本文將回答 IT 系統管理員可能會遇到的設定和應用程式資料同步處理的一些問題。
哪些帳戶用於設定同步處理?
在 Windows 8.1 中,設定同步處理一律使用取用者 Microsoft 帳戶。 企業使用者有能力可以將 Microsoft 帳戶連接至 Active Directory 網域帳戶,以存取設定同步處理。在 Windows 10 和更新版本中,這項連接的 Microsoft 帳戶功能將由主要/次要帳戶架構取代。
主要帳戶的定義是用來登入 Windows 的帳戶。 這可以是 Microsoft 帳戶、Microsoft Entra 帳戶、內部部署 Active Directory 帳戶或本機帳戶。 除了主要帳戶,Windows 10 和更新版本使用者可以將一或多個次要雲端帳戶新增至他們的裝置。 次要帳戶通常是 Microsoft 帳戶、Microsoft Entra 帳戶或一些像是 Gmail 或 Facebook 的其他帳戶。 這些次要帳戶提供其他服務 (例如單一登入和 Windows 市集) 的存取權,但是無法進行設定同步。
裝置上不同使用者帳戶之間的資料永遠不會混合。 有兩個設定可用來同步處理設定:
- Windows 設定一律會使用主要帳戶進行漫遊。
- 應用程式資料會利用用來取得應用程式的帳戶來標記。 只會同步處理以主要帳戶標記的應用程式。透過 Windows 市集或行動裝置管理 (MDM) 側載應用程式時,會決定應用程式擁有權標記。
如果無法識別應用程式的擁有者,則會以主要帳戶漫遊。 如果裝置是從 Windows 8 或 Windows 8.1 升級到 Windows 10 和更新版本,則所有應用程式都會被標記成由 Microsoft 帳戶取得。 這是因為大多數使用者都是透過 Windows 市集取得應用程式,而在 Windows 10 之前,並沒有為 Microsoft Entra 帳戶提供 Windows 市集支援。 如果應用程式是透過離線授權安裝,則會使用裝置上的主要帳戶標記應用程式。
注意
企業擁有且連線到 Microsoft Entra ID 的 Windows 10 或更新版本裝置無法再將其 Microsoft 帳戶連線到網域帳戶。 將會從已加入所連接之 Active Directory 或 Microsoft Entra 環境的 Windows 10 和更新版本裝置中,移除可將 Microsoft 帳戶連接到網域帳戶並將所有使用者資料同步至 Microsoft 帳戶 (亦即透過已連接的 Microsoft 帳戶和 Active Directory 功能進行的 Microsoft 帳戶漫遊) 的能力。
我該如何從 Windows 8 中的 Microsoft 帳戶設定同步處理升級至 Windows 10 或更新版本中的 Microsoft Entra 設定同步處理?
升級至 Windows 10 和更新版本之後,只要您是已加入網域的使用者且 Active Directory 網域未與 Microsoft Entra ID 連線,就會繼續透過 Microsoft 帳戶來同步使用者設定。
如果內部部署 Active Directory 網域與 Microsoft Entra ID 連接,裝置會嘗試使用連接的 Microsoft Entra 帳戶來同步處理設定。 如果 Microsoft Entra 管理員未啟用「企業狀態漫遊」,則已連線的 Microsoft Entra 帳戶將會停止同步設定。 如果您正在執行 Windows 10 和更新版本且使用 Microsoft Entra 身分識別來登入,則在管理員啟用透過 Microsoft Entra ID 進行設定同步的功能之後,您會立即開始同步 Windows 設定。
如果您將任何個人資料儲存在公司裝置上,您應該知道 Windows OS 和應用程式資料會開始同步至 Microsoft Entra ID。 這表示:
- 個人 Microsoft 帳戶設定將會與您工作或學校 Microsoft Entra 帳戶上的設定有所不同。 這是因為 Microsoft 帳戶和 Microsoft Entra 設定同步處理現在使用不同的帳戶。
- 個人資料 (例如 Wi-Fi 密碼、Web 認證,以及先前透過已連接的 Microsoft 帳戶同步處理的 Internet Explorer 我的最愛) 會透過 Microsoft Entra ID 進行同步處理。
Microsoft 帳戶和 Microsoft Entra 企業狀態漫遊互通性如何運作?
在 Windows 10 的 2015 年 11 月版或更新版本中,一次只針對一個帳戶支援「企業狀態漫遊」。 如果您使用公司或學校 Microsoft Entra 帳戶登入 Windows,則所有資料都會透過 Microsoft Entra ID 進行同步處理。 如果您使用個人 Microsoft 帳戶登入 Windows,則所有資料都會透過 Microsoft 帳戶進行同步處理。 通用應用程式資料只會使用裝置上的主要登入帳戶進行漫遊,並且只有當應用程式的授權是由主要帳戶所擁有時才會漫遊。 任何次要帳戶所擁有的應用程式的通用應用程式資料都不會進行同步。
對來自多個租用戶的 Microsoft Entra 帳戶進行設定同步處理?
當來自不同 Microsoft Entra 租用戶的多個 Microsoft Entra 帳戶位於相同的裝置時,您必須更新裝置的登錄,才能與每個 Microsoft Entra 租用戶的 Azure Rights Management 服務進行通訊。
- 尋找每個 Microsoft Entra 租用戶的 GUID。 登入 Microsoft Entra 系統管理中心,瀏覽至 [身分識別]>[概觀]>[屬性]>[租用戶識別碼]。
- 取得 GUID 之後,您需要新增登錄機碼 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\SettingSync\WinMSIPC<租用戶識別碼 GUID>。 從「租用戶識別碼 GUID」機碼,建立一個名為 AllowedRMSServerUrls 的新多字串值 (REG-MULTI-SZ)。 針對其資料,指定裝置所存取之其他 Azure 租用戶的授權發佈點 URL。
- 您可以藉由從 AADRM 模組執行 Get-AadrmConfiguration Cmdlet 來尋找授權發佈點 URL。 如果 LicensingIntranetDistributionPointUrl 與 LicensingExtranetDistributionPointUrl 的值不同,則請同時指定這兩個值。 如果值相同,則指定值一次。
我可以將同步處理的設定和資料儲存在內部部署環境中嗎?
「企業狀態漫遊」會將所有同步處理的資料儲存在 Microsoft 雲端。 UE-V 提供一個內部部署漫遊解決方案。
資料如何受到保護?
在 2022 年 11 月之前,所有使用者資料都會使用 Azure Rights Management 進行保護。
從 2022 年 11 月開始,Microsoft 不再使用 Azure Rights Management 進行所有資料加密。 Microsoft 致力於保護客戶資料。 某些敏感資料 (例如密碼) 會在用戶端進行加密,加密使用的金鑰衍生自 Microsoft Entra 租用戶,以確保額外的安全性層級。 所有使用者資料 (包括非敏感性資料) 在傳輸過程中和儲存於雲端時都會進行加密。 如需查看漫遊的敏感性和非敏感性資料清單,請參閱 Windows 漫遊設定參考。
我可以管理特定應用程式或設定的同步處理嗎?
在 Windows 10 或更新版本中,系統管理員可以使用 MDM 或群組原則停用受控裝置上所有設定同步群組的同步處理。
如何啟用或停用漫遊功能?
在 [設定] 應用程式中,移至 [帳戶]>[同步您的設定]。 您可以從這個頁面看見正在使用哪一個帳戶漫遊設定,您可以啟用或停用要漫遊得個別群組設定。
Microsoft 對於在 Windows 10 或更新版本中啟用漫遊功能有什麼建議?
Microsoft 提供數個不同的設定漫遊解決方案可供使用,包括 UE-V 和企業狀態漫遊。 如果您的組織尚未準備就緒或不想要將資料移到雲端,則建議您使用 UE-V 作為主要的漫遊技術。 如果貴組織既需要適用於現有 Windows 傳統型應用程式的漫遊支援,又迫切想要移到雲端,建議您同時使用「企業狀態漫遊」和 UE-V。 雖然 UE-V 和「企業狀態漫遊」是類似的技術,但是它們並不互斥。 它們可彼此互補以協助確保貴組織提供您使用者所需的漫遊服務。
使用企業狀態漫遊和 UE-V 時,企業狀態漫遊是裝置上的主要漫遊代理程式。 UE-V 正用來補充 Win32 應用程式。
- 企業狀態漫遊是裝置上主要的漫遊代理程式。 UE-V 正用來補充“Win32 差距”。
- 使用 UE-V 群組原則時,應該停用 Windows 設定和現代化 UWP 應用程式資料的 UE-V 漫遊。 「企業狀態漫遊」已經涵蓋這些設定。
企業狀態漫遊如何支援虛擬桌面基礎結構 (VDI)?
Windows 10 或更新版本用戶端 SKU 支援「企業狀態漫遊」,但伺服器 SKU 則不支援。 如果用戶端 VM 裝載於 Hypervisor 電腦上,而您是從遠端登入虛擬機器,您的資料就會漫遊。 如果有多位使用者共用相同的作業系統,而使用者是從遠端登入伺服器以獲得完整桌面體驗,漫遊可能會無法運作。 針對後者以工作階段為基礎的案例,並未正式支援。
每一使用者裝置同步狀態報告發生什麼事?
個別使用者的裝置同步狀態報告已從 Microsoft Entra 系統管理中心移除。 報表已移除,因為它只提供不支援的 Windows 版本詳細數據。 企業狀態漫遊需要 Windows 11 或 Windows 10 版本 21H2 或更新版本。
下一步
如需概觀,請參閱企業狀態漫遊概觀