提示
閱讀雲端原生端點時,您會看到下列術語:
- 端點:端點是一種裝置,例如行動電話、平板電腦、筆記型電腦或桌上型電腦。 「端點」和「裝置」可以互換使用。
- 受控端點:使用 MDM 解決方案或群組原則物件從組織接收原則的端點。 這些裝置通常是組織擁有的,但也可以是 BYOD 或個人擁有的裝置。
- 雲端原生端點:已加入 Microsoft Entra 的端點。 它們不會聯結至內部部署 AD。
- 工作負載:任何程式、服務或程序。
使用內部部署裝置管理或移至雲端原生端點時,您需要瞭解一些案例。 本文列出並說明一些變更的行為、限制和解決方案。
雲端原生端點是已加入 Microsoft Entra 的裝置。 在許多情況下,它們不需要直接連線到任何內部部署資源即可使用或管理。 如需更具體的資訊,請移至 什麼是雲端原生端點。
本功能適用於:
- Windows 雲端原生端點
在本文中, 電腦帳戶 和 電腦帳戶 可以互換使用。
請勿使用機器驗證
當 Windows 端點 (例如 Windows 裝置) 加入 內部部署的 Active Directory (AD) 網域時,會自動建立電腦帳戶。 電腦/機器帳戶可用於驗證。
機器驗證會在以下情況下發生:
- 內部部署資源,例如檔案共用、印表機、應用程式和網站,會使用內部部署 AD 電腦帳戶,而不是使用者帳戶來存取。
- 系統管理員或應用程式開發人員會使用電腦帳戶,而不是使用者或使用者群組來設定內部部署資源存取。
雲端原生端點會加入 Microsoft Entra,而且不存在於內部部署 AD 中。 雲端原生端點不支援內部部署 AD 機器驗證。 僅使用內部部署 AD 機器帳戶來設定內部部署檔案共用、應用程式或服務的存取權,將會在雲端原生端點上失敗。
切換至使用者型驗證
- 建立新專案時,請勿使用機器驗證。 使用機器驗證並不常見,也不建議使用。 但這是你需要知道和意識到的事情。 請改用以使用者為基礎的驗證。
- 檢閱您的環境,並識別目前使用機器驗證的任何應用程式和服務。 然後,將存取權變更為使用者型驗證或服務帳戶型驗證。
重要事項
Microsoft Entra Connect 裝置回寫功能會追蹤在 Microsoft Entra 中註冊的裝置。 這些裝置會在內部部署 AD 中顯示為已註冊的裝置。
Microsoft Entra Connect 裝置回寫不會在內部部署 AD 網域中建立相同的內部部署 AD 電腦帳戶。 這些回寫裝置不支援內部部署機器驗證。
如需裝置回寫支援案例的相關資訊,請移至 Microsoft Entra Connect:啟用裝置回寫。
使用電腦帳戶的常見服務
下列清單包含可能使用電腦帳戶進行驗證的常見功能和服務。 如果您的組織將這些功能與機器驗證搭配使用,它也包含建議。
電腦帳戶的網路儲存存取失敗。 雲端原生端點無法存取使用機器帳戶保護的檔案共用。 如果僅將 ACL (存取控制清單) 權限指派給電腦帳戶,或指派給僅包含電腦帳戶的群組,則與檔案共用或網路附加儲存 (NAS) 共用的磁碟機對應將會失敗。
建議:
伺服器和工作站檔案共用:更新權限以使用使用者帳戶型安全性。 當您執行此動作時,請使用Microsoft Entra單一登入 (SSO) 來存取使用 Windows 整合式驗證的資源。
將檔案共用內容移至 SharePoint Online 或 OneDrive。 如需更具體的資訊,請移 至 將檔案共用移轉至 SharePoint 和 OneDrive。
網路檔案系統 (NFS) root 存取:引導使用者存取特定資料夾,而不是 root。 如果可以的話,請將內容從 NFS 移至 SharePoint Online 或 OneDrive。
Microsoft Entra 上的 Win32 應用程式已加入 Windows 端點:
- 如果應用程式使用電腦帳戶驗證,則無法運作。
- 如果應用程式存取受僅包含電腦帳戶之群組保護的資源,則無法運作。
建議:
- 如果您的 Win32 應用程式使用電腦驗證,請更新應用程式以使用 Microsoft Entra 驗證。 如需詳細資訊,請移至 將應用程式驗證移轉至 Microsoft Entra。
- 檢查應用程式和 Kiosk 裝置的驗證和身分識別。 更新驗證和身分識別,以使用使用者帳戶型安全性。
如需詳細資訊,請移至 驗證和 Win32 應用程式。
使用僅具有電腦帳戶或電腦帳戶群組的 ACL 許可權來限制網站存取的 IIS 網頁伺服器部署將會失敗。 將存取權限制為只存取電腦帳戶或電腦帳戶群組的驗證策略也會失敗。
建議:
- 在您的網站上,啟用交涉驗證。
- 更新您的網頁伺服器應用程式以使用 Microsoft Entra 驗證。 如需詳細資訊,請移至 將應用程式驗證移轉至 Microsoft Entra。
更多資源:
Standard 列印管理和探索取決於機器驗證。 在已加入 Microsoft Entra 的 Windows 端點上,使用者無法使用標準列印進行列印。
建議:使用通用列印。 如需更具體的資訊,請移至 什麼是通用列印。
在雲端原生端點的機器內容中執行的 Windows 排程工作無法存取遠端伺服器和工作站上的資源。 雲端原生端點在內部部署 AD 中沒有帳戶,因此無法進行驗證。
建議:設定排程工作,以使用 登入的使用者或其他形式的帳戶型驗證。
Active Directory 登入指令碼會在內部部署 AD 使用者的屬性中指派,或使用 群組原則 物件 (GPO) 進行部署。 這些指令碼不適用於雲端原生端點。
建議:檢閱您的指令碼。 如果有現代的對應物,那就用它來代替。 例如,如果您的腳本設定使用者的主磁碟機,則您可以改為將使用者的主磁碟機移至 OneDrive。 如果您的腳本儲存共用資料夾內容,請改為將共用資料夾內容移轉至 SharePoint Online。
如果沒有新式對等專案,您可以使用 Microsoft Intune 部署 Windows PowerShell 腳本。
如需詳細資訊,請移至:
群組原則物件可能不適用
您的某些舊版原則可能無法使用,或不適用於雲端原生端點。
解決方案:
使用 Intune 中的群組原則分析,您可以評估現有的 群組原則 物件 (GPO) 。 分析會顯示可用的原則,以及無法使用的原則。
在端點管理中,原則會部署至使用者和群組。 它們不按 LSDOU 順序應用。 這種行為是一種思維轉變,因此請確保您的用戶和群組井然有序。
如需 Microsoft Intune 中原則指派的更具體資訊和指引,請移至 在 Microsoft Intune 中指派使用者和裝置配置檔。
清查您的政策,並確定它們的作用。 您可能會找到類別或群組,例如著重於安全性的原則、著重於作業系統的原則等等。
您可以建立包含類別或群組中設定的 Intune 原則。 設定目錄是很好的資源。
準備好建立新政策。 新式端點管理的內建功能,例如 Microsoft Intune,可能有更好的選項來建立和部署原則。
移至雲端原生端點的高階規劃指南是很好的資源。
請勿移轉所有原則。 請記住,您的舊政策可能對雲端原生端點沒有意義。
不要做你一直做的事情,而是專注於你真正想要實現的目標。
同步處理的使用者帳戶無法完成首次登入
同步處理的使用者帳戶是使用 Microsoft Entra Connect 同步處理至 Microsoft Entra 的內部部署 AD 網域使用者。
目前,已同步處理的使用者帳戶具有已設定使用者 必須在下次登入時變更密碼 ,無法完成首次登入雲端原生端點。
解決方案:
使用密碼雜湊同步處理和 Microsoft Entra 連線,以強制登入時強制變更密碼屬性同步處理。
如需更具體的資訊,請移至 使用 Microsoft Entra Connect 同步處理實作密碼雜湊同步處理。
遵循雲端原生端點指引
- 概觀:什麼是雲端原生端點?
- 教學課程:開始使用雲端原生 Windows 端點
- 概念:已加入 Microsoft Entra 與已加入混合式 Microsoft Entra
- 概念:雲端原生端點和內部部署資源
- 高階規劃指南
- 🡺 已知問題和重要信息 (You are here)