Bulutta yerel uç noktalarla ilgili bilinen sorunlar ve sınırlamalar

İpucu

Buluta özel uç noktalar hakkında bilgi alırken aşağıdaki terimleri görürsünüz:

• Uç nokta: Uç nokta, cep telefonu, tablet, dizüstü bilgisayar veya masaüstü bilgisayar gibi bir cihazdır. "Uç noktalar" ve "cihazlar" birbirinin yerine kullanılır.
• Yönetilen uç noktalar: Bir MDM çözümü veya Grup İlkesi Nesneleri kullanarak kuruluştan ilke alan uç noktalar. Bu cihazlar genellikle kuruluşa aittir, ancak KCG veya kişisel cihazlar da olabilir.
• Bulutta yerel uç noktalar: Microsoft Entra'ya katılmış uç noktalar. Şirket içi AD'ye katılmaz.
• İş yükü: Herhangi bir program, hizmet veya işlem.

Şirket içi cihaz yönetimini buluta özel uç noktalara taşırken veya kullanırken bilmeniz gereken bazı senaryolar vardır. Bu makalede bazı değiştirilmiş davranışlar, sınırlamalar ve çözümler listelenip açıklanmaktadır.

Bulutta yerel uç noktalar, Microsoft Entra'ya katılmış cihazlardır. Çoğu durumda, kullanılabilirlik veya yönetim için şirket içi kaynaklara doğrudan bağlantı gerekmez. Daha ayrıntılı bilgi için Bkz. Bulutta yerel uç noktalar nedir?

Bu özellik şu platformlarda geçerlidir:

• Windows buluta özel uç noktalar

Bu makalede bilgisayar hesapları ve makine hesapları birbirinin yerine kullanılır.

Makine kimlik doğrulama kullanma

Windows 10/11 cihazı gibi bir Windows uç noktası şirket içi Active Directory (AD) etki alanına katıldığında, otomatik olarak bir bilgisayar hesabı oluşturulur. Bilgisayar/makine hesabı kimlik doğrulaması için kullanılabilir.

Makine kimlik doğrulaması şu durumlarda gerçekleşir:

• Dosya paylaşımları, yazıcılar, uygulamalar ve web siteleri gibi şirket içi kaynaklara kullanıcı hesapları yerine şirket içi AD bilgisayar hesapları kullanılarak erişilir.
• Yöneticiler veya uygulama geliştiricileri, kullanıcılar veya kullanıcı grupları yerine makine hesaplarını kullanarak şirket içi kaynak erişimini yapılandırmaktadır.

Buluta özel uç noktalar Microsoft Entra'ya katılır ve şirket içi AD'de yoktur. Bulutta yerel uç noktalar şirket içi AD makine kimlik doğrulamayı desteklemez. Yalnızca şirket içi AD makine hesaplarını kullanarak şirket içi dosya paylaşımlarına, uygulamalara veya hizmetlere erişimi yapılandırma işlemi buluta özel uç noktalarda başarısız olur.

Kullanıcı tabanlı kimlik doğrulamasına geçme

• Yeni projeler oluştururken makine kimlik doğrulaması kullanmayın. Makine kimlik doğrulamasının kullanılması yaygın değildir ve önerilen bir uygulama değildir. Ama bilmeniz ve farkında olmanız gereken bir şey. Bunun yerine kullanıcı tabanlı kimlik doğrulaması kullanın.
• Ortamınızı gözden geçirin ve şu anda makine kimlik doğrulaması kullanan tüm uygulamaları ve hizmetleri belirleyin. Ardından, kullanıcı tabanlı kimlik doğrulamasına veya hizmet hesabı tabanlı kimlik doğrulamasına erişimi değiştirin.

Önemli

Microsoft Entra Connect cihaz geri yazma özelliği, Microsoft Entra'da kayıtlı cihazları izler. Bu cihazlar şirket içi AD'de kayıtlı cihazlar olarak gösterilir.

Microsoft Entra Connect cihaz geri yazma işlemi, şirket içi AD etki alanında aynı şirket içi AD bilgisayar hesapları oluşturmaz. Bu geri yazma cihazları şirket içi makine kimlik doğrulamayı desteklemez.

Cihaz geri yazma ile desteklenen senaryolar hakkında bilgi için Microsoft Entra Connect: Cihaz geri yazmayı etkinleştirme bölümüne gidin.

Makine hesaplarını kullanan yaygın hizmetler

Aşağıdaki liste, kimlik doğrulaması için makine hesaplarını kullanabilecek ortak özellikleri ve hizmetleri içerir. Ayrıca kuruluşunuz makine kimlik doğrulaması ile bu özellikleri kullanıyorsa öneriler de içerir.

• Ağ depolama erişimi makine hesaplarıyla başarısız oluyor. Bulutta yerel uç noktalar, makine hesapları kullanılarak güvenliği sağlanan dosya paylaşımlarına erişemez. ACL (erişim denetimi listesi) izinleri yalnızca makine hesaplarına atanmışsa veya yalnızca makine hesaplarını içeren gruplara atanmışsa, dosya paylaşımlarıyla veya ağa bağlı depolama (NAS) paylaşımlarıyla sürücü eşlemesi başarısız olur.

  Öneri:

  • Sunucu ve iş istasyonu dosya paylaşımları: Kullanıcı hesabı tabanlı güvenliği kullanmak için izinleri güncelleştirin. Bunu yaptığınızda, Windows tümleşik kimlik doğrulaması kullanan kaynaklara erişmek için Microsoft Entra çoklu oturum açma (SSO) kullanın.

    Dosya paylaşımı içeriğini SharePoint Online veya OneDrive'a taşıyın. Daha ayrıntılı bilgi için Dosya paylaşımlarını SharePoint ve OneDrive'a geçirme bölümüne gidin.

  • Ağ Dosya Sistemi (NFS) kök erişimi: Kullanıcıları köke değil belirli klasörlere erişmeye yönlendirin. Bunu yapabilirseniz, içeriği NFS'den SharePoint Online'a veya OneDrive'a taşıyın.

• Microsoft Entra'ya katılmış Windows uç noktalarındaki Win32 uygulamaları:

  • Uygulamalar makine hesabı kimlik doğrulaması kullanıyorsa çalışmaz.
  • Uygulamalar yalnızca makine hesaplarını içeren gruplarla güvenliği sağlanan kaynaklara erişiyorsa çalışmaz.

  Öneri:

  • Win32 uygulamalarınız makine kimlik doğrulaması kullanıyorsa, uygulamayı Microsoft Entra kimlik doğrulamasını kullanacak şekilde güncelleştirin. Daha fazla bilgi için Bkz. Uygulama kimlik doğrulamasını Microsoft Entra'ya geçirme.
  • Uygulamalarınızın ve bilgi noktası cihazlarınızın kimlik doğrulamasını ve kimliklerini denetleyin. Kullanıcı hesabı tabanlı güvenliği kullanmak için kimlik doğrulamasını ve kimlikleri güncelleştirin.

  Daha fazla bilgi için Kimlik doğrulaması ve Win32 uygulamaları'na gidin.

• Yalnızca bilgisayar hesapları veya bilgisayar hesabı gruplarıyla ACL izinlerini kullanarak site erişimini kısıtlayan IIS web sunucusu dağıtımları başarısız olur. Erişimi yalnızca bilgisayar hesaplarıyla veya bilgisayar hesabı gruplarıyla sınırlayan kimlik doğrulama stratejileri de başarısız olur.

  Öneri:

  • Web sitelerinizde Negotiate kimlik doğrulamasını etkinleştirin.
  • Web sunucusu uygulamalarınızı Microsoft Entra kimlik doğrulamasını kullanacak şekilde güncelleştirin. Daha fazla bilgi için Bkz. Uygulama kimlik doğrulamasını Microsoft Entra'ya geçirme.

  Diğer kaynaklar:

  • IIS Kimlik Doğrulaması <windowsAuthentication>
  • IIS Güvenlik Yetkilendirmesi <authorization>

• Standart yazdırma yönetimi ve bulma , makine kimlik doğrulamasına bağlıdır. Microsoft Entra'ya katılmış Windows uç noktalarında, kullanıcılar standart yazdırmayı kullanarak yazdıramaz.

  Öneri: Evrensel Yazdırma'ya tıklayın. Daha ayrıntılı bilgi için Evrensel Yazdırma nedir? konusuna gidin.

• Bulutta yerel uç noktalarda makine bağlamında çalışan Windows zamanlanmış görevleri, uzak sunuculardaki ve iş istasyonlarındaki kaynaklara erişemez. Bulutta yerel uç noktanın şirket içi AD'de hesabı yoktur ve bu nedenle kimlik doğrulaması yapamaz.

  Öneri: Zamanlanmış görevlerinizi oturum açmış kullanıcıyı veya başka bir hesap tabanlı kimlik doğrulaması biçimini kullanacak şekilde yapılandırın.

• Active Directory oturum açma betikleri , şirket içi AD kullanıcısının özelliklerine atanır veya bir Grup İlkesi Nesnesi (GPO) kullanılarak dağıtılır. Bu betikler buluta özel uç noktalar için kullanılamaz.

  Öneri: Betiklerinizi gözden geçirin. Modern bir eşdeğer varsa, bunun yerine kullanın. Örneğin, betiğiniz kullanıcının giriş sürücüsünü ayarlarsa, kullanıcının giriş sürücüsünü onedrive'a taşıyabilirsiniz. Betiğiniz paylaşılan klasör içeriğini depolarsa, bunun yerine paylaşılan klasör içeriğini SharePoint Online'a geçirin.

  Modern eşdeğeri yoksa, Microsoft Intune kullanarak Windows PowerShell betiklerini dağıtabilirsiniz.

  Daha fazla bilgi için şuraya gidin:

  • Microsoft Intune'da Windows 10/11 cihazlarına PowerShell betikleri ekleme
  • Microsoft 365'te OneDrive'a giriş

Grup İlkesi Nesneleri uygulanamayabilir

Eski ilkelerinizin bazıları kullanılamıyor veya buluta özel uç noktalara uygulanmıyor olabilir.

Çözüm:

• Intune'da Grup İlkesi analizini kullanarak mevcut Grup İlkesi Nesnelerinizi (GPO) değerlendirebilirsiniz. Analizde kullanılabilir ilkeler ve kullanılamayabilecek ilkeler gösterilir.

• Uç nokta yönetiminde ilkeler kullanıcılara ve gruplara dağıtılır. Bunlar LSDOU sırasına uygulanmaz. Bu davranış bir zihin değişimidir, bu nedenle kullanıcılarınızın ve gruplarınızın uygun olduğundan emin olun.

  Microsoft Intune'da ilke atama hakkında daha ayrıntılı bilgi ve rehberlik için Microsoft Intune'da kullanıcı ve cihaz profilleri atama bölümüne gidin.

• İlkelerinizin envanterini oluşturun ve ne yaptıklarını belirleyin. Güvenliğe odaklanan ilkeler, işletim sistemine odaklanan ilkeler gibi kategoriler veya gruplandırmalar bulabilirsiniz.

  Kategorilerinizdeki veya gruplandırmalarınızın ayarlarını içeren bir Intune ilkesi oluşturabilirsiniz. Ayarlar Kataloğu iyi bir kaynaktır.

• Yeni ilkeler oluşturmaya hazır olun. Microsoft Intune gibi modern uç nokta yönetiminin yerleşik özellikleri, ilkeleri oluşturmak ve dağıtmak için daha iyi seçeneklere sahip olabilir.

  Bulutta yerel uç noktalara geçiş yapmak için üst düzey planlama kılavuzu iyi bir kaynaktır.

• Tüm ilkelerinizi geçirmeyin. Eski ilkelerinizin bulutta yerel uç noktalarla anlamlı olmadığını unutmayın.

  Her zaman yaptığınız şeyi yapmak yerine, gerçekte ne elde etmek istediğinize odaklanın.

Eşitlenen kullanıcı hesapları ilk oturum açma işlemini tamamlayamaz

Eşitlenen kullanıcı hesapları, Microsoft Entra Connect kullanılarak Microsoft Entra ile eşitlenen şirket içi AD etki alanı kullanıcılarıdır.

Şu anda, Kullanıcı'nın yapılandırılan bir sonraki oturum açmada parola değiştirmesi gereken parolalara sahip eşitlenmiş kullanıcı hesapları, bulutta yerel bir uç noktada ilk kez oturum açmayı tamamlayamaz.

Çözüm:

Parola Karması Eşitleme ve Microsoft Entra connect'i kullanarak oturum açma özniteliğindeki parola değişikliğini eşitlemeye zorlayabilirsiniz.

Daha ayrıntılı bilgi için Bkz. Microsoft Entra Connect eşitlemesi ile parola karması eşitlemesi uygulama.

Bulutta yerel uç noktalar kılavuzunu izleyin

1. Genel bakış: Bulutta yerel uç noktalar nelerdir?
2. Öğretici: Bulutta yerel Windows uç noktalarını kullanmaya başlama
3. Kavram: Microsoft Entra'ya katılmış ve Hibrit Microsoft Entra'ya katılmış
4. Kavram: Bulutta yerel uç noktalar ve şirket içi kaynaklar
5. Üst düzey planlama kılavuzu
6. 🡺 Bilinen sorunlar ve önemli bilgiler (Buradasınız)