у нас есть инфраструктура для одного клиента в Azure, для которой требуется множество конфигураций, таких как MFA с VPN и удаленным рабочим столом (именно поэтому я путаюсь с Azure AD).
Установка должна быть тольков Azure это означает, что нет локальной AD, которую можно синхронизировать с ним.
Я создал для них отдельный каталог Azure и настроил в нем AD DS, чтобы я мог присоединить к нему виртуальные машины Azure.
Моя проблема в том, что меня попросили настроить MFA для пользователей удаленного рабочего стола вместе с подключением VPN.Требование, чтобы MFA установил локальный NPS с расширением MFA, а локальные пользователи AD должны быть синхронизированы с Azure AD.Что в моем случае невозможно сделать, так как для этого клиента нет локальной сети.Эта проблема, как я понял, заключается в том, что у нас нет разрешений на администрирование Active Directory Azure AD DS и поэтому мы не можем зарегистрировать NPS с расширением MFA.Вот несколько ссылок, связанных с этой темой:
Запрос поддержки NPS / RADIUS для доменных служб Azure AD
Интеграция шлюза удаленных рабочих столов с Azure MFA
- Интеграция VPN с Azure MFA
Мой вопрос здесь: 1)отдельная Azure AD для этого арендатора хорошая идея?Не лучше ли просто создать доменные службы Azure AD внутри нашей компании Azure AD и синхронизировать с ними необходимые группы?Какую практику лучше всего использовать в этой ситуации?
2) Что мне нужно сделать с помощью Azure MFA, что мне делать?есть ли другой вариант в Azure для реализации такого сценария?
Буду рад любой помощи или объяснениям.