我们在 Azure 中为一位客户提供了一个基础结构,它需要许多配置,例如带有 VPN 和远程桌面的 MFA(这就是我对 Azure AD 感到困惑的原因)。
安装应该只在 Azure 中,这意味着没有可以同步到它的本地 AD。
我为他们创建了一个单独的 Azure 目录,并在其中配置了一个 AD DS,以便我可以将 Azure VM 加入其中。
我的问题是我被要求为远程桌面用户配置 MFA 以及 VPN 连接。我应该安装具有 MFA 扩展的本地 NPS 和本地 AD 用户的 MFA 要求应该与 Azure AD 同步。就我而言,这是不可能的,因为该客户没有本地网络。据我了解,此问题是因为我们无权管理 Azure AD DS Active Directory,因此我们无法使用 MFA 扩展注册 NPS。以下是与此主题相关的一些链接:
我的问题是:1)这个租户的单独 Azure AD 是一个好主意吗?在我们公司 Azure AD 中创建一个 Azure AD 域服务并将所需的组同步到它不是更好吗?这种情况的最佳做法是什么?
2) 为了在这里使用 Azure MFA,我应该怎么做?Azure 中是否还有其他选项可以实现这样的场景?
我会很高兴得到任何帮助或解释。