对 Azure Windows Server 2019 虚拟机的 AAD 身份验证

Question

我在使用 AAD 用户验证我的 Azure Windows Server 2019 虚拟机时遇到问题。

根据 Microsoft 的文档：https://docs.microsoft.com/en-us/azure/active-directory/devices/howto-vm-sign-in-azure-ad-windows，我使用 Terraform 创建了 Azure Windows Server 2019 VM，并使用以下方法安装了 Windows AAD 身份验证扩展：

  provisioner "local-exec" {
    command = "az vm extension set --publisher Microsoft.Azure.ActiveDirectory --name AADLoginForWindows --resource-group ${data.azurerm_resource_group.RG.name} --vm-name ${var.prefix}"
  }

机器已启动并运行，扩展安装成功。

我还为用户和组分配了适当的角色，以便使用 AAD 身份验证登录该 VM。

并确保我的虚拟机网络配置允许通过 TCP 端口 443 进行出站访问。

但是，当尝试使用 RDP 和我的 AAD 用户（与角色关联）登录 VM 时，我收到错误“登录尝试失败”，如上所示。

我正在尝试从 Windows 10 Pro 虚拟机 RDP Windows 10 虚拟机。

我的 Windows 10 Pro VM 已加入 Azure AD（与我的 AAD 用户一起）。

然而，当我从我的主 Win10Pro 虚拟机 RDP 到另一个 Windows 虚拟机时，我收到了这个错误。 尝试使用 AAD 身份验证登录 Linux VM 时，一切正常。

从 Win10Pro VM 运行命令“dsregcmd /status”会得到上述输出：

还尝试使用“AzureAD\Username@Domain”进行 RDP，但出现相同的凭据错误。

可能是什么问题？ 感谢您的帮助:)

Answer 1

对于该错误，您可以验证您用于启动远程桌面连接的 Windows 10 PC 是已加入 Azure AD 或混合 Azure AD 已加入相同的 Azure AD 目录 您的 VM 加入的位置。如需更多信息，请参阅document。

请注意

仅允许远程连接到加入 Azure AD 的 VM 已加入 Azure AD 或混合 Azure AD 的 Windows 10 PC 与 VM 相同的 目录。此外，使用 Azure AD 进行 RDP 凭据，用户必须属于两个 RBAC 角色之一， 虚拟机管理员登录或虚拟机用户登录。

Answer 2

已解决，我必须配置我的 RDP 来自的 Windows10Pro 和我的 RDP 的 Windows10Pro，以便与我的 AAD 用户一起加入 Azure AD。 只有当我使用我的 AAD 用户将两个 VM 加入 AAD 时，我才能与该用户进行 RDP。

因此，在使用 AAD 凭据对 Windows VM 进行身份验证的情况下，应考虑一些步骤：

1. 我们 RDP 的机器应该是 Windows 10。

2. 我们 RDP 到的机器应该是 Windows 10。

3. AADLoginForWindows 扩展应安装在远程 VM 上。

4. 应将登录角色与 AAD 用户/组一起分配给远程 VM。

5. 两台计算机都应加入 Azure AD 或混合 Azure AD。