Gépház és adatroaming – gyakori kérdések rendszergazdáknak

A Windows 8.1-ben a beállítások szinkronizálása mindig a fogyasztói Microsoft-fiókokat használta. A nagyvállalati felhasználók csatlakoztathatták a Microsoft-fiókot az Active Directory tartományi fiókjukhoz, hogy hozzáférjenek a beállítások szinkronizálásához. A Windows 10-ben és az újabb verzióban ezt a csatlakoztatott Microsoft-fiók funkciót egy elsődleges/másodlagos fiók keretrendszere váltja fel.

Az elsődleges fiók a Windowsba való bejelentkezéshez használt fiók. Ez lehet Microsoft-fiók, Microsoft Entra-fiók, helyi Active Directory fiók vagy helyi fiók. Az elsődleges fiókon kívül a Windows 10 és az újabb felhasználók egy vagy több másodlagos felhőfiókot is hozzáadhatnak az eszközükhöz. A másodlagos fiók általában Egy Microsoft-fiók, egy Microsoft Entra-fiók vagy más fiók, például a Gmail vagy a Facebook. Ezek a másodlagos fiókok hozzáférést biztosítanak más szolgáltatásokhoz, például az egyszeri bejelentkezéshez és a Windows Áruházhoz, de nem képesek a beállítások szinkronizálásának bekapcsolására.

Az adatok soha nem keverednek az eszközön található különböző felhasználói fiókok között. A beállítások szinkronizálásának két szabálya van:

• A Windows-beállítások mindig az elsődleges fiókkal járnak.
• Az alkalmazásadatok címkézve lesznek az alkalmazás beszerzéséhez használt fiókkal. Csak az elsődleges fiókszinkronizálással megjelölt alkalmazások. Az alkalmazás tulajdonjogának címkézése akkor lesz meghatározva, ha egy alkalmazás a Windows Áruházon vagy a mobileszköz-kezelésen (MDM) keresztül van közvetlenül betöltve.

Ha egy alkalmazás tulajdonosa nem azonosítható, az az elsődleges fiókkal fog barangolni. Ha egy eszközt Windows 8-ról vagy Windows 8.1-ről Windows 10-re és újabbra frissít, az összes alkalmazás a Microsoft-fiók által beszerzettként lesz megjelölve. Ennek az az oka, hogy a felhasználók többsége a Windows Áruházon keresztül szerez be alkalmazásokat, és a Windows 10 előtti Microsoft Entra-fiókokhoz nem volt Windows Áruházbeli támogatás. Ha egy alkalmazás offline licenccel van telepítve, az alkalmazás az elsődleges fiókkal van megjelölve az eszközön.

A Windows 10-re és újabbra való frissítés után továbbra is szinkronizálja a felhasználói beállításokat a Microsoft-fiókon keresztül, amíg Ön tartományhoz csatlakozik, és az Active Directory-tartomány nem csatlakozik a Microsoft Entra-azonosítóhoz.

Ha a helyi Active Directory tartomány csatlakozik a Microsoft Entra-azonosítóhoz, az eszköz megkísérli szinkronizálni a beállításokat a csatlakoztatott Microsoft Entra-fiókkal. Ha a Microsoft Entra rendszergazdája nem engedélyezi az Enterprise State Roaming szolgáltatást, a csatlakoztatott Microsoft Entra-fiók nem szinkronizálja a beállításokat. Ha Windows 10-et és újabb rendszert futtat, és Microsoft Entra-identitással jelentkezik be, azonnal szinkronizálni kezdi a Windows beállításait, amint a rendszergazda engedélyezi a beállítások szinkronizálását a Microsoft Entra-azonosítón keresztül.

Ha bármilyen személyes adatot a vállalati eszközön tárolt, tudnia kell, hogy a Windows operációs rendszer és az alkalmazás adatai elkezdenek szinkronizálni a Microsoft Entra-azonosítóval. Ez a következőkkel jár:

• A személyes Microsoft-fiók beállításai eltérnek a munkahelyi vagy iskolai Microsoft Entra-fiókok beállításaitól. Ennek az az oka, hogy a Microsoft-fiók és a Microsoft Entra-beállítások szinkronizálása mostantól külön fiókokat használ.
• Az olyan személyes adatok, mint a Wi-Fi-jelszavak, a webes hitelesítő adatok és az Internet Explorer kedvencei, amelyeket korábban egy csatlakoztatott Microsoft-fiókkal szinkronizáltak, a Microsoft Entra-azonosítón keresztül lesznek szinkronizálva.

A Windows 10 2015. novemberi vagy újabb kiadásaiban az Enterprise State Roaming csak egyetlen fiókhoz támogatott egyszerre. Ha munkahelyi vagy iskolai Microsoft Entra-fiókkal jelentkezik be a Windowsba, az összes adat a Microsoft Entra-azonosítón keresztül szinkronizálódik. Ha személyes Microsoft-fiókkal jelentkezik be a Windowsba, az összes adat szinkronizálódik a Microsoft-fiókon keresztül. Az univerzális alkalmazásadatok csak az elsődleges bejelentkezési fiók használatával járnak az eszközön, és csak akkor járnak, ha az alkalmazás licence az elsődleges fiók tulajdonában van. A másodlagos fiókok tulajdonában lévő alkalmazások univerzális alkalmazásadatai nincsenek szinkronizálva.

Ha a különböző Microsoft Entra-bérlőktől származó Több Microsoft Entra-fiók ugyanazon az eszközön található, frissítenie kell az eszköz beállításjegyzékét, hogy kommunikáljon az egyes Microsoft Entra-bérlők Azure Tartalomvédelmi szolgáltatások szolgáltatásával.

1. Keresse meg az egyes Microsoft Entra-bérlők GUID azonosítót. Jelentkezzen be a Microsoft Entra Felügyeleti központba, és keresse meg az Identitásáttekintő>>tulajdonságok>bérlőazonosítóját.
2. A GUID megadása után hozzá kell adnia a beállításkulcsot HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\SettingSync\WinMSIPC<bérlőazonosító GUID azonosítója>. A bérlőazonosító GUID-kulcsából hozzon létre egy új, AllowedRMSServerUrls nevű többsztringes értéket (REG-MULTI-SZ). Az adataihoz adja meg az eszköz által elért többi Azure-bérlő licencelési terjesztési pontjának URL-címét.
3. A licencelési terjesztési pont URL-címeit az AADRM modul Get-AadrmConfiguration parancsmagjának futtatásával találja meg. Ha a LicensingIntranetDistributionPointUrl és a LicensingExtranetDistributionPointUrl értéke eltérő, mindkét értéket adja meg. Ha az értékek megegyeznek, adja meg egyszer az értéket.

A roaming csak univerzális Windows-alkalmazások esetén működik. Két lehetőség áll rendelkezésre a roaming engedélyezésére egy meglévő Asztali Windows-alkalmazásban:

• A Asztali híd segítségével a meglévő asztali Windows-alkalmazásokat is a Univerzális Windows-platform használhatja. Innen minimális kódmódosításra van szükség a Microsoft Entra alkalmazásbeli adatroaming előnyeinek kihasználásához. A Asztali híd alkalmazásidentitást biztosít az alkalmazások számára, amely szükséges az alkalmazások adatroamingjának engedélyezéséhez a meglévő asztali alkalmazásokhoz.
• A Felhasználói élmény virtualizálás (UE-V) segítségével egyéni beállítássablont hozhat létre meglévő asztali Windows-alkalmazásokhoz, és engedélyezheti a barangolást a Win32-alkalmazásokhoz. Ez a beállítás nem követeli meg, hogy az alkalmazás fejlesztője módosítsa az alkalmazás kódját. Az UE-V csak a Microsoft Desktop Optimization Pack csomaggal rendelkező ügyfelek számára helyi Active Directory roamingra korlátozódik.

Rendszergazda istratorok konfigurálhatják az UE-V-t a Windows asztali alkalmazások adatainak barangolásához a Windows operációs rendszer beállításainak és az univerzális alkalmazásadatoknak a módosításával.UE-V-csoportszabályzatok, beleértve a következőket:

• A Windows-beállítások csoportházirendjének megnyitása
• A Windows Apps csoportszabályzatának szinkronizálása mellőzve
• Internet Explorer roaming az alkalmazások szakaszában

Az Enterprise State Roaming az összes szinkronizált adatot a Microsoft-felhőben tárolja. Az UE-V helyszíni barangolási megoldást kínál.

2022. nov. előtt minden felhasználói adat biztonságossá lett Azure Tartalomvédelmi szolgáltatások használatával.

2022 novemberétől kezdve a Microsoft már nem használ Azure Tartalomvédelmi szolgáltatások az összes adattitkosításhoz. A Microsoft elkötelezett az ügyféladatok védelme mellett. Bizonyos bizalmas adatok, például jelszavak titkosítva vannak az ügyféloldalon a Microsoft Entra-bérlőből származó kulcsokkal, hogy további biztonsági réteget biztosítsanak. Minden felhasználói adat (beleértve a nem érzékeny adatokat is) átvitel közben és a felhőben inaktív állapotban van titkosítva. A bizalmas és nem érzékeny adatelemek roameded listájáért tekintse meg a Windows roaming beállításainak hivatkozását.

Windows 10 vagy újabb rendszerben a rendszergazdák letilthatják a szinkronizálást a felügyelt eszköz összes beállításának szinkronizálási csoportjaihoz az MDM-lel vagy a csoportházirenddel.

Az Gépház alkalmazásban nyissa meg a Fiókok>szinkronizálása lehetőséget. Ezen a lapon láthatja, hogy melyik fiók használja a beállításokat, és engedélyezheti vagy letilthatja a beállítások egyes csoportjainak barangolását.

A Microsoft számos különböző beállítást kínál, például az UE-V-t és az Enterprise State Roamingot. Ha szervezete nem áll készen az adatok felhőbe való áthelyezésére, javasoljuk, hogy az UE-V-t használja elsődleges barangolási technológiaként. Ha a szervezet központi támogatást igényel a meglévő Asztali Windows-alkalmazásokhoz, de szeretne a felhőbe költözni, javasoljuk, hogy az Enterprise State Roaming és az UE-V használatát is használja. Bár az UE-V és az Enterprise State Roaming hasonló technológiák, nem zárják ki egymást. Kiegészítik egymást, hogy a szervezet biztosítsa a felhasználók számára szükséges barangolási szolgáltatásokat.

Az Enterprise State Roaming és az UE-V használatakor az Enterprise State Roaming az elsődleges roamingügynök az eszközön. Az UE-V a Win32-alkalmazások kiegészítésére szolgál.

• Az Enterprise State Roaming az elsődleges roamingügynök az eszközön. Az UE-V a "Win32-rés" kiegészítésére szolgál.
• Az UE-V-alapú roamingot a Windows-beállítások és a modern UWP-alkalmazásadatok esetében le kell tiltani az UE-V-csoportszabályzatok használatakor. Ezeket a beállításokat már lefedi az Enterprise State Roaming.

Az Enterprise State Roaming windows 10-en vagy újabb ügyfél-termékváltozatokon támogatott, kiszolgálói termékváltozatokon azonban nem. Ha egy ügyfél virtuális gépet hipervizor-gépen üzemeltet, és ön távolról jelentkezik be a virtuális gépre, az adatok böngésszen. Ha több felhasználó ugyanazt az operációs rendszert használja, és a felhasználók távolról jelentkeznek be egy kiszolgálóra a teljes asztali élmény érdekében, előfordulhat, hogy a roaming nem működik. Az utóbbi munkamenet-alapú forgatókönyv hivatalosan nem támogatott.

További lépések

Az áttekintésért tekintse meg a vállalati állapotroaming áttekintését