Známé problémy a omezení u koncových bodů nativních pro cloud

Tip

Při čtení o koncových bodech nativních pro cloud uvidíte následující termíny:

• Koncový bod: Koncový bod je zařízení, například mobilní telefon, tablet, přenosný počítač nebo stolní počítač. Koncové body a zařízení se používají zaměnitelně.
• Spravované koncové body: Koncové body, které přijímají zásady od organizace pomocí řešení MDM nebo Zásady skupiny objektů. Tato zařízení jsou obvykle vlastněná organizací, ale můžou to být také zařízení vlastními zařízeními nebo zařízení v osobním vlastnictví.
• Koncové body nativní pro cloud: Koncové body, které jsou připojené k Azure AD. Nejsou připojené k místní službě AD.
• Úloha: Jakýkoli program, služba nebo proces.

Při používání nebo přesouvání místní správy zařízení do cloudově nativních koncových bodů je potřeba znát některé scénáře. Tento článek uvádí a popisuje některé změněné chování, omezení a řešení.

Koncové body nativní pro cloud jsou zařízení připojená k Microsoft Entra. V mnoha případech nevyžadují přímé připojení k žádným místním prostředkům kvůli použitelnosti nebo správě. Podrobnější informace najdete v tématu Co jsou koncové body nativní pro cloud.

Tato funkce platí pro:

• Koncové body Windows nativní pro cloud

V tomto článku se účty počítačů a účty počítačů používají zaměnitelně.

Nepoužívat ověřování počítače

Když se koncový bod Windows, například zařízení Windows 10/11, připojí k doméně místní Active Directory (AD), automaticky se vytvoří účet počítače. Účet počítače nebo počítače je možné použít k ověření.

K ověřování počítače dochází v případě, že:

• K místním prostředkům, jako jsou sdílené složky, tiskárny, aplikace a weby, se přistupuje pomocí místních účtů počítačů AD místo uživatelských účtů.
• Správci nebo vývojáři aplikací konfigurují přístup k místním prostředkům pomocí účtů počítačů místo uživatelů nebo skupin uživatelů.

Koncové body nativní pro cloud jsou připojené k Microsoft Entra a v místní službě AD neexistují. Koncové body nativní pro cloud nepodporují ověřování místních počítačů AD. Konfigurace přístupu k místním sdíleným složkám, aplikacím nebo službám pouze pomocí účtů místních počítačů AD selže v koncových bodech nativních pro cloud.

Přepnutí na ověřování na základě uživatelů

• Při vytváření nových projektů nepoužívejte ověřování počítače. Není to běžný ani doporučený postup, ale je to něco, co potřebujete vědět a vědět. Místo toho použijte ověřování založené na uživatelích.
• Zkontrolujte své prostředí a identifikujte všechny aplikace a služby, které aktuálně používají ověřování počítače. Potom změňte přístup k ověřování založenému na uživatelích nebo ověřování na základě účtu služby.

Důležité

Funkce zpětného zápisu zařízení Microsoft Entra Connect sleduje zařízení zaregistrovaná v Microsoft Entra. Tato zařízení se zobrazují v místní službě AD jako registrovaná zařízení.

Microsoft Entra Zpětné zápisy zařízení Connect nevytvoří identické účty místních počítačů AD v místní doméně AD. Tato zařízení pro zpětný zápis nepodporují ověřování místních počítačů.

Informace o scénářích podporovaných se zpětným zápisem zařízení najdete v tématu Microsoft Entra Connect: Povolení zpětného zápisu zařízení.

Běžné služby, které používají účty počítačů

Následující seznam obsahuje běžné funkce a služby, které můžou k ověřování používat účty počítačů. Obsahuje také doporučení, pokud vaše organizace používá tyto funkce s ověřováním počítače.

• Přístup k síťovému úložišti selže s účty počítačů. Koncové body nativní pro cloud nemají přístup ke sdíleným složkám zabezpečeným pomocí účtů počítačů. Pokud jsou oprávnění ACL (seznam řízení přístupu) přiřazená jenom účtům počítačů nebo skupinám, které zahrnují jenom účty počítačů, mapování jednotek se sdílenými složkami nebo sdílenými složkami úložiště připojeného k síti (NAS) selže.

  Doporučení:

  • Sdílené složky serveru a pracovní stanice: Aktualizujte oprávnění tak, aby používala zabezpečení na základě uživatelských účtů. Pokud to uděláte, použijte Microsoft Entra jednotné přihlašování (SSO) pro přístup k prostředkům, které používají integrované ověřování Systému Windows.

    Přesuňte obsah sdílené složky na SharePoint Online nebo OneDrive. Konkrétnější informace najdete v článku Migrace sdílených složek na SharePoint a OneDrive.

  • Kořenový přístup systému souborů NFS (Network File System): Nasměrujte uživatele, aby měli přístup ke konkrétním složkám, ne ke kořenovému adresáři. Pokud je to možné, přesuňte obsah ze systému souborů NFS na SharePoint Online nebo OneDrive.

• Aplikace Win32 na Microsoft Entra připojených koncových bodech Windows:

  • Nebude fungovat, pokud aplikace používají ověřování účtu počítače.
  • Nebude fungovat, pokud aplikace přistupují k prostředkům zabezpečeným pomocí skupin, které obsahují jenom účty počítačů.

  Doporučení:

  • Pokud vaše aplikace Win32 používají ověřování počítače, aktualizujte aplikaci tak, aby používala ověřování Microsoft Entra. Další informace najdete v tématu Migrace ověřování aplikace do Microsoft Entra.
  • Zkontrolujte ověřování a identity vašich aplikací a zařízení v beznabídkovém režimu. Aktualizujte ověřování a identity tak, aby používaly zabezpečení založené na uživatelských účtech.

  Další informace najdete v tématu Ověřování a aplikace Win32.

• Nasazení webového serveru IIS, která omezují přístup k webu pomocí oprávnění seznamu ACL pouze s účty počítačů nebo skupinami účtů počítačů, selžou. Strategie ověřování, které omezují přístup pouze na účty počítačů nebo skupiny účtů počítačů, také selžou.

  Doporučení:

  • Na svých webech povolte ověřování Negotiate.
  • Aktualizujte aplikace webového serveru tak, aby používaly ověřování Microsoft Entra. Další informace najdete v tématu Migrace ověřování aplikace do Microsoft Entra.

  Další zdroje informací:

  • Ověřování služby IIS <windowsAuthentication>
  • Autorizace zabezpečení služby IIS <authorization>

• Standardní správa a zjišťování tisku závisí na ověřování počítače. Na Microsoft Entra připojených koncových bodech Windows nemůžou uživatelé tisknout standardním tiskem.

  Doporučení: Použijte Univerzální tisk. Podrobnější informace najdete v tématu Co je univerzální tisk.

• Naplánované úlohy Windows , které běží v kontextu počítače na nativních cloudových koncových bodech, nemají přístup k prostředkům na vzdálených serverech a pracovních stanicích. Koncový bod nativní pro cloud nemá účet v místní službě AD, a proto se nemůže ověřit.

  Doporučení: Nakonfigurujte naplánované úlohy tak, aby používaly přihlášeného uživatele nebo jinou formu ověřování na základě účtu.

• Přihlašovací skripty služby Active Directory se přiřazují ve vlastnostech místního uživatele služby AD nebo se nasazují pomocí objektu Zásady skupiny (GPO). Tyto skripty nejsou dostupné pro koncové body nativní pro cloud.

  Doporučení: Zkontrolujte skripty. Pokud existuje moderní ekvivalent, použijte ho. Pokud například skript nastaví domovskou jednotku uživatele, můžete místo toho přesunout domovskou jednotku uživatele na OneDrive. Pokud skript ukládá obsah sdílené složky, migrujte obsah sdílené složky do SharePointu Online.

  Pokud neexistuje moderní ekvivalent, můžete Windows PowerShell skripty nasadit pomocí Microsoft Intune.

  Další informace najdete tady:

  • Přidání powershellových skriptů do zařízení Windows 10/11 v Microsoft Intune
  • Úvod do OneDrivu v Microsoftu 365

Zásady skupiny Objekty se nemusí použít

Je možné, že některé ze starších zásad nejsou dostupné nebo se nevztahují na koncové body nativní pro cloud.

Řešení:

• Pomocí Zásady skupiny analýzy v Intune můžete vyhodnotit stávající objekty Zásady skupiny (GPO). Analýza ukazuje dostupné zásady a nedostupné zásady.

• Ve správě koncových bodů se zásady nasazují pro uživatele a skupiny. Nepoužijí se v pořadí LSDOU. Toto chování je změna mysli, takže se ujistěte, že uživatelé a skupiny jsou v pořádku.

  Konkrétnější informace a pokyny k přiřazení zásad v Microsoft Intune najdete v článku Přiřazení profilů uživatelů a zařízení v Microsoft Intune.

• Inventarizace zásad a určení jejich akce Můžete najít kategorie nebo seskupení, například zásady, které se zaměřují na zabezpečení, zásady, které se zaměřují na operační systém atd.

  Můžete vytvořit zásadu Intune, která zahrnuje nastavení z vašich kategorií nebo seskupení. Katalog nastavení je dobrým prostředkem.

• Připravte se na vytváření nových zásad. Integrované funkce moderní správy koncových bodů, jako je Microsoft Intune, můžou mít lepší možnosti pro vytváření a nasazování zásad.

  Dobrým prostředkem je průvodce plánováním na vysoké úrovni pro přechod na koncové body nativní pro cloud .

• Nemigrujte všechny zásady. Nezapomeňte, že vaše staré zásady nemusí dávat smysl u koncových bodů nativních pro cloud.

  Místo toho, abyste dělali to, co jste dělali vždy, se zaměřte na to, čeho chcete skutečně dosáhnout.

Synchronizované uživatelské účty nemůžou dokončit první přihlášení

Synchronizované uživatelské účty jsou místní uživatelé domény AD, kteří se synchronizují s Microsoft Entra pomocí Microsoft Entra Connect.

Synchronizované uživatelské účty s hesly s nakonfigurovaným uživatelem musí změnit heslo při příštím přihlášení v současné době nemůžou dokončit první přihlášení ke koncovému bodu nativnímu pro cloud.

Řešení:

Použijte synchronizaci hodnot hash hesel a Microsoft Entra připojit, což vynutí synchronizaci atributu vynucené změny hesla při přihlášení.

Podrobnější informace najdete v tématu Implementace synchronizace hodnot hash hesel se synchronizací Microsoft Entra Connect.

Postupujte podle pokynů ke koncovým bodům nativním pro cloud.

1. Přehled: Co jsou koncové body nativní pro cloud?
2. Kurz: Začínáme s koncovými body Windows nativními pro cloud
3. Koncept: připojení Microsoft Entra vs. připojení k hybridnímu Microsoft Entra
4. Koncept: Koncové body nativní pro cloud a místní prostředky
5. Průvodce plánováním na vysoké úrovni
6. 🡺 Známé problémy a důležité informace (jste tady)