Кто-нибудь знает, потеряет ли присоединенный к домену компьютер, который находится вне связи с контроллером домена достаточно долго, чтобы истек срок действия пароля учетной записи компьютера, статус присоединенного к домену в Azure AD?
Недавно у нас появилось значительное количество людей, которые забирают свои рабочие ноутбуки домой, чтобы начать работать удаленно (по очевидным причинам) - все эти устройства являются гибридным доменом, присоединенным к Azure AD, синхронизированным через AAD Connect. У нас есть политики условного доступа, настроенные в AAD, чтобы ограничить доступ к определенным приложениям для присоединенных к домену устройств. Большинство пользователей регулярно подключаются обратно к офисной локальной сети через VPN, поэтому у них не должно возникнуть проблем.
Однако мы не уверены в следующем: если пользователь не подключает свое устройство к VPN (или офисной локальной сети) так долго, что срок действия пароля учетной записи компьютера истекает и устройство теряет доверительные отношения с доменом, AD распознать это и синхронизировать изменение статуса устройства до AAD, в результате чего устройство больше не отображается как присоединенное к домену в AAD, в результате чего пользователь теряет доступ к приложениям, которым требуется присоединенное к домену устройство? Или AD не заметит никаких изменений в состоянии устройства до тех пор, пока не восстановит контакт, поэтому оно будет продолжать распознаваться как присоединенное к домену в AAD, пока это не произойдет?
Я много читал и нашел много информации о паролях машинных учетных записей и устройствах, присоединенных к домену AAD, но почти ничего о том, как они влияют друг на друга ...
Изменить: закончил регистрацию запроса поддержки через портал Azure для этого - ответ, цитируемый ниже. В нашем конкретном случае мы используем PHS, поэтому по этому совету у нас не должно возникнуть проблем.
Вы используете PHS, PTA или ADFS?
Состояние устройства, отображаемое на портале Azure, не изменится, если срок действия пароля истечет и устройство не подключится к DC. Он также будет отображаться как гибрид. Однако при оценке политики CA на основе устройства мы проверяем состояние устройства с помощью информации, содержащейся в AAD PRT.
Подумайте об этом сценарии - срок действия пароля учетной записи пользователя истек, и устройство не может подключиться к DC. Предупреждение об истечении срока действия пароля не выводится, когда пользователь входит на устройство со старым паролем. Пользователь не может изменить пароль, потому что соединение с DC недоступно. Таким образом, пользователю необходимо использовать старый пароль для входа на устройство (это возможно из-за локального кеша). Теперь этот пользователь хочет получить доступ к определенным приложениям с включенной политикой CA на основе устройства.
Если вы используете PHS для аутентификации, вы все равно сможете получить доступ к этим приложениям. Как и в случае с PHS, хэш пароля синхронизируется с AAD из AD. Смена пароля не происходит ни в AD, ни в AAD. Аутентификация в AAD со старым паролем все равно будет успешной. Устройство также может получить AAD PRT. При оценке политики CA он по-прежнему распознает устройство как устройство гибридного присоединения.
Если вы используете PTA для аутентификации и включили обратную запись пароля, вы можете изменить пароль в облаке. У вас есть доступ к этим приложениям. В этом сценарии вам необходимо войти в систему со старым паролем и получить доступ к приложению, используя новый пароль, что раздражает.
Если вы не включили обратную запись паролей, вы не сможете получить доступ к приложению. Появится следующее сообщение: «Ваша организация не позволяет вам обновлять пароль на этом сайте. Обновите его в соответствии с методом, рекомендованным вашей организацией, или обратитесь к администратору, если вам нужна помощь. «После обновления пароля в облаке новый пароль будет записан обратно в вашу AD».
- Также для ADFS вы не можете получить доступ к приложению.
На самом деле мы не предлагаем выносить гибридные подключенные устройства из офиса, но по очевидным причинам мы должны сделать это в данный момент.