A natív felhőbeli végpontokkal kapcsolatos ismert problémák és korlátozások
Tipp
Ha a natív felhőbeli végpontokról olvas, a következő kifejezések jelennek meg:
- Végpont: A végpont egy eszköz, például mobiltelefon, táblagép, laptop vagy asztali számítógép. A "végpontok" és az "eszközök" felcserélhetők.
- Felügyelt végpontok: Olyan végpontok, amelyek MDM-megoldással vagy csoportházirend-objektumokkal fogadnak szabályzatokat a szervezettől. Ezek az eszközök általában szervezet tulajdonában vannak, de lehetnek BYOD- vagy személyes tulajdonú eszközök is.
- Natív felhőbeli végpontok: A Microsoft Entra-hoz csatlakoztatott végpontok. Nincsenek csatlakoztatva a helyszíni AD-hez.
- Számítási feladat: Bármely program, szolgáltatás vagy folyamat.
Ha helyszíni eszközfelügyeletet használ vagy helyez át natív felhőbeli végpontokra, néhány forgatókönyvet ismernie kell. Ez a cikk felsorolja és ismerteti a megváltozott viselkedéseket, korlátozásokat és megoldásokat.
A natív felhőbeli végpontok a Microsoft Entra-hoz csatlakoztatott eszközök. Sok esetben nincs szükség közvetlen kapcsolatra a helyszíni erőforrásokhoz a használhatóság és a felügyelet érdekében. További információ: Mik azok a natív felhőbeli végpontok?
Ez a funkció az alábbiakra vonatkozik:
- Natív Windows-felhőbeli végpontok
Ebben a cikkben a számítógépfiókok és a számítógépfiókok felcserélhetők.
Ne használjon gépi hitelesítést
Amikor egy Windows-végpont, például egy Windows 10/11-eszköz csatlakozik egy helyszíni Active Directory- (AD-) tartományhoz, a rendszer automatikusan létrehoz egy számítógépfiókot. A számítógép-/számítógépfiók használható a hitelesítéshez.
A gépi hitelesítés a következő esetekben történik:
- A helyszíni erőforrások, például a fájlmegosztások, nyomtatók, alkalmazások és webhelyek felhasználói fiókok helyett helyszíni AD-számítógépfiókokkal érhetők el.
- A rendszergazdák vagy alkalmazásfejlesztők felhasználók vagy felhasználói csoportok helyett számítógépfiókok használatával konfigurálják a helyszíni erőforrás-hozzáférést.
A natív felhőbeli végpontok a Microsoft Entra-hoz csatlakoznak, és nem léteznek a helyszíni AD-ben. A natív felhőbeli végpontok nem támogatják a helyszíni AD-gépek hitelesítését. Ha a helyszíni fájlmegosztásokhoz, alkalmazásokhoz vagy szolgáltatásokhoz való hozzáférést csak helyszíni AD-számítógépfiókokkal konfigurálja, a natív felhőbeli végpontokon sikertelen lesz.
Váltás felhasználóalapú hitelesítésre
- Új projektek létrehozásakor ne használjon gépi hitelesítést. A gépi hitelesítés használata nem gyakori, és nem ajánlott eljárás. De ezt tudnia kell, és tisztában kell lennie vele. Ehelyett használjon felhasználóalapú hitelesítést.
- Tekintse át a környezetet, és azonosítsa azokat az alkalmazásokat és szolgáltatásokat, amelyek jelenleg gépi hitelesítést használnak. Ezután módosítsa a felhasználóalapú hitelesítéshez vagy a szolgáltatásfiók-alapú hitelesítéshez való hozzáférést.
Fontos
A Microsoft Entra Connect eszközvisszaíró funkciója nyomon követi a Microsoft Entra-ban regisztrált eszközöket. Ezek az eszközök regisztrált eszközként jelennek meg a helyszíni AD-ben.
A Microsoft Entra Connect eszközvisszaíró nem hoz létre azonos helyszíni AD-számítógépfiókokat a helyszíni AD-tartományban. Ezek a visszaíró eszközök nem támogatják a helyszíni gépi hitelesítést.
Az eszközvisszaíróval támogatott forgatókönyvekről a Microsoft Entra Connect: Eszközvisszaíró engedélyezése című témakörben talál további információt.
A gépfiókokat használó gyakori szolgáltatások
Az alábbi lista olyan gyakori szolgáltatásokat és szolgáltatásokat tartalmaz, amelyek számítógépfiókokat használhatnak a hitelesítéshez. Emellett javaslatokat is tartalmaz, ha a szervezet gépi hitelesítéssel használja ezeket a funkciókat.
A hálózati tárterület elérése gépfiókokkal meghiúsul. A natív felhőbeli végpontok nem férnek hozzá a számítógépfiókokkal védett fájlmegosztásokhoz. Ha az ACL-engedélyek (hozzáférés-vezérlési lista) csak a számítógépfiókokhoz vannak hozzárendelve, vagy csak a gépfiókokat tartalmazó csoportokhoz vannak hozzárendelve, akkor a fájlmegosztásokkal vagy hálózati tárolómegosztásokkal (NAS) való meghajtóleképezés sikertelen lesz.
Javaslat:
Kiszolgáló- és munkaállomás-fájlmegosztások: A felhasználói fiókalapú biztonság használatára vonatkozó engedélyek frissítése. Ebben az esetben a Microsoft Entra egyszeri bejelentkezéssel (SSO) érheti el az integrált Windows-hitelesítést használó erőforrásokat.
Fájlmegosztási tartalom áthelyezése a SharePoint Online-ba vagy a OneDrive-ra. További információt a Fájlmegosztások áttelepítése a SharePointba és a OneDrive-ra című témakörben talál.
Hálózati fájlrendszer (NFS) gyökérhozzáférése: A felhasználókat adott mappákhoz, nem pedig a gyökérhez való hozzáférésre irányíthatja. Ha tudja, helyezze át a tartalmat egy NFS-ből a SharePoint Online-ba vagy a OneDrive-ra.
Win32-alkalmazások a Microsoft Entra-hoz csatlakoztatott Windows-végpontokon:
- Nem fog működni, ha az alkalmazások gépi fiókhitelesítést használnak.
- Nem fog működni, ha az alkalmazások csak számítógépfiókokat tartalmazó csoportokkal védett erőforrásokhoz férnek hozzá.
Javaslat:
- Ha Win32-alkalmazásai gépi hitelesítést használnak, frissítse az alkalmazást a Microsoft Entra-hitelesítés használatára. További információ: Alkalmazáshitelesítés migrálása a Microsoft Entra-ba.
- Ellenőrizze az alkalmazások és a kioszkeszközök hitelesítését és identitását. Frissítse a hitelesítést és az identitásokat a felhasználói fiókalapú biztonság használatához.
További információ: Hitelesítés és Win32-alkalmazások.
Azok az IIS-webkiszolgáló-telepítések, amelyek csak számítógépfiókokkal vagy számítógépfiók-csoportokkal korlátozzák a helyhozzáférést ACL-engedélyekkel, sikertelenek lesznek. A csak számítógépfiókokhoz vagy számítógépfiókcsoportokhoz való hozzáférést korlátozó hitelesítési stratégiák szintén sikertelenek lesznek.
Javaslat:
- A webhelyeken engedélyezze a Hitelesítés egyeztetése beállítást.
- Frissítse a webkiszolgáló-alkalmazásokat a Microsoft Entra-hitelesítés használatára. További információ: Alkalmazáshitelesítés migrálása a Microsoft Entra-ba.
További források:
A szabványos nyomtatáskezelés és -felderítés a gépi hitelesítéstől függ. A Microsoft Entra-hoz csatlakoztatott Windows-végpontokon a felhasználók nem tudnak szabványos nyomtatással nyomtatni.
Javaslat: Univerzális nyomtatás használata. További információt a Mi az univerzális nyomtatás? című témakörben talál.
A gépkörnyezetben natív felhőbeli végpontokon futó Windows-ütemezett feladatok nem férhetnek hozzá a távoli kiszolgálókon és munkaállomásokon lévő erőforrásokhoz. A natív felhőbeli végpont nem rendelkezik fiókkal a helyszíni AD-ben, ezért nem tud hitelesíteni.
Javaslat: Konfigurálja az ütemezett feladatokat úgy, hogy bejelentkezett felhasználót vagy más fiókalapú hitelesítést használjanak.
Az Active Directory bejelentkezési szkriptjei a helyszíni AD-felhasználó tulajdonságaiban vannak hozzárendelve, vagy csoportházirend-objektummal (GPO) vannak üzembe helyezve. Ezek a szkriptek nem érhetők el natív felhőbeli végpontokhoz.
Javaslat: Tekintse át a szkripteket. Ha van modern megfelelője, használja helyette. Ha például a szkript beállítja a felhasználó otthoni meghajtóját, akkor áthelyezheti a felhasználó otthoni meghajtóját a OneDrive-ra. Ha a szkript megosztott mappatartalmat tárol, akkor migrálja a megosztott mappa tartalmát a SharePoint Online-ba.
Ha nincs modern megfelelője, akkor Windows PowerShell-szkripteket telepíthet a Microsoft Intune-ból.
További információt a következő témakörben talál:
Előfordulhat, hogy a csoportházirend-objektumok nem alkalmazhatók
Előfordulhat, hogy a régebbi szabályzatok némelyike nem érhető el, vagy nem vonatkozik a natív felhőbeli végpontokra.
Megoldás:
Az Intune csoportházirend-elemzésével kiértékelheti a meglévő csoportházirend-objektumokat (GPO). Az elemzés az elérhető szabályzatokat és a nem elérhető szabályzatokat jeleníti meg.
A végpontkezelésben a szabályzatok felhasználók és csoportok számára vannak üzembe helyezve. A rendszer nem alkalmazza őket LSDOU-sorrendben. Ez a viselkedés szemléletváltás, ezért győződjön meg arról, hogy a felhasználók és a csoportok sorrendben vannak.
A Microsoft Intune-beli szabályzat-hozzárendeléssel kapcsolatos további információkért és útmutatásért lásd: Felhasználói és eszközprofilok hozzárendelése a Microsoft Intune-ban.
Leltárazhatja a szabályzatokat, és meghatározhatja azok működését. Találhat kategóriákat vagy csoportosításokat, például a biztonságra összpontosító szabályzatokat, az operációs rendszerre összpontosító szabályzatokat stb.
Létrehozhat egy Intune-szabályzatot, amely a kategóriák vagy csoportok beállításait tartalmazza. A Beállításkatalógus jó erőforrás.
Készüljön fel új szabályzatok létrehozására. A modern végpontkezelés beépített funkciói, például a Microsoft Intune, jobb lehetőségeket kínálhatnak a szabályzatok létrehozására és üzembe helyezésére.
A natív felhőbeli végpontokra való áttérés magas szintű tervezési útmutatója jó erőforrás.
Ne migrálja az összes szabályzatot. Ne feledje, hogy a régi szabályzatok nem feltétlenül értelmezhetők a natív felhőbeli végpontokkal.
Ahelyett, hogy azt csinálna, amit mindig is tett, koncentráljon arra, amit ténylegesen el szeretne érni.
A szinkronizált felhasználói fiókok nem tudják befejezni az első bejelentkezést
A szinkronizált felhasználói fiókok helyszíni AD-tartományi felhasználók, amelyek a Microsoft Entra Connect használatával vannak szinkronizálva a Microsoft Entra szolgáltatással.
Jelenleg az olyan jelszóval szinkronizált felhasználói fiókok, amelyeknél a felhasználónak módosítania kell a jelszót a következő bejelentkezéskor , nem tud első alkalommal bejelentkezni egy natív felhőbeli végpontra.
Megoldás:
Használja a Jelszókivonat szinkronizálása és a Microsoft Entra Connect szolgáltatást, amely a jelszómódosítás kényszerítésére kényszeríti a bejelentkezési attribútumot a szinkronizáláshoz.
További információt a Jelszókivonat-szinkronizálás implementálása a Microsoft Entra Connect-szinkronizálással című témakörben talál.
Kövesse a natív felhőbeli végpontokkal kapcsolatos útmutatót
- Áttekintés: Mik azok a natív felhőbeli végpontok?
- Oktatóanyag: Ismerkedés a natív felhőbeli Windows-végpontokkal
- Fogalom: A Microsoft Entra-hoz csatlakoztatott és a hibrid Microsoft Entra-hoz csatlakoztatott
- Koncepció: Natív felhőbeli végpontok és helyszíni erőforrások
- Magas szintű tervezési útmutató
- 🡺 Ismert problémák és fontos információk (Ön itt van)
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: