無法使用 Azure AD 帳戶對 Windows 進行遠端身份驗證

如何使用 Azure AD 帳戶對加入 Azure AD 的 Windows 進行遠端身份驗證？

我有：

1. 嘗試使用 Azure AD 帳戶和我知道的每種登錄格式（如下所列）進行遠端身份驗證，但都導致錯誤消息和帶有 ID 、狀態和子狀態The user name or password is incorrect的審核失敗事件，這意味著使用者不存在.

4625``0xC000006D0xC0000064

• %UPN%.

例如，username.admin@domain.com。

• AzureAD\%UPN%.

例如，AzureAD\username.admin@domain.com。

• AzureAD\%username%.

例如，AzureAD\username.admin。

• AzureAD\%securityID%.

例如，AzureAD\UsernameAdmin。這似乎是刪除了空格的顯示名稱。

• %NetBIOSDomainName%\%securityID%.

例如，EXAMPLE\UsernameAdmin。這是 Windows 在電腦管理 → 本地使用者和組 → 組 → 管理員中顯示它的方式。 2. 在本地嘗試使用PsGetSid，發現可以解析以下 Azure AD 登錄格式：

• %UPN%（僅當使用者帳戶之前已登錄時）。
• AzureAD\%UPN%（無論使用者帳戶之前是否已登錄）。
• AzureAD\%securityID%.

3. 嘗試使用 Azure AD 帳戶和上述登錄格式進行本地身份驗證，發現本地執行方式可以處理以下內容：

• %UPN%.
• AzureAD\%UPN%.
• AzureAD\%securityID%.

4. 嘗試使用本地管理員帳戶進行遠端身份驗證，發現它們工作正常。

因此，Windows 似乎可以處理 Azure AD 帳戶，但只能在本地而不是遠端處理，這與 AD DS 帳戶不同。

我在網上找到的所有東西要麼不是針對這種特定情況，要麼只是其他遇到同樣問題的人。

這甚至可能嗎？

從我的廣泛測試中，我得出結論，Windows 10 v1909（截至撰寫本文時的最新版本）根本不支持使用帶有網路級身份驗證 (NLA) 的 Azure AD 帳戶/憑據。

通過禁用 NLA 並手動編輯 .RDP 文件添加 .RDP 文件可以解決通過 RDP 進行的遠端訪問enablecredsspsupport:i:0。

似乎無法通過 SMB 進行遠端訪問。

引用自：https://serverfault.com/questions/995334