Power Automate 桌面版中已加入 AD 域的计算机上的“使用登录连接进行连接”的安全更新

总结

Power Automate 桌面版版本 2.47 及更早版本中发现了潜在的安全漏洞。 Microsoft发布了有关此问题的 CVE。

重要

此问题仅影响已加入 Active Directory （AD） 域的计算机，而不会影响已加入 Microsoft Entra ID 的计算机。 如果攻击者可以访问未注册到 Power Automate 环境的计算机，他们可以将其注册到自己的 Power Automate 环境，然后在打开和解锁时运行任意参与的桌面流进入 Windows 会话。

如果计算机已Microsoft已加入 Entra 或未加入 AD 域，则它不会受到攻击。

缓解措施

若要缓解此问题，请尽快将Power Automate 桌面版更新为以下修补的版本。

• 2.47.119.24249
• 2.46.181.24249
• 2.45.404.24249
• 2.44.55.24249
• 2.43.249.24249
• 2.42.331.24249
• 2.41.178.24249

注意

从版本 2.48 开始，所有将来的版本都将包括安全修补程序。

修补程序的影响

如果对已加入 AD 域但未加入 Microsoft Entra 联接的计算机使用“连接登录”，则Power Automate 桌面版的修补版本（和将来的版本）将导致运行失败并UnallowedTenantForConnectWithSignIn出现错误代码。

使用登录选项创建和测试连接也会失败，并出现以下错误之一：

无法连接。 计算机的凭据不正确。

需要显式列出租户 <tenantID> 才能授权计算机上运行的“使用登录进行连接”。

若要在此类计算机上使用“连接登录”，必须按照Power Automate 桌面流中的“UnallowedTenantForConnectWithSignIn”错误，将计算机注册到允许列表的 Power Automate 租户。 我们建议 AD 管理员在域中部署组策略对象（GPO），以定义租户允许列表。

如何确定计算机是否已加入 AD 域或Microsoft Entra-joined

若要获取计算机的加入状态，请从 Windows 命令提示符运行 dsregcmd 命令 ：

dsregcmd /status

在 Device State 输出部分中， AzureAdJoined 指示计算机是否已加入 Microsoft Entra ID，并 DomainJoined 指示计算机是否已加入 AD 域。