Giới hạn đối tượng thuê đối Power Automate trên máy tính máy tính

Mục tiêu của những hạn chế này là gì?

Những hạn chế này khiến những người hành động độc hại trên các máy tính đã bị xâm phạm trở nên khó khăn hơn khi sử dụng Power Automate Desktop để khuếch đại vấn đề bằng cách điều khiển và điều khiển máy qua mạng.

Bạn có thể sử dụng thiết đặt hạn chế đối tượng thuê mới để kiểm soát đối tượng thuê được phép chạy tập lệnh Power Automate trên máy tính trên máy của bạn.

Đăng ký máy ban đầu không yêu cầu đặc quyền quản trị nhưng thay đổi hạn chế đăng ký.

Làm thế nào để đăng ký máy tính của bạn cho một đối tượng thuê khác?

Chúng tôi khuyên bạn nên xác định một danh sách các đối tượng thuê được phép và thêm chúng vào sổ đăng ký như hiển thị trong mục Cho phép đối tượng thuê cụ thể.

Cho phép đối tượng thuê cụ thể

Cách an toàn nhất và được đề xuất để kiểm soát những đối tượng thuê máy của bạn được phép đăng ký là danh sách cho phép đối tượng thuê đăng ký. Máy của bạn sẽ luôn cho phép đăng ký đối tượng thuê trong danh sách cho phép và từ chối đăng ký cho bất kỳ đối tượng thuê nào khác.

Để xác định danh sách này:

• Chạy trình soạn thảo sổ đăng ký (regedit.exe)

• Dẫn hướng đến phím này: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration

• Tạo một giá trị chuỗi mới (Chỉnh sửa > giá > chuỗi mới) có tên là AllowedRegistrationTenants

• Bấm đúp vào giá trị mới và đặt trường dữ liệu thành danh sách id đối tượng thuê được phân tách bằng dấu phẩy mà máy sẽ cho phép đăng ký, chẳng hạn như: 3EF1d993-CBD4-4DEA-A50E-939AEDB23F21,5B19777D-814C-43F3-9317-CDBAD0846ED8

Ngoài ra, nếu không thể thiết lập danh sách cho phép đối tượng thuê, bạn có thể làm theo các tùy chọn dưới đây để bật đăng ký nhiều đối tượng thuê.

Cho phép đăng ký máy vào một đối tượng thuê không phải là đối tượng thuê AAD của máy

• Chạy trình soạn thảo sổ đăng ký (regedit.exe)

• Dẫn hướng đến phím này: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration

• Tạo giá trị DWORD mới (Chỉnh > giá trị > mới của DWORD (32 bit) có tên là AllowRegisteringOutsideOfAADJoinedTenant

• Bấm đúp vào giá trị mới và đặt trường dữ liệu thành 1. Bất kỳ giá trị nào khác 1 sẽ vô hiệu hóa thiết đặt này. 

Chuyển đổi đăng ký máy sang đối tượng thuê khác

• Chạy trình soạn thảo sổ đăng ký (regedit.exe)

• Dẫn hướng đến phím này: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration

• Tạo giá trị DWORD mới (Chỉnh > giá > mới của DWORD (32 bit) có tên là AllowTenantSwitching

• Bấm đúp vào giá trị mới và đặt trường dữ liệu thành 1. Bất kỳ giá trị nào khác 1 sẽ vô hiệu hóa thiết đặt này.

Xác thực đăng ký máy khi dịch vụ bắt đầu

Các hạn chế đăng ký được mô tả ở trên chỉ được áp dụng khi cố gắng đăng ký máy. Bắt đầu từ phiên bản 2.31, bạn có thể cấu hình Power Automate cho máy tính để bàn để kiểm tra xem việc đăng ký máy hiện tại có được cho phép khi dịch vụ Tự động hóa Nguồn (UIFlowService) khởi động hay không. Nếu không cho phép đăng ký, máy sẽ không thể kết nối với dịch vụ điện toán đám mây Tự động hóa nguồn.

Để cho phép xác thực liên tục:

• Chạy trình soạn thảo sổ đăng ký (regedit.exe)

• Dẫn hướng đến phím này: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration

• Tạo giá trị DWORD mới (Chỉnh > giá trị > mới của DWORD (32 bit) có tên là EnforceRegistrationTenantRestrictionsOnServiceStart

• Bấm đúp vào giá trị mới và đặt trường dữ liệu thành 1. Bất kỳ giá trị nào khác 1 sẽ vô hiệu hóa thiết đặt này.

Tìm id đối tượng thuê của bạn