Soy muy consciente de que la autenticación integrada de Azure AD solo funciona en máquinas unidas a un dominio con la sincronización de AD habilitada. A mí (como desarrollador) me gustaría usarlo en una caja independiente de Windows 10 Pro por su practicidad.
¿Existe algún truco/truco para habilitar esto para un usuario administrador local?
Soy colaborador de la suscripción de Azure con la que trabajo (pero puedo solicitar algunos permisos elevados) si eso ayuda.
Respuesta1
AzureAD es solo un directorio. El flujo de autenticación puede ocurrir de diferentes maneras (versiones proporcionadas por Microsoft).
- Cuentas y contraseña nativas de la nube de AzureAD. La autenticación y la autorización ocurren en AzureAD.
- AzureAD con AzureAD se conecta para sincronizar cuentas y/o hashes de contraseñas. Esto sincroniza las cuentas de dominio. AzureAD Connect es una versión personalizada de Microsoft Identity Manager configurada para funcionar directamente con cuentas de dominio. La autenticación y la autorización todavía ocurren en AzureAD.
- AzureAD con AzureAD Connect y autenticación PassThrough. Aquí es donde cambia la cosa: la autenticación ocurre en el controlador de dominio. AzureAD confía en el controlador de dominio y luego autoriza el acceso a los recursos
- AzureAD con ADFS (o IdP SAML de terceros): funciona como se indica arriba, la autenticación se mueve a AD a través de ADFS como proxy.
La autenticación también se configura por dominio en AzureAD. Es decir, los dominios individuales están configurados para un determinado esquema de autenticación y no para cuentas de usuario individuales.
Para una configuración de desarrollador, si tiene un dominio pequeño, puede sincronizarlo y mantener las cuentas juntas.
Sin un controlador de dominio, puede utilizar cuentas en la nube y scripts sencillos para recrear cuentas y contraseñas. por ejemplo, ejecute un script de PowerShell que cree la representación de la cuenta local en AzureAD y también ingrese la contraseña y la establezca para la cuenta local y la cuenta en la nube. Siguen siendo entidades separadas y no vinculadas, pero obtienes un resultado similar. Ahora bien, si el dominio que desea utilizar ya está configurado para autenticación fuera de la nube (Passthrough, federado), no puede crear una cuenta solo en la nube con ese dominio.
Para hacer todo esto a nivel de cuenta, necesita derechos dentro del directorio de AzureAD. Los derechos de colaborador le permiten implementar activos en suscripción, pero no infieren ningún derecho a nivel de directorio. Y recuerde que algunos cambios afectan a un dominio verificado completo, por lo que pueden afectar a todos los usuarios cuyas ID de inicio de sesión estén vinculadas a esos dominios.