Problèmes connus et limitations avec les points de terminaison natifs du cloud

Conseil

Lorsque vous lisez des informations sur les points de terminaison natifs cloud, les termes suivants s’affichent :

• Point de terminaison : un point de terminaison est un appareil, tel qu’un téléphone mobile, une tablette, un ordinateur portable ou un ordinateur de bureau. Les « points de terminaison » et les « appareils » sont utilisés indifféremment.
• Points de terminaison managés : points de terminaison qui reçoivent des stratégies de l’organisation à l’aide d’une solution GPM ou d’objets stratégie de groupe. Ces appareils appartiennent généralement à l’organisation, mais peuvent également être des appareils BYOD ou personnels.
• Points de terminaison natifs cloud : points de terminaison joints à Azure AD. Ils ne sont pas joints à AD local.
• Charge de travail : tout programme, service ou processus.

Lorsque vous utilisez ou déplacez la gestion des appareils locaux vers des points de terminaison natifs cloud, vous devez connaître certains scénarios. Cet article répertorie et décrit certains comportements, limitations et résolutions modifiés.

Les points de terminaison natifs cloud sont des appareils joints à Microsoft Entra. Dans plusieurs cas ils ne nécessitent généralement pas de connexion directe à des ressources locales pour la convivialité ou la gestion. Pour plus d’informations, accédez à Que sont les points de terminaison natifs du cloud.

Cette fonctionnalité s’applique à :

• Points de terminaison natifs cloud Windows

Dans cet article, Compte d’ordinateur et Comptes d’ordinateur sont utilisés indifféremment.

N’utilisez pas l’authentification par ordinateur

Lorsqu’un point de terminaison Windows, comme un appareil Windows 10/11, joint un domaine Active Directory local (AD), un compte d’ordinateur est automatiquement créé. Le compte d’ordinateur/ordinateur peut être utilisé pour l’authentification.

L’authentification de l’ordinateur se produit lorsque :

• Les ressources locales, telles que les partages de fichiers, les imprimantes, les applications et les sites web, sont accessibles à l’aide de comptes d’ordinateur AD locaux au lieu de comptes d’utilisateur.
• Les administrateurs ou les développeurs d’applications configurent l’accès aux ressources locales à l’aide de comptes d’ordinateurs au lieu d’utilisateurs ou de groupes d’utilisateurs.

Les points de terminaison natifs cloud sont joints à Microsoft Entra et n’existent pas dans AD local. Les points de terminaison natifs cloud ne prennent pas en charge l’authentification d’ordinateur AD locale. La configuration de l’accès aux partages de fichiers, applications ou services locaux à l’aide de comptes d’ordinateur AD locaux échoue sur les points de terminaison natifs du cloud.

Basculer vers l’authentification basée sur l’utilisateur

• Lorsque vous créez des projets, n’utilisez pas l’authentification automatique. Il ne s’agit pas d’une pratique courante ou recommandée, mais c’est quelque chose que vous devez connaître et connaître. Utilisez plutôt l’authentification basée sur l’utilisateur.
• Passez en revue votre environnement et identifiez les applications et services qui utilisent actuellement l’authentification automatique. Ensuite, modifiez l’accès à l’authentification basée sur l’utilisateur ou à l’authentification basée sur le compte de service.

Importante

La fonctionnalité d’écriture différée Microsoft Entra Connect effectue le suivi des appareils inscrits dans Microsoft Entra. Ces appareils sont affichés dans AD local en tant qu’appareils inscrits.

Microsoft Entra Connect la réécriture de l’appareil ne crée pas de comptes d’ordinateur AD locaux identiques dans le domaine AD local. Ces périphériques d’écriture différée ne prennent pas en charge l’authentification d’ordinateur local.

Pour plus d’informations sur les scénarios pris en charge avec l’écriture différée de l’appareil, accédez à Microsoft Entra Connecter : activation de l’écriture différée de l’appareil.

Services courants qui utilisent des comptes d’ordinateur

La liste suivante inclut des fonctionnalités et des services courants qui peuvent utiliser des comptes d’ordinateur pour s’authentifier. Il inclut également des recommandations si votre organisation utilise ces fonctionnalités avec l’authentification de l’ordinateur.

• L’accès au stockage réseau échoue avec les comptes d’ordinateur. Les points de terminaison natifs cloud ne peuvent pas accéder aux partages de fichiers sécurisés à l’aide de comptes d’ordinateur. Si les autorisations ACL (liste de contrôle d’accès) sont attribuées uniquement aux comptes d’ordinateur ou aux groupes qui incluent uniquement des comptes d’ordinateur, le mappage de lecteurs avec des partages de fichiers ou des partages nas (Network-Attached Storage) échoue.

  Recommendation:

  • Serveur et station de travail partage de fichiers : mettez à jour les autorisations pour utiliser la sécurité basée sur les comptes d’utilisateur. Dans ce cas, utilisez Microsoft Entra’authentification unique (SSO) pour accéder aux ressources qui utilisent l’authentification intégrée Windows.

    Déplacer le contenu du partage de fichiers vers SharePoint Online ou OneDrive. Pour plus d’informations, accédez à Partages de fichiers migrer vers SharePoint et OneDrive.

  • L’accès racine du système de fichier réseau (NFS)dirigez les utilisateurs vers des dossiers spécifiques et non la racine. Si possible, déplacez le contenu d’un NFS vers SharePoint Online ou OneDrive.

• Applications Win32 sur Microsoft Entra points de terminaison Windows joints :

  • Ne fonctionnera pas si les applications utilisent l’authentification de compte d’ordinateur.
  • Ne fonctionnera pas si les applications accèdent aux ressources sécurisées avec des groupes qui incluent uniquement des comptes d’ordinateur.

  Recommendation:

  • Si vos applications Win32 utilisent l’authentification de l’ordinateur, mettez à jour l’application pour utiliser l’authentification Microsoft Entra. Pour plus d’informations, consultez Migrer l’authentification d’application vers Microsoft Entra.
  • Vérifiez l’authentification et les identités de vos applications et appareils kiosque. Mettez à jour l’authentification et les identités pour utiliser la sécurité basée sur les comptes d’utilisateur.

  Pour plus d’informations, accédez Authentication et applications Win32.

• Les déploiements deserveur Web IIS Iui limitent l’accès au site à l’aide d’autorisations ACL avec uniquement des comptes d’ordinateur ou des groupes de comptes d’ordinateurs échoueront. Les stratégies d’authentification qui limitent l’accès aux seuls comptes d’ordinateurs ou groupes de comptes d’ordinateur échouent également.

  Recommendation:

  • Sur vos sites web, activez l’authentification Negotiate.
  • Mettez à jour vos applications de serveur web pour utiliser l’authentification Microsoft Entra. Pour plus d’informations, consultez Migrer l’authentification d’application vers Microsoft Entra.

  Ressources complémentaires :

  • Authentication IIS <windowsAuthentication>
  • Autorisation de sécurité IIS <authorization>

• La découverte et la gestion de l’impression standard dépend de l’authentification de la machine. Sur Microsoft Entra points de terminaison Windows joints, les utilisateurs ne peuvent pas imprimer à l’aide de l’impression standard.

  Recommendation :utilisez Impression universelle. Pour plus d’informations, accédez à Qu’est-de qu’est-ce que l’Impression universelle.

• Lestâches Windows planifiées qui s’exécutent dans le contexte de la machine sur des points de terminaison cloud natifs ne peuvent pas accéder aux ressources sur les serveurs et les stations de travail à distance. Le point de terminaison cloud natif n’a pas de compte dans AD sur site et ne peut donc pas s’authentifier.

  Recommandations configurez vos tâches planifiées pour utiliser l’utilisateur connecté ou une autre forme d’authentification basée sur le compte.

• Les scripts de connexion Active Directory sont affectés dans les propriétés de l’utilisateur AD local ou déployés à l’aide d’un objet stratégie de groupe (GPO). Ces scripts ne sont pas disponibles pour les points de terminaison natifs du cloud.

  Recommendation : passez en revue vos scripts. S’il existe un équivalent moderne, utilisez-le à la place. Par exemple, si votre script définit le lecteur d’accueil de l’utilisateur, vous pouvez déplacer le lecteur de base d’un utilisateur vers OneDrive à la place. Si votre script stocke le contenu des dossiers partagés, migrez le contenu du dossier partagé vers SharePoint Online à la place.

  S’il n’existe pas d’équivalent moderne, vous pouvez déployer Windows PowerShell scripts à l’aide de Microsoft Intune.

  Pour plus d’informations, consultez :

  • Ajouter des scripts PowerShell à des appareils Windows 10/11 dans Microsoft Intune
  • Présentation de OneDrive dans Microsoft 365

stratégie de groupe Objects peut ne pas s’appliquer

Il est possible que certaines de vos anciennes stratégies ne soient pas disponibles ou ne s’appliquent pas aux points de terminaison natifs du cloud.

Résolution :

• À l’aide de l’analytique stratégie de groupe dans Intune, vous pouvez évaluer vos objets stratégie de groupe (GPO) existants. L’analyse montre les stratégies disponibles et les stratégies qui ne sont pas disponibles.

• Dans la gestion des points de terminaison, les stratégies sont déployées sur les utilisateurs et les groupes. Elles ne sont pas appliquées dans l’ordre LSDOU. Ce comportement étant un changement d’esprit, assurez-vous que vos utilisateurs et groupes sont dans l’ordre.

  Pour obtenir des informations et des conseils plus spécifiques sur l’attribution de stratégie dans Microsoft Intune, accédez à Assigner des profils d’utilisateur et d’appareil dans Microsoft Intune.

• Inventoriez vos stratégies et déterminez ce qu’elles font. Vous pouvez trouver des catégories ou des regroupements, tels que des stratégies qui se concentrent sur la sécurité, des stratégies qui se concentrent sur le système d’exploitation, etc.

  Vous pouvez créer une stratégie Intune qui inclut les paramètres de vos catégories ou regroupements. La catalogue de paramètres est une bonne ressource.

• Préparez-vous à créer de nouvelles stratégies. Les fonctionnalités intégrées de la gestion moderne des points de terminaison, comme Microsoft Intune, peuvent avoir de meilleures options pour créer et déployer des stratégies.

  Le guide de planification de haut niveau pour passer aux points de terminaison natifs du cloud est une bonne ressource.

• Ne migrez pas toutes vos stratégies. N’oubliez pas que vos anciennes stratégies peuvent ne pas être pertinentes avec les points de terminaison natifs du cloud.

  Au lieu de faire ce que vous avez toujours fait, concentrez-vous sur ce que vous voulez réellement faire.

Les comptes d’utilisateurs synchronisés ne peuvent pas terminer la première connexion

Les comptes d’utilisateur synchronisés sont des utilisateurs de domaine AD locaux qui sont synchronisés avec Microsoft Entra à l’aide de Microsoft Entra Connect.

Actuellement, les comptes d’utilisateur synchronisés avec des mots de passe configurés pour lesquelsl’utilisateur doit modifier le mot de passe à la prochaine connexion ne peuvent pas effectuer une première connexion à un point de terminaison cloud natif.

Résolution :

Utilisez la synchronisation de hachage de mot de passe et Microsoft Entra se connecter, ce qui force la synchronisation du changement de mot de passe à l’attribut d’ouverture de session.

Pour plus d’informations, consultez Implémenter la synchronisation de hachage de mot de passe avec la synchronisation Microsoft Entra Connect.

Suivez les conseils sur les points de terminaison natifs cloud

1. Vue d’ensemble : que sont les points de terminaison natifs cloud ?
2. Didacticiel : Démarrage avec des points de terminaison Windows natifs cloud
3. Concept : joint Microsoft Entra ou jointure hybride Microsoft Entra
4. Concept : points de terminaison natifs cloud et ressources locales
5. Guide de planification de haut niveau
6. 🡺 Les problèmes connus et les informations (importantes >Vous êtes là)