%3F.png)
No entiendo cómo manejar este caso:
Se une una computadora portátil a Azure-AD y el usuario inicia sesión con un código PIN (por ejemplo). Esta parte funciona bien.
Ahora el usuario también necesita trabajar con el dominio local. El AD local se sincroniza con Azure-AD medianteAsistente del agente de aprovisionamiento de AAD Connect. ElExtensión de NPS para Azure ADestá instalado para que el controlador de dominio local pueda acceder a Azure para autenticarse. Los usuarios de Azure tienen unaAzure AD Premiumlicencia.
Ahora, cuando el usuario inicia sesión, la computadora portátil no inicia sesión en el AD local, ¿verdad? No se aplican políticas, no hay scripts de inicio de sesión, etc. Una aplicación LOB que se conecta a un servidor SQL local podría no aceptar a este usuario con autenticación de Windows integrada debido a eso.
¿Qué es entonces una solución? ¿Puedo unir la computadora portátil al dominio local al mismo tiempo? Si es así, ¿cómo funciona el inicio de sesión (qué cuenta)?
Sé que puedo hacer que esto funcione con un servidor RDS. Luego, si un usuario inicia sesión, utiliza su nombre de usuario y contraseña (que es el mismo en AAD y AD) yExtensión de NPS para Azure ADse utiliza para autenticar. Pero, ¿qué pasa si no utiliza RDS y sólo necesita iniciar sesión en el dominio local? Por ejemplo: ¿utilizar un archivo compartido o un servidor SQL que requiera autenticación de Windows?
Respuesta1
No puede crear usuarios en Azure AD y sincronizarlos (atrás) con AD local. Sin embargo, puede configurar sus objetos de AD locales con las mismas direcciones UPN y SMTP que están configuradas en Azure AD. Luego puede usar Azure AD Connect para usar la coincidencia SMTP y sincronizar su AD con Azure AD. Creo que esto les otorgará los permisos requeridos en recursos compartidos que necesitan autenticación de Windows. Pruebe con un usuario antes.