我很清楚 Azure AD 集成身份验证仅适用于已启用 AD 同步的域加入计算机。我(作为开发人员)希望在独立的 Windows 10 Pro 机器上使用它,因为它很方便。
是否有任何技巧/窍门可以为本地管理员用户启用此功能?
如果有帮助的话,我是与之合作的 Azure 订阅的贡献者(但可以请求一些提升的权限)。
答案1
AzureAD 只是一个目录。Auth 流程可以以几种不同的方式进行(Microsoft 提供的版本)。
- AzureAD 原生云帐户和密码。身份验证和授权均在 AzureAD 中进行。
- AzureAD 与 AzureAD 连接以同步帐户和/或密码哈希。这将同步域帐户。AzureAD Connect 是 Microsoft Identity Manager 的自定义版本,配置为直接与域帐户一起使用。身份验证和授权仍在 AzureAD 中进行。
- AzureAD 与 AzureAD Connect 和 Passthrough 身份验证。这就是事情发生转变的地方 - 身份验证发生在域控制器上。AzureAD 信任域控制器,然后授权访问资源
- 带有 ADFS(或第三方 SAML IdP)的 AzureAD - 工作方式如上所述,身份验证通过 ADFS 作为代理移动到 AD。
在 AzureAD 中,身份验证也是基于域配置的。也就是说,针对特定身份验证方案配置的是各个域,而不是各个用户帐户。
对于开发设置,如果您有一个小域,您可以同步它并将帐户放在一起。
如果没有域控制器,您可以使用云帐户和简单脚本重新创建帐户和密码。例如,运行一个 PowerShell 脚本,该脚本在 AzureAD 中创建本地帐户表示,并接收密码并将其设置为本地帐户和云帐户。它们仍然是独立的,而不是链接的实体,但会得到类似的结果。现在,如果您要使用的域已配置为非云身份验证(Passthrough、联合),则您无法使用该域创建仅限云的帐户。
要在帐户级别执行任何操作,您需要 AzureAD 目录内的权限。贡献者权限允许您在订阅中部署资产,但不会在目录级别推断任何权限。请记住,某些更改会影响整个已验证的域,因此它可能会影响登录 ID 与这些域绑定的所有用户。