Ustawienia i roaming danych — często zadawane pytania dla administratorów

W systemie Windows 8.1 synchronizacja ustawień zawsze korzystała z kont Microsoft użytkowników. Użytkownicy przedsiębiorstwa mieli możliwość połączenia konta Microsoft z kontem domeny usługi Active Directory w celu uzyskania dostępu do synchronizacji ustawień. W systemie Windows 10 i nowszych ta połączona funkcja konta Microsoft jest zastępowana podstawową/pomocniczą strukturą kont.

Konto podstawowe jest definiowane jako konto używane do logowania się do systemu Windows. Może to być konto Microsoft, konto Microsoft Entra, konto lokalna usługa Active Directory lub konto lokalne. Oprócz konta podstawowego system Windows 10 i nowsi użytkownicy mogą dodawać do swojego urządzenia co najmniej jedno dodatkowe konta w chmurze. Konto pomocnicze to zazwyczaj konto Microsoft, konto Microsoft Entra lub inne konto, takie jak Gmail lub Facebook. Te konta pomocnicze zapewniają dostęp do innych usług, takich jak logowanie jednokrotne i Sklep Windows, ale nie mogą synchronizować ustawień zasilania.

Dane nigdy nie są mieszane między różnymi kontami użytkowników na urządzeniu. Istnieją dwie reguły synchronizacji ustawień:

• Ustawienia systemu Windows zawsze wędrują przy użyciu konta podstawowego.
• Dane aplikacji są oznaczane przy użyciu konta użytego do uzyskania aplikacji. Tylko aplikacje oznaczone synchronizacją konta podstawowego. Oznaczanie własności aplikacji jest określane, gdy aplikacja jest ładowana bezpośrednio za pośrednictwem Sklepu Windows lub zarządzania urządzeniami przenośnymi (MDM).

Jeśli nie można zidentyfikować właściciela aplikacji, będzie on wędrować z kontem podstawowym. Jeśli urządzenie zostało uaktualnione z systemu Windows 8 lub Windows 8.1 do systemu Windows 10 i nowszych, wszystkie aplikacje zostaną oznaczone jako uzyskane przez konto Microsoft. Dzieje się tak, ponieważ większość użytkowników uzyskuje aplikacje za pośrednictwem Sklepu Windows i nie było obsługi kont Microsoft Entra w Sklepie Windows przed systemem Windows 10. Jeśli aplikacja jest zainstalowana za pośrednictwem licencji offline, aplikacja zostanie otagowana przy użyciu konta podstawowego na urządzeniu.

Po uaktualnieniu do systemu Windows 10 i nowszych nadal synchronizujesz ustawienia użytkownika za pośrednictwem konta Microsoft, o ile jesteś użytkownikiem przyłączonym do domeny, a domena usługi Active Directory nie łączy się z identyfikatorem Entra firmy Microsoft.

Jeśli domena lokalna usługa Active Directory łączy się z identyfikatorem Microsoft Entra ID, urządzenie próbuje zsynchronizować ustawienia przy użyciu połączonego konta Microsoft Entra. Jeśli administrator firmy Microsoft Entra nie włączy usługi Enterprise State Roaming, połączone konto Microsoft Entra przestanie synchronizować ustawienia. Jeśli korzystasz z systemu Windows 10 i nowszego i logujesz się przy użyciu tożsamości Microsoft Entra, rozpoczniesz synchronizację ustawień systemu Windows, gdy tylko administrator włączy synchronizację ustawień za pośrednictwem identyfikatora Entra firmy Microsoft.

Jeśli dane osobowe są przechowywane na urządzeniu firmowym, musisz wiedzieć, że system operacyjny Windows i dane aplikacji zaczynają synchronizować się z identyfikatorem Entra firmy Microsoft. Ma to następujące skutki:

• Twoje osobiste ustawienia konta Microsoft będą dryfować z ustawień kont służbowych Microsoft Entra. Dzieje się tak, ponieważ synchronizacja ustawień konta Microsoft i usługi Microsoft Entra używa teraz oddzielnych kont.
• Dane osobowe, takie jak hasła sieci Wi-Fi, poświadczenia internetowe i ulubione programu Internet Explorer, które zostały wcześniej zsynchronizowane za pośrednictwem połączonego konta Microsoft, są synchronizowane za pośrednictwem identyfikatora Microsoft Entra.

W wersjach z listopada 2015 r. lub nowszych systemu Windows 10 usługa Enterprise State Roaming jest obsługiwana tylko dla jednego konta naraz. Jeśli zalogujesz się do systemu Windows przy użyciu konta służbowego Microsoft Entra, wszystkie dane są synchronizowane za pośrednictwem identyfikatora Entra firmy Microsoft. Jeśli zalogujesz się do systemu Windows przy użyciu osobistego konta Microsoft, wszystkie dane będą synchronizowane za pośrednictwem konta Microsoft. Dane aplikacji uniwersalnych są przenoszone tylko przy użyciu podstawowego konta logowania na urządzeniu i są przenoszone tylko wtedy, gdy licencja aplikacji jest własnością konta podstawowego. Uniwersalne dane aplikacji dla aplikacji należących do żadnych kont pomocniczych nie są synchronizowane.

Jeśli na tym samym urządzeniu znajduje się wiele kont firmy Microsoft Entra z różnych dzierżaw firmy Microsoft, musisz zaktualizować rejestr urządzenia, aby komunikować się z usługą Azure Rights Management dla każdej dzierżawy firmy Microsoft Entra.

1. Znajdź identyfikator GUID dla każdej dzierżawy firmy Microsoft Entra. Zaloguj się do centrum administracyjnego firmy Microsoft Entra, przejdź do pozycji Identyfikator dzierżawy Właściwości>przeglądu>tożsamości.>
2. Po utworzeniu identyfikatora GUID należy dodać identyfikator GUID> klucza rejestru HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\SettingSync\WinMSIPC<identyfikatora dzierżawy. Na podstawie klucza GUID identyfikatora dzierżawy utwórz nową wartość wielociągową (REG-MULTI-SZ) o nazwie AllowedRMSServerUrls. W przypadku danych określ adresy URL punktów dystrybucji licencjonowania innych dzierżaw platformy Azure, do których uzyskuje dostęp urządzenie.
3. Adresy URL punktu dystrybucji licencjonowania można znaleźć, uruchamiając polecenie cmdlet Get-AadrmConfiguration z modułu AADRM. Jeśli wartości elementu LicensingIntranetDistributionPointUrl i LicensingExtranetDistributionPointUrl są różne, określ obie wartości. Jeśli wartości są takie same, określ wartość raz.

Roaming działa tylko w przypadku aplikacji uniwersalnych systemu Windows. Dostępne są dwie opcje włączania roamingu w istniejącej aplikacji klasycznej systemu Windows:

• Mostek dla aplikacji klasycznych ułatwia przenoszenie istniejących aplikacji klasycznych systemu Windows do platforma uniwersalna systemu Windows. W tym miejscu wymagane są minimalne zmiany kodu w celu skorzystania z roamingu danych aplikacji Microsoft Entra. Mostek dla aplikacji klasycznych udostępnia aplikacjom tożsamość aplikacji, która jest wymagana do włączenia roamingu danych aplikacji dla istniejących aplikacji klasycznych.
• Wirtualizacja środowiska użytkownika (UE-V) ułatwia tworzenie szablonu ustawień niestandardowych dla istniejących aplikacji klasycznych systemu Windows i włączanie roamingu dla aplikacji Win32. Ta opcja nie wymaga od dewelopera aplikacji zmiany kodu aplikacji. Ue-V jest ograniczony do lokalna usługa Active Directory roamingu dla klientów, którzy mają pakiet optymalizacji pulpitu firmy Microsoft.

Administracja istratory mogą skonfigurować interfejs UE-V do korzystania z danych aplikacji klasycznych systemu Windows przez zmianę roamingu ustawień systemu operacyjnego Windows i uniwersalnych danych aplikacji za pomocą polecenia Zasady grupy UE-V, w tym:

• Zasady grupy ustawień systemu Windows dotyczące roamingu
• Nie synchronizuj zasad grupy Aplikacje systemu Windows
• Roaming w programie Internet Explorer w sekcji aplikacji

Usługa Enterprise State Roaming przechowuje wszystkie zsynchronizowane dane w chmurze firmy Microsoft. Ue-V oferuje lokalne rozwiązanie roamingu.

Przed listopadem 2022 r. wszystkie dane użytkowników zostały zabezpieczone przy użyciu usługi Azure Rights Management.

Od listopada 2022 r. firma Microsoft nie używa już usługi Azure Rights Management do szyfrowania danych. Firma Microsoft zobowiązuje się do ochrony danych klientów. Niektóre poufne dane, takie jak hasła, są szyfrowane po stronie klienta z kluczami pochodzącymi z dzierżawy firmy Microsoft Entra w celu zapewnienia dodatkowej warstwy zabezpieczeń. Wszystkie dane użytkownika (w tym dane niewrażliwe) są szyfrowane podczas przesyłania i przechowywania w chmurze. Aby uzyskać listę poufnych i niewrażliwych elementów danych przesyłanych, zobacz Informacje o ustawieniach roamingu systemu Windows.

W systemie Windows 10 lub nowszym administratorzy mogą wyłączyć synchronizację dla wszystkich grup synchronizacji ustawień na zarządzanym urządzeniu z funkcją MDM lub zasadami grupy.

W aplikacji Ustawienia przejdź do pozycji Konta>Synchronizuj ustawienia. Na tej stronie można zobaczyć, które konto jest używane do korzystania z ustawień roamingu, i można włączyć lub wyłączyć poszczególne grupy ustawień do roamingu.

Firma Microsoft ma kilka różnych dostępnych rozwiązań mobilnych ustawień, w tym ue-V i Enterprise State Roaming. Jeśli Twoja organizacja nie jest gotowa lub nie jest w stanie przenieść danych do chmury, zalecamy użycie interfejsu UE-V jako podstawowej technologii roamingu. Jeśli Twoja organizacja wymaga obsługi roamingu dla istniejących aplikacji klasycznych systemu Windows, ale jest chętna do przejścia do chmury, zalecamy korzystanie zarówno z usług Enterprise State Roaming, jak i UE-V. Mimo że ue-V i Enterprise State Roaming są podobne technologie, nie wykluczają się wzajemnie. Uzupełniają się one, aby zapewnić, że Organizacja zapewnia usługi mobilne, których potrzebują użytkownicy.

W przypadku korzystania zarówno z usług Enterprise State Roaming, jak i UE-V usługa Enterprise State Roaming jest podstawowym agentem roamingu na urządzeniu. Ue-V jest używany do uzupełniania aplikacji Win32.

• Usługa Enterprise State Roaming jest podstawowym agentem roamingu na urządzeniu. UE-V jest używany do uzupełnienia "luki Win32".
• Roaming UE-V dla ustawień systemu Windows i nowoczesne dane aplikacji platformy UWP powinny być wyłączone podczas korzystania z zasad grupy UE-V. Te ustawienia są już objęte usługą Enterprise State Roaming.

Usługa Enterprise State Roaming jest obsługiwana w jednostkach SKU klienta systemu Windows 10 lub nowszych, ale nie w jednostkach SKU serwera. Jeśli maszyna wirtualna klienta jest hostowana na maszynie funkcji hypervisor i zdalnie logujesz się do maszyny wirtualnej, dane będą przenoszone. Jeśli wielu użytkowników korzysta z tego samego systemu operacyjnego i użytkownicy zdalnie loguje się do serwera w celu uzyskania pełnego środowiska pulpitu, roaming może nie działać. Ten ostatni scenariusz oparty na sesji nie jest oficjalnie obsługiwany.

Następne kroki

Aby zapoznać się z omówieniem, zobacz Omówienie usługi Enterprise State Roaming