Restricciones de inquilino para el registro de máquinas de Power Automate de escritorio

En este artículo se proporcionan instrucciones para resolver restricciones de inquilino al registrar una máquina en un inquilino en Power Automate para escritorio.

Se aplica a: Power Automate
Número de KB original: 5017807

Síntomas

Al intentar registrar una máquina en un inquilino, es posible que se produzca un error en el registro con uno de los siguientes errores:

• UnauthorizedTenantSwitching

• UnauthorizedRegistrationToUnjoinedTenant

• UnauthorizedRegistrationToNonAllowListedTenant

Causa

Estos errores de registro se producen al intentar registrar la máquina en un inquilino no autorizado o no tienen los privilegios de administrador necesarios para realizar la acción. Los privilegios de administrador son necesarios para:

• Cambie el inquilino al que está registrada una máquina.
• Registre una máquina unida a Microsoft Entra en un inquilino diferente de su inquilino de Id. de Microsoft Entra.

Estas restricciones de inquilino impiden que los actores malintencionados usen Power Automate para escritorio para controlar una máquina a través de la red. Para permitir que los no administradores realicen estas acciones, puede configurar las opciones del Registro de Windows como se describe en la sección siguiente.

Solución

Un administrador puede usar la configuración del Registro de Windows para controlar qué inquilinos pueden ejecutar scripts de Power Automate de escritorio en la máquina. Además, la ejecución de la aplicación de registro como administrador invalida las restricciones de inquilino.

El registro inicial de la máquina no requiere privilegios de administrador, pero cambia las restricciones de registro.

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. Por lo tanto, asegúrese de que sigue estos pasos con atención. Como medida de protección, haga una copia de seguridad del registro antes de modificarlo para poder restaurarlo si se produce algún problema. Para obtener más información sobre cómo realizar copias de seguridad y restaurar el registro, vea Cómo hacer copia de seguridad y restaurar el registro en Windows.

Permitir el registro de máquinas a inquilinos específicos

Se recomienda definir una lista de inquilinos permitidos a los que se pueden registrar las máquinas y agregarlas a la lista de permitidos de los inquilinos de registro. La máquina siempre permitirá el registro a los inquilinos de la lista de permitidos y denegará el registro a cualquier otro inquilino.

Si usa la conexión con el inicio de sesión para realizar una ejecución con asistencia y la máquina de destino está unida a un dominio de Active Directory (AD), pero no unido a Microsoft Entra, es necesario agregar el inquilino a la lista de permitidos AllowedRegistrationTenants . Para obtener más información, consulte Conexión con la actualización de seguridad de inicio de sesión en máquinas unidas a un dominio de AD.

Importante

Puede usar los pasos siguientes para agregar el inquilino a la lista de permitidos en una sola máquina. Sin embargo, se recomienda consultar con los administradores de dominio para crear un objeto de directiva de grupo (GPO) que aplique la lista de permitidos adecuada en todas las máquinas. La creación de este GPO puede especificar de forma centralizada qué inquilinos son de confianza para usar Power Automate para escritorio en las máquinas del inquilino.

Para definir la lista de permitidos:

1. Ejecute el Editor del Registro (regedit.exe).

2. Vaya a esta clave: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration.

3. Seleccione Editar>nuevo>valor de cadena para crear un nuevo valor de cadena denominado AllowedRegistrationTenants.

4. Haga doble clic en el valor y establezca su campo de datos en una lista separada por comas de los identificadores de inquilino a los que se permite registrar la máquina.

   Por ejemplo: 3EF1d993-CBD4-4DEA-A50E-939AEDB23F21,5B1977D-814C-43F3-9317-CDBAD0846ED8

   Nota:

   • Para buscar el identificador de inquilino desde el portal de Power Automate, consulte Permitir los inquilinos de la lista de inquilinos para el registro y conectarse con conexiones de inicio de sesión.
   • Para buscar el identificador de inquilino en el portal de Power Apps, vaya a Configuración y seleccione Detalles de sesión.

Si la configuración de la lista de permitidos de inquilino no es posible por algunos motivos, consulte las secciones siguientes sobre cómo permitir el registro en un inquilino que no sea el inquilino de Microsoft Entra unido a la máquina o permitir el cambio a otro inquilino.

Validación del registro de la máquina cuando se inicia el servicio

Las restricciones de registro solo se aplican al intentar registrar la máquina. A partir de la versión 2.31, puede configurar Power Automate para escritorio para comprobar si se permite el registro de la máquina actual cuando se inicia el servicio Power Automate (UIFlowService). Si no se permite el registro, la máquina no puede conectarse a los servicios en la nube de Power Automate.

Para habilitar la validación continua:

1. Ejecute el Editor del Registro (regedit.exe).
2. Vaya a esta clave: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration.
3. Seleccione Editar>nuevo>valor DWORD (32 bits) para crear un nuevo valor DWORD denominado EnforceRegistrationTenantRestrictionsOnServiceStart.
4. Haga doble clic en el nuevo valor y establezca su campo de datos en 1. Cualquier valor distinto de 1 deshabilita esta configuración.

No permitir la capacidad de invalidar las restricciones de inquilino

Un administrador puede invalidar las restricciones de inquilino y registrar máquinas independientemente de la configuración del Registro. Para deshabilitar la capacidad de un administrador de invalidar las restricciones de inquilino:

1. Ejecute el Editor del Registro (regedit.exe).
2. Vaya a esta clave: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration.
3. Cree un nuevo valor DWORD (Editar>nuevo>valor DWORD (32 bits) denominado DisableTenantChangeRegistrationAdminOverride.
4. Haga doble clic en el nuevo valor y establezca su campo de datos en 1.

Permitir el registro de máquinas en un inquilino distinto del inquilino de Microsoft Entra unido a la máquina

1. Ejecute el Editor del Registro (regedit.exe).
2. Vaya a esta clave: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration.
3. Seleccione Editar>nuevo>valor DWORD (32 bits) para crear un nuevo valor DWORD denominado AllowRegisteringOutsideOfAADJoinedTenant.
4. Haga doble clic en el nuevo valor y establezca su campo de datos en 1. Cualquier valor distinto de 1 deshabilita esta configuración.

Importante

Si define la lista de permitidos mediante la configuración del Registro AllowedRegistrationTenants (método recomendado), esa configuración invalidará la configuración AllowRegisteringOutsideOfAADJoinedTenant .

Permitir el cambio de registro de máquina a otro inquilino

1. Ejecute el Editor del Registro (regedit.exe).
2. Vaya a esta clave: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration.
3. Seleccione Editar>nuevo>valor DWORD (32 bits) para crear un nuevo valor DWORD denominado AllowTenantSwitching.
4. Haga doble clic en el nuevo valor y establezca su campo de datos en 1. Cualquier valor distinto de 1 deshabilita esta configuración.

Importante

Si define la lista de permitidos mediante la configuración del Registro AllowedRegistrationTenants (método recomendado), esa configuración invalidará la configuración AllowTenantSwitching .