系統管理員 設定和數據漫遊常見問題

在 Windows 8.1 中，設定同步一律使用消費者 Microsoft 帳戶。 企業用戶能夠將 Microsoft 帳戶連線到其 Active Directory 網域帳戶，以取得設定同步的存取權。在 Windows 10 和更新版本中，此連線的 Microsoft 帳戶功能會取代為主要/次要帳戶架構。

主要帳戶定義為用來登入 Windows 的帳戶。 這可以是 Microsoft 帳戶、Microsoft Entra 帳戶、內部部署的 Active Directory 帳戶或本機帳戶。 除了主要帳戶之外，Windows 10 和更新版本使用者可以將一或多個次要雲端帳戶新增至其裝置。 次要帳戶通常是 Microsoft 帳戶、Microsoft Entra 帳戶，或 Gmail 或 Facebook 等其他帳戶。 這些次要帳戶提供其他服務的存取權，例如單一登錄和 Windows 市集，但無法提供設定同步功能。

數據絕不會混合在裝置上的不同用戶帳戶之間。 設定同步處理有兩個規則：

• Windows 設定一律會使用主要帳戶漫遊。
• 應用程式數據會標記用來取得應用程式的帳戶。 只有以主要帳戶同步標記的應用程式。當應用程式透過 Windows 市集或行動裝置管理 （MDM） 側載時，會決定應用程式擁有權標記。

如果無法識別應用程式擁有者，則會使用主要帳戶漫遊。 如果裝置從 Windows 8 或 Windows 8.1 升級至 Windows 10 和更新版本，則所有應用程式都會標記為由 Microsoft 帳戶取得。 這是因為大部分的使用者透過 Windows 市集取得應用程式，而且在 Windows 10 之前沒有 Microsoft Entra 帳戶的 Windows 市集支援。 如果應用程式是透過離線授權安裝，則會使用裝置上的主要帳戶來標記應用程式。

升級至 Windows 10 和更新版本之後，只要您是已加入網域的使用者，Active Directory 網域就不會與 Microsoft Entra ID 連線，即可繼續透過 Microsoft 帳戶同步用戶設定。

如果 內部部署的 Active Directory 網域確實使用 Microsoft Entra 標識碼進行連線，您的裝置會嘗試使用連線的 Microsoft Entra 帳戶來同步設定。 如果 Microsoft Entra 系統管理員未啟用企業狀態漫遊，則連線的 Microsoft Entra 帳戶會停止同步處理設定。 如果您執行 Windows 10 和更新版本，且使用 Microsoft Entra 身分識別登入，只要系統管理員啟用透過 Microsoft Entra 識別符進行設定同步，就會開始同步處理 Windows 設定。

如果您將任何個人資料儲存在公司裝置上，您應該知道 Windows OS 和應用程式數據會開始同步處理至 Microsoft Entra ID。 這表示：

• 您的個人 Microsoft 帳戶設定會偏離公司或學校 Microsoft Entra 帳戶上的設定。 這是因為 Microsoft 帳戶和 Microsoft Entra 設定同步處理現在使用個別帳戶。
• 先前透過連線的 Microsoft 帳戶同步處理的 Wi-Fi 密碼、Web 認證和 Internet Explorer 我的最愛等個人資料會透過 Microsoft Entra ID 同步處理。

在 Windows 10 的 2015 年 11 月或更新版本中，企業狀態漫遊一次只支援單一帳戶。 如果您使用公司或學校 Microsoft Entra 帳戶登入 Windows，則所有數據都會透過 Microsoft Entra 識別碼進行同步處理。 如果您使用個人 Microsoft 帳戶登入 Windows，則所有數據都會透過 Microsoft 帳戶進行同步處理。 通用應用程式數據只會使用裝置上的主要登入帳戶進行漫遊，而且只有在應用程式授權由主要帳戶擁有時才漫遊。 任何次要帳戶所擁有之應用程式的通用應用程式數據不會同步處理。

當來自不同 Microsoft Entra 租使用者的多個 Microsoft Entra 帳戶位於相同的裝置上時，您必須更新裝置的登錄，以與每個 Microsoft Entra 租使用者的 Azure Rights Management 服務通訊。

1. 尋找每個 Microsoft Entra 租使用者的 GUID。 登入 Microsoft Entra 系統管理中心，流覽至 [身分>>識別概觀內容>租用戶標識符]。
2. 取得 GUID 之後，您必須將登錄機碼 新增至 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\SettingSync\WinMSIPC<租使用者標識符 GUID>。 從租使用者標識碼 GUID 密鑰，建立名為 AllowedRMSServerUrls 的新多重字串值 （REG-MULTI-SZ）。 針對其數據，指定裝置所存取之其他 Azure 租使用者的授權發佈點 URL。
3. 您可以從 AADRM 模組執行 Get-AadrmConfiguration Cmdlet，以尋找授權發佈點 URL。 如果 LicensingIntranetDistributionPointUrl 和 LicensingExtranetDistributionPointUrl 的值不同，請指定這兩個值。 如果值相同，請指定一次值。

漫遊僅適用於通用 Windows 應用程式。 有兩個選項可用於在現有的 Windows 傳統型應用程式上啟用漫遊：

• 傳統型橋接器 可協助您將現有的 Windows 傳統型應用程式帶入 通用 Windows 平台。 從這裡開始，需要最少的程式代碼變更，才能利用 Microsoft Entra 應用程式數據漫遊。 傳統型橋接器 會提供您的應用程式身分識別，這是為現有傳統型應用程式啟用應用程式數據漫遊所需的。
• User Experience Virtualization （UE-V） 可協助您為現有的 Windows 傳統型應用程式建立自定義設定範本，並啟用 Win32 應用程式的漫遊。 這個選項不需要應用程式開發人員變更應用程式的程式代碼。 UE-V 限制為具有 Microsoft 桌面優化套件的客戶 內部部署的 Active Directory 漫遊。

管理員 istrators 可以透過變更 Windows OS 設定和通用應用程式資料的漫遊，設定 UE-V 來漫遊 Windows 傳統型應用程式數據UE-V 組策略，包括：

• 漫遊 Windows 設定組策略
• 不要同步處理 Windows Apps 組策略
• 應用程式區段中的 Internet Explorer 漫遊

企業狀態漫遊會將所有同步處理的數據儲存在 Microsoft 雲端中。 UE-V 提供內部部署漫遊解決方案。

在 2022 年 11 月之前，所有用戶數據都會使用 Azure Rights Management 來保護。

從 2022 年 11 月開始，Microsoft 不再使用 Azure Rights Management 進行所有數據加密。 Microsoft 致力於保護客戶數據。 某些敏感數據，例如密碼是加密的用戶端，其密鑰衍生自 Microsoft Entra 租使用者，以確保額外的安全性層。 所有用戶數據（包括不區分數據）都會在傳輸和雲端待用時加密。 如需已漫遊的敏感性和非敏感數據項清單，請參閱 Windows 漫遊設定參考。

在 Windows 10 或更新版本中，系統管理員可以使用 MDM 或組策略停用受控裝置上所有設定同步群組的同步處理。

在 設定 應用程式中，移至 [帳戶>同步處理您的設定]。 您可以從此頁面查看要用來漫遊設定的帳戶，而且您可以啟用或停用要漫遊的個別設定群組。

Microsoft 提供幾個不同的設定漫遊解決方案，包括 UE-V 和企業狀態漫遊。 如果您的組織尚未準備好或熟悉將數據移至雲端，建議您使用 UE-V 作為主要漫遊技術。 如果您的組織需要現有 Windows 傳統型應用程式的漫遊支援，但急於移至雲端，建議您同時使用企業狀態漫遊和 UE-V。 雖然 UE-V 和企業狀態漫遊是類似的技術，但它們並非互斥。 它們彼此互補，協助確保您的組織提供使用者所需的漫遊服務。

使用企業狀態漫遊和 UE-V 時，企業狀態漫遊是裝置上的主要漫遊代理程式。 UE-V 正用來補充 Win32 應用程式。

• 企業狀態漫遊是裝置上的主要漫遊代理程式。 UE-V 正用來補充“Win32 差距”。
• 使用 UE-V 組策略時，應該停用 Windows 設定和新式 UWP 應用程式數據的 UE-V 漫遊。 企業狀態漫遊已經涵蓋這些設定。

Windows 10 或更新的用戶端 SKU 支援企業狀態漫遊，但不支援在伺服器 SKU 上。 如果用戶端 VM 裝載於 Hypervisor 機器上，而且您從遠端登入虛擬機，您的數據將會漫遊。 如果多個用戶共用相同的作業系統，且使用者從遠端登入伺服器以取得完整的桌面體驗，漫遊可能無法運作。 不支援后一個會話型案例。

下一步

如需概觀，請參閱 企業狀態漫遊概觀