设置 Azure AD 租户的访问权限
在下列功能区栏组中,可在各个 User Workspace 管理控制台中配置 Azure Active Directory (AAD) 信息:
-
Environment Manager -“管理”
-
Application Control -“全局设置”
-
Performance Manager -“资源设置”
租户
租户信息以配置为单位进行保存,且包含下列内容:
租户 ID:租户 ID 必须是 GUID 或租户主域名,例如mydomain.onmicrosoft.com,并且可在 AAD 门户网站中找到。
应用程序(客户端)ID:门户网站上应用程序注册中的应用程序 ID (GUID)。
证书指纹:上传至门户网站的证书指纹。控制台还可通过浏览 .cer 或 .pfx 文件来检索指纹。
如果未输入租户信息,控制台将不允许创建任何 AAD 条件/规则/资源管理组。添加此类 AAD 用户/组条件和规则时,选取器将要求控制台提示输入 Azure AD 用户的身份。该用户必须有权读取租户中的所有用户或组,否则选取器将无法正常工作。默认 AAD 用户权限允许这样做。
使用单独的应用程序注册并没有明显的好处,反而会增加维护成本。
条件、规则和限制
在 Environment Manager 中,可在已加入 AAD 域的端点上使用四个条件。加入可以是完全加入或混合加入(其中端点是本地 AD 域的成员,通过 AAD Connect 同步到 AAD 域)。这些条件包括:
-
AAD 计算机组成员资格
-
AAD 用户组成员资格
-
AAD 用户名
-
AAD 客户端计算机组成员资格
Application Control 允许创建 AAD 用户和 AAD 组,Performance Manager 允许基于特定的 AAD 用户或组进行资源管理。AAD 条件和规则需要将用于加密的证书安装在本地计算机/个人证书存储区中,并将其私钥安装在端点上。无法从控制台将证书部署到端点。如果不存在证书,将记录错误,且任何 AAD 条件或规则都将失败。
AAD 条件和规则只会在端点上评估是否已加入 Azure AD 域,无论是直接加入还是混合加入(使用本地 AD 域上的 Azure AD Connect)。如果不是这样,条件和规则将失败并显示错误。
与 AD 条件不同,Azure AD 条件只在下列时间进行评估:
-
启动时,会评估计算机组成员资格。当网络可用时,会评估这些条件。由于组信息可能过时或缺失,可能无法将 AAD 计算机组条件添加至计算机启动触发器。
-
用户登录时,将评估用户组和客户端计算机组条件,并重新评估计算机组成员资格。
组成员资格的任何变化都只会在下次登录时显示。
AAD 用户名条件/规则假定,在混合加入时,用户的本地用户主体名称 (UPN) 与 Azure AD 名称相匹配。为此,需要在 Azure 租户中注册本地 UPN 前缀,并将其作为自定义域名进行验证。
数据收集和日志记录
Azure AD 数据由可执行文件 AADDataCollector.exe 收集,该可执行文件在启动和登录时使用适合的参数运行。该可执行文件仅运行一次,且会在这些时间段内退出。下方为所收集的数据及其在磁盘上的位置:
-
计算机所属 AAD 组的列表(其中包括嵌套组),由 AAD 计算机组条件使用。
%PROGRAMDATA%\AppSense\{Product}\AADComputerGroups.store -
当前用户(具有 SID {sid})所属组的列表(其中包括嵌套组)。由 AD 用户组规则和条件使用。
%LOCALAPPDATA%\AppSense\{Product}\AADUserGroups_{sid}.store -
已连接设备(即远程连接的源计算机)所属的组。由 AAD 客户端计算机组条件使用。只有已连接计算机位于与端点相同的 Azure 域之中,并且其 NETBIOS 名称与其 AAD 中的设备名称相匹配,此条件才可用。当前用户(具有 SID {sid})所属组的列表(其中包括嵌套组)。由 AD 用户组规则和条件使用。
%LOCALAPPDATA%\Local\AppSense\{Product}\AADDevice_{devicename}_{sid}.store
文件的结构与会话变量文件相同,且包含名称/值对。在这种情况下,名称为组对象 ID,值为组名称。保存组名称后,可使用 Environment Manager 中的条件来评估通配符和正则表达式查询。
AADDataCollector 可执行文件将启动日志记录,调用方将读取该日志并依次记录。如果启用 Environment Manager 的日志记录,例如当启用“EmSystem”和“EmUser”日志记录时,将显示来自收集器的日志。