Пользователь Azure AD B2B разрешает вход в RDS

Question

Пользователь Azure AD B2B разрешает вход в RDS

Наша ситуация выглядит следующим образом;

           Company A                           Company B            
+-----------------------------+     +----------------------------+ 
|                             |     |                            | 
|   +---------------------+   |     |   +--------------------+   | 
|   |  On Prem AD: main   |   |     |   |  Azure AD DS: ext  |   | 
|   +----------|----------+   |     |   +--------------------+   | 
|              |              |     |                            | 
|              |              |     |   +--------+  +--------+   | 
|              |Azure Sync    |     |   | RDS SH |  | RDS GW |   | 
|              |              |     |   +--------+  +--------+   | 
|              |              |     |                            | 
|   +----------|-----------+  |     |   +--------+               | 
|   | Azure AD:  main-sync |  |     |   | RDS CB |               | 
|   +----------------------+  |     |   +--------+               | 
|                             |     |                            | 
+-----------------------------+     +----------------------------+

Мы ищем способ разрешить пользователям компании A входить в среду RDS в компании B.

Серверы RDS объединяются в Azure AD DS.

Нашей первой мыслью было использование функции B2B Azure (гостевой аккаунт). Приглашение пользователя из main-sync домен в ext домен работает, но вход в среду RDS, работающую на серверах, подключенных к ext домен не работает.

Поскольку компания A уже использует синхронизацию Azure между своим основным доменом и собственным Azure AD, мы не можем использовать это для синхронизации main -> ext,

Что мы можем сделать, чтобы разрешить B2B-аккаунтам входить в RDS-среду?

В качестве альтернативы, если наш план разрешения входа в учетные записи B2B никогда не сработает, - какое было бы наименее навязчивое решение для компании A, позволяющее пользователям в RDS компании B входить в систему?

2

azure remote-desktop-services rds azure-active-directory-ds

Источник

Jeremy 28 июн '18 в 14:33

1 ответ

Решение

Другие вопросы по тегам azure remote-desktop-services rds azure-active-directory-ds

Sam Cogan 29 июн '18 в 10:55 2018-06-29 10:55 · Accepted Answer · 2018-06-29 10:55

Вы не сможете войти, используя гостевые учетные записи B2B. Когда вы создаете гостевую учетную запись, она добавляется в Azure AD, и, поскольку вы используете AAD DS, ее можно увидеть на машинах RDS, однако ни одна из данных пароля не синхронизируется с клиентом B2B. Так как машины RDS не понимают AAD, они не могут искать учетные данные в исходном клиенте (как при входе в AAD) и поэтому не работают.

Поскольку вы используете AAD DS в домене B, вы немного ограничены в своих возможностях. AAD DS не поддерживает трасты, так что нет. Вы можете посмотреть на использование ADFS. Самым простым вариантом может быть создание второго набора учетных записей в домене B для пользователей из домена A.