Ограничения клиента для регистрации Power Automate для компьютеров компьютера

Начиная с Power Automate для компьютеров версии 2.24, для выполнения следующих действий требуются права администратора:

Изменение клиента, в котором зарегистрирован компьютер.
Регистрация компьютера, присоединенного к AAD, в клиенте, отличном от клиента, присоединенного к AAD.

Компьютеры также можно настроить, чтобы разрешить выполнять эти операции неадминистраторами, как описано ниже.

Каковы цели этих ограничений?

Эти ограничения затрудняют использование Power Automate Desktop злоумышленниками на уже скомпрометированных компьютерах для усиления проблемы путем управления компьютером по сети.

Вы можете использовать новые параметры ограничений клиентов, чтобы управлять тем, какие клиенты могут выполнять Power Automate для компьютеров скрипты на ваших компьютерах.

Для начальной регистрации компьютера не требуются права администратора, но изменение ограничений регистрации приводит к изменению.

Как зарегистрировать компьютер в другом клиенте?

Рекомендуется определить список разрешенных клиентов и добавить их в реестр, как показано в разделе Разрешение определенных клиентов.

Важно:

Запуск приложения среды выполнения компьютера Power Automate или приложения автоматической регистрации от имени администратора позволяет по умолчанию регистрировать компьютеры независимо от приведенных ниже конфигураций реестра.
Возможность переопределения ограничений на изменение клиента путем запуска от имени администратора может быть отключена в реестре:

Перейдите к следующему разделу: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration
Создайте новое значение DWORD (изменить > новое значение > DWORD (32-разрядное) с именем DisableTenantChangeRegistrationAdminOverride
Задайте для параметра значение 1.

Разрешение определенных клиентов

Самый безопасный и рекомендуемый способ управления клиентами, в которых разрешено регистрировать компьютеры, — это список разрешенных для регистрации клиентов. Ваш компьютер всегда будет разрешать регистрацию для клиентов в списке разрешений и запрещать регистрацию любому другому клиенту.

Важно: При установке списка разрешений параметры AllowTenantSwitching и AllowRegisteringOutsideOfAADJoinedTenant , описанные ниже, будут игнорироваться.

Чтобы определить этот список, выполните следующие действия:

Запуск редактора реестра (regedit.exe)
Перейдите к следующему разделу: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration
Создание нового строкового значения (изменение > нового > строкового значения) с именем AllowedRegistrationTenants
Дважды щелкните новое значение и задайте для его поля данных разделенный запятыми список идентификаторов клиентов, которые компьютер должен разрешить регистрацию, например: 3EF1d993-CBD4-4DEA-A50E-939AEDB23F21,5B19777D-814C-43F3-9317-CDBAD0846ED8

Кроме того, если настройка списка разрешенных клиентов невозможна, можно воспользоваться приведенными ниже параметрами, чтобы включить регистрацию между клиентами.

Разрешение регистрации компьютера в клиенте, отличном от клиента AAD компьютера

Запуск редактора реестра (regedit.exe)
Перейдите к следующему разделу: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration
Создание нового значения DWORD (изменение > нового значения > DWORD (32-разрядное) с именем AllowRegisteringOutsideOfAADJoinedTenant
Дважды щелкните новое значение и задайте для его поля данных значение 1. Любое значение, отличное от 1, отключает этот параметр.

Переключение регистрации компьютера на другой клиент

Запуск редактора реестра (regedit.exe)
Перейдите к следующему разделу: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration
Создание нового значения DWORD (изменение > нового значения > DWORD (32-разрядное) с именем AllowTenantSwitching
Дважды щелкните новое значение и задайте для его поля данных значение 1. Любое значение, отличное от 1, отключает этот параметр.

Проверка регистрации компьютера при запуске службы

Описанные выше ограничения на регистрацию применяются только при попытке зарегистрировать компьютер. Начиная с версии 2.31, можно настроить Power Automate для компьютеров, чтобы проверка, разрешена ли регистрация текущего компьютера при запуске службы Power Automate (UIFlowService). Если регистрация запрещена, компьютер не сможет подключиться к облачным службам Power Automate.

Чтобы включить непрерывную проверку, выполните приведенные далее действия.

Запуск редактора реестра (regedit.exe)
Перейдите к следующему разделу: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration
Создайте новое значение DWORD (изменить > новое значение > DWORD (32-разрядное) с именем EnforceRegistrationTenantRestrictionsOnServiceStart
Дважды щелкните новое значение и задайте для его поля данных значение 1. Любое значение, отличное от 1, отключает этот параметр.

Поиск идентификатора клиента

На портале Power Automate

Войдите на портал Power Automate и нажмите клавиши CTRL+ALT+A. Откроется документ, в котором можно найти идентификатор клиента в разделе userInfo > tenantId.

На портале Power Apps

Войдите на портал Power Apps и в параметрах (в левом верхнем углу) выберите Power Apps > сведения о сеансе. Откроется всплывающее окно с идентификатором клиента.