Problemi noti e limitazioni con gli endpoint nativi del cloud
Consiglio
Durante la lettura degli endpoint nativi del cloud, vengono visualizzati i termini seguenti:
- Endpoint: un endpoint è un dispositivo, ad esempio un telefono cellulare, un tablet, un portatile o un computer desktop. "Endpoint" e "dispositivi" vengono usati in modo intercambiabile.
- Endpoint gestiti: endpoint che ricevono criteri dall'organizzazione usando una soluzione MDM o oggetti Criteri di gruppo. Questi dispositivi sono in genere di proprietà dell'organizzazione, ma possono anche essere byod o dispositivi di proprietà personale.
- Endpoint nativi del cloud: endpoint aggiunti a Microsoft Entra. Non sono aggiunti ad ACTIVE Directory locale.
- Carico di lavoro: qualsiasi programma, servizio o processo.
Quando si usa o si sposta la gestione dei dispositivi locale negli endpoint nativi del cloud, è necessario conoscere alcuni scenari. Questo articolo elenca e descrive alcuni comportamenti, limitazioni e risoluzioni modificati.
Gli endpoint nativi del cloud sono dispositivi aggiunti a Microsoft Entra. In molti casi, non richiedono una connessione diretta a risorse locali per l'usabilità o la gestione. Per informazioni più specifiche, vedere Che cosa sono gli endpoint nativi del cloud.
Questa funzionalità si applica a:
- Endpoint nativi del cloud di Windows
In questo articolo gli account computer e gli account computer vengono usati in modo intercambiabile.
Non usare l'autenticazione computer
Quando un endpoint di Windows, come un dispositivo Windows 10/11, si aggiunge a un dominio Active Directory (AD) locale, viene creato automaticamente un account computer. L'account computer/computer può essere usato per l'autenticazione.
L'autenticazione del computer si verifica quando:
- Le risorse locali, ad esempio condivisioni file, stampanti, applicazioni e siti Web, sono accessibili usando account computer AD locali anziché account utente.
- Gli amministratori o gli sviluppatori di applicazioni configurano l'accesso alle risorse locali usando account computer anziché utenti o gruppi di utenti.
Gli endpoint nativi del cloud vengono aggiunti a Microsoft Entra e non esistono in ACTIVE Directory locale. Gli endpoint nativi del cloud non supportano l'autenticazione del computer AD locale. La configurazione dell'accesso a condivisioni file, applicazioni o servizi locali usando solo account computer AD locali avrà esito negativo negli endpoint nativi del cloud.
Passare all'autenticazione basata sull'utente
- Quando si creano nuovi progetti, non usare l'autenticazione del computer. L'uso dell'autenticazione computer non è comune e non è una procedura consigliata. Ma è qualcosa che devi sapere ed essere consapevole. Usare invece l'autenticazione basata su utente.
- Esaminare l'ambiente e identificare eventuali applicazioni e servizi che attualmente usano l'autenticazione computer. Modificare quindi l'accesso all'autenticazione basata sull'utente o all'autenticazione basata su account del servizio.
Importante
La funzionalità di writeback dei dispositivi Microsoft Entra Connect tiene traccia dei dispositivi registrati in Microsoft Entra. Questi dispositivi vengono visualizzati in ACTIVE Directory locale come dispositivi registrati.
Il writeback del dispositivo Microsoft Entra Connect non crea account computer ACTIVE Directory locali identici nel dominio DI Active Directory locale. Questi dispositivi di writeback non supportano l'autenticazione del computer locale.
Per informazioni sugli scenari supportati con il writeback dei dispositivi, passare a Microsoft Entra Connect: Abilitazione del writeback del dispositivo.
Servizi comuni che usano account computer
L'elenco seguente include funzionalità e servizi comuni che potrebbero usare gli account computer per l'autenticazione. Include anche consigli se l'organizzazione usa queste funzionalità con l'autenticazione computer.
L'accesso all'archiviazione di rete non riesce con gli account del computer. Gli endpoint nativi del cloud non possono accedere alle condivisioni file protette con account computer. Se le autorizzazioni ACL (elenco di controllo di accesso) vengono assegnate solo agli account computer o assegnate a gruppi che includono solo account computer, il mapping delle unità con condivisioni file o condivisioni NAS (Network Attached Storage) avrà esito negativo.
Raccomandazione:
Condivisioni file server e workstation: aggiornare le autorizzazioni per usare la sicurezza basata su account utente. In questo caso, usare l'accesso Single Sign-On (SSO) di Microsoft Entra per accedere alle risorse che usano l'autenticazione integrata di Windows.
Spostare il contenuto della condivisione file in SharePoint Online o OneDrive. Per informazioni più specifiche, vedere Eseguire la migrazione di condivisioni file in SharePoint e OneDrive.
Accesso radice NFS (Network File System): consente agli utenti di accedere a cartelle specifiche, non alla radice. Se possibile, spostare il contenuto da un file NFS a SharePoint Online o OneDrive.
App Win32 in endpoint Windows aggiunti a Microsoft Entra:
- Non funziona se le app usano l'autenticazione dell'account computer.
- Non funziona se le app accedono alle risorse protette con gruppi che includono solo account computer.
Raccomandazione:
- Se le app Win32 usano l'autenticazione computer, aggiornare l'app per usare l'autenticazione di Microsoft Entra. Per altre informazioni, vedere Eseguire la migrazione dell'autenticazione dell'applicazione a Microsoft Entra.
- Controllare l'autenticazione e le identità delle applicazioni e dei dispositivi in modalità tutto schermo. Aggiornare l'autenticazione e le identità per usare la sicurezza basata su account utente.
Per altre informazioni, vedere Autenticazione e app Win32.
Le distribuzioni del server Web IIS che limitano l'accesso al sito tramite autorizzazioni ACL solo con account computer o gruppi di account computer avranno esito negativo. Anche le strategie di autenticazione che limitano l'accesso solo agli account computer o ai gruppi di account computer avranno esito negativo.
Raccomandazione:
- Nei siti Web abilitare l'autenticazione Negotiate.
- Aggiornare le app del server Web per usare l'autenticazione di Microsoft Entra. Per altre informazioni, vedere Eseguire la migrazione dell'autenticazione dell'applicazione a Microsoft Entra.
Altre risorse:
La gestione e l'individuazione della stampa standard dipendono dall'autenticazione del computer. Sugli endpoint Windows aggiunti a Microsoft Entra, gli utenti non possono stampare usando la stampa standard.
Raccomandazione: usare stampa universale. Per informazioni più specifiche, vedere Che cos'è la stampa universale.
Le attività pianificate di Windows eseguite nel contesto del computer negli endpoint nativi del cloud non possono accedere alle risorse in server e workstation remoti. L'endpoint nativo del cloud non ha un account in ACTIVE Directory locale e pertanto non può eseguire l'autenticazione.
Raccomandazione: configurare le attività pianificate per l'uso dell'utente connesso o di un'altra forma di autenticazione basata su account.
Gli script di accesso di Active Directory vengono assegnati nelle proprietà dell'utente di ACTIVE Directory locale o distribuiti tramite un oggetto Criteri di gruppo. Questi script non sono disponibili per gli endpoint nativi del cloud.
Raccomandazione: esaminare gli script. Se esiste un equivalente moderno, usalo invece. Ad esempio, se lo script imposta l'unità home dell'utente, è possibile spostare l'unità home di un utente in OneDrive. Se lo script archivia il contenuto della cartella condivisa, eseguire invece la migrazione del contenuto della cartella condivisa a SharePoint Online.
Se non esiste un equivalente moderno, è possibile distribuire script di Windows PowerShell usando Microsoft Intune.
Per altre informazioni, vedere:
Gli oggetti Criteri di gruppo potrebbero non essere applicabili
È possibile che alcuni criteri meno recenti non siano disponibili o non si applichino agli endpoint nativi del cloud.
Risoluzione:
Usando l'analisi di Criteri di gruppo in Intune, è possibile valutare gli oggetti Criteri di gruppo esistenti. L'analisi mostra i criteri disponibili e i criteri non disponibili.
Nella gestione degli endpoint, i criteri vengono distribuiti a utenti e gruppi. Non vengono applicati in ordine LSDOU. Questo comportamento è un cambiamento di mentalità, quindi assicurarsi che gli utenti e i gruppi siano in ordine.
Per informazioni più specifiche e indicazioni sull'assegnazione di criteri in Microsoft Intune, vedere Assegnare profili utente e dispositivo in Microsoft Intune.
Inventariare i criteri e determinare cosa fanno. È possibile trovare categorie o raggruppamenti, ad esempio criteri incentrati sulla sicurezza, criteri incentrati sul sistema operativo e così via.
È possibile creare un criterio di Intune che includa le impostazioni delle categorie o dei raggruppamenti. Il catalogo delle impostazioni è una risorsa valida.
Prepararsi a creare nuovi criteri. Le funzionalità predefinite della gestione degli endpoint moderna, ad esempio Microsoft Intune, possono avere opzioni migliori per creare e distribuire criteri.
La guida alla pianificazione di alto livello per passare agli endpoint nativi del cloud è una risorsa valida.
Non eseguire la migrazione di tutti i criteri. Tenere presente che i criteri precedenti potrebbero non avere senso con gli endpoint nativi del cloud.
Invece di fare quello che hai sempre fatto, concentrati su ciò che vuoi effettivamente ottenere.
Gli account utente sincronizzati non possono completare il primo accesso
Gli account utente sincronizzati sono utenti di dominio ACTIVE Directory locali sincronizzati con Microsoft Entra usando Microsoft Entra Connect.
Attualmente, gli account utente sincronizzati con password con l'utente devono modificare la password all'accesso successivo configurato non possono completare un accesso alla prima volta a un endpoint nativo del cloud.
Risoluzione:
Usare Sincronizzazione hash password e Microsoft Entra connect, forzando la sincronizzazione della modifica della password all'accesso .
Per informazioni più specifiche, vedere Implementare la sincronizzazione dell'hash delle password con la sincronizzazione di Microsoft Entra Connect.
Seguire le indicazioni per gli endpoint nativi del cloud
- Panoramica: Che cosa sono gli endpoint nativi del cloud?
- Esercitazione: Introduzione agli endpoint windows nativi del cloud
- Concetto: microsoft entra a far parte di Microsoft Entra e ibrido Microsoft Entra aggiunto
- Concetto: endpoint nativi del cloud e risorse locali
- Guida alla pianificazione di alto livello
- 🡺 Problemi noti e informazioni importanti (si è qui)