Обмеження клієнта для реєстрації комп'ютера Power Automate для настільних комп'ютерів

Починаючи з Power Automate для настільних комп'ютерів версії 2.24, для роботи з цими правами потрібні такі права:

Змінення клієнта, на який зареєстровано комп'ютер.
Реєстрація комп'ютера, підключеного до AAD, у клієнті, відмінному від клієнта, підключеного до AAD.

Комп'ютери також можна настроїти так, щоб вони могли виконувати ці операції без адміністраторів, як описано нижче.

Які цілі ці обмеження?

Ці обмеження ускладнюють для зловмисників на комп'ютерах, які вже зламані, використання Power Automate Desktop для посилення проблеми за допомогою командування та керування комп'ютером через мережу.

Ви можете використовувати нові параметри обмеження клієнта, щоб керувати тим, які клієнти можуть запускати сценарії Power Automate для настільних комп'ютерів на комп'ютерах.

Початкова реєстрація комп'ютера не вимагає прав адміністратора, але змінення реєстраційних обмежень виконується.

Як зареєструвати комп'ютер в іншому клієнті?

Радимо визначити список дозволених клієнтів і додати їх до реєстру, як описано в розділі Надання дозволів на доступ до певних клієнтів.

Увага!:

Запуск програми середовища виконання комп'ютера Power Automate або автоматичної реєстраційної програми з правами адміністратора дає змогу реєструвати комп'ютери незалежно від наведених нижче конфігурацій реєстру за замовчуванням.
Можливість перевизначити обмеження на змінення клієнта, запустивши з правами адміністратора, можна вимкнути з реєстру:

Перейдіть до цього розділу: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration
Створення нового значення DWORD (редагування > нового значення > DWORD (32-розрядна версія) з іменем DisableTenantChangeRegistrationAdminOverride
Установити значення 1

Надання дозволу на використання певних клієнтів

Найбезпечніший і рекомендований спосіб контролювати, до яких клієнтів дозволено реєструвати комп'ютери, – це список довірених компонентів реєстрації. Ваш комп'ютер завжди дозволятиме реєстрацію для клієнтів у списку довірених клієнтів і відхилятиме реєстрацію в будь-якому іншому клієнті.

Увага!: Якщо встановити список довірених елементів, параметри AllowTenantSwitching і AllowRegisteringOutsideOfAADJoinedTenant ігноруватимуться, описані нижче.

Щоб визначити цей список:

Запуск редактора реєстру (regedit.exe)
Перейдіть до цього розділу: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration
Створення нового значення рядка (редагування > нового значення рядка >) з іменем AllowedRegistrationTenants
Двічі клацніть нове значення та встановіть для його поля даних список ідентифікаторів клієнта, розділених комами, для яких має бути дозволено реєстрацію комп'ютера, наприклад: 3EF1d993-CBD4-4DEA-A50E-939AEDB23F21,5B19777D-814C-43F3-9317-CDBAD0846ED8

Крім того, якщо налаштувати список довірених клієнтів не можна, ви можете скористатися наведеними нижче параметрами, щоб увімкнути реєстрацію між клієнтами.

Надання дозволу на реєстрацію комп'ютера клієнту, відмінному від клієнта AAD комп'ютера

Запуск редактора реєстру (regedit.exe)
Перейдіть до цього розділу: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration
Створення нового значення DWORD (редагування > нового значення > DWORD (32-розрядна версія) з іменем AllowRegisteringOutsideOfAADJoinedTenant
Двічі клацніть нове значення та встановіть для його поля даних значення 1. Будь-яке значення, відмінне від 1, вимикає цей параметр.

Переключення реєстрації комп'ютера на інший клієнт

Запуск редактора реєстру (regedit.exe)
Перейдіть до цього розділу: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration
Створення нового значення DWORD (редагування > нового значення > DWORD (32-розрядне) з іменем AllowTenantSwitching
Двічі клацніть нове значення та встановіть для його поля даних значення 1. Будь-яке значення, відмінне від 1, вимикає цей параметр.

Перевірка реєстрації комп'ютера під час запуску служби

Описані вище реєстраційні обмеження застосовуються лише під час спроби зареєструвати комп'ютер. Починаючи з версії 2.31, можна настроїти Power Automate для настільних комп'ютерів перевірити, чи дозволено поточну реєстрацію комп'ютера під час запуску служби Power Automate (UIFlowService). Якщо реєстрацію заборонено, комп'ютер не зможе підключитися до хмарних служб Power Automate.

Щоб увімкнути безперервну перевірку, виконайте наведені нижче дії.

Запуск редактора реєстру (regedit.exe)
Перейдіть до цього розділу: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration
Створення нового значення DWORD (редагування > нового значення > DWORD (32-розрядна версія) з іменем EnforceRegistrationTenantRestrictionsOnServiceStart
Двічі клацніть нове значення та встановіть для його поля даних значення 1. Будь-яке значення, відмінне від 1, вимикає цей параметр.

Пошук ідентифікатора клієнта

З порталу Power Automate

Увійдіть на портал Power Automate і натисніть клавіші Ctrl+Alt+A. Відкриється документ, у якому ідентифікатор клієнта можна знайти в розділі userInfo > tenantId.

З порталу Power Apps

Увійдіть на портал Power Apps і в настройках (у верхньому лівому куті) виберіть Power Apps > відомості про сеанс. Відкриється спливаюче вікно з ідентифікатором клієнта.