Windows Server 2019服务帐户未与Azure AD同步

k3bvogb1  于 2023-02-13  发布在  Windows
关注(0)|答案(1)|浏览(177)

我遇到Windows Server服务帐户[内部部署]无法与Azure AD同步到Azure VM服务器的问题。
目前在Azure中有一个VM,在内部有一个AD,它与AAD同步。
同步所有用户帐户,但不同步服务帐户。
我的问题是,如果Windows服务帐户的类型无法同步,那么Azure对这些帐户的等效项是什么?我们是否可以改用用户/系统分配的托管身份?如果可以......如何操作?最后,我们如何在Azure VM中看到此托管身份?
我是新来的AAD,所以任何帮助将不胜感激。
我已创建用户分配的托管标识,但无法将其视为VM中的服务帐户类型。它未显示在Azure VM的Active Directory中。

wbgh16ku

wbgh16ku1#

我尝试在我的环境中重现相同内容,以将本地服务帐户同步到Azure AD

我创建了一个内部部署服务帐户,如下所示:

Add-KDSRootKey -EffectiveTime ((Get-Date).AddHours(-8))
add-kdsrootkey -EffectiveImmediately
Get-KdsRootKey

New-ADServiceAccount –Name gserviceaccount1–DNSHostname DC1.comptech.com –PrincipalsAllowedToRetrieveManagedPassword "gserviceaccount1Group"

注意:Azure服务帐户特定于Azure平台,并且不与内部部署Active Directory关联。无法将Azure服务帐户从内部部署AD同步到Azure Active Directory。

服务帐户不应是任何特权组的成员,因为特权组成员身份授予的权限可能存在安全风险。

我的问题是,如果Windows服务帐户的类型无法同步,那么Azure对这些帐户的等效项是什么?我们是否可以改用用户/系统分配的托管身份?如果可以......如何操作?最后,我们如何在Azure VM中看到此托管身份?
您可以使用用户/系统分配的托管身份***在您的虚拟机-〉设置不足。点击身份-〉状态如下:***

在您的订阅或任何服务中,单击***访问控制(IAM),选择将访问分配为***托管身份***并选择您的虚拟机***成员,如下所示:

参考

Active Directory service accounts - Microsoft Entra | Microsoft Learn

相关问题