Estou bem ciente de que a autenticação integrada do Azure AD só funciona em máquinas ingressadas no domínio com sincronização do AD habilitada. Eu (como desenvolvedor) gostaria de usá-lo em uma caixa autônoma do Windows 10 Pro por sua praticidade.
Existe algum truque/hack para ativar isso para um usuário administrador local?
Sou um contribuidor da assinatura do Azure com a qual trabalho (mas posso solicitar algumas permissões elevadas), se isso ajudar.
Responder1
AzureAD é apenas um diretório. O fluxo Auth pode ocorrer de algumas maneiras diferentes (versões fornecidas pela Microsoft).
- Contas e senha de nuvem nativa do AzureAD. A autenticação e a autorização acontecem no AzureAD.
- AzureAD com AzureAD conecta-se para sincronizar contas e/ou hashes de senha. Isso sincroniza contas de domínio. AzureAD Connect é uma versão personalizada do Microsoft Identity Manager configurada para funcionar diretamente com contas de domínio. A autenticação e a autorização ainda acontecem no AzureAD.
- AzureAD com AzureAD Connect e autenticação de passagem. É aqui que a coisa muda - a autenticação acontece no controlador de domínio. O AzureAD confia no controlador de domínio e depois autoriza o acesso aos recursos
- AzureAD com ADFS (ou IdP SAML de terceiros) - funciona como acima, a autenticação é movida para AD via ADFS como proxy.
A autenticação também é configurada com base no domínio no AzureAD. Ou seja, os domínios individuais são configurados para um determinado esquema de autenticação e não para contas de usuários individuais.
Para uma configuração de desenvolvedor, se você tiver um domínio pequeno, poderá sincronizá-lo e manter as contas juntas.
Sem um controlador de domínio, você pode usar contas na nuvem e scripts simples para recriar contas e senhas. por exemplo, execute um script do PowerShell que cria a representação da conta local no AzureAD e também recebe a senha e a define para a conta local e a conta na nuvem. Eles ainda são entidades separadas e não vinculadas, mas proporcionam um resultado semelhante. Agora, se o domínio que você deseja usar já estiver configurado para autenticação fora da nuvem (Passthrough, federado), você não poderá criar uma conta somente na nuvem com esse domínio.
Para fazer isso no nível da conta, você precisa de direitos dentro do diretório AzureAD. Os direitos de contribuidor permitem-lhe implementar ativos em subscrição, mas não inferem quaisquer direitos ao nível do diretório. E lembre-se de que algumas alterações afetam todo um domínio verificado, podendo afetar todos os usuários cujos IDs de login estão vinculados a esses domínios.