我不明白如何處理這種情況:
筆記型電腦已加入 Azure-AD,使用者使用 PIN 碼登入(例如)。這部分工作正常。
現在,用戶還需要使用本地域。本機 AD 使用以下方式與 Azure-AD 同步AAD Connect 設定代理程式精靈。這Azure AD 的 NPS 擴充安裝後,本機網域控制站可以存取 Azure 進行驗證。 Azure 用戶有一個Azure AD 進階版執照。
現在,當使用者登入時,筆記型電腦並未登入本機 AD,對吧?沒有應用任何策略,沒有登入腳本等。
那有什麼辦法可以解決呢?我可以同時將筆記型電腦加入本地域嗎?如果是這樣,那麼如何登入(什麼帳號)?
我知道我可以使用 RDS 伺服器來完成這項工作。然後,如果使用者登錄,他或她將使用其使用者名稱和密碼(在 AAD 和 AD 中相同)Azure AD 的 NPS 擴充用於驗證。但是,如果您不使用 RDS 而只需要登入本機網域怎麼辦?例如:使用需要 Windows 驗證的檔案共用或 SQL 伺服器?
答案1
您無法在 Azure AD 中建立使用者並將其同步(回)到本機 AD。但是,您可以使用在 Azure AD 中設定的相同 UPN 和 SMTP 位址來設定本機 AD 物件。然後,您可以使用 Azure AD connect 來使用 SMTP 匹配並將您的 AD 同步到 Azure AD。我認為這將為他們授予需要 Windows 驗證的共用所需的權限。之前對一位使用者進行測試。