У меня есть локальное развертывание Windows Hello для бизнеса [доверие сертификатов] с использованием ADFS 4.0 DRS. У меня также есть Подписка на приложения O365 для предприятий (Pro-plus). Удостоверения (только для пользователей) синхронизируются из локальной среды с Azure AD. Только 8 атрибутов (требуется для синхронизации O365 Pro-plus), [Используется фильтрация приложений]
accountEnabled cn displayName objectSID pwdLastSet samAccountName sourceAnchor usageLocation userPrincipalName
Обратная запись для устройств / групп не включена, другие приложения O365 не используются.
Я вижу множество ошибок, подобных тем, которые упомянуты в блоге ниже (Q4) в службе синхронизации, где служба пытается перезаписать / удалить атрибут msds-keycredentialLink [заполнен в связи с предоставлением WH4B] из-за недостаточных разрешений.
Они должны запускаться правилами синхронизации, перечисленными ниже.
Вход из AAD - Пользовательский NGCKey (в DeviceKey в mv) Выход в AD - Пользовательский NGCKey (из DeviceKey в MV в msds-keycredentialLink в AD)
Мои вопросы,
Зачем нужна обратная запись NGCkey?
Почему ошибка все еще сохраняется, даже если следующие правила отключены?
Эти атрибуты являются частью развертывания WHfB, вам не следует отключать их, возможно, поэтому вы получаете ошибки.
NGC также являются набором атрибутов, необходимых для работы WHfB, ознакомьтесь с блогом Хайро Кадены, который является менеджером программы в подразделении Identity Services в Microsoft, отвечая на вопрос о NGC: https://jairocadena.com/2016/01/18/how-domain-join-is-different-in-windows-10-with-azure-ad/