Share via

A natív felhőbeli végpontokkal kapcsolatos ismert problémák és korlátozások

  • Cikk

Tipp

A natív felhőbeli végpontok olvasásakor a következő kifejezések jelennek meg:

  • Végpont: A végpont egy eszköz, például mobiltelefon, táblagép, laptop vagy asztali számítógép. A "végpontok" és az "eszközök" felcserélhetők.
  • Felügyelt végpontok: Olyan végpontok, amelyek MDM-megoldással vagy Csoportházirend-objektumokkal fogadnak szabályzatokat a szervezettől. Ezek az eszközök általában szervezet tulajdonában vannak, de lehetnek BYOD- vagy személyes tulajdonú eszközök is.
  • Natív felhőbeli végpontok: A Azure AD csatlakoztatott végpontok. Nincsenek csatlakoztatva a helyszíni AD-hez.
  • Számítási feladat: Bármely program, szolgáltatás vagy folyamat.

Ha helyszíni eszközfelügyeletet használ vagy helyez át natív felhőbeli végpontokra, néhány forgatókönyvet ismernie kell. Ez a cikk felsorolja és ismerteti a megváltozott viselkedéseket, korlátozásokat és megoldásokat.

A natív felhőbeli végpontok az Microsoft Entra csatlakoztatott eszközök. Sok esetben nincs szükség közvetlen kapcsolatra a helyszíni erőforrásokhoz a használhatóság és a felügyelet érdekében. További információ: Mik azok a natív felhőbeli végpontok?

Ez a funkció az alábbiakra vonatkozik:

  • Natív Windows-felhőbeli végpontok

Ebben a cikkben a számítógépfiókok és a számítógépfiókok felcserélhetők.

Ne használjon gépi hitelesítést

Amikor egy Windows-végpont, például egy Windows 10/11-eszköz csatlakozik egy helyi Active Directory (AD) tartományhoz, a rendszer automatikusan létrehoz egy számítógépfiókot. A számítógép-/számítógépfiók használható a hitelesítéshez.

A gépi hitelesítés a következő esetekben történik:

  • A helyszíni erőforrások, például a fájlmegosztások, nyomtatók, alkalmazások és webhelyek felhasználói fiókok helyett helyszíni AD-számítógépfiókokkal érhetők el.
  • A rendszergazdák vagy alkalmazásfejlesztők felhasználók vagy felhasználói csoportok helyett számítógépfiókok használatával konfigurálják a helyszíni erőforrás-hozzáférést.

A natív felhőbeli végpontok csatlakoznak a Microsoft Entra, és nem léteznek a helyszíni AD-ben. A natív felhőbeli végpontok nem támogatják a helyszíni AD-gépek hitelesítését. Ha a helyszíni fájlmegosztásokhoz, alkalmazásokhoz vagy szolgáltatásokhoz való hozzáférést csak helyszíni AD-számítógépfiókokkal konfigurálja, a natív felhőbeli végpontokon sikertelen lesz.

Váltás felhasználóalapú hitelesítésre

  • Új projektek létrehozásakor ne használjon gépi hitelesítést. Ez nem gyakori vagy ajánlott eljárás, de ezt tudnia kell, és tisztában kell lennie vele. Ehelyett használjon felhasználóalapú hitelesítést.
  • Tekintse át a környezetet, és azonosítsa azokat az alkalmazásokat és szolgáltatásokat, amelyek jelenleg gépi hitelesítést használnak. Ezután módosítsa a felhasználóalapú hitelesítéshez vagy a szolgáltatásfiók-alapú hitelesítéshez való hozzáférést.

Fontos

Az Microsoft Entra Connect eszközvisszaíró funkciója nyomon követi az Microsoft Entra regisztrált eszközöket. Ezek az eszközök regisztrált eszközként jelennek meg a helyszíni AD-ben.

Microsoft Entra Connect eszközvisszaíró nem hoz létre azonos helyszíni AD-számítógépfiókokat a helyszíni AD-tartományban. Ezek a visszaíró eszközök nem támogatják a helyszíni gépi hitelesítést.

Az eszközvisszaíróval támogatott forgatókönyvekről a Microsoft Entra Csatlakozás: Eszközvisszaíró engedélyezése című témakörben talál további információt.

A gépfiókokat használó gyakori szolgáltatások

Az alábbi lista olyan gyakori szolgáltatásokat és szolgáltatásokat tartalmaz, amelyek számítógépfiókokat használhatnak a hitelesítéshez. Emellett javaslatokat is tartalmaz, ha a szervezet gépi hitelesítéssel használja ezeket a funkciókat.

  • A hálózati tárterület elérése gépfiókokkal meghiúsul. A natív felhőbeli végpontok nem férnek hozzá a számítógépfiókokkal védett fájlmegosztásokhoz. Ha az ACL-engedélyek (hozzáférés-vezérlési lista) csak a számítógépfiókokhoz vannak hozzárendelve, vagy csak a gépfiókokat tartalmazó csoportokhoz vannak hozzárendelve, akkor a fájlmegosztásokkal vagy hálózati tárolómegosztásokkal (NAS) való meghajtóleképezés sikertelen lesz.

    Javaslat:

    • Kiszolgáló- és munkaállomás-fájlmegosztások: A felhasználói fiókalapú biztonság használatára vonatkozó engedélyek frissítése. Ebben az esetben Microsoft Entra egyszeri bejelentkezéssel (SSO) érheti el az integrált Windows-hitelesítést használó erőforrásokat.

      Fájlmegosztási tartalom áthelyezése a SharePoint Online-ba vagy a OneDrive-ra. További információt a Fájlmegosztások áttelepítése a SharePointba és a OneDrive-ra című témakörben talál.

    • Hálózati fájlrendszer (NFS) gyökérhozzáférése: A felhasználókat adott mappákhoz, nem pedig a gyökérhez való hozzáférésre irányíthatja. Ha tudja, helyezze át a tartalmat egy NFS-ből a SharePoint Online-ba vagy a OneDrive-ra.

  • Win32-alkalmazások Microsoft Entra csatlakoztatott Windows-végpontokon:

    • Nem fog működni, ha az alkalmazások gépi fiókhitelesítést használnak.
    • Nem fog működni, ha az alkalmazások csak számítógépfiókokat tartalmazó csoportokkal védett erőforrásokhoz férnek hozzá.

    Javaslat:

    • Ha a Win32-alkalmazások gépi hitelesítést használnak, frissítse az alkalmazást Microsoft Entra hitelesítés használatára. További információ: Alkalmazáshitelesítés migrálása Microsoft Entra.
    • Ellenőrizze az alkalmazások és a kioszkeszközök hitelesítését és identitását. Frissítse a hitelesítést és az identitásokat a felhasználói fiókalapú biztonság használatához.

    További információ: Hitelesítés és Win32-alkalmazások.

  • Azok az IIS-webkiszolgáló-telepítések, amelyek csak számítógépfiókokkal vagy számítógépfiók-csoportokkal korlátozzák a helyhozzáférést ACL-engedélyekkel, sikertelenek lesznek. A csak számítógépfiókokhoz vagy számítógépfiókcsoportokhoz való hozzáférést korlátozó hitelesítési stratégiák szintén sikertelenek lesznek.

    Javaslat:

    További források:

  • A szabványos nyomtatáskezelés és -felderítés a gépi hitelesítéstől függ. Microsoft Entra csatlakoztatott Windows-végpontokon a felhasználók nem tudnak szabványos nyomtatással nyomtatni.

    Javaslat: Univerzális nyomtatás használata. További információt a Mi az univerzális nyomtatás? című témakörben talál.

  • A gépkörnyezetben natív felhőbeli végpontokon futó Windows-ütemezett feladatok nem férhetnek hozzá a távoli kiszolgálókon és munkaállomásokon lévő erőforrásokhoz. A natív felhőbeli végpont nem rendelkezik fiókkal a helyszíni AD-ben, ezért nem tud hitelesíteni.

    Javaslat: Konfigurálja az ütemezett feladatokat úgy, hogy bejelentkezett felhasználót vagy más fiókalapú hitelesítést használjanak.

  • Az Active Directory bejelentkezési szkriptjei a helyszíni AD-felhasználó tulajdonságaiban vannak hozzárendelve, vagy egy Csoportházirend Objektum (GPO) használatával vannak üzembe helyezve. Ezek a szkriptek nem érhetők el natív felhőbeli végpontokhoz.

    Javaslat: Tekintse át a szkripteket. Ha van modern megfelelője, használja helyette. Ha például a szkript beállítja a felhasználó otthoni meghajtóját, akkor áthelyezheti a felhasználó otthoni meghajtóját a OneDrive-ra. Ha a szkript megosztott mappatartalmat tárol, akkor migrálja a megosztott mappa tartalmát a SharePoint Online-ba.

    Ha nincs modern megfelelője, Windows PowerShell szkripteket helyezhet üzembe Microsoft Intune használatával.

    További információt a következő témakörben talál:

Csoportházirend objektumok nem alkalmazhatók

Előfordulhat, hogy a régebbi szabályzatok némelyike nem érhető el, vagy nem vonatkozik a natív felhőbeli végpontokra.

Megoldás:

  • Az Intune Csoportházirend-elemzésével kiértékelheti a meglévő Csoportházirend Objektumokat (GPO). Az elemzés az elérhető szabályzatokat és a nem elérhető szabályzatokat jeleníti meg.

  • A végpontkezelésben a szabályzatok felhasználók és csoportok számára vannak üzembe helyezve. A rendszer nem alkalmazza őket LSDOU-sorrendben. Ez a viselkedés szemléletváltás, ezért győződjön meg arról, hogy a felhasználók és a csoportok sorrendben vannak.

    A Microsoft Intune szabályzat-hozzárendelésével kapcsolatos további információkért és útmutatásért lásd: Felhasználói és eszközprofilok hozzárendelése Microsoft Intune.

  • Leltárazhatja a szabályzatokat, és meghatározhatja azok működését. Találhat kategóriákat vagy csoportosításokat, például a biztonságra összpontosító szabályzatokat, az operációs rendszerre összpontosító szabályzatokat stb.

    Létrehozhat egy Intune-szabályzatot, amely a kategóriák vagy csoportok beállításait tartalmazza. A Beállításkatalógus jó erőforrás.

  • Készüljön fel új szabályzatok létrehozására. A modern végpontkezelés beépített funkciói, például a Microsoft Intune jobb lehetőségeket kínálhatnak a szabályzatok létrehozására és üzembe helyezésére.

    A natív felhőbeli végpontokra való áttérés magas szintű tervezési útmutatója jó erőforrás.

  • Ne migrálja az összes szabályzatot. Ne feledje, hogy a régi szabályzatok nem feltétlenül értelmezhetők a natív felhőbeli végpontokkal.

    Ahelyett, hogy azt csinálna, amit mindig is tett, koncentráljon arra, amit ténylegesen el szeretne érni.

A szinkronizált felhasználói fiókok nem tudják befejezni az első bejelentkezést

A szinkronizált felhasználói fiókok helyszíni AD-tartományi felhasználók, amelyek a Microsoft Entra Connect használatával szinkronizálódnak Microsoft Entra.

Jelenleg az olyan jelszóval szinkronizált felhasználói fiókok, amelyeknél a felhasználónak módosítania kell a jelszót a következő bejelentkezéskor , nem tud első alkalommal bejelentkezni egy natív felhőbeli végpontra.

Megoldás:

Használja a Jelszókivonat szinkronizálása és Microsoft Entra csatlakozás lehetőséget, amely kényszeríti a jelszómódosítást a bejelentkezési attribútumnál a szinkronizáláshoz.

További információt a Jelszókivonat-szinkronizálás implementálása Microsoft Entra Connect-szinkronizálással című témakörben talál.

Kövesse a natív felhőbeli végpontokkal kapcsolatos útmutatót

  1. Áttekintés: Mik azok a natív felhőbeli végpontok?
  2. Oktatóanyag: Ismerkedés a natív felhőbeli Windows-végpontokkal
  3. Fogalom: Microsoft Entra csatlakoztatott és hibrid Microsoft Entra csatlakoztatott
  4. Koncepció: Natív felhőbeli végpontok és helyszíni erőforrások
  5. Magas szintű tervezési útmutató
  6. 🡺 Ismert problémák és fontos információk (Ön itt van)