Známé problémy a omezení u koncových bodů nativních pro cloud

Tip

Při čtení o koncových bodech nativních pro cloud se zobrazí následující termíny:

• Koncový bod: Koncový bod je zařízení, například mobilní telefon, tablet, přenosný počítač nebo stolní počítač. Koncové body a zařízení se používají zaměnitelně.
• Spravované koncové body: Koncové body, které přijímají zásady od organizace pomocí řešení MDM nebo objektů zásad skupiny. Tato zařízení jsou obvykle vlastněná organizací, ale můžou to být také zařízení vlastními zařízeními nebo zařízení v osobním vlastnictví.
• Koncové body nativní pro cloud: Koncové body, které jsou připojené k Microsoft Entra. Nejsou připojené k místní službě AD.
• Úloha: Jakýkoli program, služba nebo proces.

Při používání nebo přesouvání místní správy zařízení do cloudově nativních koncových bodů je potřeba znát některé scénáře. Tento článek uvádí a popisuje některé změněné chování, omezení a řešení.

Koncové body nativní pro cloud jsou zařízení, která jsou připojená k Microsoft Entra. V mnoha případech nevyžadují přímé připojení k žádným místním prostředkům kvůli použitelnosti nebo správě. Podrobnější informace najdete v tématu Co jsou koncové body nativní pro cloud.

Tato funkce platí pro:

• Koncové body Windows nativní pro cloud

V tomto článku se účty počítačů a účty počítačů používají zaměnitelně.

Nepoužívat ověřování počítače

Když se koncový bod Windows, jako je zařízení s Windows 10/11, připojí k místní doméně Active Directory (AD), automaticky se vytvoří účet počítače. Účet počítače nebo počítače je možné použít k ověření.

K ověřování počítače dochází v případě, že:

• K místním prostředkům, jako jsou sdílené složky, tiskárny, aplikace a weby, se přistupuje pomocí místních účtů počítačů AD místo uživatelských účtů.
• Správci nebo vývojáři aplikací konfigurují přístup k místním prostředkům pomocí účtů počítačů místo uživatelů nebo skupin uživatelů.

Koncové body nativní pro cloud jsou připojené k Microsoft Entra a v místní službě AD neexistují. Koncové body nativní pro cloud nepodporují ověřování místních počítačů AD. Konfigurace přístupu k místním sdíleným složkám, aplikacím nebo službám pouze pomocí účtů místních počítačů AD selže v koncových bodech nativních pro cloud.

Přepnutí na ověřování na základě uživatelů

• Při vytváření nových projektů nepoužívejte ověřování počítače. Použití ověřování počítače není běžné a není to doporučený postup. Ale je to něco, co potřebujete vědět a být si vědomi. Místo toho použijte ověřování založené na uživatelích.
• Zkontrolujte své prostředí a identifikujte všechny aplikace a služby, které aktuálně používají ověřování počítače. Potom změňte přístup k ověřování založenému na uživatelích nebo ověřování na základě účtu služby.

Důležité

Funkce zpětného zápisu zařízení Microsoft Entra Connect sleduje zařízení zaregistrovaná v Microsoft Entra. Tato zařízení se zobrazují v místní službě AD jako registrovaná zařízení.

Zpětný zápis zařízení Microsoft Entra Connect nevytváří identické účty místních počítačů AD v místní doméně AD. Tato zařízení pro zpětný zápis nepodporují ověřování místních počítačů.

Informace o scénářích podporovaných se zpětným zápisem zařízení najdete v článku Microsoft Entra Connect: Povolení zpětného zápisu zařízení.

Běžné služby, které používají účty počítačů

Následující seznam obsahuje běžné funkce a služby, které můžou k ověřování používat účty počítačů. Obsahuje také doporučení, pokud vaše organizace používá tyto funkce s ověřováním počítače.

• Přístup k síťovému úložišti selže s účty počítačů. Koncové body nativní pro cloud nemají přístup ke sdíleným složkám zabezpečeným pomocí účtů počítačů. Pokud jsou oprávnění ACL (seznam řízení přístupu) přiřazená jenom účtům počítačů nebo skupinám, které zahrnují jenom účty počítačů, mapování jednotek se sdílenými složkami nebo sdílenými složkami úložiště připojeného k síti (NAS) selže.

  Doporučení:

  • Sdílené složky serveru a pracovní stanice: Aktualizujte oprávnění tak, aby používala zabezpečení na základě uživatelských účtů. Pokud to uděláte, použijte jednotné přihlašování Microsoft Entra (SSO) pro přístup k prostředkům, které používají integrované ověřování Systému Windows.

    Přesuňte obsah sdílené složky na SharePoint Online nebo OneDrive. Konkrétnější informace najdete v článku Migrace sdílených složek na SharePoint a OneDrive.

  • Kořenový přístup systému souborů NFS (Network File System): Nasměrujte uživatele, aby měli přístup ke konkrétním složkám, ne ke kořenovému adresáři. Pokud je to možné, přesuňte obsah ze systému souborů NFS na SharePoint Online nebo OneDrive.

• Aplikace Win32 v koncových bodech Windows připojených k Microsoft Entra:

  • Nebude fungovat, pokud aplikace používají ověřování účtu počítače.
  • Nebude fungovat, pokud aplikace přistupují k prostředkům zabezpečeným pomocí skupin, které obsahují jenom účty počítačů.

  Doporučení:

  • Pokud vaše aplikace Win32 používají ověřování počítače, aktualizujte aplikaci tak, aby používala ověřování Microsoft Entra. Další informace najdete v tématu Migrace ověřování aplikací do Microsoft Entra.
  • Zkontrolujte ověřování a identity vašich aplikací a zařízení v beznabídkovém režimu. Aktualizujte ověřování a identity tak, aby používaly zabezpečení založené na uživatelských účtech.

  Další informace najdete v tématu Ověřování a aplikace Win32.

• Nasazení webového serveru IIS, která omezují přístup k webu pomocí oprávnění seznamu ACL pouze s účty počítačů nebo skupinami účtů počítačů, selžou. Strategie ověřování, které omezují přístup pouze na účty počítačů nebo skupiny účtů počítačů, také selžou.

  Doporučení:

  • Na svých webech povolte ověřování Negotiate.
  • Aktualizujte aplikace webového serveru tak, aby používaly ověřování Microsoft Entra. Další informace najdete v tématu Migrace ověřování aplikací do Microsoft Entra.

  Další zdroje informací:

  • Ověřování služby IIS <windowsAuthentication>
  • Autorizace zabezpečení služby IIS <authorization>

• Standardní správa a zjišťování tisku závisí na ověřování počítače. Na koncových bodech Windows připojených k Microsoft Entra nemůžou uživatelé tisknout pomocí standardního tisku.

  Doporučení: Použijte Univerzální tisk. Podrobnější informace najdete v tématu Co je univerzální tisk.

• Naplánované úlohy Windows , které běží v kontextu počítače na nativních cloudových koncových bodech, nemají přístup k prostředkům na vzdálených serverech a pracovních stanicích. Koncový bod nativní pro cloud nemá účet v místní službě AD, a proto se nemůže ověřit.

  Doporučení: Nakonfigurujte naplánované úlohy tak, aby používaly přihlášeného uživatele nebo jinou formu ověřování na základě účtu.

• Přihlašovací skripty služby Active Directory se přiřazují ve vlastnostech místního uživatele služby AD nebo se nasazují pomocí objektu zásad skupiny (GPO). Tyto skripty nejsou dostupné pro koncové body nativní pro cloud.

  Doporučení: Zkontrolujte skripty. Pokud existuje moderní ekvivalent, použijte ho. Pokud například skript nastaví domovskou jednotku uživatele, můžete místo toho přesunout domovskou jednotku uživatele na OneDrive. Pokud skript ukládá obsah sdílené složky, migrujte obsah sdílené složky do SharePointu Online.

  Pokud neexistuje moderní ekvivalent, můžete nasadit skripty Prostředí Windows PowerShell pomocí Microsoft Intune.

  Pro více informací přejděte na:

  • Přidání skriptů PowerShellu do zařízení s Windows 10/11 v Microsoft Intune
  • Úvod do OneDrivu v Microsoftu 365

Objekty zásad skupiny se nemusí použít.

Je možné, že některé ze starších zásad nejsou dostupné nebo se nevztahují na koncové body nativní pro cloud.

Řešení:

• Pomocí analýzy zásad skupiny v Intune můžete vyhodnotit stávající objekty zásad skupiny (GPO). Analýza ukazuje dostupné zásady a nedostupné zásady.

• Ve správě koncových bodů se zásady nasazují pro uživatele a skupiny. Nepoužijí se v pořadí LSDOU. Toto chování je změna mysli, takže se ujistěte, že uživatelé a skupiny jsou v pořádku.

  Konkrétnější informace a pokyny k přiřazení zásad v Microsoft Intune najdete v tématu Přiřazení profilů uživatelů a zařízení v Microsoft Intune.

• Inventarizace zásad a určení jejich akce Můžete najít kategorie nebo seskupení, například zásady, které se zaměřují na zabezpečení, zásady, které se zaměřují na operační systém atd.

  Můžete vytvořit zásadu Intune, která zahrnuje nastavení z vašich kategorií nebo seskupení. Katalog nastavení je dobrým prostředkem.

• Připravte se na vytváření nových zásad. Integrované funkce moderní správy koncových bodů, jako je Microsoft Intune, můžou mít lepší možnosti pro vytváření a nasazování zásad.

  Dobrým prostředkem je průvodce plánováním na vysoké úrovni pro přechod na koncové body nativní pro cloud .

• Nemigrujte všechny zásady. Nezapomeňte, že vaše staré zásady nemusí dávat smysl u koncových bodů nativních pro cloud.

  Místo toho, abyste dělali to, co jste dělali vždy, se zaměřte na to, čeho chcete skutečně dosáhnout.

Synchronizované uživatelské účty nemůžou dokončit první přihlášení

Synchronizované uživatelské účty jsou místní uživatelé domény AD, kteří se synchronizují s Microsoft Entra pomocí Microsoft Entra Connect.

Synchronizované uživatelské účty s hesly s nakonfigurovaným uživatelem musí změnit heslo při příštím přihlášení v současné době nemůžou dokončit první přihlášení ke koncovému bodu nativnímu pro cloud.

Řešení:

Použijte synchronizaci hodnot hash hesel a připojení Microsoft Entra, které vynutí synchronizaci atributu vynucené změny hesla při přihlášení .

Podrobnější informace najdete v tématu Implementace synchronizace hodnot hash hesel se synchronizací Microsoft Entra Connect.

Postupujte podle pokynů ke koncovým bodům nativním pro cloud.

1. Přehled: Co jsou koncové body nativní pro cloud?
2. Kurz: Začínáme s koncovými body Windows nativními pro cloud
3. Koncept: Microsoft Entra join vs. Hybrid Microsoft Entra join
4. Koncept: Koncové body nativní pro cloud a místní prostředky
5. Průvodce plánováním na vysoké úrovni
6. 🡺 Známé problémy a důležité informace (jste tady)