如何在 Windows 服務器 2019 上使用 Azure AD 憑據登錄到 Azure AD 加入的 VM？

Question

我目前正在嘗試使用 Azure AD 憑據在 Windows 2019 服務器上啟用 VM 登錄。 為此，我遵循了 Microsoft 文檔： https://learn.microsoft.com/en-us/azure/active-directory/devices/howto-vm-sign-in-azure-ad-windows

我嘗試在 Azure AD 中創建一個新用戶作為“成員”類型。 然后，我創建了一個 Windows Server 2019 VM，並啟用了“使用 Azure AD 登錄”，如文檔中所示。 之后，我將“虛擬機管理員登錄”角色分配給了新用戶。 然后我嘗試使用新的用戶憑據登錄到 VM。 不幸的是，它沒有用。 我遇到“您的憑據不起作用”錯誤消息。

使用本地用戶，我可以登錄到虛擬機。 我試圖卸載並重新安裝“Microsoft.Azure.ActiveDirectory.AADLoginForWindows”擴展。 我用命令檢查了虛擬機：“dsregcmd/status”，虛擬機是否真的是 Azure AD 加入。

以前有人做過並且知道為什么它不起作用嗎？ 我做錯了什么？

此致！

Answer 1

我試圖在我的環境中重現相同的內容並成功添加

我添加了用戶並創建了啟用 Windows Server 2019 的 VM 使用Azure AD 登錄。 在創建 azure vm 時，請確保提供與 azure 廣告用戶憑據相同的用戶名和密碼。

驗證您是否在 Azure 中添加了AADLoginForWindows Extension ，如下所示：

下載的 RDP 文件並嘗試登錄它顯示錯誤。 要解決此問題，請使用不同的帳戶使用“\”嘗試如下登錄。

 <VMname>\Username or localhost\username and password

確保使用正確的憑據當 RDP VM 使用 Azure AD 憑據時，為了登錄，如果仍然出現錯誤，您也可以重置密碼嘗試登錄。

Once RDP has opened try to Join a Windows 10 Device to Azure AD and on your Windows 10 Azure VM -> system properties -> remote setting -> uncheck Allow connections only from computers as below:

將 azure 廣告用戶添加到 RDP 用戶組 以管理員身份運行命令提示符，如下所示：

net localgroup "Remote Desktop Users" /add "AzureAD\the-UPN-attribute-of-your-user"

帳戶應該是AzureAD\USERNAME@DOMAIN.onmicrosoft.com類型。

要確認 Azure AD 用戶已添加，請在 powershell 中運行Get-LocalGroupMember -Name "Remote Desktop users "。

然后，我修改了 azure vm RDP 文件。 如果您在出現錯誤之前修改此文件，請單擊下載 RDP 文件 -> 右鍵單擊使用記事本文件打開並嘗試添加如下所示並保存

address:s:IPADDRESS:3389
prompt for credentials:i:0
authentication level:i:2
enablecredsspsupport:i:0
username:s:USERNAME@DOMAIN.onmicrosoft.com
domain:s:AzureAD

並嘗試連接此 RDP 文件。 確保您需要使用AzureAD\username@domain.onmicrosoft.com 。 如果您只輸入 Azure AD 用戶帳戶而不輸入域，則可能會導致錯誤。

參考： 使用 Azure 門戶分配 Azure 角色 - Azure RBAC | 微軟學習