Mir ist durchaus bewusst, dass die integrierte Azure AD-Authentifizierung nur auf Domänencomputern mit aktivierter AD-Synchronisierung funktioniert. Ich (als Entwickler) würde sie aufgrund ihrer Handlichkeit gerne auf einer eigenständigen Windows 10 Pro-Box verwenden.
Gibt es einen Trick/Hack, um dies für einen lokalen Administratorbenutzer zu aktivieren?
Ich bin Mitwirkender des Azure-Abonnements, mit dem ich arbeite (kann aber einige erweiterte Berechtigungen anfordern), falls das hilft.
Antwort1
AzureAD ist nur ein Verzeichnis. Der Authentifizierungsfluss kann auf verschiedene Arten erfolgen (von Microsoft bereitgestellte Versionen).
- Native AzureAD-Cloudkonten und -Passwörter. Authentifizierung und Autorisierung erfolgen vollständig in AzureAD.
- AzureAD mit AzureAD Connect zum Synchronisieren von Konten und/oder Kennwort-Hashes. Dadurch werden Domänenkonten synchronisiert. AzureAD Connect ist eine benutzerdefinierte Version von Microsoft Identity Manager, die für die direkte Arbeit mit Domänenkonten konfiguriert ist. Authentifizierung und Autorisierung erfolgen weiterhin in AzureAD.
- AzureAD mit AzureAD Connect und Passthrough-Authentifizierung. Hier ändert sich alles: Die Authentifizierung erfolgt beim Domänencontroller. AzureAD vertraut dem Domänencontroller und autorisiert dann den Zugriff auf Ressourcen.
- AzureAD mit ADFS (oder SAML IdP eines Drittanbieters) – funktioniert wie oben, die Authentifizierung wird über ADFS als Proxy zu AD verschoben.
Auch in AzureAD wird die Authentifizierung domänenbasiert konfiguriert. Das heißt, dass die einzelnen Domänen für ein bestimmtes Authentifizierungsschema konfiguriert werden und nicht einzelne Benutzerkonten.
Wenn Sie bei einer Entwicklerkonfiguration eine kleine Domäne haben, können Sie diese synchronisieren und die Konten zusammen verwalten.
Ohne Domänencontroller können Sie Cloud-Konten und einfache Skripte verwenden, um Konten und Kennwörter neu zu erstellen. Führen Sie beispielsweise ein PowerShell-Skript aus, das die lokale Kontodarstellung in AzureAD erstellt und auch das Kennwort übernimmt und es für das lokale Konto und das Cloud-Konto festlegt. Sie sind immer noch getrennte und nicht verknüpfte Einheiten, erzielen aber ein ähnliches Ergebnis. Wenn die Domäne, die Sie verwenden möchten, bereits für die Nicht-Cloud-Authentifizierung (Passthrough, föderiert) konfiguriert ist, können Sie mit dieser Domäne kein reines Cloud-Konto erstellen.
Um dies auf Kontoebene zu tun, benötigen Sie Rechte im AzureAD-Verzeichnis. Mit den Mitwirkendenrechten können Sie Assets im Abonnement bereitstellen, erhalten aber keine Rechte auf Verzeichnisebene. Und denken Sie daran, dass einige Änderungen eine gesamte verifizierte Domäne betreffen, sodass sie alle Benutzer betreffen können, deren Anmelde-IDs an diese Domänen gebunden sind.