デスクトップ用 Power Automate バージョン 2.24 以降では、次の管理者特権が必要です。
-
マシンが登録されているテナントを変更する。
-
AAD 参加済みマシンを AAD 参加済みテナントとは異なるテナントに登録する。
以下で説明するように、管理者以外がこれらの操作を実行できるようにマシンを構成することもできます。
これらの制限の目標は何ですか?
これらの制限により、既に侵害されたマシンの悪意のあるアクターが Power Automate Desktop を使用して、ネットワーク経由でマシンをコマンドして制御することで問題を増幅することが困難になります。
新しいテナント制限設定を使用して、マシンでPower Automate デスクトップ スクリプトの実行を許可するテナントを制御できます。
初期マシンの登録には管理者特権は必要ありませんが、登録制限を変更しても問題ありません。
マシンを別のテナントに登録する方法
「特定のテナントを許可する」セクションに示されているように、許可される テナントの一覧を定義し、レジストリに追加することをお勧めします。
重要:
-
Power Automate マシン ランタイム アプリまたはサイレント登録アプリを管理者として実行すると、既定で以下のレジストリ構成に関係なく、マシンを登録できます。
-
管理者として実行してテナントの変更制限をオーバーライドする機能は、レジストリから無効にすることができます。
-
このキーに移動します: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration
-
DisableTenantChangeRegistrationAdminOverride という名前の新しい DWORD 値 (>新しい > DWORD (32 ビット) の値を編集) を作成する
-
値を 1 に設定します
特定のテナントを許可する
マシンが登録を許可するテナントを制御する最も安全で推奨される方法は、登録テナント許可リストです。 マシンは常に許可リスト内のテナントへの登録を許可し、他のテナントへの登録を拒否します。
重要: 許可リストを設定すると、以下で説明する AllowTenantSwitching と AllowRegisteringOutsideOfAADJoinedTenant 設定は 無視されます。
このリストを定義するには:
-
レジストリ エディターを実行する (regedit.exe)
-
このキーに移動します: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration
-
AllowedRegistrationTenants という名前の新しい文字列値 (新しい>文字列値>編集) を作成する
-
新しい値をダブルクリックし、マシンが登録を許可する必要があるテナント ID のコンマ区切りリスト (3EF1d993-CBD4-4DEA-A50E-939AEDB23F21,5B19777D-814C-43F3-9317-CDBAD0846ED8) にデータ フィールドを設定します。
または、テナント許可リストを設定できない場合は、次のオプションに従ってテナント間登録を有効にすることができます。
マシンの AAD テナント以外のテナントへのマシン登録を許可する
-
レジストリ エディターを実行する (regedit.exe)
-
このキーに移動します: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration
-
AllowRegisteringOutsideOfAADJoinedTenant という名前の新しい DWORD 値 (>新しい > DWORD (32 ビット) 値) を作成する
-
新しい値をダブルクリックし、そのデータ フィールドを 1 に設定します。 1 以外の値を指定すると、この設定は無効になります。
マシンの登録を別のテナントに切り替える
-
レジストリ エディターを実行する (regedit.exe)
-
このキーに移動します: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration
-
AllowTenantSwitching という名前の新しい DWORD 値 (>新しい > DWORD (32 ビット) の値を編集) を作成する
-
新しい値をダブルクリックし、そのデータ フィールドを 1 に設定します。 1 以外の値を指定すると、この設定は無効になります。
サービスの起動時のマシン登録の検証
上記の登録制限は、マシンを登録する場合にのみ適用されます。 バージョン 2.31 以降では、Power Automate サービス (UIFlowService) の開始時に現在のマシン登録が許可されている場合にチェックするようにデスクトップ用 Power Automateを構成できます。 登録が許可されていない場合、マシンは Power Automate クラウド サービスに接続できません。
継続的な検証を有効にするには:
-
レジストリ エディターを実行する (regedit.exe)
-
このキーに移動します: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration
-
EnforceRegistrationTenantRestrictionsOnServiceStart という名前の新しい DWORD 値 (>新しい > DWORD (32 ビット) の値を編集) を作成する
-
新しい値をダブルクリックし、そのデータ フィールドを 1 に設定します。 1 以外の値を指定すると、この設定は無効になります。
テナント ID の検索
Power Automate ポータルから
Power Automate ポータルにサインインし、Ctrl + Alt + A キーを押します。これにより、userInfo > tenantId の下にテナント ID が表示されるドキュメントが開きます。
Power Apps ポータルから
Power Apps ポータルにサインインし、設定 (左上) から [Power Apps > セッションの詳細] を選択します。 これにより、テナント ID を含むポップアップが表示されます。