我可以在 Intune 中为具有用户亲和性的设备设置证书分发和无线配置文件,这很好用。用户帐户与我们现场的 AD 服务器同步,并且 NPS 有一个用于获取权限的帐户。但是,对于纯粹在 Azure 中且没有用户亲和性的设备,NPS 没有可用于获取权限的帐户。我可以手动创建这些,但有没有办法使用 Microsoft 应用程序来执行此操作,无论是通过 Azure 进行身份验证还是在 AD 中创建帐户?
谢谢
答案1
如果将 AAD 计算机对象同步到 AD,则可以使用 NPS 进行身份验证。Andrew Blackburn 写了一篇关于此的文章包括一个用于在 AD 中创建副本的 PowerShell 脚本。Chris Beattie 根据 Andrew 的这增加了一些关于如何在设备上获取证书的想法。
然而,微软最近发布了使固定针对 Certifried 漏洞,由于它们具有不同的 SID,因此最迟会在 2023-05-09 之前阻止使用复制的设备对象。
那么,到 2023 年 5 月仍然有效的解决方案有哪些?
- 混合加入您的设备。恕我直言,这是一种倒退,因为您增加了对本地部署的依赖。
- 使用不需要 AD 对象的其他 NAC,几乎可以是任何 NPS(例如 Cisco ISE)。我为提供RADIUS 即服务,所以如果您想要基于云的基础设施,这就是我的自然推荐。