我很清楚,Azure AD 整合式驗證僅適用於已加入網域且啟用了 AD 同步的電腦。我(作為開發人員)希望在獨立的 Windows 10 Pro 盒子上使用它,因為它很方便。
是否有任何技巧/技巧可以為本機管理員使用者啟用此功能?
如果有幫助的話,我是我使用的 Azure 訂閱的貢獻者(但可以要求一些提升的權限)。
答案1
AzureAD 只是一個目錄。身份驗證流程可以透過幾種不同的方式進行(Microsoft 提供的版本)。
- AzureAD 本機雲端帳戶和密碼。身份驗證和授權全部發生在 AzureAD 中。
- AzureAD 與 AzureAD 連接到同步帳戶和/或密碼雜湊。這會同步網域帳戶。 AzureAD Connect 是 Microsoft Identity Manager 的自訂版本,設定為直接使用網域帳戶。身份驗證和授權仍然在 AzureAD 中進行。
- AzureAD 與 AzureAD Connect 和直通驗證。這就是事情發生的地方——身份驗證發生在網域控制站上。 AzureAD 信任網域控制器,然後授權對資源的存取
- 帶有 ADFS(或第 3 方 SAML IdP)的 AzureAD - 運作方式與上方類似,驗證會透過 ADFS 作為代理轉移到 AD。
身份驗證也是在 AzureAD 中基於網域進行設定的。也就是說,各個網域是針對特定的身份驗證方案而不是單一使用者帳戶配置的。
對於開發設置,如果您有一個小網域,您可以同步該網域並將帳戶保留在一起。
如果沒有網域控制器,您可以使用雲端帳戶和簡單的腳本來重新建立帳戶和密碼。例如,執行一個 PowerShell 腳本,該腳本在 AzureAD 中建立本機帳戶表示形式,並且還接收密碼並將其設定為本機帳戶和雲端帳戶。它們仍然是獨立的且沒有連結的實體,但會得到類似的結果。現在,如果您要使用的網域已配置為非雲端驗證(直通、聯合),則您無法使用該網域建立純雲端帳戶。
要在帳戶層級執行任何此操作,您需要 AzureAD 目錄內的權限。貢獻者權限允許您在訂閱中部署資產,但不會推斷目錄層級的任何權限。請記住,某些變更會影響整個經過驗證的網域,因此它可能會影響其登入 ID 與這些網域綁定的所有使用者。