.png)
Я не понимаю, как поступить в этом случае:
Ноутбук подключается к Azure-AD, и пользователь входит в систему с помощью PIN-кода (например). Эта часть работает отлично.
Теперь пользователю нужно работать и с локальным доменом. Локальный AD синхронизируется с Azure-AD с помощьюМастер агента подготовки AAD Connect.Расширение NPS для Azure ADустановлен, поэтому локальный контроллер домена может получить доступ к Azure для аутентификации. Пользователи Azure имеютAzure AD Премиумлицензия.
Теперь, когда пользователь входит в систему, ноутбук не входит в локальный AD, верно? Не применяются никакие политики, скрипты входа и т. д. Из-за этого LOB-приложение, подключающееся к локальному SQL-серверу, может не принять этого пользователя с интегрированной аутентификацией Windows.
Какое тогда решение? Могу ли я одновременно присоединить ноутбук к локальному домену? Если да, то как тогда происходит вход (какая учетная запись)?
Я знаю, что я могу заставить это работать с RDS-сервером. Тогда, если пользователь входит в систему, он или она использует свое имя пользователя и пароль (который одинаков в AAD и AD) иРасширение NPS для Azure ADиспользуется для аутентификации. Но что, если вы не используете RDS и вам просто нужно войти в локальный домен? Например: использовать файлообменник или SQL-сервер, требующий Windows-аутентификации?
решение1
Вы не можете создавать пользователей в Azure AD и синхронизировать их (обратно) с локальным AD. Однако вы можете настроить свои локальные объекты AD с теми же UPN и SMTP-адресами, которые установлены в Azure AD. Затем вы можете использовать Azure AD Connect для использования сопоставления SMTP и синхронизации вашего AD с Azure AD. Я думаю, что это предоставит им необходимые разрешения на общие ресурсы, для которых требуется аутентификация Windows. Проверьте сначала на одном пользователе.