Windows Hello for Business - гибридные устройства, подключенные к Azure, - поведение при регистрации вне локальной сети
Environment Устройства Windows 10 Professional, гибридная Azure AD Joined (физическая) DCs сервера 2019 AD Connect 1.5.45 Настройка доверительного ключа Endpoint Manager используется для развертывания WHfB Точка распространения CRL опубликована на внутренних и внешних веб-серверах Проверено, что файлы CA и CA+.crl доступны с конечных точек Windows 10, подключенных и не подключенных к локальной сети
Подробности Когда мастер WHfB запускается в первый раз и пользователь находится вне локальной сети, настройка PIN завершается без проблем.
Однако после выхода пользователя из системы или блокировки экрана PIN-код не срабатывает
Появляется сообщение "Ваши учетные данные не удалось проверить". При этом также учитывается 30-минутная синхронизация с AD Connect.
Однако, как только пользователь возвращается к использованию пароля для входа, затем активирует VPN и блокирует рабочую станцию, оставаясь подключенным, PIN-код срабатывает для разблокировки.
Последующее использование PIN-кода также будет работать, когда VPN не подключена, включая изменение и сброс PIN-кода.
Устройства на базе локальной сети не имеют никаких проблем, и WHfB работает, как и ожидалось.
Может ли кто-нибудь подсказать, каков правильный рабочий процесс при регистрации вне локальной сети?
То, что вы видите, является ожидаемым и задумано:
В приведенной выше модели развертывания (гибридная аутентификация присоединения к Azure AD с использованием ключа) только что подготовленный пользователь не сможет войти в систему с помощью Windows Hello для бизнеса до тех пор, пока (a) Azure AD Connect успешно синхронизирует открытый ключ с локальной службой Active Directory, и (b) устройство впервые видит контроллер домена .