Problemas conhecidos e limitações com pontos de extremidade nativos de nuvem

Dica

Ao ler sobre pontos finais nativos da cloud, verá os seguintes termos:

• Ponto de extremidade: um ponto de extremidade é um dispositivo, como um celular, tablet, laptop ou computador desktop. "Pontos de extremidade" e "dispositivos" são usados de forma intercambiável.
• Pontos de extremidade gerenciados: pontos de extremidade que recebem políticas da organização usando uma solução MDM ou Objetos de Política de grupo. Esses dispositivos normalmente são de propriedade da organização, mas também podem ser BYOD ou dispositivos de propriedade pessoal.
• Pontos finais nativos da cloud: pontos finais que estão associados ao Microsoft Entra. Eles não estão ingressados no AD local.
• Carga de trabalho: qualquer programa, serviço ou processo.

Ao usar ou mover o gerenciamento de dispositivo local para pontos de extremidade nativos de nuvem, há alguns cenários que você precisa conhecer. Este artigo lista e descreve alguns comportamentos, limitações e resoluções alterados.

Os pontos finais nativos da cloud são dispositivos que estão associados ao Microsoft Entra. Em muitos casos, eles não exigem uma conexão direta com nenhum recurso local para usabilidade ou gerenciamento. Para obter informações mais específicas, acesse O que são pontos de extremidade nativos de nuvem.

Esse recurso aplica-se a:

• Pontos de extremidade nativos de nuvem do Windows

Neste artigo, Contas de computador e contas de máquina são usadas alternadamente.

Não usar autenticação de computador

Quando um ponto de extremidade do Windows, como um dispositivo Windows 10/11, ingressa em um domínio Active Directory local (AD), uma conta de computador é criada automaticamente. A conta de computador/computador pode ser usada para autenticar.

A autenticação do computador ocorre quando:

• Recursos locais, como compartilhamentos de arquivos, impressoras, aplicativos e sites, são acessados usando contas de computador do AD locais em vez de contas de usuário.
• Administradores ou desenvolvedores de aplicativos configuram o acesso a recursos locais usando contas de computador em vez de usuários ou grupos de usuários.

Os pontos finais nativos da cloud estão associados ao Microsoft Entra e não existem no AD no local. Os pontos de extremidade nativos de nuvem não dão suporte à autenticação de computador do AD local. A configuração do acesso a compartilhamentos de arquivos, aplicativos ou serviços locais usando apenas contas de computador do AD local falhará em pontos de extremidade nativos de nuvem.

Alternar para autenticação baseada em usuário

• Ao criar novos projetos, não use a autenticação de computador. A utilização da autenticação automática não é comum e não é uma prática recomendada. Mas é algo que precisas de saber e estar atento. Em vez disso, use a autenticação baseada no usuário.
• Examine seu ambiente e identifique todos os aplicativos e serviços que atualmente usam a autenticação de computador. Em seguida, altere o acesso à autenticação baseada no usuário ou à autenticação baseada em conta de serviço.

Importante

A funcionalidade de repetição de escrita de dispositivos Do Microsoft Entra Connect controla os dispositivos registados no Microsoft Entra. Esses dispositivos são mostrados no AD local como dispositivos registrados.

A repetição de escrita de dispositivos do Microsoft Entra Connect não cria contas de computador do AD no local idênticas no domínio do AD no local. Esses dispositivos de write-back não dão suporte à autenticação de máquina local.

Para obter informações sobre cenários suportados com a repetição de escrita de dispositivos, aceda a Microsoft Entra Connect: Ativar a repetição de escrita de dispositivos.

Serviços comuns que usam contas de computador

A lista a seguir inclui recursos e serviços comuns que podem usar contas de computador para autenticação. Ele também inclui recomendações se sua organização estiver usando esses recursos com autenticação de computador.

• A rede de acesso ao armazenamento falha com contas de computador. Os pontos de extremidade nativos de nuvem não podem acessar compartilhamentos de arquivos protegidos usando contas de computador. Se as permissões de ACL (lista de controle de acesso) forem atribuídas somente a contas de computador ou atribuídas a grupos que incluem apenas contas de computador, o mapeamento de unidade com compartilhamentos de arquivos ou compartilhamentos NAS (armazenamento anexado à rede) falhará.

  Recomendação:

  • Compartilhamentos de arquivos de servidor e estação de trabalho: atualize as permissões para usar a segurança baseada em conta de usuário. Quando o fizer, utilize o início de sessão único (SSO) do Microsoft Entra para aceder aos recursos que utilizam a autenticação integrada do Windows.

    Mova o conteúdo do compartilhamento de arquivos para o SharePoint Online ou o OneDrive. Para obter informações mais específicas, acesse Migrar compartilhamentos de arquivos para o SharePoint e o OneDrive.

  • Acesso à raiz do NFS (Sistema de Arquivos de Rede): direcione os usuários a acessarem pastas específicas, não a raiz. Se possível, mova o conteúdo de um NFS para o SharePoint Online ou o OneDrive.

• Aplicações Win32 nos pontos finais do Windows associados ao Microsoft Entra:

  • Não funcionará se os aplicativos usarem a autenticação da conta do computador.
  • Não funcionará se os aplicativos acessarem recursos protegidos por grupos que incluem apenas contas de computador.

  Recomendação:

  • Se as suas aplicações Win32 utilizarem a autenticação automática, atualize a aplicação para utilizar a autenticação Microsoft Entra. Para obter mais informações, aceda a Migrar a autenticação de aplicações para o Microsoft Entra.
  • Verifique a autenticação e as identidades de seus aplicativos e dispositivos de quiosque. Atualize a autenticação e as identidades para usar a segurança baseada em conta de usuário.

  Para obter mais informações, acesse Autenticação e aplicativos Win32.

• Servidor Web IIS que restringem o acesso ao site usando permissões de ACL somente com contas de computador ou grupos de contas de computador falhará. Estratégias de autenticação que limitam o acesso apenas a contas de computador ou grupos de contas de computador também falharão.

  Recomendação:

  • Em seus sites, habilite Negociar autenticação.
  • Atualize as suas aplicações de servidor Web para utilizar a autenticação Microsoft Entra. Para obter mais informações, aceda a Migrar a autenticação de aplicações para o Microsoft Entra.

  Mais recursos:

  • Autenticação de IIS<windowsAuthentication>
  • Autorização de segurança de IIS<authorization>

• O gerenciamento e a descoberta de impressão padrão dependem da autenticação da máquina. Nos pontos finais do Windows associados ao Microsoft Entra, os utilizadores não podem imprimir com a impressão padrão.

  Recomendação: use Impressão Universal. Para obter informações mais específicas, acesse O que é Impressão Universal?.

• Windows agendou tarefas que são executadas no contexto do computador em pontos de extremidade nativos de nuvem não podem acessar recursos em servidores remotos e estações de trabalho. O ponto de extremidade nativo de nuvem não tem uma conta no AD local e, portanto, não pode se autenticar.

  Recomendação: Configure suas tarefas agendadas para usar o usuário conectado ou outra forma de autenticação baseada em conta.

• Os scripts de logon do Active Directory são atribuídos nas propriedades do usuário do AD local ou implantados usando um Objeto de Política de Grupo (GPO). Esses scripts não estão disponíveis para pontos de extremidade nativos de nuvem.

  Recomendação: examine seus scripts. Se houver um equivalente moderno, use-o em vez disso. Por exemplo, se o script definir a unidade inicial do usuário, você poderá mover a unidade inicial de um usuário para o OneDrive. Se o script armazenar conteúdo de pasta compartilhada, migre o conteúdo da pasta compartilhada para o SharePoint Online.

  Se não houver um equivalente moderno, você poderá implantar scripts Windows PowerShell usando Microsoft Intune.

  Para obter mais informações, confira:

  • Adicionar scripts do PowerShell a dispositivos Windows 10/11 no Microsoft Intune
  • Introdução ao OneDrive no Microsoft 365

Os Objetos de Política de Grupo podem não ser aplicados

É possível que algumas de suas políticas mais antigas não estão disponíveis ou não se aplicam a pontos de extremidade nativos de nuvem.

Solução:

• Ao utilizar a análise da Política de Grupo no Intune, pode avaliar os Objetos de Política de Grupo (GPO) existentes. A análise mostra as políticas disponíveis e as políticas que não estão disponíveis.

• No gerenciamento de ponto de extremidade, as políticas são implantadas para usuários e grupos. Eles não são aplicados em ordem DEPURAÇÃO. Esse comportamento é uma mudança de ideia, portanto, verifique se os usuários e grupos estão em ordem.

  Para obter informações e diretrizes mais específicas sobre a atribuição de política no Microsoft Intune, acesse Atribuição de perfis de usuário e dispositivo no Microsoft Intune.

• Inventariar suas políticas e determinar o que elas fazem. Você pode encontrar categorias ou agrupamentos, como políticas que se concentram na segurança, políticas que se concentram no sistema operacional e assim por diante.

  Você pode criar uma política do Intune que inclui as configurações de suas categorias ou agrupamentos. O Catálogo de configurações é um bom recurso.

• Esteja preparado para criar novas políticas. Os recursos internos do gerenciamento de pontos de extremidade modernos, como o Microsoft Intune, podem ter melhores opções para criar e implantar políticas.

  O Guia de planejamento de alto nível para migrar para pontos de extremidade nativos de nuvem é um bom recurso.

• Não migre todas as suas políticas. Lembre-se de que suas políticas antigas podem não fazer sentido com pontos de extremidade nativos de nuvem.

  Em vez de fazer o que você sempre fez, concentre-se no que realmente deseja alcançar.

As contas de usuário sincronizadas não podem concluir a primeira entrada

As contas de utilizador sincronizadas são utilizadores do domínio do AD no local que são sincronizados com o Microsoft Entra através do Microsoft Entra Connect.

Atualmente, as contas de usuário sincronizadas com senhas que têm Usuário deve alterar a senha no próximo logon configurado não pode concluir uma entrada pela primeira vez em um ponto de extremidade nativo de nuvem.

Solução:

Utilize a Sincronização hash de palavras-passe e o Microsoft Entra Connect, o que força a alteração da palavra-passe forçada no atributo de início de sessão a sincronizar.

Para obter informações mais específicas, aceda a Implementar a sincronização do hash de palavras-passe com a sincronização do Microsoft Entra Connect.

Siga as diretrizes de pontos de extremidade nativos de nuvem

1. Visão geral: o que são pontos de extremidade nativos de nuvem?
2. Tutorial: Introdução aos pontos de extremidade nativos em nuvem do Windows
3. Conceito: Microsoft Entra associado vs. Híbrido Microsoft Entra associado
4. Conceito: pontos de extremidade nativos de nuvem e recursos locais
5. Guia de planejamento de alto nível
6. 🡺 Problemas conhecidos e informações importantes (Você está aqui)