Power Automate 桌面计算机注册的租户限制

从 Power Automate 桌面版版本 2.24 开始，以下需要管理权限：

还可以将计算机配置为允许非管理员执行这些操作，如下所述。

这些限制的目标是什么？

这些限制使得已遭到入侵的计算机上的恶意参与者更难通过网络命令和控制计算机来使用 Power Automate Desktop 来放大问题。

可以使用新的租户限制设置来控制允许哪些租户在计算机上运行Power Automate 桌面脚本。

初始计算机注册不需要管理员权限，但更改注册限制需要。

建议定义允许的租户列表，并将其添加到注册表，如 允许特定租户部分所示。

重要:

导航到此项： Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration
在名为 DisableTenantChangeRegistrationAdminOverride 的 32 位) 值) ， (编辑> >新的 DWORD (32 位) 值
将值设置为 1

控制允许计算机注册到哪些租户的最安全建议方法是注册租户允许列表。计算机将始终允许注册到允许列表中的租户，并拒绝向任何其他租户注册。

重要: 设置允许列表将忽略下面所述的 AllowTenantSwitching 和 AllowRegisteringOutsideOfAADJoinedTenant 设置。

定义此列表：

运行注册表编辑器 (regedit.exe)
导航到此项： Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration
(编辑>名为 AllowedRegistrationTenants 的新>字符串值) 创建新的字符串值
双击新值并将其数据字段设置为计算机应允许注册的租户 ID 的逗号分隔列表，例如：3EF1d993-CBD4-4DEA-A50E-939AEDB23F21，5B19777D-814C-43F3-9317-CDBAD0846ED8

或者，如果无法设置租户允许列表，则可以按照以下选项启用跨租户注册。

运行注册表编辑器 (regedit.exe)
导航到此项： Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration
创建名为 AllowRegisteringOutsideOfAADJoinedTenant 的新 DWORD (编辑>新> DWORD (32 位) 值)
双击新值并将其数据字段设置为 1。除 1 以外的任何值都禁用此设置。

运行注册表编辑器 (regedit.exe)
导航到此项： Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration
(名为 AllowTenantSwitching 的 32 位) 值) 编辑>新的 DWORD > DWORD 值 (
双击新值并将其数据字段设置为 1。除 1 以外的任何值都禁用此设置。

仅当尝试注册计算机时，才应用上述注册限制。从版本 2.31 开始，可以将 Power Automate 桌面版配置为检查在启动 POWER Automate 服务 (UIFlowService) 时是否允许当前计算机注册。如果不允许注册，计算机将无法连接到 Power Automate 云服务。

若要启用持续验证，请：

运行注册表编辑器 (regedit.exe)
导航到此项： Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration
(名为 EnforceRegistrationTenantRestrictionsOnServiceStart 的 32 位) 值) 编辑>新的 DWORD > DWORD (一个新的 DWORD 值
双击新值并将其数据字段设置为 1。除 1 以外的任何值都禁用此设置。

登录到 Power Automate 门户，然后按 Ctrl + Alt + A。这会打开一个文档，你可以在 userInfo > tenantId 下找到租户 ID。

登录到 Power Apps 门户，然后从左上角的设置 () 选择 “Power Apps >会话详细信息”。这将显示一个带有租户 ID 的弹出窗口。