.png)
Não entendo como lidar com este caso:
Um laptop é associado ao Azure-AD e o usuário faz login com um código PIN (por exemplo). Esta parte funciona bem.
Agora o usuário também precisa trabalhar com o domínio local. O AD local é sincronizado com o Azure-AD usandoAssistente de agente de provisionamento do AAD Connect. OExtensão NPS para Azure ADé instalado para que o Controlador de Domínio local possa acessar o Azure para autenticação. Os usuários do Azure têm umAzure AD Premiumlicença.
Agora, quando o usuário faz login, o laptop não está conectado ao AD local, certo? Não há políticas aplicadas, nem scripts de login, etc. Um aplicativo LOB que se conecta a um servidor SQL local pode não aceitar esse usuário com autenticação integrada do Windows por causa disso.
O que é uma solução então? Posso associar o laptop ao domínio local ao mesmo tempo? Em caso afirmativo, como funciona o login (qual conta)?
Eu sei que posso fazer isso funcionar com um servidor RDS. Então, se um usuário fizer login, ele usará seu nome de usuário e senha (que é o mesmo no AAD e no AD) eExtensão NPS para Azure ADé usado para autenticar. Mas e se você não usar RDS e precisar apenas fazer login no domínio local? Por exemplo: usar um compartilhamento de arquivos ou servidor SQL que requer autenticação do Windows?
Responder1
Você não pode criar usuários no Azure AD e sincronizá-los (de volta) com o AD local. No entanto, você pode configurar seus objetos AD locais com os mesmos endereços UPN e SMTP definidos no Azure AD. Em seguida, você pode usar o Azure AD Connect para usar a correspondência SMTP e sincronizar seu AD com o Azure AD. Acho que isso concederá a eles as permissões necessárias em compartilhamentos que precisam de autenticação do Windows. Teste em um usuário antes.