如何使用 Azure AD 帐户对加入 Azure AD 的 Windows 进行远程身份验证?
我有:
- 尝试使用 Azure AD 帐户和我知道的每种登录格式(如下所列)进行远程身份验证,但都导致错误消息和带有 ID 、状态和子状态
The user name or password is incorrect的审核失败事件,这意味着用户不存在.46250xC000006D0xC0000064%UPN%.
例如,[email protected]。AzureAD\%UPN%.
例如,AzureAD\[email protected]。AzureAD\%username%.
例如,AzureAD\username.admin。AzureAD\%securityID%.
例如,AzureAD\UsernameAdmin。这似乎是删除了空格的显示名称。%NetBIOSDomainName%\%securityID%.
例如,EXAMPLE\UsernameAdmin。这是 Windows 在计算机管理 → 本地用户和组 → 组 → 管理员中显示它的方式。
- 在本地尝试使用PsGetSid,发现可以解析以下 Azure AD 登录格式:
%UPN%(仅当用户帐户之前已登录时)。AzureAD\%UPN%(无论用户帐户之前是否已登录)。AzureAD\%securityID%.
尝试使用 Azure AD 帐户和上述登录格式进行本地身份验证,发现本地运行方式可以处理以下内容:
%UPN%.AzureAD\%UPN%.AzureAD\%securityID%.
尝试使用本地管理员帐户进行远程身份验证,发现它们工作正常。
因此,Windows 似乎可以处理 Azure AD 帐户,但只能在本地而不是远程处理,这与 AD DS 帐户不同。
我在网上找到的所有东西要么不是针对这种特定情况,要么只是其他遇到同样问题的人。
这甚至可能吗?
从我的广泛测试中,我得出结论,Windows 10 v1909(截至撰写本文时的最新版本)根本不支持将 Azure AD 帐户/凭据与网络级身份验证 (NLA) 一起使用。
通过禁用 NLA 并手动编辑 .RDP 文件添加 .RDP 文件可以解决通过 RDP 进行的远程访问
enablecredsspsupport:i:0。似乎无法通过 SMB 进行远程访问。