Известные проблемы с облачными конечными точками и ограничения

Совет

При чтении об облачных собственных конечных точках вы увидите следующие термины:

• Конечная точка: конечная точка — это устройство, такое как мобильный телефон, планшет, ноутбук или настольный компьютер. "Конечные точки" и "устройства" взаимозаменяемы.
• Управляемые конечные точки: конечные точки, которые получают политики от организации с помощью решения MDM или объектов групповой политики. Эти устройства обычно принадлежат организации, но также могут быть BYOD или личными устройствами.
• Облачные собственные конечные точки: конечные точки, присоединенные к Microsoft Entra. Они не присоединены к локальной AD.
• Рабочая нагрузка: любая программа, служба или процесс.

При использовании или перемещении управления локальными устройствами на собственные облачные конечные точки необходимо знать о некоторых сценариях. В этой статье перечислены и описаны некоторые измененные варианты поведения, ограничения и решения.

Облачные конечные точки — это устройства, присоединенные к Microsoft Entra. Во многих случаях им не требуется прямое подключение к локальным ресурсам для удобства использования или управления. Дополнительные сведения см. в статье Что такое облачные конечные точки.

Данная функция применяется к:

• Облачные конечные точки Windows

В этой статье учетные записи компьютеров и учетные записи машин взаимозаменяемы.

Не использовать проверку подлинности машин

Когда конечная точка Windows, например устройство Windows 10/11, присоединяется к локальному домену Active Directory (AD), учетная запись компьютера создается автоматически. Учетную запись компьютера или машины можно использовать для проверки подлинности.

Проверка подлинности машины происходит в следующих случаях:

• Доступ к локальным ресурсам, таким как общие файловые ресурсы, принтеры, приложения и веб-сайты, осуществляется с использованием учетных записей локальных компьютеров AD, а не учетных записей пользователей.
• Администраторы или разработчики приложений настраивают доступ к локальным ресурсам, используя учетные записи компьютеров, а не пользователей или группы пользователей.

Облачные конечные точки присоединяются к Microsoft Entra и не существуют в локальной среде AD. Облачные конечные точки не поддерживают проверку подлинности локального компьютера AD. Настройка доступа к локальным файловым ресурсам, приложениям или службам с использованием только локальных учетных записей компьютеров AD не удастся выполнить на облачных конечных точках.

Переход на проверку подлинности на основе пользователей

• При создании новых проектов не используйте проверку подлинности компьютера. Использование проверки подлинности на компьютере не является распространенным и не рекомендуется. Но это то, что вы должны знать и знать. Вместо этого используйте проверку подлинности на основе пользователей.
• Проверьте среду и определите все приложения и службы, которые в настоящее время используют проверку подлинности компьютера. Затем измените доступ на проверку подлинности на основе пользователей или учетной записи службы.

Важно!

Функция обратной записи устройств Microsoft Entra Connect отслеживает устройства, зарегистрированные в Microsoft Entra. Эти устройства отображаются в локальной службе AD как зарегистрированные устройства.

Обратная запись устройств Microsoft Entra Connect не создает идентичные локальные учетные записи компьютеров AD в локальном домене AD. Эти устройства обратной записи не поддерживают проверку подлинности локального компьютера.

Сведения о сценариях, поддерживаемых обратной записью устройств, см. в статье Microsoft Entra Connect: включение обратной записи устройств.

Распространенные службы, использующие учетные записи компьютеров

В следующем списке перечислены общие функции и службы, которые могут использовать учетные записи компьютеров для проверки подлинности. Он также содержит рекомендации, если ваша организация использует эти функции с проверкой подлинности компьютера.

• Сбой доступа к сетевому хранилищу с учетными записями компьютеров. Облачные конечные точки не могут получить доступ к файловым ресурсам, защищенным с помощью учетных записей компьютеров. Если разрешения ACL (списка управления доступом) назначены только учетным записям компьютеров или назначены группам, включающим только учетные записи компьютеров, то сопоставление дисков с общими файловыми ресурсами или запоминающимися устройствами, подключаемыми к сети (NAS) не удастся.

  Рекомендация:

  • Общие файловые ресурсы сервера и рабочей станции: обновите разрешения для использования безопасности на основе учетной записи пользователя. В этом случае используйте единый вход Microsoft Entra для доступа к ресурсам, которые используют встроенную проверку подлинности Windows.

    Переместите содержимое общего доступа к файлам в SharePoint Online или OneDrive. Дополнительные сведения см. в статье Миграция общих файловых ресурсов в SharePoint и OneDrive.

  • Доступ к корневому каталогу сетевой файловой системы (NFS): предоставление пользователям доступа к определенным папкам, а не к корню. При возможности переместите содержимое из NFS в SharePoint Online или OneDrive.

• Приложения Win32 в конечных точках Windows, присоединенных к Microsoft Entra:

  • Не будут работать, если приложения используют проверку подлинности учетной записи компьютера.
  • Не будут работать, если приложения получают доступ к ресурсам, защищенным группами, включающими только учетные записи компьютеров.

  Рекомендация:

  • Если приложения Win32 используют проверку подлинности компьютера, обновите приложение, чтобы оно использовало проверку подлинности Microsoft Entra. Дополнительные сведения см. в статье Миграция проверки подлинности приложений в Microsoft Entra.
  • Проверьте проверку подлинности и удостоверения ваших приложений и киосков. Обновите проверку подлинности и удостоверения, чтобы использовать безопасность на основе учетной записи пользователя.

  Дополнительные сведения см. в статье Проверка подлинности и приложения Win32.

• Развертывания веб-сервера IIS, ограничивающее доступ к сайту с помощью разрешений ACL только с учетными записями компьютеров или группами учетных записей компьютеров, завершится сбоем. Стратегии проверки подлинности, ограничивающие доступ только к учетным записям компьютеров или группам учетных записей компьютеров, также завершатся сбоем.

  Рекомендация:

  • На веб-сайтах включите проверку подлинности Negotiate.
  • Обновите приложения веб-сервера для использования проверки подлинности Microsoft Entra. Дополнительные сведения см. в статье Миграция проверки подлинности приложений в Microsoft Entra.

  Дополнительные ресурсы:

  • Проверка подлинности IIS <windowsAuthentication>
  • Авторизация безопасности IIS <authorization>

• Управление и обнаружение стандартной печатью зависят от проверки подлинности компьютера. В конечных точках Windows, присоединенных к Microsoft Entra, пользователи не могут печатать с помощью стандартной печати.

  Рекомендация. Используйте универсальную печать. Дополнительные сведения см. в статье Что такое универсальная печать.

• Запланированные задачи Windows, которые выполняются в контексте компьютера на собственных облачных конечных точках, не могут получить доступ к ресурсам на удаленных серверах и рабочих станциях. Облачная конечная точка не имеет учетной записи в локальной службе AD и поэтому не может пройти проверку подлинности.

  Рекомендация. Настройте запланированные задачи для использования вошедшего в систему пользователя или другой формы проверки подлинности на основе учетной записи.

• Сценарии входа в Active Directory назначаются в свойствах локального пользователя AD или развертываются с помощью объекта групповой политики (GPO). Эти сценарии недоступны для облачных конечных точек.

  Рекомендация. Просмотрите сценарии. Если существует современный эквивалент, используйте его. Например, если сценарий задает домашний диск пользователя, его можно переместить в OneDrive. Если сценарий хранит содержимое общей папки, вместо этого перенесите содержимое общей папки в SharePoint Online.

  Если современного эквивалента нет, сценарии Windows PowerShell можно развернуть с помощью Microsoft Intune.

  Дополнительные сведения см. в статьях:

  • Добавление сценариев PowerShell для устройств Windows 10/11 в Microsoft Intune
  • Введение в OneDrive в Microsoft 365

Объекты групповой политики могут не применяться

Возможно, некоторые из ваших старых политик недоступны или не применяются к облачным конечным точкам.

Решение:

• Используя аналитику групповой политики в Intune, вы можете оценить существующие объекты групповой политики ( GPO). Анализ показывает доступные и недоступные политики.

• При управлении конечными точками политики развертываются для пользователей и групп. Они не применяются в порядке LSDOU. Такое поведение является изменением мышления, поэтому убедитесь, что ваши пользователи и группы в порядке.

  Дополнительные сведения и рекомендации по назначению политики в Microsoft Intune см. в статье Назначение профилей пользователей и устройств в Microsoft Intune.

• Проведите инвентаризацию политик и определите их действия. Вы можете найти категории или группы, такие как политики, ориентированные на безопасность, политики, ориентированные на ОС, и так далее.

  Вы можете создать политику Intune, которая включает параметры из категорий или групп. Каталог параметров является хорошим ресурсом.

• Будьте готовы к созданию новых политик. Встроенные функции современного управления конечными точками, такие как Microsoft Intune, могут иметь лучшие возможности для создания и развертывания политик.

  Руководство по планированию высокого уровня для перехода к облачным конечным точкам является хорошим ресурсом.

• Не переносите все политики. Помните, что старые политики могут не работать с облачными конечными точками.

  Вместо того, чтобы делать то, что вы всегда делали, сосредоточьтесь на том, чего вы действительно хотите достичь.

Синхронизированные учетные записи пользователей не могут выполнить первый вход

Синхронизированные учетные записи пользователей — это локальные пользователи домена AD, которые синхронизируются с Microsoft Entra с помощью Microsoft Entra Connect.

В настоящее время синхронизированные учетные записи пользователей с паролями, для которых пользователь должен изменить пароль при следующем входе в систему, не могут выполнить первый вход в облачную конечную точку.

Решение:

Используйте синхронизацию хэша паролей и Microsoft Entra connect, чтобы принудительно изменить пароль в атрибуте входа в систему .

Дополнительные сведения см. в статье Реализация синхронизации хэша паролей с помощью синхронизации Microsoft Entra Connect.

Следуйте рекомендациям по облачным конечным точкам

1. Обзор. Что такое облачные конечные точки?
2. Руководство. Начало работы с облачными конечными точками Windows
3. Концепция: присоединение к Microsoft Entra и гибридное присоединение к Microsoft Entra
4. Концепция. Ориентированные на облако конечные точки и локальные ресурсы
5. Руководство по планированию высокого уровня
6. 🡺 Известные проблемы и важные сведения (вы здесь)