Прочитать на английском

Поделиться через

Обновление сертификата группы компьютеров для администраторов

  • Статья

Первый компьютер Power Automate, который присоединяется к группе компьютеров, выдает самоподписанный сертификат, используемый для:

  • Шифрование учетных данных Windows в подключениях классических потоков.
  • Идентификация компьютеров в Power Automate.

Этот сертификат защищен паролем, известным только клиенту.

Что происходит во время обновления сертификата группы компьютеров?

Диаграмма временной шкалы истечения срока действия текущего сертификата

Обновление сертификата группы компьютеров начинается по умолчанию за шесть месяцев до истечения срока действия текущего сертификата и заканчивается, когда истекает срок действия текущего сертификата. Обновление сертификата группы компьютеров не повлияет на способность вашей группы компьютеров запускать потоки, поскольку оно выполняется быстро, происходит между запусками и поддерживает компьютеры как с текущим, так и с новым сертификатом во время обновления. В течение этого времени:

  • Первый компьютер из группы, который подключается к Power Automate, создает новый защищенный паролем сертификат.

  • Следующие компьютеры из группы, которые соединяются с Power Automate, обновляют свой сертификат на новый. Этот шаг может произойти, даже если другие компьютеры (даже первый) отключены от сети.

  • Компьютеры с новым сертификатом по-прежнему могут быть успешно нацелены на подключения классических потоков, которые шифруют учетные данные с помощью текущего сертификата.

  • Подключения классических потоков, нацеленные на компьютер или группу компьютеров, будут автоматически обновляться после использования в облачном потоке для выполнения классического потока.

Как часто происходит обновление сертификата?

По умолчанию срок действия сертификатов группы компьютеров истекает через каждые пять лет. Обновление происходит в течение последних шести месяцев до истечения срока действия. Информацию о том, как настроить это поведение, см. в разделе Как настроить сроки действия и обновления сертификата?.

Что делать, если компьютеры пропустили обновление сертификата группы компьютеров (были в автономном режиме, устаревшее приложение Power Automated для компьютеров и т. д.)?

Если хотя бы один компьютер в группе обновлен до последней версии сертификата, другие компьютеры, пропустившие период обновления, смогут снова присоединиться к группе. Во-первых, повторно сгенерируйте пароль группы компьютеров на обновленном компьютере. Затем на других компьютерах откройте приложение среды выполнения компьютера Power Automate, выберите повторно присоединиться и введите новый пароль группы компьютеров.

Если все компьютеры группы компьютеров пропустили обновление сертификата, вы не сможете использовать эту группу компьютеров. Вам нужно удалить ее, заново создать новую группу компьютеров и присоединить компьютеры. Чтобы найти информацию о выявлении компьютеров, которые пропустили обновление сертификата группы, перейдите в раздел Как узнать, обновлен ли сертификат в компьютере на новый или нет?.

Что делать, если подключения классических потоков не используются во время обновления сертификата группы компьютеров?

Если подключение классического потока не используется во время обновления сертификата группы компьютеров, при попытке его использования будут возникать ExpiredDesktopFlowConnection ошибки. Зафиксируйте соединение следующим образом:

  • Перейдите на портал Power Automate.
  • Перейдите к пункту Данные>Подключение.
  • Найдите соединение с истекшим сроком действия, выберите его, нажмите « Изменить» и повторно введите необходимую информацию.

Что, если ожидается, что некоторые компьютеры останутся в автономном режиме или не будут использоваться в течение нескольких месяцев?

Вам нужно будет подключить эти компьютеры к сети и запустить на них потоки в течение периода обновления сертификата.

  1. Найдите компьютеры, в которых нужно обновить Power Automate для компьютеров.

    На ваших компьютерах должна быть установлена версия Power Automate 2.23 или выше. Вы можете проверить версию своего компьютера, используя столбец Версия агента в таблице Компьютер потока в Dataverse.

  2. Найдите период обновления для каждого компьютера.

    Вы можете определить период обновления для компьютеров данной группы, запросив столбцы Дата создания ключа и Льготный период срока действия ключа группы в таблице Группа компьютеров потоков в Dataverse. Интервал времени между значениями Дата создания и Дата создания + Льготный период — это время, когда каждый компьютер группы должен подключиться к сети и получить последние параметры безопасности группы.

  3. Получайте напоминания о необходимости подключения компьютеров к сети в течение периода обновления.

    Вы можете получать уведомления об обновлениях безопасности компьютеров с помощью облачного потока и следующего триггера Dataverse:

    Этот триггер будет вызываться каждый раз при обновлении безопасности компьютера. Чтобы найти информацию о том, какие значения использовать в триггере, перейдите к разделу Как узнать, был ли на компьютере обновлен новый сертификат или нет?.

    Снимок экрана триггера «При добавлении, изменении или удалении строки».

    Используйте:

    • PendingNewKey для компьютеров, требующих обновления безопасности.
    • По умолчанию для компьютеров, успешно обработавших обновление безопасности.
    • KeyExpired для компьютеров, которым не удалось получить новый сертификат в течение периода обновления.

    Примечание

    Вы можете использовать дополнительные расширенные параметры для точной настройки поведения этого триггера.

  4. Убедитесь, что компьютеры имеют новые сертификаты.

    Вы можете убедиться, что ваши компьютеры получили последнюю версию сертификата группы компьютеров, используя столбец Состояние доставки ключа компьютера в таблице Компьютер потока в Dataverse. Если значение пустое или установлено по умолчанию, значит, ваш компьютер обновлен.

  5. Запускайте классические потоки с каждым подключением, нацеленным на эти компьютеры, чтобы не исправлять их позже.

    На портале Power Automate:

    1. Выберите Отслеживание>Компьютеры.
    2. Выберите компьютер из списка.
    3. На странице сведений о компьютере найдите карточку подключений и выберите Показать все подключения.
    4. Запустите классический поток с каждым из этих подключений классических потоков.

    Снимок экрана подключения компьютера.

Как узнать, когда произойдет следующее обновление сертификата?

Сроки продления сертификата определяются тремя параметрами, каждый из которых доступен в столбце записи Группа компьютеров потоков в Dataverse:

  • Столбец Дата создания ключа записывает дату создания сертификата.
  • В столбце Срок действия ключа регистрируется срок действия сертификата.
  • Столбец Льготный период ключа представляет временное окно, в течение которого создается новый сертификат, а компьютеры и подключения переводятся на новый ключ.

Узнать точную дату следующего обновления сертификата можно с помощью следующего расчета: Дата создания ключа + (Срок действия ключа – Льготный период ключа)

Диаграмма временной шкалы истечения срока действия текущего сертификата

Как узнать, был ли на компьютере обновлен новый сертификат или нет?

Вы можете убедиться, что ваши компьютеры получили последнюю версию сертификата группы компьютеров, используя столбец Состояние доставки ключа компьютера в таблице Компьютер потока в Dataverse:

  • Если значение пустое или имеет значение По умолчанию, значит, ваш компьютер обновлен.
  • Если значение равно Ожидается новый ключ, компьютер находится в пределах периода обновления и еще не обновлен. Он будет обновлен при подключении к сети или в течение 24 часов, если компьютер уже подключен к сети.
  • Если значение равно Срок действия ключа истек, компьютер пропустил период обновления, и вы должны вручную повторно присоединить компьютер к группе.

Как настроить сроки действия и обновления сертификата?

Power Automate позволяет настроить срок действия сертификата и то, насколько рано будет запускаться обновление для любой группы компьютеров. Следующие обновления будут использовать эти столбцы Dataverse (обновление может занять 24 часа):

Таблицу Column Использование Границы
Группа компьютеров потоков Срок действия ключа группы Длительность в минутах, по истечении которой истекает срок действия следующего выпущенного сертификата. Минимум: три месяца (129 600 минут)
Максимум: пять лет (2 628 000 минут).
Группа компьютеров потоков Льготный период срока действия ключа группы Длительность в минутах до истечения срока действия сертификата группы компьютеров, в течение которого компьютеры будут обновлять свои сертификаты. Минимум: 45 дней (64 800 минут)
Максимум: половина срока действия ключа группы.

Действующий сертификат остается действительным до истечения срока его действия. Изменения срока действия будут применяться только к следующему сертификату.

При изменении срока действия и льготного периода необходимо учитывать некоторые особенности:

  • Если новое значение Срок действия ключа группы короче, чем срок действия текущего сертификата, или попадает в определенный льготный период, обновление сертификата будет немедленно запланировано. Оно начнется в следующие 24 часа, если некоторые компьютеры группы подключены к сети. Период обновления сертификата будет длиться в течение установленного льготного периода.

  • Если новое значение Срок действия ключа группы больше текущего, ничего не произойдет немедленно. Текущий сертификат будет оставаться активным до его ротации. Новый сертификат будет учитывать новый срок действия.

Как запустить обновление сертификата?

Если вы хотите ускорить обновление сертификата, вы можете отредактировать Срок действия ключа группы, чтобы изменить длительность периода обновления. Это значение не может быть больше половины значения Срок действия ключа группы и не может быть меньше 45 дней.

Если вам нужно немедленно аннулировать сертификаты, удалите группы компьютеров в Power Automate и создайте их заново. Это можно сделать, удалив соответствующие строки в таблице Группа компьютеров потоков.

Предупреждение

Удаление групп компьютеров потребует исправления подключений классических потоков, нацеленных на эти группы компьютеров.