混合Azure加入设备.关闭局域网注册行为

Question

环境Windows 10专业设备，混合Azure AD连接服务器2019 DCs 1.5.45关键信任设置端点管理器用于部署发布到内部和外部WHfB服务器的CA+.crl分发点，验证CA和CA+.crl文件可从局域网和非局域网连接的Windows 10端点访问

当WHfB向导第一次运行并且用户离开局域网时，PIN设置完成时没有问题。

但是，一旦用户登录或锁定屏幕，PIN代码就无法工作。

显示“无法验证您的凭据”。这也是考虑到30分钟同步回到AD连接。

然而，一旦用户恢复使用他们的密码登录，然后激活VPN，然后锁定工作站，同时仍然连接，PIN代码将用于解锁。

当VPN未连接时，PIN的后续使用也将工作，包括更改和重置PIN。

基于局域网的设备一点问题都没有，WHfB也可以正常工作。

有谁能建议什么是正确的工作流程时，登记离开局域网？

Answer 1

你所看到的一切都是意料之中的，而且是精心设计的：

在上述部署模型(使用密钥的混合Azure AD连接身份验证)中，新提供的用户将无法使用Windows Hello for Business登录，直到(a) Azure AD Connect成功地将公钥同步到现场Active和(b)设备首次与域控制器有视线。

https://docs.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/hello-how-it-works-authentication#hybrid-azure-ad-join-authentication-using-a-key