我有本地部署Windows Hello 企业版 [证书信任]使用 ADFS 4.0 DRS。我还有一个O365 企业应用(Pro-plus)订阅. 身份(仅限用户)从本地同步到 Azure AD。仅 8 个属性(O365 Pro-plus 需要同步),[已使用应用程序过滤]
accountEnabled cn displayName objectSID pwdLastSet samAccountName sourceAnchor usageLocation userPrincipalName
未启用任何设备/组写回,未使用其他 O365 应用程序。
我在同步服务中看到很多类似下面博客(Q4)中提到的错误,其中服务因权限不足而尝试覆盖/删除 msds-keycredentialLink 属性 [填充为 WH4B 配置]。
它们应该由下面列出的同步规则触发
从 AAD 输入 - 用户 NGCKey(到 mv 中的 DeviceKey)输出到 AD – 用户 NGCKey(从 mv 中的 DeviceKey 到 AD 中的 msds-keycredentialLink)
我的问题是,
为什么需要写回NGCkey?
为什么即使禁用以下规则,错误仍然存在?
答案1
这些属性是 WHfB 部署的一部分,您不应该禁用它们,所以这也许就是您收到错误的原因。
NGC 也是 WHfB 工作所必需的一组属性,请查看微软身份服务部门项目经理 Jairo Cadena 的博客,他回答了有关 NGC 的问题:https://jairocadena.com/2016/01/18/how-domain-join-is-different-in-windows-10-with-azure-ad/
答案2
WHFB 本地部署不需要将 msds-keycredentialLink 写回到本地 AD。我认为这是系统设计缺陷,微软没有考虑使用一些具有目录同步 (AADConnect) 的 Azure AD/O365 服务进行 WH4B 的纯本地部署
我发现禁用以下规则后,键值不再写回。我遇到的错误与 AAD 连接 Metaverse 中的旧对象有关。刷新这些对象后,与它们相关的错误就消失了,