Mandanteneinschränkungen für Power Automate-Desktop Computerregistrierung

Dieser Artikel enthält Richtlinien zum Auflösen von Mandanteneinschränkungen, wenn Sie einen Computer bei einem Mandanten in Power Automate für Desktop registrieren.

Gilt für: Power Automate
Ursprüngliche KB-Nummer: 5017807

Symptome

Wenn Sie versuchen, einen Computer bei einem Mandanten zu registrieren, schlägt die Registrierung möglicherweise mit einem der folgenden Fehler fehl:

• Nicht autorisierterTenantSwitching

• UnauthorizedRegistrationToUnjoinedTenant

• UnauthorizedRegistrationToNonAllowListedTenant

Ursache

Diese Registrierungsfehler treten auf, wenn Sie versuchen, Ihren Computer bei einem nicht autorisierten Mandanten zu registrieren oder nicht über die Administratorrechte verfügen, die zum Ausführen der Aktion erforderlich sind. Administratorrechte sind erforderlich für:

• Ändern Sie den Mandanten, für den ein Computer registriert ist.
• Registrieren Sie einen in Microsoft Entra eingebundenen Computer bei einem Mandanten, der sich von seinem Microsoft Entra ID-Mandanten unterscheidet.

Diese Mandanteneinschränkungen verhindern, dass böswillige Akteure Power Automate für Desktop verwenden, um einen Computer über das Netzwerk zu steuern. Damit Nichtadministratoren diese Aktionen ausführen können, können Sie die Windows-Registrierungseinstellungen wie im folgenden Abschnitt beschrieben konfigurieren.

Lösung

Ein Administrator kann Windows-Registrierungseinstellungen verwenden, um zu steuern, welche Mandanten Power Automate-Desktop Skripts auf dem Computer ausführen können. Darüber hinaus setzt das Ausführen der Registrierungs-App als Administrator die Mandanteneinschränkungen außer Kraft.

Die anfängliche Computerregistrierung erfordert keine Administratorrechte, aber das Ändern der Registrierungseinschränkungen führt dazu.

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher müssen Sie sicherstellen, dass Sie diese Schritte sorgfältig ausführen. Erstellen Sie eine Sicherungskopie der Registrierung, bevor Sie Änderungen vornehmen, damit Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter: Sichern und Wiederherstellen der Registrierung Windows.

Computerregistrierung für bestimmte Mandanten zulassen

Es wird empfohlen, eine Liste der zulässigen Mandanten zu definieren, die Ihre Computer registrieren und der Zulassungsliste der Registrierungsmandanten hinzufügen können. Ihr Computer lässt dann immer die Registrierung für die Mandanten in der Zulassungsliste zu und verweigert die Registrierung für jeden anderen Mandanten.

Wenn Sie eine Verbindung mit der Anmeldung verwenden, um eine besuchte Ausführung durchzuführen, und der Zielcomputer active Directory (AD) mit einer Domäne verbunden ist, aber nicht mit Microsoft Entra verbunden ist, müssen Sie den Mandanten zur Allowlist "AllowedRegistrationTenants" hinzufügen. Weitere Informationen finden Sie unter Connect with sign-in security update on AD domain-joined machines.

Wichtig

Sie können die folgenden Schritte verwenden, um Ihren Mandanten zur Zulassungsliste auf einem einzelnen Computer hinzuzufügen. Es wird jedoch empfohlen, sich mit Ihren Domänenadministratoren zu beraten, um ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) zu erstellen, das die entsprechende Zulassungsliste auf allen Ihren Computern anwendet. Durch das Erstellen eines solchen Gruppenrichtlinienobjekts kann zentral angegeben werden, welche Mandanten für die Verwendung von Power Automate für Desktop auf den Computern in Ihrem Mandanten vertrauenswürdig sind.

So definieren Sie die Zulassungsliste:

1. Führen Sie den Registrierungs-Editor (regedit.exe) aus.

2. Navigieren Sie zu diesem Schlüssel: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration.

3. Wählen Sie "Neuen>Zeichenfolgenwert bearbeiten>" aus, um einen neuen Zeichenfolgenwert namens AllowedRegistrationTenants zu erstellen.

4. Doppelklicken Sie auf den Wert, und legen Sie dessen Datenfeld auf eine durch Trennzeichen getrennte Liste der Mandanten-IDs fest, für die der Computer registriert werden darf.

   Beispiel: 3EF1d993-CBD4-4DEA-A50E-939AEDB23F21,5B19777D-814C-43F3-9317-CDBAD0846ED8

   Notiz

   • Informationen zum Suchen Ihrer Mandanten-ID aus dem Power Automate-Portal finden Sie unter Allowlist-Mandanten für die Registrierung und Herstellen einer Verbindung mit Anmeldeverbindungen.
   • Um Ihre Mandanten-ID im Power Apps-Portal zu finden, wechseln Sie zu "Einstellungen", und wählen Sie "Sitzungsdetails" aus.

Wenn das Einrichten der Mandanten-Zulassungsliste aus irgendeinem Grund nicht möglich ist, lesen Sie die folgenden Abschnitte zum Zulassen der Registrierung für einen anderen Mandanten als den Computermitglied Microsoft Entra-Mandanten oder den Wechsel zu einem anderen Mandanten.

Überprüfen der Computerregistrierung beim Starten des Diensts

Die Registrierungseinschränkungen werden nur angewendet, wenn Sie versuchen, den Computer zu registrieren. Ab Version 2.31 können Sie Power Automate für Desktop konfigurieren, um zu überprüfen, ob die aktuelle Computerregistrierung zulässig ist, wenn der Power Automate-Dienst (UIFlowService) gestartet wird. Wenn die Registrierung nicht zulässig ist, kann der Computer keine Verbindung mit Power Automate-Clouddiensten herstellen.

So aktivieren Sie die kontinuierliche Überprüfung:

1. Führen Sie den Registrierungs-Editor (regedit.exe) aus.
2. Navigieren Sie zu diesem Schlüssel: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration.
3. Wählen Sie "Neuen>DWORD-Wert bearbeiten>" (32 Bit) aus, um einen neuen DWORD-Wert namens EnforceRegistrationTenantRestrictionsOnServiceStart zu erstellen.
4. Doppelklicken Sie auf den neuen Wert, und legen Sie dessen Datenfeld auf 1 fest. Jeder andere Wert als 1 deaktiviert diese Einstellung.

Unzulässige Möglichkeit, Mandanteneinschränkungen außer Kraft zu setzen

Ein Administrator kann Mandantenbeschränkungen außer Kraft setzen und Computer unabhängig von den Registrierungseinstellungen registrieren. So deaktivieren Sie die Möglichkeit, dass ein Administrator Mandanteneinschränkungen außer Kraft setzen kann:

1. Führen Sie den Registrierungs-Editor (regedit.exe) aus.
2. Navigieren Sie zu diesem Schlüssel: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration.
3. Erstellen Sie einen neuen DWORD-Wert (>neuen>DWORD-Wert (32-Bit-Wert bearbeiten) mit dem Namen DisableTenantChangeRegistrationAdminOverride.
4. Doppelklicken Sie auf den neuen Wert, und legen Sie dessen Datenfeld auf 1 fest.

Zulassen der Computerregistrierung für einen anderen Mandanten als den Computermandanten, der mit Microsoft Entra verbunden ist

1. Führen Sie den Registrierungs-Editor (regedit.exe) aus.
2. Navigieren Sie zu diesem Schlüssel: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration.
3. Wählen Sie "Neuen>DWORD-Wert bearbeiten>" (32 Bit) aus, um einen neuen DWORD-Wert namens AllowRegisteringOutsideOfAADJoinedTenant zu erstellen.
4. Doppelklicken Sie auf den neuen Wert, und legen Sie dessen Datenfeld auf 1 fest. Jeder andere Wert als 1 deaktiviert diese Einstellung.

Wichtig

Wenn Sie die Zulassungsliste mithilfe der Registrierungseinstellung AllowedRegistrationTenants (empfohlene Methode) definieren, überschreibt diese Einstellung die Einstellung AllowRegisteringOutsideOfAADJoinedTenant .

Wechseln der Computerregistrierung zu einem anderen Mandanten zulassen

1. Führen Sie den Registrierungs-Editor (regedit.exe) aus.
2. Navigieren Sie zu diesem Schlüssel: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration.
3. Wählen Sie "Neuen>DWORD-Wert bearbeiten>" (32 Bit) aus, um einen neuen DWORD-Wert namens AllowTenantSwitching zu erstellen.
4. Doppelklicken Sie auf den neuen Wert, und legen Sie dessen Datenfeld auf 1 fest. Jeder andere Wert als 1 deaktiviert diese Einstellung.

Wichtig

Wenn Sie die Zulassungsliste mithilfe der Registrierungseinstellung "AllowedRegistrationTenants " (empfohlene Methode) definieren, überschreibt diese Einstellung die Einstellung "AllowTenantSwitching" .