UWP - 在 ADAL 身份验证中启用专用网络

Question

我们正在使用 Xamarin 表单创建一个 UWP 应用，出于登录目的，已使用 ADAL。当我们连接到 VPN 时，身份验证已成功进行。但是，当我们尝试在不需要 VPN 的客户端网络中运行相同的应用程序时，应用程序不会显示 ADAL IWA（集成 Windows 身份验证），而是收到错误消息“我们无法连接到服务”你现在就需要。请检查您的网络连接或稍后重试。”我附上了一张图片供参考。经过进一步调查，我们在 Microsoft 论坛 (https://learn.microsoft.com/en-us/azure/active-directory/develop/msal-net-uwp-considerations）。解决方案是在 HKEY_LOCAL_MACHINE 中的 Authhost.exe 的注册表编辑器中启用专用网络。运行以下命令后，我们可以绕过该问题。但我们不想在每台最终用户计算机或设备上编辑注册表。因此，我们尝试在应用程序内以编程方式编辑注册表，但出现安全异常。

通过命令提示符启用专用网络：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image 文件执行选项\authhost.exe\EnablePrivateNetwork = 00000001

尝试以编程方式编辑注册表时出错：

System.Security.SecurityException: '请求的注册表访问权限不是 允许。'

以编程方式编辑注册表的参考：

https://codingvision.net/c-edit -registry-keys-or-values

那么，我们需要了解，解决这个问题的最佳方法是什么？

1. 我不想使用命令提示符或 注册表编辑器应用程序。

2. 是否可以通过 AD 组策略或 Windows 操作系统设置启用专用网络。

3. 启用专用网络的任何其他可能的方式

注意： 相同的代码在 Android 环境中运行良好。问题仅出现在 Windows 上。

Answer 1

• 不存在可以在 ADAL 身份验证中更改专用网络注册表中的此选项的组策略。但您当然可以通过组策略更改此注册表设置，因为它是启用专用网络进行 ADAL 身份验证的唯一解决方案。为此，请按照组策略中的以下步骤操作： -

a) 登录组策略服务器/域控制器并打开组策略管理 GUI，然后选择默认域组策略并进行编辑。

b) 然后转到“计算机配置-->”首选项-> Windows 设置 -->注册表-->新-->注册表向导”。注册表向导将打开并允许您连接到远程计算机并选择适当的注册表项，即'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\authhost.exe\EnablePrivateNetwork = 00000001'

c) 选择系统中存在上述注册表项的正确客户端系统，然后选择它。另请注意，注册表浏览器允许您从配置单元中选择注册表项'HKEY_LOCAL_MACHINE'和'HKEY_USERS'。另外，如果远程系统无法从注册表查找器连接，请确保系统已打开，访问未被防火墙阻止，并且远程注册表服务未停止。

d) 完成后，上述注册表项将连同工作区中该注册表项的所需路径一起导入到组策略控制台中。完成后，应部署 GPO，这样，注册表项将在该域网络中的所有客户端系统上推送和更新。

• 如果您不想将其部署到所有域网络，则在部署此注册表项时，您必须创建一个新的组策略对象并从组策略服务器中选择适当的 OU。