クラウドネイティブ エンドポイントに関する既知の問題と制限事項
ヒント
クラウド ネイティブ エンドポイントについて読むと、次の用語が表示されます。
- エンドポイント: エンドポイントは、携帯電話、Tablet PC、ノート PC、デスクトップ コンピューターなどのデバイスです。 "エンドポイント" と "デバイス" は同じ意味で使用されます。
- マネージド エンドポイント: MDM ソリューションまたは グループ ポリシー オブジェクトを使用して組織からポリシーを受け取るエンドポイント。 通常、これらのデバイスは組織所有ですが、BYOD または個人所有のデバイスでもかまいません。
- クラウド ネイティブ エンドポイント: Microsoft Entra に参加しているエンドポイント。 これらはオンプレミス AD に参加していません。
- ワークロード: 任意のプログラム、サービス、またはプロセス。
オンプレミスのデバイス管理をクラウドネイティブ エンドポイントに使用または移行する場合は、いくつかのシナリオを把握しておく必要があります。 この記事では、変更された動作、制限事項、および解決策について説明します。
クラウドネイティブ エンドポイントは、Microsoft Entra に参加しているデバイスです。 多くの場合、使いやすさや管理のために、オンプレミスのリソースに直接接続する必要はありません。 詳細については、「クラウドネイティブ エンドポイントとは」をご覧ください。
この機能は、以下に適用されます。
- Windows クラウドネイティブ エンドポイント
この記事では、コンピューター アカウントとコンピューター アカウントを同じ意味で使用しています。
マシン認証を使用しない
Windows 10/11 デバイスなどの Windows エンドポイントがオンプレミスの Active Directory (AD) ドメインに参加すると、コンピューター アカウントが自動的に作成されます。 コンピューター/コンピューター アカウントは、認証に使用できます。
マシン認証は、次の場合に行われます。
- ファイル共有、プリンター、アプリケーション、Web サイトなどのオンプレミス リソースには、ユーザー アカウントの代わりにオンプレミスの AD コンピューター アカウントを使用してアクセスします。
- 管理者またはアプリケーション開発者は、ユーザーまたはユーザー グループの代わりに、コンピューター アカウントを使用してオンプレミスのリソース アクセスを構成します。
クラウドネイティブ エンドポイントは Microsoft Entra に参加しており、オンプレミス AD には存在しません。 クラウドネイティブ エンドポイントでは、オンプレミスの AD マシン認証はサポートされません。 オンプレミスの AD マシン アカウントのみを使用してオンプレミスのファイル共有、アプリケーション、またはサービスへのアクセスを構成すると、クラウドネイティブ エンドポイントでは失敗します。
ユーザーベースの認証に切り替える
- 新しいプロジェクトを作成するときは、マシン認証を使用しないでください。 マシン認証の使用は一般的ではなく、推奨される方法ではありません。 しかし、それはあなたが知り、注意する必要があるものです。 代わりに、ユーザーベースの認証を使用します。
- 環境を確認し、現在マシン認証を使用しているすべてのアプリケーションとサービスを特定します。 次に、ユーザーベースの認証またはサービス アカウントベースの認証へのアクセスを変更します。
重要
Microsoft Entra Connect デバイス ライトバック機能は、Microsoft Entra に登録されているデバイスを追跡します。 これらのデバイスは、登録済みデバイスとしてオンプレミス AD に表示されます。
Microsoft Entra Connect デバイスライトバックでは、オンプレミスの AD ドメインに同一のオンプレミス AD コンピューター アカウントは作成されません。 これらのライトバック デバイスは、オンプレミスのマシン認証をサポートしていません。
デバイスライトバックでサポートされるシナリオについては、 Microsoft Entra Connect: デバイスライトバックの有効化に関するページを参照してください。
マシン アカウントを使用する一般的なサービス
次の一覧には、マシン アカウントを使用して認証を行う一般的な機能とサービスが含まれています。 また、組織でマシン認証でこれらの機能を使用している場合の推奨事項も含まれます。
マシン アカウントを使用すると、ネットワーク ストレージ へのアクセスが失敗します。 クラウドネイティブ エンドポイントは、マシン アカウントを使用した安全なファイル共有にアクセスできません。 ACL (アクセス制御リスト) のアクセス許可がマシン アカウントにのみ割り当てられている場合、またはマシン アカウントのみを含むグループに割り当てられている場合、ファイル共有やネットワーク接続ストレージ (NAS) 共有とのドライブ マッピングは失敗します。
推奨事項:
サーバーとワークステーションのファイル共有: ユーザー アカウントベースのセキュリティを使用するようにアクセス許可を更新します。 その場合は、 Microsoft Entra シングル サインオン (SSO) を 使用して、Windows 統合認証を使用するリソースにアクセスします。
ファイル共有コンテンツをオンラインまたは OneDrive SharePoint に移動します。 詳細については、「ファイル共有を SharePoint および OneDrive に移行する」を参照してください。
ネットワーク ファイル システム (NFS) ルート アクセス: ルートではなく、特定のフォルダーにアクセスするようにユーザーを誘導します。 可能であれば、NFS から SharePoint Online または OneDrive にコンテンツを移動します。
Microsoft Entra 上の Win32 アプリは、Windows エンドポイントに参加しました。
- アプリがマシン アカウント認証を使用している場合は機能しません。
- マシン アカウントのみを含むグループで安全なリソースにアプリがアクセスする場合は機能しません。
推奨事項:
- Win32 アプリでマシン認証を使用している場合は、Microsoft Entra 認証を使用するようにアプリを更新します。 詳細については、「 アプリケーション認証を Microsoft Entra に移行する」を参照してください。
- アプリケーションとキオスク デバイスの認証と ID を確認します。 認証と ID を更新して、ユーザー アカウントベースのセキュリティを使用します。
詳細については、「認証アプリと Win32 アプリ」をご覧ください。
コンピューター アカウントまたはコンピューター アカウントのグループのみを使用して ACL アクセス許可を使用してサイト アクセスを制限する IIS Web サーバーの展開は失敗します。 コンピューター アカウントまたはコンピューター アカウントのグループのみにアクセスを制限する認証戦略も失敗します。
推奨事項:
- Web サイトで、ネゴシエート認証を有効にします。
- Microsoft Entra 認証を使用するように Web サーバー アプリを更新します。 詳細については、「 アプリケーション認証を Microsoft Entra に移行する」を参照してください。
その他のリソース:
標準的な印刷管理と検出は、マシン認証に依存します。 Microsoft Entra 参加済み Windows エンドポイントでは、ユーザーは標準印刷を使用して印刷できません。
推奨事項: ユニバーサル印刷を使用します。 詳細については、「ユニバーサル 印刷とは」を参照してください。
クラウドネイティブ エンドポイント上のマシン コンテキストで実行される Windows 上でスケジュールされたタスクでは、リモート サーバーとワークステーション上のリソースにアクセスできません。 クラウドネイティブ エンドポイントはオンプレミス AD にアカウントがないため、認証できません。
推奨事項: ログイン ユーザーまたは別の形式のアカウントベースの認証を使用するようにスケジュールされたタスクを構成します。
Active Directory ログイン スクリプトは、オンプレミス AD ユーザーのプロパティに割り当てられているか、グループ ポリシー オブジェクト (GPO) を使用して展開されます。 これらのスクリプトは、クラウドネイティブ エンドポイントでは使用できません。
推奨事項: スクリプトを確認します。 最新の同等機能がある場合は、代わりに使用してください。 たとえば、スクリプトでユーザーのホーム ドライブが設定されている場合は、代わりにユーザーのホーム ドライブを OneDrive に移動できます。 スクリプトに共有フォルダー コンテンツが格納されている場合は、代わりに共有フォルダー コンテンツを SharePoint Online に移行します。
最新の同等機能がない場合は、Microsoft Intune を使用して Windows PowerShell スクリプトを展開できます。
詳細については、以下をご覧ください。
グループ ポリシー オブジェクトが適用されない場合があります
以前のポリシーの一部が使用できないか、クラウドネイティブ エンドポイントに適用されない可能性があります。
解決策:
Intune で グループ ポリシー分析を 使用すると、既存のグループ ポリシー オブジェクト (GPO) を評価できます。 分析では、使用可能なポリシーと、使用できないポリシーが表示されます。
エンドポイント管理では、ポリシーがユーザーとグループに展開されます。 LSDOU 順に適用されることはありません。 この動作は考え方の変化であるため、ユーザーとグループが正しく動作していることを確認してください。
Microsoft Intune でのポリシーの割り当ての詳細とガイダンスについては、Microsoft Intune のユーザー プロファイルとデバイス プロファイルの割り当てをご覧ください。
ポリシーを棚卸し、その操作を決定します。 セキュリティに重点を置くポリシー、OS に重点を置くポリシーなど、カテゴリやグループが見つかる場合があります。
カテゴリまたはグループ化の設定を含む Intune ポリシーを作成できます。 設定カタログは優れたリソースです。
新しいポリシーを作成する準備を行います。 Microsoft Intune などの最新のエンドポイント管理の組み込み機能には、ポリシーを作成して展開するためのより優れたオプションが用意されている場合があります。
クラウドネイティブ エンドポイントに移行するための高レベルの計画ガイドは、良いリソースです。
すべてのポリシーを移行しないでください。 以前のポリシーは、クラウドネイティブ エンドポイントでは意味をなさない場合があることに注意してください。
いつも行っていることを行う代わりに、実際に達成したいことに焦点を当てます。
同期されたユーザー アカウントで最初のサインインを完了できない
同期されたユーザー アカウントは、Microsoft Entra Connect を使用して Microsoft Entra に同期されるオンプレミスの AD ドメイン ユーザーです。
現在、ユーザーは次回のログオン時にパスワード変更が必要が構成設定されたパスワードを持つ同期済みユーザー アカウントは、クラウドネイティブ エンドポイントへの初回サインインを完了できません。
解決策:
パスワード ハッシュ同期と Microsoft Entra connect を使用します。これにより、 ログオン属性での強制的なパスワード変更 が強制的に同期されます。
詳細については、「 Microsoft Entra Connect 同期を使用してパスワード ハッシュ同期を実装する」を参照してください。