面向管理员的设置和数据漫游常见问题解答

本文将解答 IT 管理员可能会遇到的一些设置和应用数据同步问题。

哪些帐户可用于设置同步?

在 Windows 8.1 中,设置同步始终使用使用者 Microsoft 帐户。 企业用户可以将 Microsoft 帐户连接到其 Active Directory 域帐户,以便获取访问设置同步的权限。在 Windows 10 及更高版本中,主/辅助帐户框架取代了这一联网 Microsoft 帐户功能。

主帐户是指用于登录 Windows 的帐户。 可以是 Microsoft 帐户、Microsoft Entra 帐户、本地 Active Directory 帐户或本地帐户。 除了主帐户外,Windows 10 及更高版本的用户可向设备添加一个或多个辅助云帐户。 辅助帐户通常是 Microsoft 帐户、Microsoft Entra 帐户或某些其他帐户(如 Gmail 或 Facebook)。 这些辅助帐户提供访问其他服务(如单一登录和 Windows 应用商店)的权限,但无法支持设置同步。

设备上不同用户帐户之间的数据永远不会混合。 设置同步有两个规则:

  • Windows 设置始终通过主帐户漫游。
  • 通过用于获取应用的帐户来标记应用数据。 只有以主要帐户标记的应用才会同步。当通过 Windows 应用商店或移动设备管理 (MDM) 边载应用时,就会确定应用所有权标记。

如果无法标识应用程序所有者,它将通过主帐户进行漫游。 如果设备从 Windows 8 或 Windows 8.1 升级到 Windows 10 及更高版本,所有应用会被标记为由 Microsoft 帐户获取。 这是因为大多数用户通过 Windows 应用商店获取应用,而在 Windows 10 之前,未对 Microsoft Entra 帐户提供 Windows 应用商店支持。 如果通过离线许可证安装应用,则应用会被标记为在设备上使用主帐户。

注意

企业拥有且连接到 Microsoft Entra ID 的 Windows 10 或更新版本设备不能再将其 Microsoft 帐户连接到域帐户。 已加入联网 Active Directory 或 Microsoft Entra 环境中的 Windows 10 及更高版本的设备中删除了将 Microsoft 帐户连接到域帐户并将所有用户数据同步到 Microsoft 帐户(即,通过联网 Microsoft 帐户和 Active Directory 功能进行的 Microsoft 帐户漫游)的功能。

如何从 Windows 8 中的 Microsoft 帐户设置同步升级到 Windows 10 或更新版本中的 Microsoft Entra 设置同步?

升级到 Windows 10 及更高版本后,只要你是已加入域的用户且 Active Directory 域未与 Microsoft Entra ID 连接,就将继续通过 Microsoft 帐户来同步用户设置。

如果本地 Microsoft Entra ID 域与 Azure AD 连接,设备尝试使用连接的 Microsoft Entra 帐户来同步设置。 如果 Microsoft Entra 管理员没有启用企业状态漫游,则连接的 Microsoft Entra 帐户将停止同步设置。 如果运行的是 Windows 10 及更高版本并且你使用 Microsoft Entra 标识登录,则管理员通过 Microsoft Entra ID 启用设置同步后,就会立即开始同步 Windows 设置。

如果在公司设备上存储了任何个人数据,那么你应知道 Windows OS 和应用程序数据将开始同步到 Microsoft Entra ID。 这具有以下含义:

  • 个人 Microsoft 帐户设置将与 Microsoft Entra 工作或学校帐户设置存在偏差。 这是因为 Microsoft 帐户和 Microsoft Entra 设置同步现在使用单独的帐户。
  • 以前通过连接的 Microsoft 帐户进行同步的个人数据(如 Wi-fi 密码、Web 凭据和 Internet Explorer 收藏夹)将通过 Microsoft Entra ID 同步。

Microsoft 帐户和 Microsoft Entra 企业状态漫游互操作性如何工作?

在 Windows 10 的 2015 年 11 月版本或更高版本中,一次仅对一个帐户支持企业状态漫游。 如果使用工作或学校 Microsoft Entra 帐户登录到 Windows,则所有数据将通过 Microsoft Entra ID 进行同步。 如果使用个人 Microsoft 帐户登录到 Windows,则所有数据将通过 Microsoft 帐户同步。 通用应用数据仅通过设备上的主登录帐户进行漫游,且仅当该主帐户拥有应用许可证时才能漫游。 不会对任何辅助帐户拥有的应用的通用应用数据进行同步。

是否对来自多个租户的 Microsoft Entra 帐户进行设置同步?

当同一设备上有来自不同 Microsoft Entra 租户的多个 Microsoft Entra 帐户时,必须更新设备的注册表,才能与每个 Microsoft Entra 租户的 Azure Rights Management 服务进行通信。

  1. 找到每个 Microsoft Entra 租户的 GUID。 登录到 Microsoft Entra 管理中心,浏览到“标识”>“概述”>“属性”>“租户 ID”。
  2. 获取 GUID 后,需要添加注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\SettingSync\WinMSIPC<tenant ID GUID>。 从“租户 ID GUID”键中,新建名为 AllowedRMSServerUrls 的多字符串值 (REG-MULTI-SZ)。 对于其数据,指定设备访问的其他 Azure 租户的授权分发点 URL。
  3. 可以通过从 AADRM 模块运行 Get-AadrmConfiguration cmdlet 找到授权分发点 URL。 如果 LicensingIntranetDistributionPointUrlLicensingExtranetDistributionPointUrl 的值不同,则指定这两个值。 如果值相同,则指定该值一次。

是否可以在本地存储已同步的设置和数据?

企业状态漫游将所有已同步的数据存储在 Microsoft 云中。 UE-V 提供本地漫游解决方案。

如何保护数据?

在 2022 年 11 月之前,所有用户数据都使用 Azure Rights Management 进行保护。

从 2022 年 11 月开始,Microsoft 不再对所有数据加密都使用 Azure Rights Management。 Microsoft 致力于保护客户数据。 某些敏感数据(例如密码)将使用从 Microsoft Entra 租户派生的密钥在客户端进行加密,以确保具备额外的一层安全性。 所有用户数据(包括非敏感数据)将进行传输中加密,并将在云中进行静态加密。 有关所漫游的敏感数据项和非敏感数据项的列表,请参阅 Windows 漫游设置参考

是否可以管理特定应用或设置的同步?

在 Windows 10 或更高版本中,管理员可以使用 MDM 或组策略为托管设备上的所有设置同步组禁用同步。

如何启用或禁用漫游?

在“设置”应用中,转到“帐户”>“同步设置”。 可在此页看到正在使用哪个帐户漫游设置,并可以启用或禁用要进行漫游的各设置组。

对于在 Windows 10 或更新版本中启用漫游,Microsoft 有何建议?

Microsoft 提供几种不同的设置漫游解决方案,包括UE-V 和企业状态漫游。 如果组织尚未准备就绪或不想将数据移到云中,那么我们建议使用 UE-V 作为主漫游技术。 如果组织需要针对现有 Windows 桌面应用程序的漫游支持,但又很想移动到云中,我们建议同时使用企业状态漫游和 UE-V。 尽管 UE-V 和企业状态漫游是非常相似的技术,但它们并不互斥。 它们相辅相成,帮助组织提供用户所需的漫游服务。

同时使用企业状态漫游和 UE-V 时,企业状态漫游是设备上的主要漫游代理。 UE-V 用于为 Win32 应用程序提供补充。

  • 企业状态漫游是设备上的主漫游代理。 UE-V 用于填补“Win32 差距”。
  • 当使用 UE-V 组策略时,应对 Windows 设置和现代 UWP 应用数据禁用 UE-V 漫游。 企业状态漫游已涵盖了这些设置。

企业状态漫游如何支持虚拟桌面基础结构 (VDI)?

Windows 10 或更新版本客户端 SKU 支持企业状态漫游,但服务器 SKU 不支持。 如果客户端 VM 托管在虚拟机监控程序计算机上,并远程登录到虚拟机,数据将漫游。 如果多个用户共享相同的操作系统,且用户远程登录到服务器以获取完整的桌面体验,漫游可能无法工作。 对于后一种基于会话的方案没有提供正式支持。

每用户设备同步状态报告发生了什么情况?

已从 Microsoft Entra 管理中心中删除每用户设备同步状态报告。 报告已删除,因为它仅提供了不受支持的 Windows 版本的详细信息。 企业状态漫游需要 Windows 11 或 Windows 10 版本 21H2 或更高版本。

后续步骤

有关概述,请参阅企业状态漫游概述