应用于: Power Automate
原始 KB 数: 5017807
总结
在尝试将计算机注册到桌面版 Power Automate 中的租户时,注册可能会失败,并出现 UnauthorizedTenantSwitching、UnauthorizedRegistrationToUnjoinedTenant 或 UnauthorizedRegistrationToNonAllowListedTenant 错误。 发生这些错误的原因是计算机正在注册到未经授权的租户,或者你没有所需的管理员权限。 本文提供了通过Windows注册表设置配置允许的租户列表的建议步骤,以及特定租户注册方案的替代解决方案。
现象
尝试将 计算机 注册到租户时,注册可能会失败,并出现以下错误之一:
-
未经授权的租户切换
-
未授权注册到未加入的租户
-
未经授权注册到非允许列表租户
原因
尝试将计算机注册到未经授权的租户或没有执行该操作所需的管理员权限时,会发生这些注册错误。 需要管理员权限才能:
- 更改计算机注册到的租户。
- 将 Microsoft Entra 加入的计算机注册到一个与其 Microsoft Entra ID 租户不同的租户。
这些租户限制可防止恶意参与者使用桌面Power Automate通过网络控制计算机。 若要允许非管理员执行这些操作,可以配置Windows注册表设置,如以下部分所述。
建议的解决方案
管理员可以使用Windows注册表设置来控制哪些租户可以在计算机上运行Power Automate桌面脚本。 此外,以管理员身份运行注册应用会替代租户限制。
初始计算机注册不需要管理员权限,但更改注册限制需要管理员权限。
重要
此部分(或称方法或任务)介绍了修改注册表的步骤。 但是,注册表修改不当可能会出现严重问题。 因此,按以下步骤操作时请务必谨慎。 出于防范目的,请在修改之前备份注册表,以便在出现问题时还原注册表。 有关如何备份和还原注册表的详细信息,请参阅 如何在 Windows 中备份和还原注册表。
允许将计算机注册到特定租户
建议定义计算机可以注册的允许租户列表,并将其添加到注册租户允许列表。 然后,设备将始终允许登记在白名单中的租户进行注册,并拒绝任何其他租户的注册。
如果使用 使用登录连接来执行有人参与的运行,并且目标计算机加入 Active Directory (AD) 域,但未加入 Microsoft Entra,则需要将租户添加到 AllowedRegistrationTenants 白名单。 有关详细信息,请参阅 使用登录安全更新连接到已加入 AD 域的计算机。
重要
可以使用以下步骤将租户添加到单个计算机上的允许列表。 但是,我们建议与域管理员协商,以创建一个组策略对象(GPO),以在所有计算机上应用适当的允许列表。 创建此类 GPO 可以集中指定哪些租户受信任,以便在租户中的计算机上将Power Automate用于桌面。
定义允许列表:
运行注册表编辑器(regedit.exe)。
导航到此键:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration。选择 编辑>新>字符串值以创建名为 AllowedRegistrationTenants 的新字符串值。
双击该值并将其数据字段设置为允许计算机注册到的租户 ID 的逗号分隔列表。
例如:3EF1d993-CBD4-4DEA-A50E-939AEDB23F21,5B19777D-814C-43F3-9317-CDBAD0846ED8
注意
- 若要从 Power Automate 门户查找租户 ID,请参阅 Allowlist 租户,了解如何注册并使用登录连接进行连接。
- 若要从 Power Apps 门户查找租户 ID,请转到 Settings并选择 Session 详细信息。
如果由于某种原因无法设置租户允许列表,请参阅以下替代解决方案,了解如何允许注册到非计算机加入的 Microsoft Entra 租户的其他租户或允许切换到另一个租户。
在服务启动时验证计算机注册
仅当你尝试注册计算机时,才会应用注册限制。 从版本 2.31 开始,可以配置桌面Power Automate,以检查Power Automate服务(UIFlowService)启动时是否允许当前计算机注册。 如果不允许注册,则计算机无法连接到Power Automate云服务。
若要启用持续验证,请执行以下操作:
- 运行注册表编辑器(regedit.exe)。
- 导航到此键:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration。 - 选择Edit>新的>DWORD(32 位)值以创建名为EnforceRegistrationTenantRestrictionsOnServiceStart的新 DWORD 值。
- 双击新值并将其数据字段设置为 1。 除 1 以外的任何值都禁用此设置。
禁止覆盖租户限制的能力
无论注册表设置如何,管理员都可以替代租户限制和注册计算机。 若要禁用管理员替代租户限制的功能,请执行以下操作:
- 运行注册表编辑器(regedit.exe)。
- 导航到此键:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration。 - 创建一个名为DisableTenantChangeRegistrationAdminOverride的新 DWORD 值(编辑>新的>DWORD(32 位)值)。
- 双击新值并将其数据字段设置为 1。
替代解决方案
如果由于某种原因无法设置租户允许列表,您可以许可注册到非通过设备加入的 Microsoft Entra 租户,或者允许切换到另一个租户。
允许计算机注册到加入Microsoft Entra租户以外的租户
- 运行注册表编辑器(regedit.exe)。
- 导航到此键:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration。 - 选择编辑>新的>DWORD(32 位)值,以创建一个名为AllowRegisteringOutsideOfAADJoinedTenant的新 DWORD 值。
- 双击新值并将其数据字段设置为 1。 除 1 以外的任何值都禁用此设置。
重要
如果使用 AllowedRegistrationTenants 注册表设置(建议的方法)定义允许列表,该设置将替代 AllowRegisteringOutsideOfAADJoinedTenant 设置。
允许将计算机注册转移到另一个租户
- 运行注册表编辑器(regedit.exe)。
- 导航到此键:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration。 - 选择编辑>新建>DWORD(32 位)值以创建名为AllowTenantSwitching的新 DWORD 值。
- 双击新值并将其数据字段设置为 1。 除 1 以外的任何值都禁用此设置。
重要
如果使用 AllowedRegistrationTenants 注册表设置(推荐的方法)定义允许列表,该设置将替代 AllowTenantSwitching。