Azure AD Интегрированная авторизация на автономном компьютере

207
UserControl

Мне хорошо известно, что интегрированная аутентификация Azure AD работает только на компьютерах, подключенных к домену, с включенной синхронизацией AD. Я (как разработчик) хотел бы использовать его на автономной коробке Windows 10 Pro для его удобства.

Есть ли какой-нибудь трюк / хак, чтобы включить это для локального администратора?

Я являюсь участником подписки Azure, с которой я работаю (но могу запросить некоторые повышенные разрешения), если это поможет.

2

1 ответ на вопрос

1
Jesus Shelby

AzureAD - это просто каталог. Поток аутентификации может выполняться несколькими различными способами (версии, поставляемые Microsoft).

  1. Собственные облачные учетные записи AzureAD и пароль. Аутентификация и авторизация - все это происходит в AzureAD.
  2. AzureAD с AzureAD подключается для синхронизации учетных записей и / или хэшей паролей. Это синхронизирует учетные записи домена. AzureAD Connect - это настраиваемая версия Microsoft Identity Manager, настроенная для работы непосредственно с учетными записями домена. Аутентификация и авторизация по-прежнему происходят в AzureAD.
  3. AzureAD с AzureAD Connect и сквозной аутентификацией. Вот где все переключается - аутентификация на контроллере домена. AzureAD доверяет контроллеру домена, а затем авторизует доступ к ресурсам
  4. AzureAD с ADFS (или сторонним IdP SAML) - работает как выше, аутентификация перемещается в AD через ADFS в качестве прокси.

Аутентификация также настраивается на основе домена в AzureAD. То есть отдельные домены настроены на определенную схему аутентификации, а не отдельные учетные записи пользователей.

Для настройки Dev, если у вас небольшой домен, вы можете синхронизировать его и вести учетные записи вместе.

Без контроллера домена вы можете использовать облачные учетные записи и простые сценарии для воссоздания учетных записей и паролей. например, запустите сценарий PowerShell, который создает представление локальной учетной записи в AzureAD, а также принимает пароль и задает его для локальной учетной записи и учетной записи в облаке. Они все еще являются отдельными и не связанными сущностями, но дают вам аналогичный результат. Теперь, если домен, который вы хотите использовать, уже настроен для не облачной аутентификации (Passthrough, federated), вы не можете создать облачную учетную запись только с этим доменом.

Чтобы сделать все это на уровне учетной записи, вам нужны права внутри каталога AzureAD. Права участника позволяют развертывать активы в подписке, но не дают никаких прав на уровне каталога. И помните, что некоторые изменения влияют на весь проверенный домен, так что это может повлиять на всех пользователей, чьи идентификаторы входа связаны с этими доменами.

Похожие вопросы