.png)
このケースをどう処理したらよいか分かりません:
ラップトップが Azure-AD に参加し、ユーザーは PIN コード (例) を使用してログインします。この部分は正常に動作します。
ユーザーはオンプレミスドメインでも作業する必要があります。オンプレミスADはAzure-ADと同期されます。AAD Connect プロビジョニング エージェント ウィザード。Azure AD の NPS 拡張機能オンプレミスのドメインコントローラーがAzureにアクセスして認証できるようにインストールされています。AzureユーザーにはAzure AD プレミアムライセンス。
さて、ユーザーがログインすると、ラップトップはオンプレミスの AD にログインしませんよね? ポリシーは適用されず、ログイン スクリプトなども適用されません。そのため、オンプレミスの SQL サーバーに接続する LOB アプリケーションは、統合 Windows 認証を使用してこのユーザーを受け入れない可能性があります。
解決策は何でしょうか? 同時にラップトップをオンプレミス ドメインに参加させることはできますか? その場合、ログインはどのように機能しますか (どのアカウント)?
RDSサーバーでこれを実行できることはわかっています。その後、ユーザーがログインすると、ユーザー名とパスワード(AADとADで同じ)を使用し、Azure AD の NPS 拡張機能認証に使用されます。しかし、RDS を使用せず、オンプレミス ドメインにログインする必要がある場合はどうでしょうか? たとえば、Windows 認証を必要とするファイル共有または SQL サーバーを使用する場合はどうでしょうか?
答え1
Azure AD でユーザーを作成し、オンプレミスの AD に同期することはできません。ただし、Azure AD で設定されているものと同じ UPN と SMTP アドレスを使用してオンプレミスの AD オブジェクトを設定することはできます。その後、Azure AD Connect を使用して SMTP マッチングを使用し、AD を Azure AD に同期できます。これにより、Windows 認証を必要とする共有に対する必要なアクセス許可が付与されると思います。事前に 1 人のユーザーでテストしてください。