この記事では、デスクトップ用 Power Automate内のテナントにマシンを登録場合のテナント制限を解決するためのガイドラインを示します。
適用対象: Power Automate
元の KB 番号: 5017807
現象
テナントにマシンを登録しようとすると、登録が失敗し、次のいずれかのエラーが発生する可能性があります。
-
UnauthorizedTenantSwitching
-
UnauthorizedRegistrationToUnjoinedTenant
-
UnauthorizedRegistrationToNonAllowListedTenant
原因
これらの登録エラーは、未承認のテナントにマシンを登録しようとした場合、またはアクションを実行するために必要な管理者特権がない場合に発生します。 管理者特権は、次の場合に必要です。
- マシンが登録されているテナントを変更します。
- Microsoft Entra 参加済みマシンを、Microsoft Entra ID テナントとは異なるテナントに登録します。
これらのテナント制限により、悪意のあるアクターがデスクトップ用 Power Automateを使用してネットワーク経由でマシンを制御できなくなります。 管理者以外がこれらの操作を実行できるようにするには、次のセクションで説明するように Windows レジストリ設定を構成します。
解決方法
管理者は、Windows レジストリ設定を使用して、コンピューターでスクリプトPower Automate デスクトップ実行できるテナントを制御できます。 さらに、管理者として登録アプリを実行すると、テナントの制限がオーバーライドされます。
初期マシンの登録には管理者特権は必要ありませんが、登録の制限を変更しても問題ありません。
重要
このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 したがって、次の手順を注意深く実行してください。 保護のために、レジストリを変更する前にレジストリをバックアップして、問題が発生した場合にレジストリを復元できるようにします。 レジストリのバックアップと復元方法の詳細は、「Windows のレジストリのバックアップおよび復元の方法」を参照してください。
特定のテナントへのマシン登録を許可する
マシンが登録できる許可されるテナントの一覧を定義し、登録テナントの許可リストに追加することをお勧めします。 その後、マシンは常に許可リスト内のテナントへの登録を許可し、他のテナントへの登録を拒否します。
connect with sign-in を使用して参加済みの実行を実行し、ターゲット マシンが Active Directory (AD) ドメインに参加しているが Microsoft Entra に参加していない場合は、テナントを AllowedRegistrationTenants 許可リストに追加する必要があります。 詳細については、「 CONNECT with sign-in security update on AD domain-joined machines」を参照してください。
重要
次の手順を使用して、1 台のコンピューターの許可リストにテナントを追加できます。 ただし、ドメイン管理者に相談して、すべてのマシンに適切な許可リストを適用するグループ ポリシー オブジェクト (GPO) を作成することをお勧めします。 このような GPO を作成すると、テナント内のマシンでデスクトップ用 Power Automateを使用する信頼できるテナントを一元的に指定できます。
許可リストを定義するには:
レジストリ エディター (regedit.exe) を実行します。
次のキーに移動します:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration。Edit>new>string value を選択して、AllowedRegistrationTenants という名前の新しい文字列値を作成します。
値をダブルクリックし、そのデータ フィールドに、マシンの登録が許可されているテナント ID のコンマ区切りの一覧に設定します。
例: 3EF1d993-CBD4-4DEA-A50E-939AEDB23F21,5B19777D-814C-43F3-9317-CDBAD0846ED8
Note
- Power Automate ポータルからテナント ID を検索するには登録とサインイン接続のに関するトピックを参照してください。
- Power Apps ポータルからテナント ID を検索するにはSettingsに移動し、Session の詳細を選択します。
何らかの理由でテナント許可リストを設定できない場合は、Microsoft Entra テナントに参加しているマシン以外のテナントに登録をする方法、または別のテナントに切り替えるに関する次のセクションを参照してください。
サービスの起動時にマシンの登録を検証する
登録制限は、マシンを登録しようとした場合にのみ適用されます。 バージョン 2.31 以降では、Power Automate サービス (UIFlowService) の起動時に現在のマシン登録が許可されているかどうかを確認するようにデスクトップ用 Power Automateを構成できます。 登録が許可されていない場合、マシンは Power Automate クラウド サービスに接続できません。
継続的な検証を有効にするには:
- レジストリ エディター (regedit.exe) を実行します。
- 次のキーに移動します:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration。 - Edit>new>DWORD (32 ビット) 値を選択EnforceRegistrationTenantRestrictionsOnServiceStart という名前の新しい DWORD 値を作成します。
- 新しい値をダブルクリックし、そのデータ フィールドを 1 に設定します。 1 以外の値を指定すると、この設定は無効になります。
テナントの制限をオーバーライドする機能を禁止する
管理者は、レジストリ設定に関係なく、テナントの制限をオーバーライドし、マシンを登録できます。 管理者がテナントの制限をオーバーライドする機能を無効にするには:
- レジストリ エディター (regedit.exe) を実行します。
- 次のキーに移動します:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration。 - DisableTenantChangeRegistrationAdminOverride という名前の新しい DWORD 値 (Edit>new>DWORD (32 ビット) 値) を作成します。
- 新しい値をダブルクリックし、そのデータ フィールドを 1 に設定します。
Microsoft Entra テナントに参加しているマシン以外のテナントへのマシン登録を許可する
- レジストリ エディター (regedit.exe) を実行します。
- 次のキーに移動します:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration。 - Edit>new>DWORD (32 ビット) 値を選択allowRegisteringOutsideOfAADJoinedTenantという名前の新しい DWORD 値を作成。
- 新しい値をダブルクリックし、そのデータ フィールドを 1 に設定します。 1 以外の値を指定すると、この設定は無効になります。
重要
AllowedRegistrationTenants レジストリ設定 (推奨される方法) を使用して許可リストを定義した場合、その設定は AllowRegisteringOutsideOfAADJoinedTenant 設定をオーバーライドします。
マシンの登録を別のテナントに切り替えることを許可する
- レジストリ エディター (regedit.exe) を実行します。
- 次のキーに移動します:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration。 - Edit>new>DWORD (32 ビット) 値を選択allowTenantSwitchingという名前の新しい DWORD 値を作成。
- 新しい値をダブルクリックし、そのデータ フィールドを 1 に設定します。 1 以外の値を指定すると、この設定は無効になります。
重要
AllowedRegistrationTenants レジストリ設定 (推奨される方法) を使用して許可リストを定義した場合、その設定は AllowTenantSwitching 設定をオーバーライドします。