Znane problemy i ograniczenia dotyczące punktów końcowych natywnych dla chmury

Porada

Podczas czytania informacji o punktach końcowych natywnych dla chmury zobaczysz następujące terminy:

• Punkt końcowy: punkt końcowy to urządzenie, takie jak telefon komórkowy, tablet, laptop lub komputer stacjonarny. "Punkty końcowe" i "urządzenia" są używane zamiennie.
• Zarządzane punkty końcowe: punkty końcowe, które odbierają zasady od organizacji przy użyciu rozwiązania MDM lub obiektów zasad grupy. Te urządzenia są zazwyczaj własnością organizacji, ale mogą być również urządzeniami BYOD lub osobistymi.
• Punkty końcowe natywne dla chmury: punkty końcowe przyłączone do usługi Microsoft Entra. Nie są one przyłączone do lokalnej usługi AD.
• Obciążenie: dowolny program, usługa lub proces.

W przypadku korzystania z lokalnego zarządzania urządzeniami lub przenoszenia go do punktów końcowych natywnych dla chmury istnieją pewne scenariusze, które należy znać. W tym artykule wymieniono i opisano niektóre zmienione zachowania, ograniczenia i rozwiązania.

Punkty końcowe natywne dla chmury to urządzenia przyłączone do usługi Microsoft Entra. W wielu przypadkach nie wymagają bezpośredniego połączenia z żadnymi zasobami lokalnymi w celu użyteczności ani zarządzania. Aby uzyskać bardziej szczegółowe informacje, przejdź do obszaru Co to są punkty końcowe natywne dla chmury.

Ta funkcja ma zastosowanie do:

• Punkty końcowe natywne dla chmury systemu Windows

W tym artykule konta komputerów i konta komputerów są używane zamiennie.

Nie używaj uwierzytelniania maszynowego

Gdy punkt końcowy systemu Windows, taki jak urządzenie z systemem Windows 10/11, dołącza do lokalnej domeny usługi Active Directory (AD), konto komputera jest tworzone automatycznie. Do uwierzytelniania można użyć konta komputera/maszyny.

Uwierzytelnianie maszynowe odbywa się, gdy:

• Zasoby lokalne, takie jak udziały plików, drukarki, aplikacje i witryny internetowe, są dostępne przy użyciu lokalnych kont komputerów usługi AD zamiast kont użytkowników.
• Administratorzy lub deweloperzy aplikacji konfigurują dostęp do zasobów lokalnych przy użyciu kont maszyn zamiast użytkowników lub grup użytkowników.

Punkty końcowe natywne dla chmury są przyłączone do usługi Microsoft Entra i nie istnieją w lokalnej usłudze AD. Punkty końcowe natywne dla chmury nie obsługują lokalnego uwierzytelniania maszynowego usługi AD. Konfigurowanie dostępu do lokalnych udziałów plików, aplikacji lub usług przy użyciu tylko lokalnych kont maszyn usługi AD zakończy się niepowodzeniem w punktach końcowych natywnych dla chmury.

Przełączanie do uwierzytelniania opartego na użytkownikach

• Podczas tworzenia nowych projektów nie używaj uwierzytelniania maszynowego. Korzystanie z uwierzytelniania maszynowego nie jest powszechne i nie jest zalecaną praktyką. Ale to jest coś, co musisz wiedzieć i być świadomym. Zamiast tego użyj uwierzytelniania opartego na użytkownikach.
• Przejrzyj środowisko i zidentyfikuj wszystkie aplikacje i usługi, które obecnie korzystają z uwierzytelniania maszynowego. Następnie zmień dostęp do uwierzytelniania opartego na użytkowniku lub uwierzytelniania opartego na koncie usługi.

Ważna

Funkcja zapisywania zwrotnego urządzeń w programie Microsoft Entra Connect śledzi urządzenia zarejestrowane w usłudze Microsoft Entra. Te urządzenia są wyświetlane w lokalnej usłudze AD jako zarejestrowane urządzenia.

Zapisywanie zwrotne urządzeń w programie Microsoft Entra Connect nie tworzy identycznych kont lokalnych komputerów usługi AD w lokalnej domenie usługi AD. Te urządzenia zapisu zwrotnego nie obsługują uwierzytelniania maszyny lokalnej.

Aby uzyskać informacje na temat scenariuszy obsługiwanych w przypadku zapisywania zwrotnego urządzeń, przejdź do tematu Microsoft Entra Connect: Włączanie zapisywania zwrotnego urządzeń.

Typowe usługi korzystające z kont maszyn

Poniższa lista zawiera typowe funkcje i usługi, które mogą używać kont maszyn do uwierzytelniania. Zawiera również zalecenia, jeśli organizacja korzysta z tych funkcji z uwierzytelnianiem maszyny.

• Dostęp do magazynu sieciowego kończy się niepowodzeniem z kontami maszyn. Punkty końcowe natywne dla chmury nie mogą uzyskiwać dostępu do udziałów plików zabezpieczonych przy użyciu kont maszyn. Jeśli uprawnienia listy ACL (lista kontroli dostępu) są przypisywane tylko do kont maszyn lub przypisywane do grup zawierających tylko konta maszyn, mapowanie dysków z udziałami plików lub udziałami magazynu dołączonego do sieci (NAS) zakończy się niepowodzeniem.

  Zalecenie:

  • Udziały plików serwera i stacji roboczej: zaktualizuj uprawnienia do korzystania z zabezpieczeń opartych na kontach użytkowników. W takim przypadku użyj logowania jednokrotnego (SSO) firmy Microsoft Entra , aby uzyskać dostęp do zasobów korzystających ze zintegrowanego uwierzytelniania systemu Windows.

    Przenieś zawartość udziału plików do usługi SharePoint Online lub OneDrive. Aby uzyskać bardziej szczegółowe informacje, przejdź do pozycji Migrowanie udziałów plików do programu SharePoint i usługi OneDrive.

  • Dostęp główny systemu plików sieciowych (NFS): bezpośredni dostęp użytkowników do określonych folderów, a nie do katalogu głównego. Jeśli to możliwe, przenieś zawartość z systemu plików NFS do usługi SharePoint Online lub OneDrive.

• Aplikacje Win32 w punktach końcowych systemu Windows przyłączonych do usługi Microsoft Entra:

  • Nie będzie działać, jeśli aplikacje używają uwierzytelniania konta maszynowego.
  • Nie będzie działać, jeśli aplikacje uzyskują dostęp do zasobów zabezpieczonych za pomocą grup obejmujących tylko konta maszyn.

  Zalecenie:

  • Jeśli aplikacje Win32 używają uwierzytelniania maszynowego, zaktualizuj aplikację, aby korzystała z uwierzytelniania w usłudze Microsoft Entra. Aby uzyskać więcej informacji, przejdź do pozycji Migrowanie uwierzytelniania aplikacji do usługi Microsoft Entra.
  • Sprawdź uwierzytelnianie i tożsamości aplikacji i urządzeń kiosku. Zaktualizuj uwierzytelnianie i tożsamości, aby korzystać z zabezpieczeń opartych na kontach użytkowników.

  Aby uzyskać więcej informacji, przejdź do pozycji Uwierzytelnianie i aplikacje Win32.

• Wdrożenia serwerów sieci Web usług IIS, które ograniczają dostęp do lokacji przy użyciu uprawnień listy ACL tylko dla kont komputerów lub grup kont komputerów, nie powiedzie się. Strategie uwierzytelniania ograniczające dostęp tylko do kont komputerów lub grup kont komputerów również będą kończyć się niepowodzeniem.

  Zalecenie:

  • W witrynach sieci Web włącz uwierzytelnianie negocjowania.
  • Zaktualizuj aplikacje serwera internetowego, aby korzystały z uwierzytelniania w usłudze Microsoft Entra. Aby uzyskać więcej informacji, przejdź do pozycji Migrowanie uwierzytelniania aplikacji do usługi Microsoft Entra.

  Więcej zasobów:

  • Uwierzytelnianie usług IIS <windowsAuthentication>
  • Autoryzacja zabezpieczeń usług IIS <authorization>

• Standardowe zarządzanie drukowaniem i odnajdywanie zależy od uwierzytelniania maszynowego. W punktach końcowych systemu Windows przyłączonych do usługi Microsoft Entra użytkownicy nie mogą drukować przy użyciu drukowania standardowego.

  Zalecenie: Użyj drukowania uniwersalnego. Aby uzyskać bardziej szczegółowe informacje, przejdź do tematu Co to jest drukowanie uniwersalne.

• Zaplanowane zadania systemu Windows uruchamiane w kontekście maszyny w punktach końcowych natywnych dla chmury nie mogą uzyskiwać dostępu do zasobów na zdalnych serwerach i stacjach roboczych. Punkt końcowy natywny dla chmury nie ma konta w lokalnej usłudze AD i w związku z tym nie może się uwierzytelnić.

  Zalecenie: Skonfiguruj zaplanowane zadania do korzystania z zalogowanego użytkownika lub innej formy uwierzytelniania opartego na koncie.

• Skrypty logowania usługi Active Directory są przypisywane we właściwościach lokalnego użytkownika usługi AD lub wdrażane przy użyciu obiektu zasad grupy. Te skrypty nie są dostępne dla punktów końcowych natywnych dla chmury.

  Zalecenie: Przejrzyj skrypty. Jeśli istnieje nowoczesny odpowiednik, użyj go zamiast tego. Jeśli na przykład skrypt ustawi dysk domowy użytkownika, możesz zamiast tego przenieść dysk domowy użytkownika do usługi OneDrive. Jeśli skrypt przechowuje zawartość folderu udostępnionego, zamiast tego zmigruj zawartość folderu udostępnionego do usługi SharePoint Online.

  Jeśli nie ma nowoczesnego odpowiednika, możesz wdrożyć skrypty programu Windows PowerShell przy użyciu usługi Microsoft Intune.

  Aby uzyskać więcej informacji, zobacz:

  • Dodawanie skryptów programu PowerShell do urządzeń z systemem Windows 10/11 w usłudze Microsoft Intune
  • Wprowadzenie do usługi OneDrive na platformie Microsoft 365

Obiekty zasad grupy mogą nie być stosowane

Możliwe, że niektóre starsze zasady nie są dostępne lub nie mają zastosowania do punktów końcowych natywnych dla chmury.

Rozwiązanie:

• Korzystając z analizy zasad grupy w usłudze Intune, możesz ocenić istniejące obiekty zasad grupy . Analiza przedstawia dostępne zasady i zasady, które nie są dostępne.

• W zarządzaniu punktami końcowymi zasady są wdrażane dla użytkowników i grup. Nie są one stosowane w kolejności LSDOU. To zachowanie jest zmianą umysłu, dlatego upewnij się, że użytkownicy i grupy są w porządku.

  Aby uzyskać bardziej szczegółowe informacje i wskazówki dotyczące przypisywania zasad w usłudze Microsoft Intune, przejdź do tematu Przypisywanie profilów użytkowników i urządzeń w usłudze Microsoft Intune.

• Utwórz spis zasad i określ, co robią. Można znaleźć kategorie lub grupy, takie jak zasady, które koncentrują się na zabezpieczeniach, zasadach koncentrujących się na systemie operacyjnym itd.

  Możesz utworzyć zasady usługi Intune, które zawierają ustawienia z kategorii lub grup. Katalog ustawień jest dobrym zasobem.

• Przygotuj się do tworzenia nowych zasad. Wbudowane funkcje nowoczesnego zarządzania punktami końcowymi, takie jak usługa Microsoft Intune, mogą mieć lepsze opcje tworzenia i wdrażania zasad.

  Przewodnik planowania wysokiego poziomu umożliwiający przejście do punktów końcowych natywnych dla chmury jest dobrym zasobem.

• Nie migruj wszystkich zasad. Pamiętaj, że stare zasady mogą nie mieć sensu w przypadku punktów końcowych natywnych dla chmury.

  Zamiast robić to, co zawsze robiłeś, skup się na tym, co naprawdę chcesz osiągnąć.

Zsynchronizowane konta użytkowników nie mogą ukończyć pierwszego logowania

Zsynchronizowane konta użytkowników to lokalni użytkownicy domeny usługi AD, którzy są synchronizowane z usługą Microsoft Entra przy użyciu programu Microsoft Entra Connect.

Obecnie zsynchronizowane konta użytkowników z hasłami, na których użytkownik musi zmienić hasło podczas następnego logowania , nie mogą ukończyć logowania po raz pierwszy w punkcie końcowym natywnym dla chmury.

Rozwiązanie:

Użyj synchronizacji skrótów haseł i programu Microsoft Entra connect, co wymusza wymuszanie zmiany hasła w at logowaniu atrybutu do synchronizacji.

Aby uzyskać bardziej szczegółowe informacje, przejdź do tematu Implementowanie synchronizacji skrótów haseł za pomocą synchronizacji programu Microsoft Entra Connect.

Postępuj zgodnie ze wskazówkami dotyczącymi punktów końcowych natywnych dla chmury

1. Omówienie: Co to są punkty końcowe natywne dla chmury?
2. Samouczek: rozpoczynanie pracy z punktami końcowymi systemu Windows natywnymi dla chmury
3. Koncepcja: Dołączono do aplikacji Microsoft Entra, a dołączono do hybrydowej aplikacji Microsoft Entra
4. Koncepcja: punkty końcowe natywne dla chmury i zasoby lokalne
5. Przewodnik planowania wysokiego poziomu
6. 🡺 Znane problemy i ważne informacje (jesteś tutaj)