Аутентификация AAD на виртуальной машине Azure Windows Server 2019

Question

У меня возникают проблемы с аутентификацией моей виртуальной машины Azure Windows Server 2019 с моим пользователем AAD.

Согласно документации Microsoft: https://docs.microsoft.com/en-us/azure/active-directory/devices/howto-vm-sign-in-azure-ad-windows, я создал Azure Windows Виртуальная машина Server 2019 с использованием Terraform и установленным Windows Расширение аутентификации AAD с использованием:

  provisioner "local-exec" {
    command = "az vm extension set --publisher Microsoft.Azure.ActiveDirectory --name AADLoginForWindows --resource-group ${data.azurerm_resource_group.RG.name} --vm-name ${var.prefix}"
  }

Машина запущена и работает, и расширение успешно установлено.

Я также назначил соответствующую роль пользователям и группам, чтобы войти в эту виртуальную машину с аутентификацией AAD.

И убедитесь, что конфигурация моей виртуальной машины разрешает исходящий доступ через TCP-порт 443.

Однако при попытке войти в виртуальную машину с помощью RDP и моего AAD пользователь (связанный с ролью), я получаю сообщение об ошибке «Попытка входа в систему не удалась», как показано выше.

Я пытаюсь RDP Windows 10 ВМ из Windows 10 ВМ Pro.

Моя Windows 10 Pro виртуальная машина присоединена к Azure AD (с моим пользователем AAD).

Тем не менее, я получаю эту ошибку, когда RDP к другой Windows виртуальной машине с моей основной виртуальной машины Win10Pro. При попытке входа на Linux виртуальные машины с аутентификацией AAD все работает должным образом.

Выполнение команды «dsregcmd / status» из виртуальной машины Win10Pro дало результат, указанный выше:

Также пробовал RDP с «AzureAD \ Username@Domain», но git та же ошибка учетных данных.

В чем может быть проблема? Спасибо за помощь :)

Answer 1

Для ошибки вы можете проверить, что Windows 10 P C, который вы используете для инициирования подключения к удаленному рабочему столу, является либо Azure, присоединенным к AD, либо гибридным Azure AD, присоединенным к тот же Azure каталог AD , к которому присоединена ваша виртуальная машина. Для получения дополнительной информации см. документ .

Обратите внимание, что

Удаленное подключение к виртуальным машинам, присоединенным к Azure AD, разрешено только с Windows 10 Компьютеры, подключенные к Azure AD или гибридные Azure AD, подключенные к тому же каталогу , что и виртуальная машина. Кроме того, для RDP, использующего учетные данные Azure AD, пользователь должен принадлежать к одной из двух ролей RBA C: вход администратора виртуальной машины или вход пользователя виртуальной машины.

Answer 2

Решено, мне пришлось настроить как Windows10Pro, с которой я использую RDP, так и Windows10Pro, с которой я использую RDP, для присоединения к Azure AD с моим пользователем AAD. Только когда я присоединил обе виртуальные машины к AAD с моим пользователем AAD, я смог использовать RDP с этим пользователем.

Итак, в случае аутентификации с использованием учетных данных AAD на Windows ВМ следует рассмотреть некоторые шаги:

Машина, на которой выполняется RDP, должна быть Windows 10.

Машина, на которой выполняется RDP, должна быть Windows 10.

Расширение AADLoginFor Windows должно быть установлено на удаленной виртуальной машине.

Роли входа должны быть назначены пользователю / группе AAD для удаленной виртуальной машины.

Обе машины должны быть Azure присоединены к AD или гибридны Azure присоединены к AD.