独立计算机上的 Azure AD 集成身份验证

Question

AzureAD 只是一个目录。Auth 流程可以以几种不同的方式进行（Microsoft 提供的版本）。

AzureAD 原生云帐户和密码。身份验证和授权均在 AzureAD 中进行。
AzureAD 与 AzureAD 连接以同步帐户和/或密码哈希。这将同步域帐户。AzureAD Connect 是 Microsoft Identity Manager 的自定义版本，配置为直接与域帐户一起使用。身份验证和授权仍在 AzureAD 中进行。
AzureAD 与 AzureAD Connect 和 Passthrough 身份验证。这就是事情发生转变的地方 - 身份验证发生在域控制器上。AzureAD 信任域控制器，然后授权访问资源
带有 ADFS（或第三方 SAML IdP）的 AzureAD - 工作方式如上所述，身份验证通过 ADFS 作为代理移动到 AD。

在 AzureAD 中，身份验证也是基于域配置的。也就是说，针对特定身份验证方案配置的是各个域，而不是各个用户帐户。

对于开发设置，如果您有一个小域，您可以同步它并将帐户放在一起。

如果没有域控制器，您可以使用云帐户和简单脚本重新创建帐户和密码。例如，运行一个 PowerShell 脚本，该脚本在 AzureAD 中创建本地帐户表示，并接收密码并将其设置为本地帐户和云帐户。它们仍然是独立的，而不是链接的实体，但会得到类似的结果。现在，如果您要使用的域已配置为非云身份验证（Passthrough、联合），则您无法使用该域创建仅限云的帐户。

要在帐户级别执行任何操作，您需要 AzureAD 目录内的权限。贡献者权限允许您在订阅中部署资产，但不会在目录级别推断任何权限。请记住，某些更改会影响整个已验证的域，因此它可能会影响登录 ID 与这些域绑定的所有用户。

Answer 1

AzureAD 只是一个目录。Auth 流程可以以几种不同的方式进行（Microsoft 提供的版本）。

AzureAD 原生云帐户和密码。身份验证和授权均在 AzureAD 中进行。
AzureAD 与 AzureAD 连接以同步帐户和/或密码哈希。这将同步域帐户。AzureAD Connect 是 Microsoft Identity Manager 的自定义版本，配置为直接与域帐户一起使用。身份验证和授权仍在 AzureAD 中进行。
AzureAD 与 AzureAD Connect 和 Passthrough 身份验证。这就是事情发生转变的地方 - 身份验证发生在域控制器上。AzureAD 信任域控制器，然后授权访问资源
带有 ADFS（或第三方 SAML IdP）的 AzureAD - 工作方式如上所述，身份验证通过 ADFS 作为代理移动到 AD。

在 AzureAD 中，身份验证也是基于域配置的。也就是说，针对特定身份验证方案配置的是各个域，而不是各个用户帐户。

对于开发设置，如果您有一个小域，您可以同步它并将帐户放在一起。

如果没有域控制器，您可以使用云帐户和简单脚本重新创建帐户和密码。例如，运行一个 PowerShell 脚本，该脚本在 AzureAD 中创建本地帐户表示，并接收密码并将其设置为本地帐户和云帐户。它们仍然是独立的，而不是链接的实体，但会得到类似的结果。现在，如果您要使用的域已配置为非云身份验证（Passthrough、联合），则您无法使用该域创建仅限云的帐户。

要在帐户级别执行任何操作，您需要 AzureAD 目录内的权限。贡献者权限允许您在订阅中部署资产，但不会在目录级别推断任何权限。请记住，某些更改会影响整个已验证的域，因此它可能会影响登录 ID 与这些域绑定的所有用户。

独立计算机上的 Azure AD 集成身份验证

答案1

相关内容