面向管理员的设置和数据漫游常见问题解答

在 Windows 8.1 中，设置同步始终使用使用者 Microsoft 帐户。 企业用户可以将 Microsoft 帐户连接到其 Active Directory 域帐户，以便获取访问设置同步的权限。在 Windows 10 及更高版本中，主/辅助帐户框架取代了这一联网 Microsoft 帐户功能。

主帐户是指用于登录 Windows 的帐户。 可以是 Microsoft 帐户、Microsoft Entra 帐户、本地 Active Directory 帐户或本地帐户。 除了主帐户外，Windows 10 及更高版本的用户可向设备添加一个或多个辅助云帐户。 辅助帐户通常是 Microsoft 帐户、Microsoft Entra 帐户或某些其他帐户（如 Gmail 或 Facebook）。 这些辅助帐户提供访问其他服务（如单一登录和 Windows 应用商店）的权限，但无法支持设置同步。

设备上不同用户帐户之间的数据永远不会混合。 设置同步有两个规则：

• Windows 设置始终通过主帐户漫游。
• 通过用于获取应用的帐户来标记应用数据。 只有以主要帐户标记的应用才会同步。当通过 Windows 应用商店或移动设备管理 (MDM) 边载应用时，就会确定应用所有权标记。

如果无法标识应用程序所有者，它将通过主帐户进行漫游。 如果设备从 Windows 8 或 Windows 8.1 升级到 Windows 10 及更高版本，所有应用会被标记为由 Microsoft 帐户获取。 这是因为大多数用户通过 Windows 应用商店获取应用，而在 Windows 10 之前，未对 Microsoft Entra 帐户提供 Windows 应用商店支持。 如果通过离线许可证安装应用，则应用会被标记为在设备上使用主帐户。

升级到 Windows 10 及更高版本后，只要你是已加入域的用户且 Active Directory 域未与 Microsoft Entra ID 连接，就将继续通过 Microsoft 帐户来同步用户设置。

如果本地 Microsoft Entra ID 域与 Azure AD 连接，设备尝试使用连接的 Microsoft Entra 帐户来同步设置。 如果 Microsoft Entra 管理员没有启用企业状态漫游，则连接的 Microsoft Entra 帐户将停止同步设置。 如果运行的是 Windows 10 及更高版本并且你使用 Microsoft Entra 标识登录，则管理员通过 Microsoft Entra ID 启用设置同步后，就会立即开始同步 Windows 设置。

如果在公司设备上存储了任何个人数据，那么你应知道 Windows OS 和应用程序数据将开始同步到 Microsoft Entra ID。 这具有以下含义：

• 个人 Microsoft 帐户设置将与 Microsoft Entra 工作或学校帐户设置存在偏差。 这是因为 Microsoft 帐户和 Microsoft Entra 设置同步现在使用单独的帐户。
• 以前通过连接的 Microsoft 帐户进行同步的个人数据（如 Wi-fi 密码、Web 凭据和 Internet Explorer 收藏夹）将通过 Microsoft Entra ID 同步。

在 Windows 10 的 2015 年 11 月版本或更高版本中，一次仅对一个帐户支持企业状态漫游。 如果使用工作或学校 Microsoft Entra 帐户登录到 Windows，则所有数据将通过 Microsoft Entra ID 进行同步。 如果使用个人 Microsoft 帐户登录到 Windows，则所有数据将通过 Microsoft 帐户同步。 通用应用数据仅通过设备上的主登录帐户进行漫游，且仅当该主帐户拥有应用许可证时才能漫游。 不会对任何辅助帐户拥有的应用的通用应用数据进行同步。

当同一设备上有来自不同 Microsoft Entra 租户的多个 Microsoft Entra 帐户时，必须更新设备的注册表，才能与每个 Microsoft Entra 租户的 Azure Rights Management 服务进行通信。

1. 找到每个 Microsoft Entra 租户的 GUID。 登录到 Microsoft Entra 管理中心，浏览到“标识”>“概述”>“属性”>“租户 ID”。
2. 获取 GUID 后，需要添加注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\SettingSync\WinMSIPC<tenant ID GUID>。 从“租户 ID GUID”键中，新建名为 AllowedRMSServerUrls 的多字符串值 (REG-MULTI-SZ)。 对于其数据，指定设备访问的其他 Azure 租户的授权分发点 URL。
3. 可以通过从 AADRM 模块运行 Get-AadrmConfiguration cmdlet 找到授权分发点 URL。 如果 LicensingIntranetDistributionPointUrl 和 LicensingExtranetDistributionPointUrl 的值不同，则指定这两个值。 如果值相同，则指定该值一次。

漫游仅适用于通用 Windows 应用。 有两种选项可用于在现有 Windows 桌面应用程序上启用漫游：

• 桌面桥有助于将现有的 Windows 桌面应用引入到通用 Windows 平台。 在这里，只需要最少的代码更改，就可以利用 Microsoft Entra 应用数据漫游。 桌面桥为应用提供应用标识，需要该标识才可为现有桌面应用启用应用数据漫游。
• 用户体验虚拟化 (UE-V) 有助于为现有 Windows 桌面应用创建自定义设置模板，并为 Win32 应用启用漫游。 此选项不需要应用开发人员更改应用代码。 UE-V 仅限于拥有 Microsoft Desktop Optimization Pack 的客户的本地 Active Directory 漫游。

通过 UE-V 组策略更改 Windows OS 设置和通用应用程序数据的漫游，管理员可以配置 UE-V 来漫游 Windows 桌面应用。组策略包括：

• “漫游 Windows 设置”组策略
• “不同步 Windows 应用”组策略
• 应用程序部分中的 Internet Explorer 漫游

企业状态漫游将所有已同步的数据存储在 Microsoft 云中。 UE-V 提供本地漫游解决方案。

在 2022 年 11 月之前，所有用户数据都使用 Azure Rights Management 进行保护。

从 2022 年 11 月开始，Microsoft 不再对所有数据加密都使用 Azure Rights Management。 Microsoft 致力于保护客户数据。 某些敏感数据（例如密码）将使用从 Microsoft Entra 租户派生的密钥在客户端进行加密，以确保具备额外的一层安全性。 所有用户数据（包括非敏感数据）将进行传输中加密，并将在云中进行静态加密。 有关所漫游的敏感数据项和非敏感数据项的列表，请参阅 Windows 漫游设置参考。

在 Windows 10 或更高版本中，管理员可以使用 MDM 或组策略为托管设备上的所有设置同步组禁用同步。

在“设置”应用中，转到“帐户”>“同步设置”。 可在此页看到正在使用哪个帐户漫游设置，并可以启用或禁用要进行漫游的各设置组。

Microsoft 提供几种不同的设置漫游解决方案，包括UE-V 和企业状态漫游。 如果组织尚未准备就绪或不想将数据移到云中，那么我们建议使用 UE-V 作为主漫游技术。 如果组织需要针对现有 Windows 桌面应用程序的漫游支持，但又很想移动到云中，我们建议同时使用企业状态漫游和 UE-V。 尽管 UE-V 和企业状态漫游是非常相似的技术，但它们并不互斥。 它们相辅相成，帮助组织提供用户所需的漫游服务。

同时使用企业状态漫游和 UE-V 时，企业状态漫游是设备上的主要漫游代理。 UE-V 用于为 Win32 应用程序提供补充。

• 企业状态漫游是设备上的主漫游代理。 UE-V 用于填补“Win32 差距”。
• 当使用 UE-V 组策略时，应对 Windows 设置和现代 UWP 应用数据禁用 UE-V 漫游。 企业状态漫游已涵盖了这些设置。

Windows 10 或更新版本客户端 SKU 支持企业状态漫游，但服务器 SKU 不支持。 如果客户端 VM 托管在虚拟机监控程序计算机上，并远程登录到虚拟机，数据将漫游。 如果多个用户共享相同的操作系统，且用户远程登录到服务器以获取完整的桌面体验，漫游可能无法工作。 对于后一种基于会话的方案没有提供正式支持。

后续步骤

有关概述，请参阅企业状态漫游概述