雲端原生端點的已知問題和限制

提示

閱讀雲端原生端點時，您會看到下列詞彙：

• 端點：端點是裝置，例如行動電話、平板電腦、膝上型電腦或桌面電腦。 「端點」和「裝置」會交替使用。
• 受控端點：使用 MDM 解決方案或組策略對象從組織接收原則的端點。 這些裝置通常是組織所擁有的裝置，但也可以是 BYOD 或個人擁有的裝置。
• 雲端原生端點：已聯結至 Microsoft Entra 的端點。 它們未加入內部部署AD。
• 工作負載：任何程序、服務或程式。

使用內部部署裝置管理或將內部部署裝置管理移至雲端原生端點時，您需要知道一些案例。 本文列出並描述一些變更的行為、限制和解決方式。

雲端原生端點是已加入 Microsoft Entra 的裝置。 在許多情況下，它們不需要直接連線到任何內部部署資源，即可使用或管理。 如需更具體的資訊，請移至 什麼是雲端原生端點。

本功能適用於：

• Windows 雲端原生端點

在本文中， 計算機帳戶 和 計算機帳戶 會交替使用。

不要使用機器驗證

當 Windows 端點如同 Windows 10/11 裝置，加入內部部署 Active Directory (AD) 網域時，就會自動建立計算機帳戶。 計算機/計算機帳戶可用來進行驗證。

機器驗證會在下列情況發生：

• 內部部署資源，例如檔案共用、印表機、應用程式和網站，是使用內部部署AD計算機帳戶而非用戶帳戶來存取。
• 系統管理員或應用程式開發人員會使用計算機帳戶來設定內部部署資源存取，而不是使用使用者或使用者群組。

雲端原生端點已加入 Microsoft Entra，且不存在於內部部署 AD 中。 雲端原生端點不支持內部部署 AD 機器驗證。 設定僅使用內部部署 AD 計算機帳戶存取內部部署檔案共用、應用程式或服務，將會在雲端原生端點上失敗。

切換至使用者型驗證

• 建立新專案時，請勿使用機器驗證。 使用機器驗證並不常見，也不是建議的做法。 但這是您需要知道並注意的事項。 請改用使用者型驗證。
• 檢閱您的環境，並識別目前使用機器驗證的任何應用程式和服務。 然後，變更對用戶型驗證或服務帳戶型驗證的存取權。

重要事項

Microsoft Entra Connect 裝置回寫功能會追蹤在 Microsoft Entra 中註冊的裝置。 這些裝置會在內部部署 AD 中顯示為已註冊的裝置。

Microsoft Entra Connect 裝置回寫不會在內部部署 AD 網域中建立相同的內部部署 AD 計算機帳戶。 這些回寫裝置不支持內部部署機器驗證。

如需裝置回寫所支援案例的相關信息，請移至 Microsoft Entra Connect：啟用裝置回寫] 。

使用電腦帳戶的常見服務

下列清單包含可能會使用計算機帳戶進行驗證的一般功能和服務。 如果您的組織使用這些功能進行機器驗證，它也會包含建議。

• 計算機帳戶的網路記憶體存取失敗。 雲端原生端點無法存取使用電腦帳戶保護的檔案共用。 如果 ACL (存取控制清單) 許可權只會指派給電腦帳戶，或指派給僅包含電腦帳戶的群組，則使用檔案共用或網路連結記憶體 (NAS) 共用的磁碟驅動器對應將會失敗。

  建議：

  • 伺服器和工作站檔案共用：更新許可權以使用用戶帳戶型安全性。 當您這麼做時，請使用 Microsoft Entra 單一登錄 (SSO) 來存取使用 Windows 整合式驗證的資源。

    將檔案共享內容移至 SharePoint Online 或 OneDrive。 如需更具體的資訊，請移至將 檔案共用移轉至 SharePoint 和 OneDrive。

  • 網路文件系統 (NFS) 根存取：引導使用者存取特定資料夾，而不是根目錄。 如果可以，請將內容從 NFS 移至 SharePoint Online 或 OneDrive。

• Microsoft加入 Entra 的 Windows 端點上的 Win32 應用程式：

  • 如果應用程式使用電腦帳戶驗證，將無法運作。
  • 如果應用程式存取僅包含計算機帳戶的群組所保護的資源，將無法運作。

  建議：

  • 如果您的 Win32 應用程式使用機器驗證，請更新應用程式以使用 Microsoft Entra 驗證。 如需詳細資訊，請移至將應用程式驗證移轉至 Microsoft Entra。
  • 檢查應用程式和 kiosk 裝置的驗證和身分識別。 更新驗證和身分識別，以使用用戶帳戶型安全性。

  如需詳細資訊，請移至 驗證和 Win32 應用程式。

• 使用只有電腦帳戶或計算機帳戶群組的 ACL 許可權來限制網站存取的 IIS 網頁伺服器部署將會失敗。 僅限電腦帳戶或計算機帳戶群組存取權的驗證策略也會失敗。

  建議：

  • 在您的網站上，啟用交涉驗證。
  • 更新您的 Web 伺服器應用程式，以使用 Microsoft Entra 驗證] 。 如需詳細資訊，請移至將應用程式驗證移轉至 Microsoft Entra。

  更多資源：

  • IIS 驗證 <windowsAuthentication>
  • IIS 安全性授權 <authorization>

• 標準 列印管理和探索 取決於機器驗證。 在Microsoft加入 Entra 的 Windows 端點上，用戶無法使用標準列印進行列印。

  建議：使用通用列印。 如需更具體的資訊，請移至 什麼是通用列印。

• 在雲端原生端點的計算機內容中執行的 Windows 排程工作無法存取遠端伺服器和工作站上的資源。 雲端原生端點在內部部署 AD 中沒有帳戶，因此無法進行驗證。

  建議：將排程的工作設定為使用 登入的使用者或其他形式的帳戶型驗證。

• Active Directory 登入腳本 會在內部部署 AD 使用者的屬性中指派，或使用組策略物件 (GPO) 進行部署。 這些腳本不適用於雲端原生端點。

  建議：檢閱您的腳本。 如果有新式對等專案，請改用它。 例如，如果您的腳本設定使用者的主磁碟驅動器，您可以改為將使用者的主磁碟驅動器移至 OneDrive。 如果您的腳本儲存共用資料夾內容，請改為將共用資料夾內容移轉至 SharePoint Online。

  如果沒有新式對等專案，您可以使用 Microsoft Intune 部署 Windows PowerShell 腳本。

  如需詳細資訊，請移至:

  • 在 Microsoft Intune 中將 PowerShell 腳本新增至 Windows 10/11 裝置
  • 簡介 Microsoft 365 中的 OneDrive

組策略物件可能不適用

您可能無法使用某些較舊的原則，或不適用於雲端原生端點。

解決方案：

• 使用 Intune 中的 組策略分析 ，您可以評估現有的組策略物件 (GPO) 。 分析會顯示可用的原則，以及無法使用的原則。

• 在端點管理中，原則會部署至使用者和群組。 它們不會以 LS 性順序套用。 此行為是一種思維轉變，因此請確定您的使用者和群組都已排序。

  如需在 Microsoft Intune 中指派原則的更具體資訊和指引，請移至在 Microsoft Intune 中指派使用者和裝置配置檔。

• 清查您的原則，並判斷原則的用途。 您可以找到類別或群組，例如著重於安全性的原則、著重於OS的原則等等。

  您可以建立 Intune 原則，其中包含來自類別或群組的設定。 [設定目錄] 是不錯的資源。

• 準備好建立新的原則。 新式端點管理的內建功能，例如 Microsoft Intune，可能有更好的選項可建立和部署原則。

  移至雲端原生端點的高階規劃指南是不錯的資源。

• 請勿移轉所有原則。 請記住，舊的原則可能對雲端原生端點沒有意義。

  請專注於實際想要達成的目標，而不是一律執行您一直執行的動作。

同步處理的用戶帳戶無法完成第一次登入

同步處理的使用者帳戶是內部部署 AD 網域使用者，會使用 Microsoft Entra Connect 同步至 Microsoft Entra。

目前，已同步處理的用戶帳戶與已設定用戶 必須在下次登入時變更密碼的密碼 ，無法完成第一次登入雲端原生端點。

解決方案：

使用密碼哈希同步並Microsoft Entra connect，這會強制同步登 入屬性的密碼變更 。

如需更具體的資訊，請移至 使用 Microsoft Entra Connect 同步處理實作密碼哈希同步處理。

遵循雲端原生端點指引

1. 概觀：什麼是雲端原生端點？
2. 教學課程：開始使用雲端原生 Windows 端點
3. 概念：Microsoft已加入 Entra 與已加入混合式Microsoft
4. 概念：雲端原生端點和內部部署資源
5. 高階規劃指南
6. 🡺 已知問題和重要資訊 (您在這裡)