Znane problemy i ograniczenia dotyczące punktów końcowych natywnych dla chmury

Porada

Podczas czytania informacji o punktach końcowych natywnych dla chmury zobaczysz następujące terminy:

• Punkt końcowy: punkt końcowy to urządzenie, takie jak telefon komórkowy, tablet, laptop lub komputer stacjonarny. "Punkty końcowe" i "urządzenia" są używane zamiennie.
• Zarządzane punkty końcowe: punkty końcowe, które odbierają zasady od organizacji przy użyciu rozwiązania MDM lub obiektów zasady grupy. Te urządzenia są zazwyczaj własnością organizacji, ale mogą być również urządzeniami BYOD lub osobistymi.
• Punkty końcowe natywne dla chmury: punkty końcowe, które są przyłączone do Azure AD. Nie są one przyłączone do lokalnej usługi AD.
• Obciążenie: dowolny program, usługa lub proces.

W przypadku korzystania z lokalnego zarządzania urządzeniami lub przenoszenia go do punktów końcowych natywnych dla chmury istnieją pewne scenariusze, które należy znać. W tym artykule wymieniono i opisano niektóre zmienione zachowania, ograniczenia i rozwiązania.

Punkty końcowe natywne dla chmury to urządzenia przyłączone do Microsoft Entra. W wielu przypadkach nie wymagają bezpośredniego połączenia z żadnymi zasobami lokalnymi w celu użyteczności ani zarządzania. Aby uzyskać bardziej szczegółowe informacje, przejdź do obszaru Co to są punkty końcowe natywne dla chmury.

Ta funkcja ma zastosowanie do:

• Punkty końcowe natywne dla chmury systemu Windows

W tym artykule konta komputerów i konta komputerów są używane zamiennie.

Nie używaj uwierzytelniania maszynowego

Gdy punkt końcowy systemu Windows, podobnie jak urządzenie z systemem Windows 10/11, dołącza do domeny lokalna usługa Active Directory (AD), konto komputera jest tworzone automatycznie. Do uwierzytelniania można użyć konta komputera/maszyny.

Uwierzytelnianie maszynowe odbywa się, gdy:

• Zasoby lokalne, takie jak udziały plików, drukarki, aplikacje i witryny internetowe, są dostępne przy użyciu lokalnych kont komputerów usługi AD zamiast kont użytkowników.
• Administratorzy lub deweloperzy aplikacji konfigurują dostęp do zasobów lokalnych przy użyciu kont maszyn zamiast użytkowników lub grup użytkowników.

Punkty końcowe natywne dla chmury są przyłączone do Microsoft Entra i nie istnieją w lokalnej usłudze AD. Punkty końcowe natywne dla chmury nie obsługują lokalnego uwierzytelniania maszynowego usługi AD. Konfigurowanie dostępu do lokalnych udziałów plików, aplikacji lub usług przy użyciu tylko lokalnych kont maszyn usługi AD zakończy się niepowodzeniem w punktach końcowych natywnych dla chmury.

Przełączanie do uwierzytelniania opartego na użytkownikach

• Podczas tworzenia nowych projektów nie używaj uwierzytelniania maszynowego. Nie jest to powszechna lub zalecana praktyka, ale jest to coś, co musisz wiedzieć i być świadomym. Zamiast tego użyj uwierzytelniania opartego na użytkownikach.
• Przejrzyj środowisko i zidentyfikuj wszystkie aplikacje i usługi, które obecnie korzystają z uwierzytelniania maszynowego. Następnie zmień dostęp do uwierzytelniania opartego na użytkowniku lub uwierzytelniania opartego na koncie usługi.

Ważna

Funkcja zapisywania zwrotnego urządzeń Microsoft Entra Connect śledzi urządzenia zarejestrowane w Microsoft Entra. Te urządzenia są wyświetlane w lokalnej usłudze AD jako zarejestrowane urządzenia.

Microsoft Entra Connect device writeback doesn't create identical on-premises AD computer accounts in the on-premises AD domain (Łączenie zapisywania zwrotnego urządzenia nie tworzy identycznych kont lokalnych komputerów usługi AD w lokalnej domenie usługi AD). Te urządzenia zapisu zwrotnego nie obsługują uwierzytelniania maszyny lokalnej.

Aby uzyskać informacje na temat scenariuszy obsługiwanych w przypadku zapisywania zwrotnego urządzeń, przejdź do Microsoft Entra Connect: Enabling device writeback (Łączenie: włączanie zapisywania zwrotnego urządzeń).

Typowe usługi korzystające z kont maszyn

Poniższa lista zawiera typowe funkcje i usługi, które mogą używać kont maszyn do uwierzytelniania. Zawiera również zalecenia, jeśli organizacja korzysta z tych funkcji z uwierzytelnianiem maszyny.

• Dostęp do magazynu sieciowego kończy się niepowodzeniem z kontami maszyn. Punkty końcowe natywne dla chmury nie mogą uzyskiwać dostępu do udziałów plików zabezpieczonych przy użyciu kont maszyn. Jeśli uprawnienia listy ACL (lista kontroli dostępu) są przypisywane tylko do kont maszyn lub przypisywane do grup zawierających tylko konta maszyn, mapowanie dysków z udziałami plików lub udziałami magazynu dołączonego do sieci (NAS) zakończy się niepowodzeniem.

  Zalecenie:

  • Udziały plików serwera i stacji roboczej: zaktualizuj uprawnienia do korzystania z zabezpieczeń opartych na kontach użytkowników. W takim przypadku użyj Microsoft Entra logowania jednokrotnego (SSO), aby uzyskać dostęp do zasobów korzystających ze zintegrowanego uwierzytelniania systemu Windows.

    Przenieś zawartość udziału plików do usługi SharePoint Online lub OneDrive. Aby uzyskać bardziej szczegółowe informacje, przejdź do pozycji Migrowanie udziałów plików do programu SharePoint i usługi OneDrive.

  • Dostęp główny systemu plików sieciowych (NFS): bezpośredni dostęp użytkowników do określonych folderów, a nie do katalogu głównego. Jeśli to możliwe, przenieś zawartość z systemu plików NFS do usługi SharePoint Online lub OneDrive.

• Aplikacje Win32 w Microsoft Entra przyłączonych do systemu Windows punktów końcowych:

  • Nie będzie działać, jeśli aplikacje używają uwierzytelniania konta maszynowego.
  • Nie będzie działać, jeśli aplikacje uzyskują dostęp do zasobów zabezpieczonych za pomocą grup obejmujących tylko konta maszyn.

  Zalecenie:

  • Jeśli aplikacje Win32 korzystają z uwierzytelniania maszynowego, zaktualizuj aplikację tak, aby używała uwierzytelniania Microsoft Entra. Aby uzyskać więcej informacji, przejdź do pozycji Migrowanie uwierzytelniania aplikacji do Microsoft Entra.
  • Sprawdź uwierzytelnianie i tożsamości aplikacji i urządzeń kiosku. Zaktualizuj uwierzytelnianie i tożsamości, aby korzystać z zabezpieczeń opartych na kontach użytkowników.

  Aby uzyskać więcej informacji, przejdź do pozycji Uwierzytelnianie i aplikacje Win32.

• Wdrożenia serwerów sieci Web usług IIS, które ograniczają dostęp do lokacji przy użyciu uprawnień listy ACL tylko dla kont komputerów lub grup kont komputerów, nie powiedzie się. Strategie uwierzytelniania ograniczające dostęp tylko do kont komputerów lub grup kont komputerów również będą kończyć się niepowodzeniem.

  Zalecenie:

  • W witrynach sieci Web włącz uwierzytelnianie negocjowania.
  • Zaktualizuj aplikacje serwera internetowego, aby używały uwierzytelniania Microsoft Entra. Aby uzyskać więcej informacji, przejdź do pozycji Migrowanie uwierzytelniania aplikacji do Microsoft Entra.

  Więcej zasobów:

  • Uwierzytelnianie usług IIS <windowsAuthentication>
  • Autoryzacja zabezpieczeń usług IIS <authorization>

• Standardowe zarządzanie drukowaniem i odnajdywanie zależy od uwierzytelniania maszynowego. W Microsoft Entra przyłączonych punktów końcowych systemu Windows użytkownicy nie mogą drukować przy użyciu drukowania standardowego.

  Zalecenie: Użyj drukowania uniwersalnego. Aby uzyskać bardziej szczegółowe informacje, przejdź do tematu Co to jest drukowanie uniwersalne.

• Zaplanowane zadania systemu Windows uruchamiane w kontekście maszyny w punktach końcowych natywnych dla chmury nie mogą uzyskiwać dostępu do zasobów na zdalnych serwerach i stacjach roboczych. Punkt końcowy natywny dla chmury nie ma konta w lokalnej usłudze AD i w związku z tym nie może się uwierzytelnić.

  Zalecenie: Skonfiguruj zaplanowane zadania do korzystania z zalogowanego użytkownika lub innej formy uwierzytelniania opartego na koncie.

• Skrypty logowania usługi Active Directory są przypisywane we właściwościach lokalnego użytkownika usługi AD lub wdrażane przy użyciu obiektu zasady grupy (GPO). Te skrypty nie są dostępne dla punktów końcowych natywnych dla chmury.

  Zalecenie: Przejrzyj skrypty. Jeśli istnieje nowoczesny odpowiednik, użyj go zamiast tego. Jeśli na przykład skrypt ustawi dysk domowy użytkownika, możesz zamiast tego przenieść dysk domowy użytkownika do usługi OneDrive. Jeśli skrypt przechowuje zawartość folderu udostępnionego, zamiast tego zmigruj zawartość folderu udostępnionego do usługi SharePoint Online.

  Jeśli nie ma nowoczesnego odpowiednika, możesz wdrożyć skrypty Windows PowerShell przy użyciu Microsoft Intune.

  Aby uzyskać więcej informacji, zobacz:

  • Dodawanie skryptów programu PowerShell do urządzeń Windows 10/11 w Microsoft Intune
  • Wprowadzenie do usługi OneDrive na platformie Microsoft 365

zasady grupy obiekty mogą nie być stosowane

Możliwe, że niektóre starsze zasady nie są dostępne lub nie mają zastosowania do punktów końcowych natywnych dla chmury.

Rozwiązanie:

• Korzystając z zasady grupy analizy w usłudze Intune, możesz ocenić istniejące obiekty zasady grupy (GPO). Analiza przedstawia dostępne zasady i zasady, które nie są dostępne.

• W zarządzaniu punktami końcowymi zasady są wdrażane dla użytkowników i grup. Nie są one stosowane w kolejności LSDOU. To zachowanie jest zmianą umysłu, dlatego upewnij się, że użytkownicy i grupy są w porządku.

  Aby uzyskać bardziej szczegółowe informacje i wskazówki dotyczące przypisywania zasad w Microsoft Intune, przejdź do tematu Przypisywanie profilów użytkowników i urządzeń w Microsoft Intune.

• Utwórz spis zasad i określ, co robią. Można znaleźć kategorie lub grupy, takie jak zasady, które koncentrują się na zabezpieczeniach, zasadach koncentrujących się na systemie operacyjnym itd.

  Możesz utworzyć zasady usługi Intune, które zawierają ustawienia z kategorii lub grup. Katalog ustawień jest dobrym zasobem.

• Przygotuj się do tworzenia nowych zasad. Wbudowane funkcje nowoczesnego zarządzania punktami końcowymi, takie jak Microsoft Intune, mogą mieć lepsze opcje tworzenia i wdrażania zasad.

  Przewodnik planowania wysokiego poziomu umożliwiający przejście do punktów końcowych natywnych dla chmury jest dobrym zasobem.

• Nie migruj wszystkich zasad. Pamiętaj, że stare zasady mogą nie mieć sensu w przypadku punktów końcowych natywnych dla chmury.

  Zamiast robić to, co zawsze robiłeś, skup się na tym, co naprawdę chcesz osiągnąć.

Zsynchronizowane konta użytkowników nie mogą ukończyć pierwszego logowania

Zsynchronizowane konta użytkowników to lokalni użytkownicy domeny usługi AD, którzy są synchronizowane z Microsoft Entra przy użyciu programu Microsoft Entra Connect.

Obecnie zsynchronizowane konta użytkowników z hasłami, na których użytkownik musi zmienić hasło podczas następnego logowania , nie mogą ukończyć logowania po raz pierwszy w punkcie końcowym natywnym dla chmury.

Rozwiązanie:

Użyj synchronizacji skrótów haseł i Microsoft Entra połączenia, co wymusza wymuszanie zmiany hasła w at logowanie atrybut do synchronizacji.

Aby uzyskać bardziej szczegółowe informacje, przejdź do tematu Implementowanie synchronizacji skrótów haseł za pomocą funkcji synchronizacji Microsoft Entra Connect.

Postępuj zgodnie ze wskazówkami dotyczącymi punktów końcowych natywnych dla chmury

1. Omówienie: Co to są punkty końcowe natywne dla chmury?
2. Samouczek: rozpoczynanie pracy z punktami końcowymi systemu Windows natywnymi dla chmury
3. Koncepcja: przyłączone Microsoft Entra a przyłączone Microsoft Entra hybrydowe
4. Koncepcja: punkty końcowe natywne dla chmury i zasoby lokalne
5. Przewodnik planowania wysokiego poziomu
6. 🡺 Znane problemy i ważne informacje (jesteś tutaj)