Kända problem och begränsningar med molnbaserade slutpunkter
Tips
När du läser om molnbaserade slutpunkter visas följande termer:
- Slutpunkt: En slutpunkt är en enhet, till exempel en mobiltelefon, surfplatta, bärbar dator eller stationär dator. "Slutpunkter" och "enheter" används utan åtskillnad.
- Hanterade slutpunkter: Slutpunkter som tar emot principer från organisationen med hjälp av en MDM-lösning eller grupprincipobjekt. Dessa enheter är vanligtvis organisationsägda, men kan också vara BYOD- eller personligt ägda enheter.
- Molnbaserade slutpunkter: Slutpunkter som är anslutna till Microsoft Entra. De är inte anslutna till lokal AD.
- Arbetsbelastning: Alla program, tjänster eller processer.
När du använder eller flyttar lokal enhetshantering till molnbaserade slutpunkter finns det några scenarier som du behöver veta. Den här artikeln visar och beskriver några ändrade beteenden, begränsningar och lösningar.
Molnbaserade slutpunkter är enheter som är anslutna till Microsoft Entra. I många fall kräver de inte någon direkt anslutning till några lokala resurser för användbarhet eller hantering. Mer specifik information finns i Vad är molnbaserade slutpunkter.
Den här funktionen gäller för:
- Windows molnbaserade slutpunkter
I den här artikeln används datorkonton och datorkonton på samma sätt.
Använd inte datorautentisering
När en Windows-slutpunkt, till exempel en Windows 10/11-enhet, ansluter till en lokal Active Directory-domän (AD) skapas ett datorkonto automatiskt. Dator-/datorkontot kan användas för att autentisera.
Datorautentisering sker när:
- Lokala resurser, till exempel filresurser, skrivare, program och webbplatser, används med lokala AD-datorkonton i stället för användarkonton.
- Administratörer eller programutvecklare konfigurerar lokal resursåtkomst med hjälp av datorkonton i stället för användare eller användargrupper.
Molnbaserade slutpunkter är anslutna till Microsoft Entra och finns inte i lokal AD. Molnbaserade slutpunkter stöder inte lokal AD-datorautentisering. Konfigurering av åtkomst till lokala filresurser, program eller tjänster som endast använder lokala AD-datorkonton misslyckas på molnbaserade slutpunkter.
Växla till användarbaserad autentisering
- Använd inte datorautentisering när du skapar nya projekt. Att använda datorautentisering är inte vanligt och rekommenderas inte. Men det är något du behöver veta och vara medveten om. Använd i stället användarbaserad autentisering.
- Granska din miljö och identifiera program och tjänster som för närvarande använder datorautentisering. Ändra sedan åtkomsten till användarbaserad autentisering eller tjänstkontobaserad autentisering.
Viktigt
Tillbakaskrivningsfunktionen för Microsoft Entra Connect-enheter spårar enheter som är registrerade i Microsoft Entra. Dessa enheter visas i lokal AD som registrerade enheter.
Tillbakaskrivning av Microsoft Entra Connect-enheter skapar inte identiska lokala AD-datorkonton i den lokala AD-domänen. Dessa tillbakaskrivningsenheter stöder inte lokal datorautentisering.
Information om scenarier som stöds med tillbakaskrivning av enheter finns i Microsoft Entra Connect: Aktivera tillbakaskrivning av enheter.
Vanliga tjänster som använder datorkonton
Följande lista innehåller vanliga funktioner och tjänster som kan använda datorkonton för att autentisera. Den innehåller även rekommendationer om din organisation använder dessa funktioner med datorautentisering.
Nätverkslagringsåtkomsten misslyckas med datorkonton. Molnbaserade slutpunkter kan inte komma åt filresurser som skyddas med hjälp av datorkonton. Om ACL-behörigheter (åtkomstkontrollista) endast tilldelas till datorkonton eller tilldelas till grupper som endast innehåller datorkonton, kommer enhetsmappning med filresurser eller nätverksanslutna lagringsresurser (NAS) att misslyckas.
Rekommendation:
Filresurser för server och arbetsstation: Uppdatera behörigheter för att använda användarkontobaserad säkerhet. När du gör det använder du enkel inloggning med Microsoft Entra (SSO) för att komma åt resurser som använder Windows-integrerad autentisering.
Flytta filresursinnehåll till SharePoint Online eller OneDrive. Mer specifik information finns i Migrera filresurser till SharePoint och OneDrive.
Rotåtkomst till NFS (Network File System): Ge användare åtkomst till specifika mappar, inte roten. Om du kan kan du flytta innehåll från en NFS till SharePoint Online eller OneDrive.
Win32-appar på Microsoft Entra-anslutna Windows-slutpunkter:
- Fungerar inte om apparna använder datorkontoautentisering.
- Fungerar inte om apparna kommer åt resurser som skyddas med grupper som endast innehåller datorkonton.
Rekommendation:
- Om dina Win32-appar använder datorautentisering uppdaterar du appen så att den använder Microsoft Entra-autentisering. Mer information finns i Migrera programautentisering till Microsoft Entra.
- Kontrollera autentisering och identiteter för dina program och kioskenheter. Uppdatera autentiseringen och identiteterna för att använda användarkontobaserad säkerhet.
Mer information finns i Autentisering och Win32-appar.
IIS-webbserverdistributioner som begränsar platsåtkomst med ACL-behörigheter med endast datorkonton eller grupper av datorkonton misslyckas. Autentiseringsstrategier som begränsar åtkomsten till endast datorkonton eller grupper av datorkonton misslyckas också.
Rekommendation:
- Aktivera Förhandla autentisering på dina webbplatser.
- Uppdatera dina webbserverappar så att de använder Microsoft Entra-autentisering. Mer information finns i Migrera programautentisering till Microsoft Entra.
Fler resurser:
Standardhantering och identifiering av utskrifter beror på datorautentisering. På Microsoft Entra-anslutna Windows-slutpunkter kan användarna inte skriva ut med standardutskrift.
Rekommendation: Använd Universell utskrift. Mer specifik information finns i Vad är universell utskrift.
Schemalagda Windows-aktiviteter som körs i datorkontexten på molnbaserade slutpunkter kan inte komma åt resurser på fjärrservrar och arbetsstationer. Den molnbaserade slutpunkten har inget konto i lokal AD och kan därför inte autentiseras.
Rekommendation: Konfigurera dina schemalagda aktiviteter så att de använder inloggad användare eller någon annan form av kontobaserad autentisering.
Active Directory-inloggningsskript tilldelas i den lokala AD-användarens egenskaper eller distribueras med ett grupprincipobjekt (GPO). Dessa skript är inte tillgängliga för molnbaserade slutpunkter.
Rekommendation: Granska dina skript. Om det finns en modern motsvarighet använder du den i stället. Om skriptet till exempel anger användarens hemenhet kan du flytta en användares hemenhet till OneDrive i stället. Om skriptet lagrar innehåll i delade mappar migrerar du innehållet i den delade mappen till SharePoint Online i stället.
Om det inte finns någon modern motsvarighet kan du distribuera Windows PowerShell-skript med Microsoft Intune.
Mer information finns i:
Grupprincipobjekt kanske inte gäller
Det är möjligt att vissa av dina äldre principer inte är tillgängliga eller inte gäller för molnbaserade slutpunkter.
Lösning:
Med hjälp av grupprincipanalys i Intune kan du utvärdera dina befintliga grupprincipobjekt (GPO). Analysen visar de principer som är tillgängliga och principer som inte är tillgängliga.
I slutpunktshantering distribueras principer till användare och grupper. De tillämpas inte i LSDOU-ordning. Det här beteendet är ett tankeskifte, så se till att dina användare och grupper är i ordning.
Mer specifik information och vägledning om principtilldelning i Microsoft Intune finns i Tilldela användar- och enhetsprofiler i Microsoft Intune.
Inventera dina principer och ta reda på vad de gör. Du kan hitta kategorier eller grupperingar, till exempel principer som fokuserar på säkerhet, principer som fokuserar på operativsystemet och så vidare.
Du kan skapa en Intune-princip som innehåller inställningarna från dina kategorier eller grupperingar. Inställningskatalogen är en bra resurs.
Var beredd på att skapa nya principer. De inbyggda funktionerna i modern slutpunktshantering, till exempel Microsoft Intune, kan ha bättre alternativ för att skapa och distribuera principer.
Planeringsguiden på hög nivå för att gå över till molnbaserade slutpunkter är en bra resurs.
Migrera inte alla dina principer. Kom ihåg att dina gamla principer kanske inte är meningsfulla med molnbaserade slutpunkter.
I stället för att göra det du alltid har gjort fokuserar du på det du faktiskt vill uppnå.
Synkroniserade användarkonton kan inte slutföra den första inloggningen
Synkroniserade användarkonton är lokala AD-domänanvändare som synkroniseras till Microsoft Entra med hjälp av Microsoft Entra Connect.
Synkroniserade användarkonton med lösenord som användaren måste ändra lösenord vid nästa konfigurerade inloggning kan för närvarande inte slutföra en första inloggning till en molnbaserad slutpunkt.
Lösning:
Använd Synkronisering av lösenordshash och Microsoft Entra Connect, vilket tvingar fram framtvingade lösenordsändringar vid inloggningsattributet för synkronisering.
Mer specifik information finns i Implementera synkronisering av lösenordshash med Microsoft Entra Connect-synkronisering.
Följ vägledningen för molnbaserade slutpunkter
- Översikt: Vad är molnbaserade slutpunkter?
- Självstudie: Komma igång med molnbaserade Windows-slutpunkter
- Koncept: Microsoft Entra-ansluten jämfört med Hybrid Microsoft Entra-ansluten
- Koncept: Molnbaserade slutpunkter och lokala resurser
- Planeringsguide på hög nivå
- 🡺 Kända problem och viktig information (du är här)