Eventi
19 nov, 23 - 21 nov, 23
Acquisire competenze su richiesta con sessioni online progettate per soddisfare le sfide del settore in Microsoft Ignite.
Iscriviti subitoQuesto browser non è più supportato.
Esegui l'aggiornamento a Microsoft Edge per sfruttare i vantaggi di funzionalità più recenti, aggiornamenti della sicurezza e supporto tecnico.
Suggerimento
Durante la lettura degli endpoint nativi del cloud, vengono visualizzati i termini seguenti:
Quando si usa o si sposta la gestione dei dispositivi locale negli endpoint nativi del cloud, è necessario conoscere alcuni scenari. Questo articolo elenca e descrive alcuni comportamenti, limitazioni e risoluzioni modificati.
Gli endpoint nativi del cloud sono dispositivi aggiunti a Microsoft Entra. In molti casi, non richiedono una connessione diretta a risorse locali per l'usabilità o la gestione. Per informazioni più specifiche, vedere Che cosa sono gli endpoint nativi del cloud.
Questa funzionalità si applica a:
In questo articolo gli account computer e gli account computer vengono usati in modo intercambiabile.
Quando un endpoint di Windows, come un dispositivo Windows 10/11, si aggiunge a un dominio Active Directory (AD) locale, viene creato automaticamente un account computer. L'account computer/computer può essere usato per l'autenticazione.
L'autenticazione del computer si verifica quando:
Gli endpoint nativi del cloud vengono aggiunti a Microsoft Entra e non esistono in ACTIVE Directory locale. Gli endpoint nativi del cloud non supportano l'autenticazione del computer AD locale. La configurazione dell'accesso a condivisioni file, applicazioni o servizi locali usando solo account computer AD locali avrà esito negativo negli endpoint nativi del cloud.
Importante
La funzionalità di writeback dei dispositivi Microsoft Entra Connect tiene traccia dei dispositivi registrati in Microsoft Entra. Questi dispositivi vengono visualizzati in ACTIVE Directory locale come dispositivi registrati.
Il writeback del dispositivo Microsoft Entra Connect non crea account computer ACTIVE Directory locali identici nel dominio DI Active Directory locale. Questi dispositivi di writeback non supportano l'autenticazione del computer locale.
Per informazioni sugli scenari supportati con il writeback dei dispositivi, passare a Microsoft Entra Connect: Abilitazione del writeback del dispositivo.
L'elenco seguente include funzionalità e servizi comuni che potrebbero usare gli account computer per l'autenticazione. Include anche consigli se l'organizzazione usa queste funzionalità con l'autenticazione computer.
L'accesso all'archiviazione di rete non riesce con gli account del computer. Gli endpoint nativi del cloud non possono accedere alle condivisioni file protette con account computer. Se le autorizzazioni ACL (elenco di controllo di accesso) vengono assegnate solo agli account computer o assegnate a gruppi che includono solo account computer, il mapping delle unità con condivisioni file o condivisioni NAS (Network Attached Storage) avrà esito negativo.
Raccomandazione:
Condivisioni file server e workstation: aggiornare le autorizzazioni per usare la sicurezza basata su account utente. In questo caso, usare l'accesso Single Sign-On (SSO) di Microsoft Entra per accedere alle risorse che usano l'autenticazione integrata di Windows.
Spostare il contenuto della condivisione file in SharePoint Online o OneDrive. Per informazioni più specifiche, vedere Eseguire la migrazione di condivisioni file in SharePoint e OneDrive.
Accesso radice NFS (Network File System): consente agli utenti di accedere a cartelle specifiche, non alla radice. Se possibile, spostare il contenuto da un file NFS a SharePoint Online o OneDrive.
App Win32 in endpoint Windows aggiunti a Microsoft Entra:
Raccomandazione:
Per altre informazioni, vedere Autenticazione e app Win32.
Le distribuzioni del server Web IIS che limitano l'accesso al sito tramite autorizzazioni ACL solo con account computer o gruppi di account computer avranno esito negativo. Anche le strategie di autenticazione che limitano l'accesso solo agli account computer o ai gruppi di account computer avranno esito negativo.
Raccomandazione:
Altre risorse:
La gestione e l'individuazione della stampa standard dipendono dall'autenticazione del computer. Sugli endpoint Windows aggiunti a Microsoft Entra, gli utenti non possono stampare usando la stampa standard.
Raccomandazione: usare stampa universale. Per informazioni più specifiche, vedere Che cos'è la stampa universale.
Le attività pianificate di Windows eseguite nel contesto del computer negli endpoint nativi del cloud non possono accedere alle risorse in server e workstation remoti. L'endpoint nativo del cloud non ha un account in ACTIVE Directory locale e pertanto non può eseguire l'autenticazione.
Raccomandazione: configurare le attività pianificate per l'uso dell'utente connesso o di un'altra forma di autenticazione basata su account.
Gli script di accesso di Active Directory vengono assegnati nelle proprietà dell'utente di ACTIVE Directory locale o distribuiti tramite un oggetto Criteri di gruppo. Questi script non sono disponibili per gli endpoint nativi del cloud.
Raccomandazione: esaminare gli script. Se esiste un equivalente moderno, usalo invece. Ad esempio, se lo script imposta l'unità home dell'utente, è possibile spostare l'unità home di un utente in OneDrive. Se lo script archivia il contenuto della cartella condivisa, eseguire invece la migrazione del contenuto della cartella condivisa a SharePoint Online.
Se non esiste un equivalente moderno, è possibile distribuire script di Windows PowerShell usando Microsoft Intune.
Per altre informazioni, vedere:
È possibile che alcuni criteri meno recenti non siano disponibili o non si applichino agli endpoint nativi del cloud.
Risoluzione:
Usando l'analisi di Criteri di gruppo in Intune, è possibile valutare gli oggetti Criteri di gruppo esistenti. L'analisi mostra i criteri disponibili e i criteri non disponibili.
Nella gestione degli endpoint, i criteri vengono distribuiti a utenti e gruppi. Non vengono applicati in ordine LSDOU. Questo comportamento è un cambiamento di mentalità, quindi assicurarsi che gli utenti e i gruppi siano in ordine.
Per informazioni più specifiche e indicazioni sull'assegnazione di criteri in Microsoft Intune, vedere Assegnare profili utente e dispositivo in Microsoft Intune.
Inventariare i criteri e determinare cosa fanno. È possibile trovare categorie o raggruppamenti, ad esempio criteri incentrati sulla sicurezza, criteri incentrati sul sistema operativo e così via.
È possibile creare un criterio di Intune che includa le impostazioni delle categorie o dei raggruppamenti. Il catalogo delle impostazioni è una risorsa valida.
Prepararsi a creare nuovi criteri. Le funzionalità predefinite della gestione degli endpoint moderna, ad esempio Microsoft Intune, possono avere opzioni migliori per creare e distribuire criteri.
La guida alla pianificazione di alto livello per passare agli endpoint nativi del cloud è una risorsa valida.
Non eseguire la migrazione di tutti i criteri. Tenere presente che i criteri precedenti potrebbero non avere senso con gli endpoint nativi del cloud.
Invece di fare quello che hai sempre fatto, concentrati su ciò che vuoi effettivamente ottenere.
Gli account utente sincronizzati sono utenti di dominio ACTIVE Directory locali sincronizzati con Microsoft Entra usando Microsoft Entra Connect.
Attualmente, gli account utente sincronizzati con password con l'utente devono modificare la password all'accesso successivo configurato non possono completare un accesso alla prima volta a un endpoint nativo del cloud.
Risoluzione:
Usare Sincronizzazione hash password e Microsoft Entra connect, forzando la sincronizzazione della modifica della password all'accesso .
Per informazioni più specifiche, vedere Implementare la sincronizzazione dell'hash delle password con la sincronizzazione di Microsoft Entra Connect.
Eventi
19 nov, 23 - 21 nov, 23
Acquisire competenze su richiesta con sessioni online progettate per soddisfare le sfide del settore in Microsoft Ignite.
Iscriviti subito