Как я могу использовать учетную запись Azure AD для удаленной аутентификации в Windows, присоединенной к Azure AD?
У меня есть:
The user name or password is incorrect и событие Audit Failure с идентификатором 4625, положение дел 0xC000006D, и суб статус 0xC0000064 что означает, что пользователь не существует. %UPN%.username.admin@domain.com. AzureAD\%UPN%.AzureAD\username.admin@domain.com. AzureAD\%username%.AzureAD\username.admin. AzureAD\%securityID%.AzureAD\UsernameAdmin. Кажется, это отображаемое имя без пробелов. %NetBIOSDomainName%\%securityID%.EXAMPLE\UsernameAdmin. Вот как Windows отображает это в Управление компьютером → Локальные пользователи и группы → Группы → Администраторы. %UPN% (только если учетная запись пользователя ранее входила в систему).AzureAD\%UPN% (независимо от того, входила ли учетная запись пользователя ранее). AzureAD\%securityID%. Пытался аутентифицироваться локально с использованием учетных записей Azure AD и вышеупомянутых форматов входа и обнаружил, что локальный запуск от имени может обрабатывать следующее:
%UPN%.AzureAD\%UPN%. AzureAD\%securityID%.Пытался пройти аутентификацию удаленно с использованием учетных записей локального администратора и обнаружил, что они работают нормально.
Таким образом, похоже, что Windows может обрабатывать учетные записи Azure AD, но только локально, а не удаленно, в отличие от учетных записей AD DS.
Все, что я нашел в Интернете, либо не для этого конкретного сценария, либо просто других людей, которые испытывают ту же проблему.
Это вообще возможно?
В результате обширного тестирования я пришел к выводу, что Windows 10 v1909 (последняя версия на момент написания) просто не поддерживает использование учетных записей / учетных данных Azure AD с проверкой подлинности на сетевом уровне (NLA).
Удаленный доступ через RDP можно обойти, отключив NLA и вручную отредактировав файл .RDP, добавив enablecredsspsupport:i:0.
Удаленный доступ через SMB, похоже, не обойтись.