Параметры вопросы и ответы о роуминге данных для администраторов

В Windows 8.1 при синхронизации параметров всегда использовались учетные записи Майкрософт. Корпоративные пользователи имели возможность подключить учетную запись Майкрософт к учетной записи домена Active Directory, чтобы получить доступ к синхронизации параметров. В Windows 10 и более поздней версии эта подключенная функция учетной записи Майкрософт заменяется платформой основной или вторичной учетной записи.

Основная учетная запись — это учетная запись, используемая для входа в Windows. Это может быть учетная запись Майкрософт, учетная запись Microsoft Entra, учетная запись локальная служба Active Directory или локальная учетная запись. Помимо основной учетной записи, Windows 10 и более новых пользователей могут добавлять на устройство одну или несколько дополнительных облачных учетных записей. Вторичная учетная запись обычно является учетной записью Майкрософт, учетной записью Microsoft Entra или другой учетной записью, например Gmail или Facebook. Эти вторичные учетные записи предоставляют доступ к другим службам, таким как единый вход и Магазин Windows, но они не могут синхронизировать параметры питания.

Данные разных учетных записей на одном устройстве никогда не смешиваются. Параметры синхронизируются по следующим правилам:

• Параметры Windows всегда перемещались с основной учетной записью.
• Данные приложения помечены учетной записью, используемой для получения приложения. Только приложения, помеченные синхронизацией основной учетной записи. Теги владения приложениями определяются при загрузке приложения на стороне через Магазин Windows или управление мобильными устройствами (MDM).

Если определить принадлежность приложения не удается, для перемещения данных используется основная учетная запись. Если устройство обновляется с Windows 8 или Windows 8.1 до Windows 10 и более поздней версии, все приложения помечены как приобретенные учетной записью Майкрософт. Это связано с тем, что большинство пользователей получают приложения через Магазин Windows, и не было поддержки Магазина Windows для учетных записей Microsoft Entra до Windows 10. Если приложение установлено через автономную лицензию, приложение помечается с помощью основной учетной записи на устройстве.

После обновления до Windows 10 и более поздней версии вы продолжаете синхронизировать параметры пользователей с помощью учетной записи Майкрософт, пока вы являетесь пользователем, присоединенным к домену, и домен Active Directory не подключается к идентификатору Microsoft Entra.

Если домен локальная служба Active Directory подключается с идентификатором Microsoft Entra, устройство пытается синхронизировать параметры с помощью подключенной учетной записи Microsoft Entra. Если администратор Microsoft Entra не включает Enterprise State Roaming, подключенная учетная запись Microsoft Entra перестает синхронизировать параметры. Если вы используете Windows 10 и более поздней версии, и вы вошли с помощью удостоверения Microsoft Entra, вы начнете синхронизацию параметров Windows, как только администратор включает синхронизацию параметров с помощью идентификатора Microsoft Entra.

При хранении персональных данных на корпоративном устройстве необходимо знать, что данные ОС Windows и приложения начинают синхронизироваться с идентификатором Microsoft Entra. Вот что из этого следует.

• Параметры личной учетной записи Майкрософт будут отключаться от параметров в рабочих или учебных учетных записях Microsoft Entra. Это связано с тем, что учетная запись Майкрософт и синхронизация параметров Microsoft Entra теперь используют отдельные учетные записи.
• Персональные данные, такие как пароли Wi-Fi, веб-учетные данные и избранное интернет-Обозреватель, которые ранее были синхронизированы с помощью подключенной учетной записи Майкрософт, синхронизируются с помощью идентификатора Microsoft Entra.

В выпуске Windows 10 за ноябрь 2015 г. и более поздних выпусках службу Enterprise State Roaming одновременно можно использовать только в рамках одной учетной записи. При входе в Windows с помощью рабочей или учебной учетной записи Microsoft Entra все данные синхронизируются с помощью идентификатора Microsoft Entra. При входе в Windows с помощью личной учетной записи Майкрософт все данные синхронизируются с помощью учетной записи Майкрософт. Данные универсального приложения перемещаются, используя только основную учетную запись входа на устройстве, и перемещается только в том случае, если лицензия приложения принадлежит основной учетной записи. Данные универсальных приложений для приложений, принадлежащих любым дополнительным учетным записям, не синхронизируются.

Если несколько учетных записей Microsoft Entra из разных клиентов Microsoft Entra находятся на одном устройстве, необходимо обновить реестр устройства для взаимодействия со службой Azure Rights Management для каждого клиента Microsoft Entra.

1. Найдите GUID для каждого клиента Microsoft Entra. Войдите в Центр администрирования Microsoft Entra, перейдите к идентификатору клиента обзора>>удостоверений.>
2. После того, как найден GUID, необходимо добавить раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\SettingSync\WinMSIPC<tenant ID GUID>. Из раздела GUID_клиента создайте новое многострочное значение (REG-MULTI-SZ) AllowedRMSServerUrls. В качестве его данных укажите URL-адреса точек распространения лицензий других клиентов Azure, к которым обращается устройство.
3. Чтобы получить URL-адреса точек распространения лицензий, выполните командлет Get-AadrmConfiguration из модуля AADRM. Если значения LicensingIntranetDistributionPointUrl и LicensingExtranetDistributionPointUrl отличаются, укажите оба эти значения. Если значения одинаковы, укажите значение один раз.

Перемещать можно только универсальные приложения Windows. Для существующих классических приложений Windows перемещение можно настроить двумя способами.

• С помощью моста для классических приложений можно перенести классические приложения Windows на универсальную платформу Windows. Отсюда необходимы минимальные изменения кода, чтобы воспользоваться преимуществами перемещения данных приложения Microsoft Entra. Мост для классических приложений присваивает вашим приложениям удостоверения приложений, позволяя включить перемещение данных приложений для существующих классических приложений.
• User Experience Virtualization (UE-V) можно создать шаблон пользовательских параметров для существующих классических приложений Windows и включить перемещение для приложений Win32. При использовании этого варианта разработчику приложений не нужно изменять код приложений. UE-V ограничен локальная служба Active Directory роуминг для клиентов, имеющих пакет оптимизации компьютеров Майкрософт.

Администраторы могут настроить UE-V для перемещения данных классических приложений для Windows. Для этого они должны изменить перемещение параметров операционной системы Windows и данных универсальных приложений с помощью групповых политик UE-V. К ним относятся:

• групповая политика "Перемещать параметры Windows";
• Групповая политика "Не синхронизировать приложения Windows"
• перемещение Internet Explorer в разделе приложений.

Служба Enterprise State Roaming хранит все синхронизированные данные в Microsoft Cloud. А UE-V — это локальное средство перемещения.

До ноября 2022 года все пользовательские данные были защищены с помощью Azure Rights Management.

Начиная с ноября 2022 года корпорация Майкрософт больше не использует Azure Rights Management для всех шифрования данных. Корпорации Майкрософт очень серьезно относится к вопросу защиты пользовательских данных. Некоторые конфиденциальные данные, такие как пароли, шифруются на стороне клиента с ключами, производными от клиента Microsoft Entra, чтобы обеспечить дополнительный уровень безопасности. Все пользовательские данные (включая нечувствительные данные) шифруются при передаче и хранении в облаке. Список перемещаемых конфиденциальных и нечувствительных элементов данных см . в справочнике по параметрам перемещения Windows.

В Windows 10 или более поздней версии администраторы могут отключить синхронизацию для всех групп синхронизации параметров на управляемом устройстве с MDM или групповой политикой.

В разделе Параметры выберите Учетные записи>Синхронизация параметров. На этой странице можно увидеть, какая учетная запись используется для перемещения параметров, а также включить или отключить отдельные группы перемещаемых настроек.

Корпорация Майкрософт имеет несколько различных параметров, доступных в роуминге, включая UE-V и Enterprise State Roaming. Если перемещение данных в облако по каким-то причинам не подходит для вашей организации, то мы рекомендуем использовать решение UE-V в качестве основной технологии перемещения. Если вашей организации требуется поддержка перемещения для существующих классических приложений Windows, но она планирует переходить к перемещению в облако, то мы рекомендуем использовать оба решения: Enterprise State Roaming и UE-V. Хотя UE-V и Enterprise State Roaming аналогичны технологии, они не являются взаимоисключающими. Эти решения гарантируют, что ваша организация предоставит пользователям необходимые им способы перемещения.

При использовании Enterprise State Roaming и UE-V enterprise State Roaming является основным агентом роуминга на устройстве. UE-V используется для дополнения приложений Win32.

• Enterprise State Roaming выступает в роли основного агента перемещения на устройстве. UE-V используется в качестве дополнения для работы с данными приложений Win32.
• Роуминг UE-V для параметров Windows и современных данных приложений UWP необходимо отключить при использовании групповых политик UE-V. Эти параметры уже рассматриваются в корпоративном режиме State Roaming.

Enterprise State Roaming поддерживается для SKU клиентов Windows 10 и более поздних версий, но не поддерживается для SKU серверов. Если виртуальная машина клиента размещена на компьютере с гипервизором, а вы выполняете вход на виртуальную машину удаленно, то ваши данные будут перемещены. Если несколько пользователей используют одну операционную систему и удаленно выполняют вход на сервер, чтобы использовать все возможности рабочего стола, то не исключено, что перемещение данных работать не будет. Такой сценарий официально не поддерживается.

Следующие шаги

Общие сведения см. в обзоре службы Enterprise State Roaming.