Azure Windows Server 2019虚拟机的AAD身份验证

我在使用AAD用户验证Azure Windows Server 2019虚拟机时遇到问题

根据Microsoft的文档：，我使用Terraform创建了Azure Windows Server 2019 VM，并使用以下工具安装了Windows AAD身份验证扩展：

  provisioner "local-exec" {
    command = "az vm extension set --publisher Microsoft.Azure.ActiveDirectory --name AADLoginForWindows --resource-group ${data.azurerm_resource_group.RG.name} --vm-name ${var.prefix}"
  }

机器已启动并正在运行，扩展已成功安装。

我还为用户和组分配了适当的角色，以便使用AAD身份验证登录该VM。

并确保我的VMs网络配置允许通过TCP端口443进行出站访问

但是，当尝试使用RDP和我的AAD用户（与角色关联）登录VM时，我会收到错误“登录尝试失败”，如上所示

我正在尝试从Windows10Pro虚拟机RDP Windows10VM。

我的Windows 10 Pro虚拟机已加入Azure AD（使用我的AAD用户）。

然而，当RDP从我的主Win10Pro虚拟机连接到另一个Windows虚拟机时，我遇到了这个错误。 当尝试使用AAD身份验证登录Linux虚拟机时，一切正常

从Win10Pro虚拟机运行命令“dsregcmd/status”得到了上述输出：

也尝试过用“AzureAD”进行RDP\Username@Domain“但是git遇到了相同的凭据错误

有什么问题吗？

---

感谢您的帮助：）

对于此错误，您可以验证用于启动远程桌面连接的Windows 10 PC是否已加入Azure AD，或者是否已将混合Azure AD加入到您的VM所加入的同一Azure AD目录中。有关更多信息，请参阅

请注意

仅允许从远程连接到加入Azure AD的VM 已加入Azure AD或混合Azure AD的Windows 10 PC 目录与VM目录相同。此外，还可以使用Azure AD访问RDP 凭据，用户必须属于两个RBAC角色之一， 虚拟机管理员登录或虚拟机用户登录

---

解决了这个问题，我必须配置我的RDP来源的Windows10Pro和我的AAD用户加入Azure AD的Windows10Pro。 只有当我使用AAD用户将两个VM加入AAD时，我才能使用该用户进行RDP

因此，在使用AAD凭据对Windows VM进行身份验证时，应考虑以下步骤：

我们使用的RDP机器应该是Windows 10

我们要安装的机器应该是Windows10

应在远程VM上安装AADLoginForWindows扩展。

登录角色应与AAD用户/组一起分配给远程VM。

这两台机器都应加入Azure AD或混合Azure AD

---

我试图按照文档进行操作，但尚未成功。使用我最近的配置更新了问题。请尝试使用用户名

AzureAD登录\USERNAME@DOMAIN.onmicrosoft.com

like？。或者尝试在本地Azure VM上运行

dsregcmd/status

。目标是设备状态显示为

AzureAdJoined:YES

，SSO状态显示为

AzureAdPrt:YES

。这里是一个循序渐进的教程，在尝试使用“AzureAD”时仍然会出现相同的错误\USERNAME@DOMAIN.onmicrosoft.com". 运行该命令时，我看到该帐户与Azure AD关联。您所说的

我正在尝试从Windows 10 Pro VM中RDP Windows 10 VM。

？您是否对该Azure VM服务器2019或windows 10进行了RDP？这两种情况下，我都尝试将我的Windows10Pro虚拟机RDP到Windows10Pro Azure虚拟机，但均未成功，也尝试将Windows10Pro Azure虚拟机RDP到windows 2019数据中心Azure虚拟机，但均未成功。