Remote-Access

無法使用 Azure AD 帳戶對 Windows 進行遠端身份驗證

  • December 13, 2019

如何使用 Azure AD 帳戶對加入 Azure AD 的 Windows 進行遠端身份驗證?

我有:

  1. 嘗試使用 Azure AD 帳戶和我知道的每種登錄格式(如下所列)進行遠端身份驗證,但都導致錯誤消息和帶有 ID 、狀態和子狀態The user name or password is incorrect的審核失敗事件,這意味著使用者不存在.

4625``0xC000006D0xC0000064

  • %UPN%.

例如,username.admin@domain.com

  • AzureAD\%UPN%.

例如,AzureAD\username.admin@domain.com

  • AzureAD\%username%.

例如,AzureAD\username.admin

  • AzureAD\%securityID%.

例如,AzureAD\UsernameAdmin。這似乎是刪除了空格的顯示名稱。

  • %NetBIOSDomainName%\%securityID%.

例如,EXAMPLE\UsernameAdmin。這是 Windows 在電腦管理 → 本地使用者和組 → 組 → 管理員中顯示它的方式。 2. 在本地嘗試使用PsGetSid,發現可以解析以下 Azure AD 登錄格式:

  • %UPN%(僅當使用者帳戶之前已登錄時)。
  • AzureAD\%UPN%(無論使用者帳戶之前是否已登錄)。
  • AzureAD\%securityID%.
  1. 嘗試使用 Azure AD 帳戶和上述登錄格式進行本地身份驗證,發現本地執行方式可以處理以下內容:
  • %UPN%.
  • AzureAD\%UPN%.
  • AzureAD\%securityID%.
  1. 嘗試使用本地管理員帳戶進行遠端身份驗證,發現它們工作正常。

因此,Windows 似乎可以處理 Azure AD 帳戶,但只能在本地而不是遠端處理,這與 AD DS 帳戶不同。

我在網上找到的所有東西要麼不是針對這種特定情況,要麼只是其他遇到同樣問題的人。

這甚至可能嗎?

從我的廣泛測試中,我得出結論,Windows 10 v1909(截至撰寫本文時的最新版本)根本不支持使用帶有網路級身份驗證 (NLA) 的 Azure AD 帳戶/憑據。

通過禁用 NLA 並手動編輯 .RDP 文件添加 .RDP 文件可以解決通過 RDP 進行的遠端訪問enablecredsspsupport:i:0

似乎無法通過 SMB 進行遠端訪問。

引用自:https://serverfault.com/questions/995334