Azure

Azure AD B2B 使用者允許 RDS 登錄

  • June 29, 2018

我們的情況如下;

          Company A                           Company B            
+-----------------------------+     +----------------------------+ 
|                             |     |                            | 
|   +---------------------+   |     |   +--------------------+   | 
|   |  On Prem AD: main   |   |     |   |  Azure AD DS: ext  |   | 
|   +----------|----------+   |     |   +--------------------+   | 
|              |              |     |                            | 
|              |              |     |   +--------+  +--------+   | 
|              |Azure Sync    |     |   | RDS SH |  | RDS GW |   | 
|              |              |     |   +--------+  +--------+   | 
|              |              |     |                            | 
|   +----------|-----------+  |     |   +--------+               | 
|   | Azure AD:  main-sync |  |     |   | RDS CB |               | 
|   +----------------------+  |     |   +--------+               | 
|                             |     |                            | 
+-----------------------------+     +----------------------------+

我們正在尋找一種方法,允許 A 公司的使用者登錄 B 公司的 RDS 環境。

RDS 伺服器加入 Azure AD DS。

我們的第一個想法是利用 Azure 的 B2B 功能(訪客帳戶)。邀請main-sync域中的ext域中的使用者有效,但無法登錄在加入ext域的伺服器上執行的 RDS 環境。

由於 A 公司已經在他們的主域和他們自己的 Azure AD 之間使用了 Azure Sync,我們不能使用它來同步main-> ext

我們可以做些什麼來讓 B2B 帳戶登錄到 RDS 環境?

或者,如果我們允許 B2B 帳戶登錄的計劃永遠不會奏效,那麼對於 A 公司來說,允許 B 公司的 RDS 中的使用者登錄的侵入性最小的解決方案是什麼?

您將無法使用 B2B 訪客帳戶登錄。當您創建來賓帳戶時,它會被添加到 Azure AD,並且由於您使用 AAD DS,因此 RDS 電腦可以看到它,但是,沒有任何密碼數據會同步到 B2B 租戶中。由於 RDS 機器不了解 AAD,它們無法在源租戶中查找憑據(就像您使用 AAD 登錄一樣),因此失敗。

因為您在域 B 中使用 AAD DS,所以您可以執行的操作有點受限。AAD DS 不支持信任,因此不支持。您也許可以考慮使用 ADFS。最簡單的選擇可能只是在域 B 中為域 A 的使用者創建第二組帳​​戶。

引用自:https://serverfault.com/questions/918681