通过

使用“与登录连接”时出现“UnallowedTenantForConnectWithSignIn”或连接错误

  • 项目

本文提供了在运行桌面流或创建或测试连接时可能发生的错误的解决方法,方法是使用 已加入 Active Directory(AD) 域的计算机上的登录 进行连接。

现象

  • 使用已加入 AD 域的计算机上的登录连接的连接来运行桌面流时,桌面流失败并出现以下错误。

    {
    "error":{
        "code": "UnallowedTenantForConnectWithSignIn",
        "message": "Tenant <tenantId> needs to be explicitly allowlisted to authorize 'connect with sign-in' runs on the machine."  
    }    
}

  • 尝试在已加入 AD 域的计算机上创建或测试“使用登录连接”连接时,会收到以下错误之一:

    • 无法连接。 计算机的凭据不正确。

    • 需要显式列出租户 <tenantID> 才能授权计算机上运行的“使用登录进行连接”。

原因

当以下所有内容都适用时,会发生此错误:

  • 使用 具有登录 连接的连接来执行已参加的运行。
  • 目标计算机已加入 AD 域,但未Microsoft已加入 Entra。
  • Power Automate 环境的租户不会添加到 AllowedRegistrationTenants 计算机注册表中的允许列表。

需要将租户添加到允许列表作为安全修补程序的一部分,以防止未知租户以计算机为目标来运行桌面流脚本。 有关详细信息,请参阅 Power Automate 桌面版 中 AD 已加入域的计算机上的“使用登录连接进行连接”安全更新。

解决方案

注意

需要目标计算机上的管理员权限才能解决此问题。

步骤 1:查找 Power Automate 租户 ID

应将租户 ID 包含在错误消息中 UnallowedTenantForConnectWithSignIn 。 如果不知道租户 ID,请执行以下步骤:

  1. 登录到 Power Automate
  2. 选择 Ctrl+Alt+A
  3. 在属性中找到 tenantId 租户 ID。

步骤 2:将租户 ID 添加到计算机上的允许列表

重要

以下步骤可用于将租户添加到单个计算机上的允许列表。 但是,我们建议与域管理员协商,以创建一个组策略对象(GPO),以在所有计算机上应用适当的允许列表。 创建此类 GPO 可以集中指定哪些租户受信任,以在租户中的计算机上使用Power Automate 桌面版。

  1. 打开注册表编辑器并导航到 Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Power Automate Desktop\Registration 密钥。

  2. AllowedRegistrationTenants如果注册表值不存在,请右键单击并选择“新建>字符串值,然后命名它。AllowedRegistrationTenants

    在 Power Automate Desktop 注册注册表项中创建字符串值的屏幕截图。

  3. 右键单击 AllowedRegistrationTenants 注册表值,然后选择“ 修改”。 编辑该值以添加租户 ID。 预期值为以逗号分隔的租户 ID 列表, 例如“aaaabb-0000-cccc-1111-ddd222eeee”或“aaaabbbb-0000-cccc-1111-ddd222eeee,bbbbcccc-1111-dddd-2222-eeee3333ffff”。