Bekannte Probleme und Einschränkungen bei cloudnativen Endpunkten

Tipp

Beim Lesen von cloudnativen Endpunkten werden Ihnen die folgenden Begriffe angezeigt:

• Endpunkt: Ein Endpunkt ist ein Gerät, z. B. ein Mobiltelefon, ein Tablet, ein Laptop oder ein Desktopcomputer. „Endpunkte“ und „Geräte“ werden austauschbar verwendet.
• Verwaltete Endpunkte: Endpunkte, die Richtlinien von der Organisation mithilfe einer MDM-Lösung oder von Gruppenrichtlinienobjekten empfangen. Diese Geräte befinden sich in der Regel im Besitz der Organisation, können aber auch BYOD- oder persönliche Geräte sein.
• Cloudnative Endpunkte: Endpunkte, die mit Azure AD verknüpft sind. Sie sind nicht mit dem lokalen AD verknüpft.
• Workload: Alle Programme, Dienste oder Prozesse.

Wenn Sie die lokale Geräteverwaltung verwenden oder diese auf cloudnative Endpunkte verschieben, gibt es einige Szenarien, die Sie kennen müssen. In diesem Artikel werden einige geänderte Verhaltensweisen, Einschränkungen und Lösungen aufgeführt und beschrieben.

Cloudnative Endpunkte sind Geräte, die mit Microsoft Entra verknüpft sind. In vielen Fällen erfordern sie keine direkte Verbindung zu lokalen Ressourcen für die Nutzung oder die Verwaltung. Detailliertere Informationen finden Sie unter Was sind cloudnative Endpunkte.

Diese Funktion gilt für:

• Cloudnative Windows-Endpunkte

In diesem Artikel werden Computerkonten und Gerätekonten austauschbar verwendet.

Verwenden Sie keine Computerauthentifizierung

Wenn ein Windows-Endpunkt wie ein Windows 10/11-Gerät einer lokalen Active Directory (AD)-Domäne beitritt, wird automatisch ein Computerkonto erstellt. Das Computer-/Gerätekonto kann für die Authentifizierung verwendet werden.

Die Computerauthentifizierung erfolgt in folgenden Fällen:

• Auf lokale Ressourcen wie Dateifreigaben, Drucker, Anwendungen und Websites wird über lokale AD-Computerkonten anstelle von Benutzerkonten zugegriffen.
• Administratoren oder Anwendungsentwickler konfigurieren den lokalen Ressourcenzugriff mithilfe von Computerkonten anstelle von Benutzern oder Benutzergruppen.

Cloudnative Endpunkte werden mit Microsoft Entra verknüpft und sind in der lokalen AD-Instanz nicht vorhanden. Cloudnative Endpunkte unterstützen keine lokale AD-Computerauthentifizierung. Das Konfigurieren des Zugriffs auf lokale Dateifreigaben, Anwendungen oder Dienste, die nur lokale AD-Computerkonten verwenden, wird auf cloudnativen Endpunkten fehlschlagen.

Wechseln Sie zur benutzerbasierten Authentifizierung

• Verwenden Sie beim Erstellen neuer Projekte keine Computerauthentifizierung. Das ist zwar nicht üblich und wird auch nicht empfohlen, aber Sie sollten es wissen und sich dessen bewusst sein. Verwenden Sie stattdessen die benutzerbasierte Authentifizierung.
• Überprüfen Sie Ihre Umgebung, und identifizieren Sie alle Anwendungen und Dienste, die derzeit die Computerauthentifizierung verwenden. Ändern Sie dann den Zugriff auf die benutzerbasierte Authentifizierung oder die auf Dienstkonten basierte Authentifizierung.

Wichtig

Das feature Microsoft Entra Connect device writeback verfolgt Geräte nach, die in Microsoft Entra registriert sind. Diese Geräte werden im lokalen AD als registrierte Geräte angezeigt.

Microsoft Entra Connect-Geräterückschreiben erstellt keine identischen lokalen AD-Computerkonten in der lokalen AD-Domäne. Diese zurückgeschriebenen Geräte unterstützen keine lokale Computerauthentifizierung.

Informationen zu Szenarien, die mit dem Geräterückschreiben unterstützt werden, erhalten Sie unter Microsoft Entra Connect: Aktivieren des Geräterückschreibens.

Allgemeine Dienste, die Computerkonten verwenden

Die folgende Liste enthält allgemeine Features und Dienste, die Computerkonten für die Authentifizierung verwenden können. Sie enthält auch Empfehlungen, wenn Ihre Organisation diese Features mit Computerauthentifizierung verwendet.

• Netzwerkspeicherzugriff schlägt mit Computerkonten fehl. Cloudnative Endpunkte können nicht auf Dateifreigaben zugreifen, die mithilfe von Computerkonten gesichert sind. Wenn ACL (Access Control List)-Berechtigungen nur Computerkonten oder Gruppen zugewiesen werden, die nur Computerkonten enthalten, schlägt die Laufwerkzuordnung mit Dateifreigaben oder NAS (Network Attached Storage)-Freigaben fehl.

  Empfehlung:

  • Dateifreigaben für Server- und Arbeitsstationen: Aktualisieren Sie die Berechtigungen für die Verwendung der auf Benutzerkonten basierten Sicherheit. Wenn Sie dies tun, verwenden Sie Microsoft Entra einmaliges Anmelden (Single Sign-On, SSO), um auf Ressourcen zuzugreifen, die die integrierte Windows-Authentifizierung verwenden.

    Verschieben Sie Dateifreigabeinhalte nach SharePoint Online oder OneDrive. Detailliertere Informationen finden Sie unter Migration von Dateifreigaben zu SharePoint und OneDrive.

  • Netzwerkdateisystem (Network File System, NFS)-Stammzugriff: Weisen Sie Benutzer an, auf bestimmte Ordner zuzugreifen, nicht auf den Stamm. Wenn möglich verschieben Sie Inhalte von einem NFS zu SharePoint Online oder OneDrive.

• Win32-Apps auf Microsoft Entra eingebundenen Windows-Endpunkten:

  • Funktioniert nicht, wenn die Apps die Computerkontoauthentifizierung verwenden.
  • Funktioniert nicht, wenn die Apps auf Ressourcen zugreifen, die mit Gruppen geschützt sind, die nur Computerkonten enthalten.

  Empfehlung:

  • Wenn Ihre Win32-Apps die Computerauthentifizierung verwenden, aktualisieren Sie die App so, dass sie Microsoft Entra Authentifizierung verwendet. Weitere Informationen findest du unter Migrieren der Anwendungsauthentifizierung zu Microsoft Entra.
  • Überprüfen Sie die Authentifizierung und die Identitäten Ihrer Anwendungen und Kioskgeräte. Aktualisieren Sie die Authentifizierung und die Identitäten so, dass die auf Benutzerkonten basierende Sicherheit verwendet wird.

  Weitere Informationen finden Sie unter Authentifizierung und Win32-Apps.

• IIS-Webserver-Bereitstellungen, die den Websitezugriff mithilfe von ACL-Berechtigungen nur mit Computerkonten oder Gruppen von Computerkonten einschränken, werden fehlschlagen. Authentifizierungsstrategien, die den Zugriff auf Computerkonten oder Gruppen von Computerkonten beschränken, werden ebenfalls fehlschlagen.

  Empfehlung:

  • Aktivieren Sie auf Ihren Websites die Authentifizierung durch Aushandeln.
  • Aktualisieren Sie Ihre Webserver-Apps, um Microsoft Entra Authentifizierung zu verwenden. Weitere Informationen findest du unter Migrieren der Anwendungsauthentifizierung zu Microsoft Entra.

  Weitere Ressourcen:

  • IIS-Authentifizierung <windowsAuthentication>
  • IIS-Sicherheitsautorisierung <authorization>

• Die standardmäßige Druckverwaltung und -entdeckung hängt von der Computerauthentifizierung ab. Auf Microsoft Entra eingebundenen Windows-Endpunkten können Benutzer nicht mit Standarddruck drucken.

  Empfehlung: Verwenden Sie „Universelles Drucken“. Detailliertere Informationen finden Sie unter Was ist „Universelles Drucken“.

• Geplante Windows-Aufgaben, die im Computerkontext auf cloudnativen Endpunkten ausgeführt werden, können nicht auf Ressourcen auf Remoteservern und Arbeitsstationen zugreifen. Der cloudnative Endpunkt verfügt nicht über ein Konto im lokalen AD und kann daher nicht authentifizieren.

  Empfehlung: Konfigurieren Sie Ihre geplanten Aufgaben für die Verwendung von angemeldeten Benutzern oder einer anderen Form der kontobasierten Authentifizierung.

• Active Directory-Anmeldeskripts werden in den Eigenschaften des lokalen AD-Benutzers zugewiesen oder mithilfe eines Gruppenrichtlinienobjekts (Group Policy Object, GPO) bereitgestellt. Diese Skripts sind für cloudnative Endpunkte nicht verfügbar.

  Empfehlung: Überprüfen Sie Ihre Skripts. Wenn es ein modernes Äquivalent gibt, verwenden Sie stattdessen dieses. Wenn Ihr Skript beispielsweise das Startlaufwerk des Benutzers festlegt, können Sie das Startlaufwerk eines Benutzers stattdessen auf OneDrive verschieben. Wenn Ihr Skript Inhalte eines freigegebenen Ordners speichert, migrieren Sie die Inhalte des freigegebenen Ordners stattdessen zu SharePoint Online.

  Wenn es kein modernes Äquivalent gibt, können Sie Windows PowerShell-Skripts mithilfe von Microsoft Intune bereitstellen.

  Für weitere Informationen wechseln Sie zu:

  • Hinzufügen von PowerShell-Skripts zu Windows 10/11-Geräten in Microsoft Intune
  • Einführung in OneDrive in Microsoft 365

Gruppenrichtlinie Objekte gelten möglicherweise nicht

Möglicherweise sind einige Ihrer älteren Richtlinien nicht verfügbar oder gelten nicht für cloudnative Endpunkte.

Auflösung:

• Mit Gruppenrichtlinie Analytics in Intune können Sie Ihre vorhandenen Gruppenrichtlinie Objects (GPO) auswerten. Die Analyse zeigt die verfügbaren Richtlinien an, und Richtlinien, die nicht verfügbar sind.

• In der Endpunktverwaltung werden Richtlinien für Benutzer und Gruppen bereitgestellt. Sie werden nicht in LSDOU-Reihenfolge angewendet. Dieses Verhalten erfordert eine geistige Umstellung. Stellen Sie daher sicher, dass Ihre Benutzer und Gruppen sich in der gewünschten Reihenfolge befinden.

  Detailliertere Informationen und Anleitungen zur Richtlinienzuweisung in Microsoft Intune finden Sie unter Zuweisen von Benutzer- und Geräteprofilen in Microsoft Intune.

• Inventarisieren Sie Ihre Richtlinien, und bestimmen Sie, was sie tun. Möglicherweise finden Sie Kategorien oder Gruppierungen, z. B. Richtlinien, die sich auf die Sicherheit konzentrieren, Richtlinien, die sich auf das Betriebssystem konzentrieren usw.

  Sie können eine Intune-Richtlinie erstellen, welche die Einstellungen aus Ihren Kategorien oder Gruppierungen enthält. Der Einstellungenkatalog ist eine gute Ressource.

• Seien Sie darauf vorbereitet, neue Richtlinien zu erstellen. Die integrierten Features der modernen Endpunktverwaltung, z. B. Microsoft Intune, verfügen möglicherweise über bessere Optionen zum Erstellen und Bereitstellen von Richtlinien.

  Der Allgemeine Planungsleitfaden für den Umstieg auf cloudnative Endpunkte ist eine gute Ressource.

• Migrieren Sie nicht alle Ihre Richtlinien. Denken Sie daran, dass Ihre alten Richtlinien bei cloudnativen Endpunkten möglicherweise nicht sinnvoll sind.

  Anstatt das zu tun, was Sie immer getan haben, konzentrieren Sie sich auf das, was Sie wirklich erreichen möchten.

Synchronisierte Benutzerkonten können die erste Anmeldung nicht abschließen

Synchronisierte Benutzerkonten sind lokale AD-Domänenbenutzer, die mithilfe von Microsoft Entra Connect mit Microsoft Entra synchronisiert werden.

Derzeit können synchronisierte Benutzerkonten mit Kennwörtern, bei denen Benutzer müssen das Kennwort bei der nächsten Anmeldung ändern konfiguriert ist, die erstmalige Anmeldung bei einem cloudnativen Endpunkt nicht abschließen.

Auflösung:

Verwenden Sie kennworthash sync und Microsoft Entra connect, wodurch die Synchronisierung des Attributs "Kennwortänderung erzwingen" bei der Anmeldung erzwungen wird.

Genauere Informationen finden Sie unter Implementieren der Kennworthashsynchronisierung mit Microsoft Entra Connect-Synchronisierung.

Befolgen Sie die Anleitung für Cloud-native Endpunkte

1. Überblick: Was sind cloudnative Endpunkte?
2. Tutorial: Erste Schritte mit cloudnativen Windows-Endpunkten
3. Konzept: Microsoft Entra im Vergleich zu hybriden Microsoft Entra
4. Konzept: Cloud-native Endpunkte und ortsgebundene Ressourcen
5. Planungsleitfaden auf hohem Niveau
6. 🡺 Bekannte Probleme und wichtige Informationen (Sie befinden sich hier)