การโรมมิ่งสถานะองค์กร: วิธีการซิงค์การตั้งค่าระหว่างอุปกรณ์กับ Azure

ในปัจจุบัน การจัดการการตั้งค่าของผู้ใช้และข้อมูลอย่างมีประสิทธิภาพกลายมาเป็นสิ่งสำคัญสำหรับธุรกิจที่ใช้อุปกรณ์ Windows หลายเครื่อง การโรมมิ่งสถานะองค์กร (ESR) กับ Azure เกิดขึ้นเป็นโซลูชั่นสำคัญที่ช่วยให้องค์กรสามารถซิงโครไนซ์ การตั้งค่าและการกำหนดลักษณะระหว่างอุปกรณ์ที่แตกต่างกันเพื่อให้แน่ใจว่าได้รับประสบการณ์ที่สม่ำเสมอและประหยัดเวลาในการตั้งค่าอุปกรณ์ใหม่

ในบทความนี้ เราจะอธิบายอย่างครบถ้วนและเป็นธรรมชาติว่าฟีเจอร์ของ Microsoft ประกอบด้วยอะไร ตั้งแต่วิธีเปิดใช้งานไปจนถึงข้อดี ข้อจำกัด และรายละเอียดทางเทคนิคต่างๆ การเก็บรักษา และการเก็บรักษาข้อมูลปัญหาทั่วไปที่คุณอาจประสบ และคำแนะนำเพื่อให้ได้ประโยชน์สูงสุด หากคุณมีอุปกรณ์ที่จัดการใน Azure AD หรือมีความสนใจในการเพิ่มประสิทธิภาพการเคลื่อนที่ของผู้ใช้ ต่อไปนี้เป็นข้อมูลทั้งหมดที่คุณต้องการ รวบรวมไว้และมีคำอธิบายอย่างชัดเจน

Enterprise State Roaming คืออะไรและมีไว้ใช้เพื่ออะไร

การโรมมิ่งของ Enterprise State เป็นคุณลักษณะขั้นสูงที่ Microsoft นำเสนอให้กับบริษัทที่ใช้ Azure Active Directory (Azure AD ซึ่งปัจจุบันเรียกว่า Microsoft Access ID)- วัตถุประสงค์หลักคือ ซิงค์การตั้งค่าระบบและการตั้งค่าแอปบางอย่างโดยอัตโนมัติ ผู้ใช้จัดเก็บข้อมูลนี้อย่างปลอดภัยในระบบคลาวด์ Azure ด้วยวิธีนี้ พนักงานสามารถเพลิดเพลินไปกับประสบการณ์ผู้ใช้แบบเดียวกันบนอุปกรณ์ Windows ใดๆ ที่เชื่อมโยงกับบัญชีองค์กรของตน โดยไม่จำเป็นต้องกำหนดค่าทุกอย่างใหม่ทุกครั้ง

ฟีเจอร์นี้เปิดตัวครั้งแรกสำหรับผู้ใช้ตามบ้านใน Windows 8 แต่ด้วยการมาถึงของ Azure AD ธุรกิจต่างๆ จะสามารถได้รับประโยชน์จากการจัดการแบบมืออาชีพและควบคุมได้มากขึ้นว่าการตั้งค่าใดจะต้องซิงโครไนซ์และภายใต้เงื่อนไขใด

ข้อดีของการใช้ Enterprise State Roaming ในองค์กรของคุณ

การใช้ ESR บน Azure มอบข้อได้เปรียบเชิงกลยุทธ์หลายประการ สำหรับธุรกิจและผู้ดูแลระบบไอที:

• ประสบการณ์ที่เป็นเนื้อเดียวกันผู้ใช้จะได้รับรูปลักษณ์และความรู้สึกแบบเดียวกันในทุกอุปกรณ์ Windows หากคุณเปลี่ยนคอมพิวเตอร์ของคุณหรือเพิ่มเครื่องใหม่ การตั้งค่าจะตามมาด้วย
• ใช้เวลาในการตั้งค่าเริ่มต้นน้อยลง:ประหยัดเวลาได้มากในการตั้งค่าอุปกรณ์ใหม่ เนื่องจากการตั้งค่าต่างๆ เช่น ภาษา พื้นหลังเดสก์ท็อป และแม้แต่ข้อมูลแอปพลิเคชันบางอย่างก็จะถูกถ่ายโอนโดยอัตโนมัติ
• การจัดการแบบรวมศูนย์ผู้ดูแลระบบสามารถกำหนด จำกัด หรือขยายขอบเขตการซิงโครไนซ์ข้อมูลและดูสถานะของอุปกรณ์และผู้ใช้จากคอนโซล Azure ได้
• ความปลอดภัยและการปฏิบัติตามข้อกำหนดข้อมูลที่ซิงโครไนซ์ทั้งหมดจะถูกเก็บไว้ในภูมิภาค Azure ที่ตรงตามมาตรฐานความปลอดภัยและความเป็นส่วนตัวระดับโลก

ข้อกำหนดเบื้องต้นสำหรับการเปิดใช้งานการโรมมิ่งสถานะองค์กร

เพื่อเปิดใช้งานและใช้งาน ESR จำเป็นต้องปฏิบัติตาม ข้อกำหนดด้านเทคนิคและใบอนุญาตบางประการ:

• ปล่อย:องค์กรของคุณจะต้องมี ใบอนุญาต Microsoft ป้อนรหัส P1 หรือ P2หรือจากแพ็คเกจ การเคลื่อนที่ขององค์กร + ความปลอดภัย (EMS) ซึ่งรวมถึงลักษณะใดๆ เหล่านี้ด้วย
• ปรับปรุงระบบปฏิบัติการ: อุปกรณ์จะต้องทำงาน Windows 10 เวอร์ชัน 21H2 หรือใหม่กว่าหรือ หน้าต่าง 11- โดยหลักการแล้วคุณควรมีการอัปเดตล่าสุดอยู่เสมอ เนื่องจากคุณลักษณะและการแก้ไขด้านความปลอดภัยเป็นปัจจุบันแล้ว
• อุปกรณ์ที่เชื่อมโยงกับ Entra ID: สิ่งสำคัญคือ สถานีปลายทาง ได้เข้าร่วมกับ Azure AD (Microsoft Entra) แล้ว หากคุณกำลังใช้สภาพแวดล้อมไฮบริดที่มี Active Directory ในสถานที่ คุณจะต้องกำหนดค่าการเข้าร่วมไฮบริดเพื่อให้ทำงานได้อย่างถูกต้อง
• บัญชีผู้ใช้ที่เหมาะสม: : จะทำงานเฉพาะกับผู้ใช้ที่มีการเปิดใช้งานการเคลื่อนที่และการซิงโครไนซ์ผ่านนโยบายที่กำหนดโดยผู้ดูแลระบบเท่านั้น

ควรจำไว้ว่า ESR เป็นคุณสมบัติเสริม ไม่ได้เปิดใช้งานตามค่าเริ่มต้นและต้องใช้ การกำหนดค่าล่วงหน้าจากคอนโซลการดูแลระบบ จาก Azure

ฉันจะเปิดใช้งาน Enterprise State Roaming ทีละขั้นตอนได้อย่างไร

การเปิดใช้งาน ESR มีการบันทึกไว้อย่างดีและเป็นกระบวนการที่ผู้ดูแลระบบ Azure ระดับโลกสามารถดำเนินการได้ค่อนข้างง่ายด้วยสิทธิ์การใช้งานที่เหมาะสม ขั้นตอนหลักมีดังนี้:

1. เข้าถึงไฟล์ ศูนย์การดูแลระบบ Microsoft ลงชื่อเข้าใช้ ในฐานะผู้ดูแลระบบระดับโลก
2. นำทางไปยังเส้นทาง ไปที่ ID > อุปกรณ์ > ข้อมูลทั่วไป > การโรมมิ่งสถานะองค์กร.
3. เปิดใช้งานตัวเลือก “อนุญาตให้ผู้ใช้ซิงค์การตั้งค่าแอปและข้อมูลระหว่างอุปกรณ์”- คุณสามารถทำสิ่งนี้สำหรับผู้ใช้ทั้งหมดหรือเฉพาะกลุ่มบางกลุ่ม ขึ้นอยู่กับความต้องการของคุณ
4. สำหรับอุปกรณ์ที่อยู่ใน Active Directory ในสถานที่เท่านั้น ให้กำหนดค่าการเข้าร่วมไฮบริดเพื่อให้จดจำ Azure AD และสามารถเข้าร่วมในการซิงโครไนซ์ได้
5. จำเป็นอย่างยิ่งที่เทอร์มินัลจะต้องรีบูตและผู้ใช้ต้องเข้าสู่ระบบใหม่อีกครั้งเพื่อให้การตั้งค่าใหม่มีผล

หลังจากดำเนินการตามขั้นตอนเหล่านี้แล้ว ผู้ใช้ที่ได้รับอนุญาตจะสามารถเพลิดเพลินไปกับการซิงโครไนซ์สถานะองค์กรบนอุปกรณ์ที่รองรับได้

ข้อมูลประเภทใดบ้างที่ซิงโครไนซ์กับ ESR?

คำถามที่เกิดขึ้นบ่อยครั้งบ่อยครั้งคือ ลักษณะที่แน่นอนของข้อมูลที่ ESR สามารถซิงโครไนซ์ได้คืออะไร Microsoft ระบุไว้ในเอกสารประกอบว่า ทั้งการตั้งค่าระบบปฏิบัติการและการตั้งค่าแอปพลิเคชันบางอย่างได้รับการซิงโครไนซ์- ตัวอย่างเชิงปฏิบัติบางประการ:

• พื้นหลังเดสก์ท็อป (ภาพและตำแหน่ง)
• การตั้งค่าภูมิภาค (ภาษา, รูปแบบวันที่และเวลา ฯลฯ)
• เค้าโครงแถบงาน
• รหัสผ่าน Wi-Fi (หากองค์กรอนุญาต)
• รองรับการกำหนดค่าเฉพาะแอปพลิเคชัน
• ตัวเลือกกำหนดเองอื่น ๆ ที่ผู้ใช้ได้แก้ไขและรองรับการโรมมิ่ง

รายการการตั้งค่าที่เฉพาะเจาะจงอาจแตกต่างกันไป ขึ้นอยู่กับเวอร์ชันของ Windows และข้อจำกัดของบริษัท ผู้ดูแลระบบจะเป็นผู้กำหนดนโยบายว่าอะไรสามารถซิงโครไนซ์ได้และอะไรไม่ได้

ข้อมูลที่ซิงโครไนซ์จะถูกเก็บไว้ที่ไหนและอย่างไร?

การจัดเก็บข้อมูลที่ปลอดภัยเป็นส่วนพื้นฐานของ Enterprise State Roaming ข้อมูลที่ซิงโครไนซ์ทั้งหมดอยู่ในโครงสร้างพื้นฐาน Azure และจะถูกโฮสต์โดยคำนึงถึงตำแหน่งที่ตั้งทางภูมิศาสตร์ที่บริษัทกำหนดไว้เมื่อสร้างอินสแตนซ์ Entra ID

Microsoft แบ่งกลุ่มการจัดเก็บข้อมูลออกเป็น 3 ส่วนกว้าง: อเมริกาเหนือ EMEA (ยุโรป ตะวันออกกลาง และแอฟริกา) และ APAC (เอเชียแปซิฟิก) ตัวอย่างเช่น หากบริษัทของคุณอยู่ในสเปน ข้อมูลจะอยู่ในศูนย์ข้อมูลในยุโรปและ จะไม่มีการจำลองในภูมิภาคอื่น ยกเว้นจะมีเหตุผลที่สมเหตุสมผล.

แนวทางนี้ทำให้แน่ใจว่าปฏิบัติตามกฎระเบียบคุ้มครองข้อมูลในท้องถิ่น (เช่น GDPR) อย่างเคร่งครัด ค่าประเทศหรือภูมิภาคถูกกำหนดในเวลาที่สร้างไดเร็กทอรีและ ไม่สามารถปรับเปลี่ยนภายหลังได้- หากคุณมีคำถามเกี่ยวกับตำแหน่งที่ตั้งของข้อมูลของคุณหรือต้องการข้อมูลโดยละเอียด คุณสามารถเปิดตั๋วการสนับสนุนใน Azure ได้

ข้อมูลจะซิงโครไนซ์ใน Azure นานแค่ไหน

การเก็บรักษาข้อมูลใน Enterprise State Roaming ได้รับการกำหนดไว้อย่างชัดเจนและตอบสนองทั้งเกณฑ์ด้านประสิทธิภาพและความเป็นส่วนตัว:

• การลบด้วยตนเองหากผู้ดูแลระบบลบผู้ใช้หรือไดเร็กทอรี ข้อมูลที่เชื่อมโยงจะถูกลบออกภายใน 90 ถึง 180 วัน สามารถขอให้ลบข้อมูลด้วยตนเองสำหรับผู้ใช้เฉพาะได้
• ข้อมูลที่ล้าสมัย:หากไม่ได้ใช้หรือเข้าถึงการกำหนดค่าเฉพาะใดๆ เป็นเวลาอย่างน้อยหนึ่งปี ถือว่า ล้าสมัย และอาจนำออกจากคลาวด์ได้ภายในระยะเวลาไม่น้อยกว่า 90 วันเพิ่มเติม
• การปิดการใช้งานทั่วโลก:หากปิดใช้งาน ESR สำหรับไดเร็กทอรีทั้งหมด การตั้งค่าผู้ใช้ทั้งหมดจะหยุดการซิงโครไนซ์และถือว่าล้าสมัยหลังจากช่วงเวลาเก็บรักษาขั้นต่ำ

เมื่อข้อมูลถูกลบออกจากคลาวด์แล้ว ก็ไม่มีทางที่จะเอากลับคืนมาได้- อย่างไรก็ตาม หากอุปกรณ์ใดยังคงมีการกำหนดค่าในเครื่องและกลับมาออนไลน์ ก็สามารถอัปโหลดกลับไปยังคลาวด์ได้โดยอัตโนมัติ

วิธีแก้ไขปัญหาการโรมมิ่งสถานะองค์กรทั่วไป

แม้ว่าฟังก์ชันการใช้งานจะแข็งแกร่ง แต่ในทางปฏิบัติอาจดูเหมือน ปัญหาเรื่องเวลา- Microsoft เน้นย้ำการตรวจสอบประเด็นต่อไปนี้ทุกครั้งที่เกิดเหตุการณ์:

• ตรวจสอบเวอร์ชั่นระบบ:ยืนยันว่าอุปกรณ์กำลังใช้งานเวอร์ชันขั้นต่ำ (Windows 10 22H2 หรือสูงกว่า)
• ตรวจสอบการผูกเข้ากับรหัสเข้าระบบ:สิ่งสำคัญคือต้องเชื่อมต่ออุปกรณ์กับ Azure AD หรือสภาพแวดล้อมไฮบริดที่ได้รับการอนุมัติอย่างถูกต้อง
• การออกใบอนุญาต:ตรวจสอบให้แน่ใจว่าผู้ใช้มีใบอนุญาต Entra ID P1 หรือ P2 ที่ถูกต้อง
• นโยบายที่นำไปประยุกต์ใช้:ต้องเปิดใช้งาน ESR สำหรับผู้ใช้หรือกลุ่มที่ได้รับผลกระทบ
• เริ่มต้นใหม่:หลังจากมีการเปลี่ยนแปลงหรือเกิดปัญหา การรีสตาร์ทคอมพิวเตอร์และเข้าระบบใหม่อีกครั้งมักจะสามารถแก้ไขปัญหาเล็กๆ น้อยๆ ได้หลายประการ

นอกจากนี้เพื่อตรวจสอบ การซิงโครไนซ์ที่ถูกต้องและบัญชีที่ใช้งานเราขอแนะนำให้ไปที่การตั้งค่า > บัญชี > การตั้งค่าการซิงค์ และตรวจสอบว่าบัญชีธุรกิจของคุณอยู่ในรายการหรือไม่ นอกจากนี้ ยังเป็นความคิดที่ดีที่จะทำการเปลี่ยนแปลงเล็กๆ น้อยๆ (เช่น การเปลี่ยนภาษา) และดูว่าสามารถจำลองการเปลี่ยนแปลงนั้นบนคอมพิวเตอร์เครื่องที่สองได้ภายในไม่กี่นาทีหรือไม่

การวิเคราะห์รายละเอียดของปัญหาที่พบบ่อยที่สุดและแนวทางแก้ไข

ในชีวิตจริง มีปัญหาเฉพาะเจาะจงมากมายเกิดขึ้น ซึ่งอาจทำให้ ESR ไม่สามารถทำงานได้ บางส่วนที่พบบ่อยที่สุดเกี่ยวข้องกับ:

• อุปกรณ์เชื่อมต่ออยู่แต่ไม่ได้ซิงค์ข้อมูล มักเป็นเพราะนโยบายยังไม่ได้รับการดำเนินการ ซึ่งอาจใช้เวลานานหลายชั่วโมงในสภาพแวดล้อมองค์กรที่ซับซ้อน
• ขาดการอนุญาต ใบอนุญาต หรือการมอบหมายผู้ใช้อย่างถูกต้อง
• หน้า “การตั้งค่าการซิงค์” จะแสดงข้อความ เช่น “คุณลักษณะบางอย่างจะใช้ได้เฉพาะกับบัญชีที่ทำงานหรือบัญชี Microsoft เท่านั้น” ในกรณีนี้อาจเป็นผลจากการขาดการตรวจสอบยืนยันตัวตนที่มีประสิทธิภาพต่อ Entra ID
• ปัญหาการลงทะเบียนอุปกรณ์ใน Azure AD ซึ่งสามารถวินิจฉัยได้ด้วยคำสั่ง "dsregcmd.exe /status" จาก CMD- หากตั้งค่า AzureAdJoined และ WamDefaultSet เป็น "NO" จำเป็นต้องวิเคราะห์สถานการณ์ และดำเนินการลงทะเบียนด้วยตนเองหรือบังคับหากเหมาะสม

ในกรณีส่วนใหญ่เหล่านี้ ผู้ดูแลระบบสามารถแก้ไขปัญหาได้โดยการปิดใช้งานและเปิดใช้งานการซิงค์ใหม่ รีสตาร์ทคอมพิวเตอร์ และตรวจสอบให้แน่ใจว่าข้อมูลประจำตัวและการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) ได้รับการกำหนดค่าอย่างถูกต้อง

การซิงโครไนซ์และการยืนยันตัวตนหลายปัจจัย: ความสัมพันธ์และข้อจำกัด

ระบุจุดวิกฤตแล้ว คือการโต้ตอบระหว่าง Enterprise State Roaming และระบบการตรวจสอบสิทธิ์หลายปัจจัย (MFA) เมื่อต้องใช้ MFA ในการเข้าสู่ระบบ การตั้งค่าอาจไม่ซิงค์อย่างถูกต้องเมื่อเข้าสู่ระบบด้วยรหัสผ่านปกติ สิ่งนี้เกิดขึ้นเพราะระบบป้องกันกระบวนการอัตโนมัติที่ไม่สามารถดำเนินการตรวจสอบสิทธิ์เพิ่มเติมได้

สำหรับผู้ดูแลระบบ วิธีแก้ปัญหาที่แนะนำคือให้ผู้ใช้ใช้ PIN เช่น Windows Hello หรือดำเนินการตามกระบวนการ MFA ให้เสร็จสิ้นเมื่อลงชื่อเข้าใช้บริการ Azure อื่นๆ เช่น Microsoft 365- นอกจากนี้ หากใช้นโยบายการเข้าถึงแบบมีเงื่อนไขขั้นสูงผ่าน Active Directory Federation Services (AD FS) และทำให้โทเค็นการเข้าถึงหมดอายุ จำเป็นต้องออกจากระบบแล้วเข้าสู่ระบบใหม่อีกครั้งโดยใช้ PIN หรือดำเนินกระบวนการตรวจสอบสิทธิ์ออนไลน์เพิ่มเติมให้เสร็จสมบูรณ์