我确实有以下设置:
- 在 Azure 云上运行并加入 Azure Active Directory 域的 Windows Server 2016 VM
- 与计算机加入的同一 AAD 中包含的 Office365 用户帐户
- AAD 用户(不是 Office365 用户)
我现在的问题是:除了我自己之外,没有任何 Office365 用户(在 Office365-Portal 中创建)可以通过远程桌面连接到 Azure 虚拟机 - 甚至 Office365 和 Azure 上的管理员其他用户也不行。
但是:所有直接在 AAD 中创建的用户(没有 Office365 许可证、使用 AAD-Portal 创建等)都可以通过 RDP 连接而不会出现任何问题。
在客户端,我尝试使用 Azure 加入 Windows 10 设备,也尝试使用非 Azure 加入 Windows 7/10。
有任何想法吗?
谢谢您的帮助。
答案1
Azure AD 中的任何用户(无论是否是 Office365 用户)都需要在激活 Azure 域服务以启动密码同步后更改密码(请参阅此关联)。
感谢 Jason 指出正确的方向。
答案2
我们应该将用户添加到AAD DC AdministratorsAzure AD 中的组中。
的成员AAD DC 管理员可以使用远程桌面远程连接到加入域的机器。
在 Azure AD 目录中创建一个管理组。此特殊管理组称为 AAD DC 管理员。此组的成员被授予对已加入托管域的计算机的管理权限。在已加入域的计算机上,此组将添加到管理员组。此外,此组的成员可以使用远程桌面远程连接到已加入域的计算机。
有关更多信息,请参阅关联。
希望这可以帮助。
更新:
根本原因是,我们应该启用密码同步,然后更改密码。
更改密码几分钟后,新密码即可在 Azure Active Directory 域服务中使用。大约 20 分钟后,你就可以使用新更改的密码登录到已加入托管域的计算机。
有关更改密码的更多信息,请参阅关联。
感谢亚伦的份额。