云原生终结点的已知问题和限制
提示
阅读有关云本机终结点的信息时,会看到以下术语:
- 终结点:终结点是一种设备,例如移动电话、平板电脑、笔记本电脑或台式计算机。 “终结点”和“设备”可互换使用。
- 托管终结点:使用 MDM 解决方案或组策略对象从组织接收策略的终结点。 这些设备通常是组织拥有的,但也可以是 BYOD 或个人拥有的设备。
- 云本机终结点:联接到 Microsoft Entra 的终结点。 它们未加入本地 AD。
- 工作负载:任何程序、服务或进程。
使用或移动本地设备管理到云原生终结点时,需要了解一些方案。 本文列出并介绍了一些更改的行为、限制和解决方法。
云原生终结点是联接到 Microsoft Entra 的设备。 在许多情况下,它们不需要直接连接到任何本地资源来实现可用性或管理。 有关更具体的信息,请转到 什么是云原生终结点。
此功能适用于:
- Windows 云原生终结点
在本文中,电脑帐户 和 计算机帐户 可互换使用。
不使用计算机身份验证
当 Windows 终结点 (如 Windows 10/11 设备) 加入本地 Active Directory (AD) 域时,将自动创建计算机帐户。 电脑/计算机帐户可用于身份验证。
计算机身份验证发送在:
- 使用本地 AD 计算机帐户而不是用户帐户访问本地资源,例如文件共享、打印机、应用程序和网站。
- 管理员或应用程序开发人员使用计算机帐户而不是用户或用户组来配置本地资源访问。
云原生终结点已加入到 Microsoft Entra,并且本地 AD 中不存在。 云原生终结点不支持本地 AD 计算机身份验证。 仅使用本地 AD 计算机帐户配置对本地文件共享、应用程序或服务的访问权限将在云原生终结点上失败。
切换到基于用户的身份验证
- 创建新项目时,不要使用计算机身份验证。 使用计算机身份验证并不常见,不建议这样做。 但你需要知道和注意这一点。 相反,使用基于用户的身份验证。
- 查看环境并确定当前使用计算机身份验证的任何应用程序和服务。 然后,更改对基于用户的身份验证或基于服务帐户的身份验证的访问权限。
重要
Microsoft Entra Connect 设备写回功能跟踪在 Microsoft Entra 中注册的设备。 这些设备在本地 AD 中显示为已注册的设备。
Microsoft Entra Connect 设备写回不会在本地 AD 域中创建相同的本地 AD 计算机帐户。 这些写回设备不支持本地计算机身份验证。
有关设备写回支持的方案的信息,请转到 Microsoft Entra Connect:启用设备写回。
使用计算机帐户的常见服务
以下列表包括可能使用计算机帐户进行身份验证的常见功能和服务。 它还包括如果组织正在使用这些功能与计算机进行身份验证的建议。
计算机帐户的 网络存储访问 失败。 云原生终结点无法访问使用计算机帐户保护的文件共享。 如果 ACL (访问控制列表) 权限仅分配给计算机帐户,或分配给仅包含计算机帐户的组,则与文件共享或网络连接存储 (NAS) 共享的驱动器映射将失败。
建议:
服务器和工作站文件共享: 更新权限以使用基于用户帐户的安全性。 执行此操作时,请使用 Microsoft Entra 单一登录 (SSO) 来访问使用 Windows 集成身份验证的资源。
将文件共享内容移动到 SharePoint Online 或 OneDrive。 有关更具体的信息,请转到 将文件共享迁移到 SharePoint 和 OneDrive。
网络文件系统 (NFS) 根访问: 指示用户访问特定文件夹,而不是根文件夹。 如果可以,请将内容从 NFS 移动到 SharePoint Online 或 OneDrive。
Microsoft Entra 联接的 Windows 终结点上的 Win32 应用:
- 如果应用使用计算机帐户身份验证,则不起作用。
- 如果应用访问受仅包含计算机帐户组保护的资源,则无法正常工作。
建议:
- 如果 Win32 应用使用计算机身份验证,请更新应用以使用 Microsoft Entra 身份验证。 有关详细信息,请转到 将应用程序身份验证迁移到 Microsoft Entra。
- 检查应用程序和展台设备的身份验证和标识。 更新身份验证和标识以使用用户基于帐户的安全性。
更多相关信息,请转到 身份验证和 Win32 应用。
仅对电脑帐户或计算机帐户组使用 ACL 权限限制站点访问的 IIS Web 服务器 部署将失败。 限制仅对电脑帐户或计算机帐户组访问的身份验证策略也将失败。
建议:
- 在网站上,启用协商身份验证。
- 更新 Web 服务器应用以使用 Microsoft Entra 身份验证。 有关详细信息,请转到 将应用程序身份验证迁移到 Microsoft Entra。
更多资源:
标准 打印管理和发现 取决于计算机身份验证。 在Microsoft Entra 联接的 Windows 终结点上,用户无法使用标准打印进行打印。
建议: 使用通用打印。 有关更具体的信息,请转到 什么是通用打印。
在云原生终结点上的计算机上下文中运行的 Windows 计划任务 无法访问远程服务器和工作站上的资源。 云原生终结点在本地 AD 中没有帐户,因此无法进行身份验证。
建议: 将计划任务配置为使用 已登录用户 或基于帐户的其他形式身份验证。
Active Directory 登录脚本 在本地 AD 用户属性中分配,或使用组策略对象 (GPO) 进行部署。 这些脚本不适用于云原生终结点。
建议: 查看脚本。 如果有现代等效项,请改用它。 例如,如果脚本设置用户的主驱动器,则可以改为将用户的主驱动器移动到 OneDrive。 如果脚本存储共享文件夹内容,请改为将共享文件夹内容迁移到 SharePoint Online。
如果没有现代等效项,则可以使用 Microsoft Intune 部署 Windows PowerShell 脚本。
更多相关信息,请转到:
组策略对象可能不适用
某些旧策略可能不可用,或者不适用于云原生终结点。
解决方法:
使用 Intune 中的 组策略分析 ,可以评估现有组策略对象 (GPO) 。 分析显示可用的策略和不可用的策略。
在终结点管理中,策略将部署到用户和组。 它们不按 LSDOU 顺序应用。 此行为是一种思维转变,因此请确保用户和组是有序的。
有关 Microsoft Intune 中策略分配的更具体信息和指南,请转到 Microsoft Intune 中分配用户和设备配置文件。
清点策略,并确定策略的功能。 你可能会找到类别或分组,例如侧重于安全性的策略、侧重于 OS 的策略等。
可以创建包含类别或分组设置的 Intune 策略。 设置目录 是一个不错的资源。
准备好创建新策略。 新式终结点管理的内置功能 (如 Microsoft Intune) 可能具有更好的选项来创建和部署策略。
迁移到云原生终结点的高级规划指南 是一个很好的资源。
不要迁移所有策略。 请记住,旧策略可能对云原生终结点没有意义。
不要执行你一直执行的操作,而是专注于实际想要实现的目标。
同步的用户帐户无法完成首次登录
同步用户帐户是使用 Microsoft Entra Connect 同步到 Microsoft Entra 的本地 AD 域用户。
目前,具有 用户必须在下次登录时更改密码 的带有密码的同步用户账户无法完成首次登录到云原生终结点。
解决方法:
使用密码哈希同步并Microsoft Entra connect,这会强制在 登录时更改密码 属性进行同步。
有关更具体的信息,请转到 使用 Microsoft Entra Connect 同步实现密码哈希同步。