電腦版 Power Automate 中已加入AD網域的機器上「使用登入」連線的安全性更新

摘要

電腦版 Power Automate 2.47 版和更早版本中識別出潛在的安全性弱點。 Microsoft已發出有關此問題的 CVE。

重要

此問題只會影響已加入Active Directory （AD） 網域的計算機，而不會影響已加入 Microsoft Entra ID 的電腦。 如果攻擊者可以存取未向Power Automate環境註冊的計算機，他們可以將其註冊到自己的Power Automate環境，然後在開啟並解除鎖定時，執行任意參與的桌面流程到您的Windows 會話。

如果計算機已Microsoft已加入 Entra 或未加入 AD 網域，則不會受到攻擊。

風險降低

若要減輕問題，請儘快將您的 電腦版 Power Automate 更新為下列已修補的版本。

• 2.47.119.24249
• 2.46.181.24249
• 2.45.404.24249
• 2.44.55.24249
• 2.43.249.24249
• 2.42.331.24249
• 2.41.178.24249

注意

從 2.48 版開始，所有未來的版本都會包含安全性修正。

修補程序的影響

如果您在已加入AD網域但未加入Microsoft Entra的電腦上，使用「與登入連線」進行「連線」，則 電腦版 Power Automate的已修補版本（及未來的版本）會導致執行失敗，並出現UnallowedTenantForConnectWithSignIn錯誤碼。

使用登入選項建立及測試連線也會失敗，並出現下列其中一個錯誤：

無法連線。 計算機的認證不正確。

租 <使用者tenantID> 必須明確允許列出，才能在機器上授權 「使用登入進行連線」。

若要在這類計算機上使用「連線並登入」，您必須依照 電腦版 Power Automate 流程中的「UnallowedTenantForConnectWithSignIn」錯誤中的指示，將計算機註冊到允許清單的 Power Automate 租使用者新增至允許清單。 我們建議您的 AD 系統管理員在網域中部署組策略物件 （GPO），以定義租使用者允許清單。

如何判斷計算機是否已加入AD網域或Microsoft Entra-joined

若要取得電腦的加入狀態，請從 Windows 命令提示字元執行 dsregcmd 命令 ：

dsregcmd /status

在輸出的 區 Device State 段中， AzureAdJoined 指出計算機是否已加入 Microsoft Entra ID，並 DomainJoined 指出計算機是否已加入 AD 網域。