从 Power Automate 桌面版 版本 2.24 开始,以下需要管理权限:
-
更改计算机注册到的租户。
-
将已加入 AAD 的计算机注册到与其加入 AAD 的租户不同的租户。
还可以将计算机配置为允许非管理员执行这些操作,如下所述。
这些限制的目标是什么?
这些限制使得已遭到入侵的计算机上的恶意参与者更难通过网络命令和控制计算机来使用 Power Automate Desktop 来放大问题。
可以使用新的租户限制设置来控制允许哪些租户在计算机上运行Power Automate 桌面脚本。
初始计算机注册不需要管理员权限,但更改注册限制需要。
如何将计算机注册到其他租户?
建议定义允许的租户列表,并将其添加到注册表,如 允许特定租户部分所示。
重要:
-
默认情况下,无论以下注册表配置如何,以管理员身份运行 Power Automate 计算机运行时应用或无提示注册应用都允许注册计算机。
-
可以通过注册表禁用以管理员身份运行来覆盖租户更改限制的功能:
-
导航到此项: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration
-
在名为 DisableTenantChangeRegistrationAdminOverride 的 32 位) 值) , (编辑> >新的 DWORD (32 位) 值
-
将值设置为 1
允许特定租户
控制允许计算机注册到哪些租户的最安全建议方法是注册租户允许列表。 计算机将始终允许注册到允许列表中的租户,并拒绝向任何其他租户注册。
重要: 设置允许列表将忽略下面所述的 AllowTenantSwitching 和 AllowRegisteringOutsideOfAADJoinedTenant 设置。
定义此列表:
-
运行注册表编辑器 (regedit.exe)
-
导航到此项: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration
-
(编辑>名为 AllowedRegistrationTenants 的新>字符串值) 创建新的字符串值
-
双击新值并将其数据字段设置为计算机应允许注册的租户 ID 的逗号分隔列表,例如:3EF1d993-CBD4-4DEA-A50E-939AEDB23F21,5B19777D-814C-43F3-9317-CDBAD0846ED8
或者,如果无法设置租户允许列表,则可以按照以下选项启用跨租户注册。
允许将计算机注册到计算机 AAD 租户以外的租户
-
运行注册表编辑器 (regedit.exe)
-
导航到此项: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration
-
创建名为 AllowRegisteringOutsideOfAADJoinedTenant 的新 DWORD (编辑>新> DWORD (32 位) 值)
-
双击新值并将其数据字段设置为 1。 除 1 以外的任何值都禁用此设置。
将计算机注册切换到另一个租户
-
运行注册表编辑器 (regedit.exe)
-
导航到此项: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration
-
(名为 AllowTenantSwitching 的 32 位) 值) 编辑>新的 DWORD > DWORD 值 (
-
双击新值并将其数据字段设置为 1。 除 1 以外的任何值都禁用此设置。
在服务启动时验证计算机注册
仅当尝试注册计算机时,才应用上述注册限制。 从版本 2.31 开始,可以将 Power Automate 桌面版配置为检查在启动 POWER Automate 服务 (UIFlowService) 时是否允许当前计算机注册。 如果不允许注册,计算机将无法连接到 Power Automate 云服务。
若要启用持续验证,请:
-
运行注册表编辑器 (regedit.exe)
-
导航到此项: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration
-
(名为 EnforceRegistrationTenantRestrictionsOnServiceStart 的 32 位) 值) 编辑>新的 DWORD > DWORD (一个新的 DWORD 值
-
双击新值并将其数据字段设置为 1。 除 1 以外的任何值都禁用此设置。
查找租户 ID
从 Power Automate 门户
登录到 Power Automate 门户,然后按 Ctrl + Alt + A。这会打开一个文档,你可以在 userInfo > tenantId 下找到租户 ID。
从 Power apps 门户
登录到 Power Apps 门户,然后从左上角的设置 () 选择 “Power Apps >会话详细信息”。 这将显示一个带有租户 ID 的弹出窗口。