsiasi valore diverso da 1 disabilita questa impostazione.
Passaggio della registrazione della macchina a un altro tenant
-
Eseguire l'editor del Registro di sistema (regedit.exe)
-
Passa a questo tasto: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration
-
Creare un nuovo valore DWORD (Edit > nuovo valore DWORD > (32 bit) denominato AllowTenantSwitching
-
Fare doppio clic sul nuovo valore e impostare il relativo campo dati su 1. Qualsiasi valore diverso da 1 disabilita questa impostazione.
Ricerca dell'ID tenant
Dal portale di Power Automate
Accedere al portale di Power Automate e premere CTRL+ALT+A. Verrà aperto un documento in cui è possibile trovare l'ID tenant in userInfo > tenantId.
Dal portale di Power Apps
Accedere al portale di Power Apps e nelle impostazioni (in alto a sinistra) scegliere Power Apps > i dettagli della sessione. Verrà visualizzata una finestra popup con l'ID tenant.
