Bekende problemen en beperkingen met cloudeigen eindpunten

Tip

Wanneer u leest over cloudeigen eindpunten, ziet u de volgende termen:

• Eindpunt: Een eindpunt is een apparaat, zoals een mobiele telefoon, tablet, laptop of desktopcomputer. 'Eindpunten' en 'apparaten' worden door elkaar gebruikt.
• Beheerde eindpunten: eindpunten die beleidsregels van de organisatie ontvangen met behulp van een MDM-oplossing of groepsbeleid-objecten. Deze apparaten zijn doorgaans eigendom van de organisatie, maar kunnen ook BYOD- of persoonlijke apparaten zijn.
• Cloudeigen eindpunten: eindpunten die zijn gekoppeld aan Azure AD. Ze zijn niet gekoppeld aan on-premises AD.
• Workload: elk programma, elke service of elk proces.

Wanneer u on-premises apparaatbeheer gebruikt of verplaatst naar cloudeigen eindpunten, zijn er enkele scenario's die u moet kennen. In dit artikel worden enkele gewijzigde gedragingen, beperkingen en oplossingen beschreven.

Cloudeigen eindpunten zijn apparaten die zijn gekoppeld aan Microsoft Entra. In veel gevallen is er geen directe verbinding met on-premises resources nodig voor bruikbaarheid of beheer. Ga voor meer specifieke informatie naar Wat zijn cloudeigen eindpunten?

Deze functie is van toepassing op:

• Windows-cloudeigen eindpunten

In dit artikel worden computeraccounts en computeraccounts door elkaar gebruikt.

Geen computerverificatie gebruiken

Wanneer een Windows-eindpunt, zoals een Windows 10/11-apparaat, lid wordt van een ad-domein (on-premises Active Directory), wordt automatisch een computeraccount gemaakt. Het computer-/computeraccount kan worden gebruikt om te verifiëren.

Machineverificatie vindt plaats wanneer:

• On-premises resources, zoals bestandsshares, printers, toepassingen en websites, worden geopend met on-premises AD-computeraccounts in plaats van gebruikersaccounts.
• Beheerders of toepassingsontwikkelaars configureren on-premises resourcetoegang met behulp van computeraccounts in plaats van gebruikers of gebruikersgroepen.

Cloudeigen eindpunten zijn gekoppeld aan Microsoft Entra en bestaan niet in on-premises AD. Cloudeigen eindpunten bieden geen ondersteuning voor verificatie van on-premises AD-machines. Het configureren van toegang tot on-premises bestandsshares, toepassingen of services met alleen on-premises AD-machineaccounts mislukt op cloudeigen eindpunten.

Overschakelen naar verificatie op basis van gebruikers

• Gebruik geen computerverificatie bij het maken van nieuwe projecten. Het is niet gebruikelijk of een aanbevolen praktijk, maar het is iets dat u moet weten en bewust moet zijn. Gebruik in plaats daarvan verificatie op basis van gebruikers.
• Controleer uw omgeving en identificeer eventuele toepassingen en services die momenteel gebruikmaken van machineverificatie. Wijzig vervolgens de toegang tot verificatie op basis van gebruikers of serviceaccountverificatie.

Belangrijk

De functie Microsoft Entra Apparaat terugschrijven verbinden houdt apparaten bij die zijn geregistreerd in Microsoft Entra. Deze apparaten worden in on-premises AD weergegeven als geregistreerde apparaten.

Microsoft Entra Connect-apparaat terugschrijven maakt geen identieke on-premises AD-computeraccounts in het on-premises AD-domein. Deze write-backapparaten bieden geen ondersteuning voor verificatie van on-premises machines.

Ga naar Microsoft Entra Verbinding maken: terugschrijven van apparaten inschakelen voor informatie over scenario's die worden ondersteund met het terugschrijven van apparaten.

Algemene services die gebruikmaken van computeraccounts

De volgende lijst bevat algemene functies en services die mogelijk gebruikmaken van computeraccounts om te verifiëren. Het bevat ook aanbevelingen als uw organisatie deze functies gebruikt met machineverificatie.

• Toegang tot netwerkopslag mislukt met computeraccounts. Cloudeigen eindpunten hebben geen toegang tot bestandsshares die zijn beveiligd met computeraccounts. Als ACL-machtigingen (toegangsbeheerlijst) alleen worden toegewezen aan computeraccounts of worden toegewezen aan groepen die alleen computeraccounts bevatten, mislukt de stationstoewijzing met bestandsshares of NAS-shares (Network-Attached Storage).

  Aanbeveling:

  • Server- en werkstationbestandsshares: machtigingen bijwerken voor het gebruik van beveiliging op basis van gebruikersaccounts. Wanneer u dit doet, gebruikt u Microsoft Entra eenmalige aanmelding (SSO) voor toegang tot resources die gebruikmaken van geïntegreerde Windows-verificatie.

    Inhoud van bestandsshares verplaatsen naar SharePoint Online of OneDrive. Ga naar Bestandsshares migreren naar SharePoint en OneDrive voor meer specifieke informatie.

  • NFS-hoofdtoegang (Network File System): gebruikers toegang geven tot specifieke mappen, niet de hoofdmap. Als u kunt, verplaatst u inhoud van een NFS naar SharePoint Online of OneDrive.

• Win32-apps op Microsoft Entra gekoppelde Windows-eindpunten:

  • Werkt niet als de apps gebruikmaken van verificatie van computeraccounts.
  • Werkt niet als de apps toegang hebben tot resources die zijn beveiligd met groepen die alleen computeraccounts bevatten.

  Aanbeveling:

  • Als uw Win32-apps gebruikmaken van machineverificatie, werkt u de app bij om Microsoft Entra-verificatie te gebruiken. Ga voor meer informatie naar Toepassingsverificatie migreren naar Microsoft Entra.
  • Controleer de verificatie en identiteiten van uw toepassingen en kioskapparaten. Werk de verificatie en identiteiten bij om beveiliging op basis van gebruikersaccounts te gebruiken.

  Ga naar Verificatie- en Win32-apps voor meer informatie.

• IIS-webserverimplementaties die sitetoegang beperken met behulp van ACL-machtigingen met alleen computeraccounts of groepen computeraccounts, mislukken. Verificatiestrategieën die de toegang beperken tot alleen computeraccounts of groepen computeraccounts, mislukken ook.

  Aanbeveling:

  • Schakel op uw websites Onderhandelen over verificatie in.
  • Werk uw webserver-apps bij om Microsoft Entra verificatie te gebruiken. Ga voor meer informatie naar Toepassingsverificatie migreren naar Microsoft Entra.

  Meer resources:

  • IIS-verificatie <windowsAuthentication>
  • IIS-beveiligingsautorisatie <authorization>

• Standaard afdrukbeheer en detectie is afhankelijk van computerverificatie. Op Microsoft Entra gekoppelde Windows-eindpunten kunnen gebruikers niet afdrukken met standaardafdruk.

  Aanbeveling: Universal Print gebruiken. Ga naar Wat is Universal Print? voor meer specifieke informatie.

• Geplande Windows-taken die worden uitgevoerd in de machinecontext op cloudeigen eindpunten, hebben geen toegang tot resources op externe servers en werkstations. Het cloudeigen eindpunt heeft geen account in on-premises AD en kan daarom niet worden geverifieerd.

  Aanbeveling: configureer uw geplande taken voor het gebruik van aangemelde gebruiker of een andere vorm van verificatie op basis van een account.

• Active Directory-aanmeldingsscripts worden toegewezen in de eigenschappen van de on-premises AD-gebruiker of geïmplementeerd met behulp van een groepsbeleid Object (GPO). Deze scripts zijn niet beschikbaar voor cloudeigen eindpunten.

  Aanbeveling: Controleer uw scripts. Als er een modern equivalent is, gebruikt u deze in plaats daarvan. Als uw script bijvoorbeeld het thuisstation van de gebruiker instelt, kunt u in plaats daarvan het thuisstation van een gebruiker verplaatsen naar OneDrive. Als uw script inhoud van gedeelde mappen opslaat, migreert u de inhoud van de gedeelde map in plaats daarvan naar SharePoint Online.

  Als er geen modern equivalent is, kunt u Windows PowerShell scripts implementeren met behulp van Microsoft Intune.

  Ga voor meer informatie naar:

  • PowerShell-scripts toevoegen aan Windows 10/11-apparaten in Microsoft Intune
  • Inleiding tot OneDrive in Microsoft 365

groepsbeleid-objecten zijn mogelijk niet van toepassing

Het is mogelijk dat sommige van uw oudere beleidsregels niet beschikbaar zijn of niet van toepassing zijn op cloudeigen eindpunten.

Oplossing:

• Met behulp van groepsbeleid analytics in Intune kunt u uw bestaande groepsbeleid Objects (GPO) evalueren. De analyse toont de beleidsregels die beschikbaar zijn en beleidsregels die niet beschikbaar zijn.

• In eindpuntbeheer worden beleidsregels geïmplementeerd voor gebruikers en groepen. Ze worden niet toegepast in LSDOU-volgorde. Dit gedrag is een mind shift, dus zorg ervoor dat uw gebruikers en groepen in orde zijn.

  Ga naar Gebruikers- en apparaatprofielen toewijzen in Microsoft Intune voor meer specifieke informatie en richtlijnen over beleidstoewijzing in Microsoft Intune.

• Inventariseer uw beleid en bepaal wat ze doen. Mogelijk vindt u categorieën of groeperingen, zoals beleidsregels die zijn gericht op beveiliging, beleidsregels die zijn gericht op het besturingssysteem, enzovoort.

  U kunt een Intune-beleid maken dat de instellingen van uw categorieën of groeperingen bevat. De instellingencatalogus is een goede resource.

• Wees voorbereid op het maken van nieuwe beleidsregels. De ingebouwde functies van modern eindpuntbeheer, zoals Microsoft Intune, hebben mogelijk betere opties voor het maken en implementeren van beleid.

  De planningshandleiding op hoog niveau voor het verplaatsen naar cloudeigen eindpunten is een goede resource.

• Migreer niet al uw beleidsregels. Vergeet niet dat uw oude beleid mogelijk niet zinvol is met cloudeigen eindpunten.

  In plaats van te doen wat u altijd al hebt gedaan, richt u zich op wat u daadwerkelijk wilt bereiken.

Gesynchroniseerde gebruikersaccounts kunnen de eerste aanmelding niet voltooien

Gesynchroniseerde gebruikersaccounts zijn on-premises AD-domeingebruikers die worden gesynchroniseerd met Microsoft Entra met behulp van Microsoft Entra Connect.

Op dit moment kunnen gesynchroniseerde gebruikersaccounts met wachtwoorden waarvoor Gebruiker moet wachtwoord wijzigen bij de volgende aanmelding geconfigureerd, geen eerste aanmelding bij een cloudeigen eindpunt voltooien.

Oplossing:

Gebruik Wachtwoord-hashsynchronisatie en Microsoft Entra verbinding te maken, waardoor het kenmerk wachtwoordwijziging bij aanmelding wordt afgedwongen om te synchroniseren.

Ga voor meer specifieke informatie naar Wachtwoord-hashsynchronisatie implementeren met Microsoft Entra Connect-synchronisatie.

Volg de richtlijnen voor cloudeigen eindpunten

1. Overzicht: Wat zijn cloudeigen eindpunten?
2. Zelfstudie: Aan de slag met cloudeigen Windows-eindpunten
3. Concept: Microsoft Entra gekoppeld versus hybride Microsoft Entra gekoppeld
4. Concept: Cloudeigen eindpunten en on-premises resources
5. Planningshandleiding op hoog niveau
6. 🡺 Bekende problemen en belangrijke informatie (U bent hier)