O AzureAD é apenas um diretório. O fluxo do Auth pode ocorrer de algumas maneiras diferentes (versões fornecidas pela Microsoft).
- Contas e senha da nuvem nativa do AzureAD. Autenticação e autorização tudo acontece no AzureAD.
- AzureAD com o AzureAD se conecta a contas de sincronização e / ou senha hashes. Isso sincroniza contas de domínio. O AzureAD Connect é um recurso personalizado versão do Microsoft Identity Manager configurada para funcionar diretamente com contas de domínio. Autenticação e autorização ainda acontecem no AzureAD.
- AzureAD com o AzureAD Connect e a Autenticação de Passthrough. este é onde a coisa muda - Authentication happesn no domínio controlador. O AzureAD confia no controlador de domínio e, em seguida, autoriza acesso a recursos
- AzureAD com ADFS (ou IdP de terceiros de SAML) - funciona como acima, a autenticação é movida para o AD via ADFS como o proxy.
A autenticação também é configurada em um domínio no AzureAD. Ou seja, os domínios individuais são configurados para um determinado esquema de autenticação e não para contas de usuários individuais.
Para uma configuração de desenvolvedor, se você tiver um domínio pequeno, poderá sincronizá-lo e manter as contas juntas.
Sem um controlador de domínio, você pode usar contas em nuvem e scripts simples para recriar contas e senhas. por exemplo, execute um script do PowerShell que crie a representação de conta local no AzureAD e também inclua a senha e defina-a para a conta local e a conta da nuvem. Eles ainda são entidades separadas e não vinculadas, mas obtêm um resultado semelhante. Agora, se o domínio que você deseja usar já estiver configurado para autenticação que não seja na nuvem (passagem, federado), não será possível criar uma conta somente na nuvem com esse domínio.
Para fazer isso no nível da conta, você precisa de direitos dentro do diretório do AzureAD. Os direitos do contribuidor permitem que você implemente ativos na assinatura, mas não infere nenhum direito no nível do diretório. E lembre-se de que algumas alterações afetam todo o domínio verificado, de modo que isso pode afetar todos os usuários cujos IDs de login estão vinculados a esses domínios.