azure - AAD、AADConnect、MSAL 和托管用户错误

问题描述

我有一个通过 AADConnect 复制到 AAD 租户的本地 AD 林。那里似乎一切正常，本地用户可以毫无问题地复制到 Azure AD 实例。

我有一个加入本地域的 Win10 桌面，它正在使用 MSAL 运行 AC# 测试应用程序并调用

app.AcquireTokenByIntegratedWindowsAuth(scopes);

这会引发异常

Microsoft.Identity.Client.MsalClientException
HResult=0x80131500
Message=Integrated Windows Auth is not supported for managed users. See https://aka.ms/msal-net-iwa for details.

从此处的 Microsoft 文档中，此异常在以下条件下引发：

此方法依赖于 Active Directory (AD) 公开的协议。如果在没有 AD 支持的情况下在 Azure Active Directory 中创建用户（“托管”用户），则此方法将失败。在 AD 中创建并由 AAD 支持的用户（“联合”用户）可以从这种非交互式身份验证方法中受益。缓解：使用交互式身份验证。

但我的用户不是“托管用户”，它是 AAD 中的用户，由 AD 中的用户支持 - 正如它所说的那样是必需的。

如果我不使用托管用户，为什么会出现此错误？

标签： azureactive-directoryazure-active-directorymsal