A natív felhőbeli végpontokkal kapcsolatos ismert problémák és korlátozások

Tipp

Ha a natív felhőbeli végpontokról olvas, a következő kifejezések jelennek meg:

• Végpont: A végpont egy eszköz, például mobiltelefon, táblagép, laptop vagy asztali számítógép. A "végpontok" és az "eszközök" felcserélhetők.
• Felügyelt végpontok: Olyan végpontok, amelyek MDM-megoldással vagy csoportházirend-objektumokkal fogadnak szabályzatokat a szervezettől. Ezek az eszközök általában szervezet tulajdonában vannak, de lehetnek BYOD- vagy személyes tulajdonú eszközök is.
• Natív felhőbeli végpontok: A Microsoft Entra-hoz csatlakoztatott végpontok. Nincsenek csatlakoztatva a helyszíni AD-hez.
• Számítási feladat: Bármely program, szolgáltatás vagy folyamat.

Ha helyszíni eszközfelügyeletet használ vagy helyez át natív felhőbeli végpontokra, néhány forgatókönyvet ismernie kell. Ez a cikk felsorolja és ismerteti a megváltozott viselkedéseket, korlátozásokat és megoldásokat.

A natív felhőbeli végpontok a Microsoft Entra-hoz csatlakoztatott eszközök. Sok esetben nincs szükség közvetlen kapcsolatra a helyszíni erőforrásokhoz a használhatóság és a felügyelet érdekében. További információ: Mik azok a natív felhőbeli végpontok?

Ez a funkció az alábbiakra vonatkozik:

• Natív Windows-felhőbeli végpontok

Ebben a cikkben a számítógépfiókok és a számítógépfiókok felcserélhetők.

Ne használjon gépi hitelesítést

Amikor egy Windows-végpont, például egy Windows 10/11-eszköz csatlakozik egy helyszíni Active Directory- (AD-) tartományhoz, a rendszer automatikusan létrehoz egy számítógépfiókot. A számítógép-/számítógépfiók használható a hitelesítéshez.

A gépi hitelesítés a következő esetekben történik:

• A helyszíni erőforrások, például a fájlmegosztások, nyomtatók, alkalmazások és webhelyek felhasználói fiókok helyett helyszíni AD-számítógépfiókokkal érhetők el.
• A rendszergazdák vagy alkalmazásfejlesztők felhasználók vagy felhasználói csoportok helyett számítógépfiókok használatával konfigurálják a helyszíni erőforrás-hozzáférést.

A natív felhőbeli végpontok a Microsoft Entra-hoz csatlakoznak, és nem léteznek a helyszíni AD-ben. A natív felhőbeli végpontok nem támogatják a helyszíni AD-gépek hitelesítését. Ha a helyszíni fájlmegosztásokhoz, alkalmazásokhoz vagy szolgáltatásokhoz való hozzáférést csak helyszíni AD-számítógépfiókokkal konfigurálja, a natív felhőbeli végpontokon sikertelen lesz.

Váltás felhasználóalapú hitelesítésre

• Új projektek létrehozásakor ne használjon gépi hitelesítést. A gépi hitelesítés használata nem gyakori, és nem ajánlott eljárás. De ezt tudnia kell, és tisztában kell lennie vele. Ehelyett használjon felhasználóalapú hitelesítést.
• Tekintse át a környezetet, és azonosítsa azokat az alkalmazásokat és szolgáltatásokat, amelyek jelenleg gépi hitelesítést használnak. Ezután módosítsa a felhasználóalapú hitelesítéshez vagy a szolgáltatásfiók-alapú hitelesítéshez való hozzáférést.

Fontos

A Microsoft Entra Connect eszközvisszaíró funkciója nyomon követi a Microsoft Entra-ban regisztrált eszközöket. Ezek az eszközök regisztrált eszközként jelennek meg a helyszíni AD-ben.

A Microsoft Entra Connect eszközvisszaíró nem hoz létre azonos helyszíni AD-számítógépfiókokat a helyszíni AD-tartományban. Ezek a visszaíró eszközök nem támogatják a helyszíni gépi hitelesítést.

Az eszközvisszaíróval támogatott forgatókönyvekről a Microsoft Entra Connect: Eszközvisszaíró engedélyezése című témakörben talál további információt.

A gépfiókokat használó gyakori szolgáltatások

Az alábbi lista olyan gyakori szolgáltatásokat és szolgáltatásokat tartalmaz, amelyek számítógépfiókokat használhatnak a hitelesítéshez. Emellett javaslatokat is tartalmaz, ha a szervezet gépi hitelesítéssel használja ezeket a funkciókat.

• A hálózati tárterület elérése gépfiókokkal meghiúsul. A natív felhőbeli végpontok nem férnek hozzá a számítógépfiókokkal védett fájlmegosztásokhoz. Ha az ACL-engedélyek (hozzáférés-vezérlési lista) csak a számítógépfiókokhoz vannak hozzárendelve, vagy csak a gépfiókokat tartalmazó csoportokhoz vannak hozzárendelve, akkor a fájlmegosztásokkal vagy hálózati tárolómegosztásokkal (NAS) való meghajtóleképezés sikertelen lesz.

  Javaslat:

  • Kiszolgáló- és munkaállomás-fájlmegosztások: A felhasználói fiókalapú biztonság használatára vonatkozó engedélyek frissítése. Ebben az esetben a Microsoft Entra egyszeri bejelentkezéssel (SSO) érheti el az integrált Windows-hitelesítést használó erőforrásokat.

    Fájlmegosztási tartalom áthelyezése a SharePoint Online-ba vagy a OneDrive-ra. További információt a Fájlmegosztások áttelepítése a SharePointba és a OneDrive-ra című témakörben talál.

  • Hálózati fájlrendszer (NFS) gyökérhozzáférése: A felhasználókat adott mappákhoz, nem pedig a gyökérhez való hozzáférésre irányíthatja. Ha tudja, helyezze át a tartalmat egy NFS-ből a SharePoint Online-ba vagy a OneDrive-ra.

• Win32-alkalmazások a Microsoft Entra-hoz csatlakoztatott Windows-végpontokon:

  • Nem fog működni, ha az alkalmazások gépi fiókhitelesítést használnak.
  • Nem fog működni, ha az alkalmazások csak számítógépfiókokat tartalmazó csoportokkal védett erőforrásokhoz férnek hozzá.

  Javaslat:

  • Ha Win32-alkalmazásai gépi hitelesítést használnak, frissítse az alkalmazást a Microsoft Entra-hitelesítés használatára. További információ: Alkalmazáshitelesítés migrálása a Microsoft Entra-ba.
  • Ellenőrizze az alkalmazások és a kioszkeszközök hitelesítését és identitását. Frissítse a hitelesítést és az identitásokat a felhasználói fiókalapú biztonság használatához.

  További információ: Hitelesítés és Win32-alkalmazások.

• Azok az IIS-webkiszolgáló-telepítések, amelyek csak számítógépfiókokkal vagy számítógépfiók-csoportokkal korlátozzák a helyhozzáférést ACL-engedélyekkel, sikertelenek lesznek. A csak számítógépfiókokhoz vagy számítógépfiókcsoportokhoz való hozzáférést korlátozó hitelesítési stratégiák szintén sikertelenek lesznek.

  Javaslat:

  • A webhelyeken engedélyezze a Hitelesítés egyeztetése beállítást.
  • Frissítse a webkiszolgáló-alkalmazásokat a Microsoft Entra-hitelesítés használatára. További információ: Alkalmazáshitelesítés migrálása a Microsoft Entra-ba.

  További források:

  • IIS-hitelesítés <windowsAuthentication>
  • IIS biztonsági engedélyezés <authorization>

• A szabványos nyomtatáskezelés és -felderítés a gépi hitelesítéstől függ. A Microsoft Entra-hoz csatlakoztatott Windows-végpontokon a felhasználók nem tudnak szabványos nyomtatással nyomtatni.

  Javaslat: Univerzális nyomtatás használata. További információt a Mi az univerzális nyomtatás? című témakörben talál.

• A gépkörnyezetben natív felhőbeli végpontokon futó Windows-ütemezett feladatok nem férhetnek hozzá a távoli kiszolgálókon és munkaállomásokon lévő erőforrásokhoz. A natív felhőbeli végpont nem rendelkezik fiókkal a helyszíni AD-ben, ezért nem tud hitelesíteni.

  Javaslat: Konfigurálja az ütemezett feladatokat úgy, hogy bejelentkezett felhasználót vagy más fiókalapú hitelesítést használjanak.

• Az Active Directory bejelentkezési szkriptjei a helyszíni AD-felhasználó tulajdonságaiban vannak hozzárendelve, vagy csoportházirend-objektummal (GPO) vannak üzembe helyezve. Ezek a szkriptek nem érhetők el natív felhőbeli végpontokhoz.

  Javaslat: Tekintse át a szkripteket. Ha van modern megfelelője, használja helyette. Ha például a szkript beállítja a felhasználó otthoni meghajtóját, akkor áthelyezheti a felhasználó otthoni meghajtóját a OneDrive-ra. Ha a szkript megosztott mappatartalmat tárol, akkor migrálja a megosztott mappa tartalmát a SharePoint Online-ba.

  Ha nincs modern megfelelője, akkor Windows PowerShell-szkripteket telepíthet a Microsoft Intune-ból.

  További információt a következő témakörben talál:

  • PowerShell-szkriptek hozzáadása Windows 10/11-eszközökhöz a Microsoft Intune-ban
  • A OneDrive bemutatása a Microsoft 365-ben

Előfordulhat, hogy a csoportházirend-objektumok nem alkalmazhatók

Előfordulhat, hogy a régebbi szabályzatok némelyike nem érhető el, vagy nem vonatkozik a natív felhőbeli végpontokra.

Megoldás:

• Az Intune csoportházirend-elemzésével kiértékelheti a meglévő csoportházirend-objektumokat (GPO). Az elemzés az elérhető szabályzatokat és a nem elérhető szabályzatokat jeleníti meg.

• A végpontkezelésben a szabályzatok felhasználók és csoportok számára vannak üzembe helyezve. A rendszer nem alkalmazza őket LSDOU-sorrendben. Ez a viselkedés szemléletváltás, ezért győződjön meg arról, hogy a felhasználók és a csoportok sorrendben vannak.

  A Microsoft Intune-beli szabályzat-hozzárendeléssel kapcsolatos további információkért és útmutatásért lásd: Felhasználói és eszközprofilok hozzárendelése a Microsoft Intune-ban.

• Leltárazhatja a szabályzatokat, és meghatározhatja azok működését. Találhat kategóriákat vagy csoportosításokat, például a biztonságra összpontosító szabályzatokat, az operációs rendszerre összpontosító szabályzatokat stb.

  Létrehozhat egy Intune-szabályzatot, amely a kategóriák vagy csoportok beállításait tartalmazza. A Beállításkatalógus jó erőforrás.

• Készüljön fel új szabályzatok létrehozására. A modern végpontkezelés beépített funkciói, például a Microsoft Intune, jobb lehetőségeket kínálhatnak a szabályzatok létrehozására és üzembe helyezésére.

  A natív felhőbeli végpontokra való áttérés magas szintű tervezési útmutatója jó erőforrás.

• Ne migrálja az összes szabályzatot. Ne feledje, hogy a régi szabályzatok nem feltétlenül értelmezhetők a natív felhőbeli végpontokkal.

  Ahelyett, hogy azt csinálna, amit mindig is tett, koncentráljon arra, amit ténylegesen el szeretne érni.

A szinkronizált felhasználói fiókok nem tudják befejezni az első bejelentkezést

A szinkronizált felhasználói fiókok helyszíni AD-tartományi felhasználók, amelyek a Microsoft Entra Connect használatával vannak szinkronizálva a Microsoft Entra szolgáltatással.

Jelenleg az olyan jelszóval szinkronizált felhasználói fiókok, amelyeknél a felhasználónak módosítania kell a jelszót a következő bejelentkezéskor , nem tud első alkalommal bejelentkezni egy natív felhőbeli végpontra.

Megoldás:

Használja a Jelszókivonat szinkronizálása és a Microsoft Entra Connect szolgáltatást, amely a jelszómódosítás kényszerítésére kényszeríti a bejelentkezési attribútumot a szinkronizáláshoz.

További információt a Jelszókivonat-szinkronizálás implementálása a Microsoft Entra Connect-szinkronizálással című témakörben talál.

Kövesse a natív felhőbeli végpontokkal kapcsolatos útmutatót

1. Áttekintés: Mik azok a natív felhőbeli végpontok?
2. Oktatóanyag: Ismerkedés a natív felhőbeli Windows-végpontokkal
3. Fogalom: A Microsoft Entra-hoz csatlakoztatott és a hibrid Microsoft Entra-hoz csatlakoztatott
4. Koncepció: Natív felhőbeli végpontok és helyszíni erőforrások
5. Magas szintű tervezési útmutató
6. 🡺 Ismert problémák és fontos információk (Ön itt van)