Azure AD 統合認証は、AD 同期が有効になっているドメインに参加しているマシンでのみ機能することはよくわかっています。開発者として、その利便性から、スタンドアロンの Windows 10 Pro ボックスでこれを使用したいと思います。
ローカル管理者ユーザーに対してこれを有効にするトリックやハックはありますか?
私は、自分が使用している Azure サブスクリプションの貢献者です (ただし、昇格されたアクセス許可を要求することはできます)。
答え1
AzureAD は単なるディレクトリです。認証フローはいくつかの異なる方法で発生します (Microsoft が提供するバージョン)。
- AzureAD ネイティブ クラウド アカウントとパスワード。認証と承認はすべて AzureAD で行われます。
- AzureAD と AzureAD Connect を使用して、アカウントやパスワード ハッシュを同期します。これにより、ドメイン アカウントが同期されます。AzureAD Connect は、ドメイン アカウントと直接連携するように構成された Microsoft Identity Manager のカスタム バージョンです。認証と承認は引き続き AzureAD で行われます。
- AzureAD Connectとパススルー認証を備えたAzureAD。ここで状況が変わります。認証はドメイン コントローラーで行われます。AzureADはドメイン コントローラーを信頼し、リソースへのアクセスを許可します。
- ADFS (またはサードパーティの SAML IdP) を使用した AzureAD - 上記のように動作し、認証はプロキシとして ADFS 経由で AD に移動されます。
AzureAD では、認証もドメイン ベースで構成されます。つまり、個々のドメインは、個々のユーザー アカウントではなく、特定の認証スキームに対して構成されます。
開発セットアップの場合、ドメインが小さい場合は、それを同期してアカウントをまとめることができます。
ドメイン コントローラーがなくても、クラウド アカウントと簡単なスクリプトを使用してアカウントとパスワードを再作成できます。たとえば、AzureAD でローカル アカウント表現を作成し、パスワードを取得してローカル アカウントとクラウド アカウントに設定する PowerShell スクリプトを実行します。これらは依然として別個のエンティティであり、リンクされたエンティティではありませんが、同様の結果が得られます。使用するドメインが既に非クラウド認証 (パススルー、フェデレーション) 用に構成されている場合、そのドメインでクラウドのみのアカウントを作成することはできません。
アカウント レベルでこれを実行するには、AzureAD ディレクトリ内の権限が必要です。共同作成者権限では、サブスクリプションにアセットを展開できますが、ディレクトリ レベルでの権限は付与されません。また、一部の変更は検証済みドメイン全体に影響するため、ログイン ID がそれらのドメインに関連付けられているすべてのユーザーに影響する可能性があることに注意してください。