Häufig gestellte Fragen (FAQs) zur Bereitstellung hybrider FIDO2-Sicherheitsschlüssel in Microsoft Entra ID
In diesem Artikel werden häufig gestellte Fragen (Frequently Asked Questions, FAQs) zur Bereitstellung von in Microsoft Entra eingebundenen Hybridgeräten und zur kennwortlosen Anmeldung bei lokalen Ressourcen behandelt. Bei diesem kennwortlosen Feature können Sie die Microsoft Entra-Authentifizierung auf Windows 10-Geräten für in Microsoft Entra eingebundene Hybridgeräte mithilfe von FIDO2-Sicherheitsschlüsseln aktivieren. Benutzer und Benutzerinnen können sich auf ihren Geräten mit modernen Anmeldeinformationen wie FIDO2-Schlüsseln bei Windows anmelden und auf herkömmliche AD DS-basierte Ressourcen (Active Directory Domain Services) zugreifen, indem sie für ihre lokalen Ressourcen nahtloses einmaliges Anmelden (Single Sign-On, SSO) nutzen.
Für Benutzer in einer Hybridumgebung werden folgende Szenarien unterstützt:
- Melden Sie sich mit FIDO2-Sicherheitsschlüsseln auf in Microsoft Entra eingebundenen Hybridgeräten an, und erhalten Sie SSO-Zugriff auf lokale Ressourcen.
- Melden Sie sich mit FIDO2-Sicherheitsschlüsseln auf in Microsoft Entra eingebundenen Geräten an, und erhalten Sie SSO-Zugriff auf lokale Ressourcen.
Informationen zu den ersten Schritten mit FIDO2-Sicherheitsschlüsseln und dem Hybridzugriff auf lokale Ressourcen finden Sie in den folgenden Artikeln:
Sicherheitsschlüssel
- Meine Organisation verlangt die Verwendung der zweistufigen Authentifizierung für den Zugriff auf Ressourcen. Was kann ich tun, um diese Anforderung zu unterstützen?
- Wo finde ich konforme FIDO2-Sicherheitsschlüssel?
- Was ist zu tun, wenn ich meinen Sicherheitsschlüssel verliere?
- Wie werden die Daten im FIDO2-Sicherheitsschlüssel geschützt?
- Wie funktioniert die Registrierung von FIDO2-Sicherheitsschlüsseln?
- Können Administratoren die Schlüssel direkt für die Benutzer bereitstellen?
Meine Organisation erfordert die Verwendung der Multi-Faktor-Authentifizierung für den Zugriff auf Ressourcen. Was kann ich tun, um diese Anforderung zu unterstützen?
FIDO2-Sicherheitsschlüssel sind in einer Vielzahl von Formfaktoren verfügbar. Wenden Sie sich an den jeweiligen Gerätehersteller, um zu erfahren, wie die Geräte mit einer PIN oder biometrisch als zweitem Faktor aktiviert werden können. Eine Liste mit unterstützten Anbietern finden Sie unter FIDO2-Sicherheitsschlüsselanbieter.
Wo finde ich konforme FIDO2-Sicherheitsschlüssel?
Eine Liste mit unterstützten Anbietern finden Sie unter FIDO2-Sicherheitsschlüsselanbieter.
Was kann ich tun, wenn ich meinen Sicherheitsschlüssel verliere?
Sie können Schlüssel entfernen, indem Sie zur Seite Sicherheitsinformationen wechseln und den FIDO2-Sicherheitsschlüssel entfernen.
Wie werden die Daten im FIDO2-Sicherheitsschlüssel geschützt?
FIDO2-Sicherheitsschlüssel verfügen über sichere Enclaves zum Schutz der darin gespeicherten privaten Schlüssel. Darüber hinaus verfügen FIDO2-Sicherheitsschlüssel über integrierte Anti-Hammering-Eigenschaften (wie etwa bei Windows Hello), um die Extraktion des privaten Schlüssels zu verhindern.
Wie funktioniert die Registrierung von FIDO2-Sicherheitsschlüsseln?
Weitere Informationen zur Registrierung und Verwendung von FIDO2-Sicherheitsschlüsseln finden Sie unter Aktivieren der kennwortlosen Anmeldung mit Sicherheitsschlüsseln (Vorschauversion).
Können Administratoren die Schlüssel direkt für die Benutzer bereitstellen?
Nein, das ist derzeit nicht möglich.
Warum erhalte ich im Browser den Fehler „NotAllowedError“, wenn ich FIDO2-Schlüssel registriere?
Sie erhalten den Fehler „NotAllowedError“ von der Fido2-Schlüsselregistrierungsseite. Dies geschieht in der Regel, wenn ein Fehler auftritt, während Windows einen CTAP2 authenticatorMakeCredential-Vorgang mit dem Sicherheitsschlüssel versucht. Weitere Details finden Sie im Ereignisprotokoll „Microsoft-Windows-WebAuthN/Operational“.
Voraussetzungen
- Funktioniert dieses Feature ohne Internetkonnektivität?
- Welche spezifischen Endpunkte müssen für Microsoft Entra ID geöffnet sein?
- Wie kann ich den Domänenbeitrittstyp (in Microsoft Entra eingebunden oder hybrid in Microsoft Entra eingebunden) für mein Windows 10-Gerät ermitteln?
- Wie lautet die Empfehlung hinsichtlich der Anzahl von Domänencontrollern, die gepatcht werden sollten?
- Kann ich den FIDO2-Anmeldeinformationsanbieter auf einem rein lokalen Gerät bereitstellen?
- Die Anmeldung mit FIDO2-Sicherheitsschlüssel funktioniert für mein Domänenadministratorkonto oder für andere Konten mit hohen Berechtigungen nicht. Warum?
Funktioniert dieses Feature ohne Internetkonnektivität?
Internetkonnektivität ist erforderlich, um dieses Feature aktivieren zu können. Wenn sich ein Benutzer erstmals mit FIDO2-Sicherheitsschlüsseln anmeldet, muss er über Internetkonnektivität verfügen. Bei nachfolgenden Anmeldeereignissen sollte die zwischengespeicherte Anmeldung herangezogen werden und die Authentifizierung des Benutzers ohne Internetkonnektivität ermöglichen.
Stellen Sie sicher, dass die Geräte über Internetzugriff sowie über eine Sichtverbindung mit Domänencontrollern verfügen, um eine konsistente Erfahrung zu gewährleisten.
Welche spezifischen Endpunkte müssen für Microsoft Entra ID geöffnet sein?
Für die Registrierung und Authentifizierung sind folgende Endpunkte erforderlich:
*.microsoftonline.com*.microsoftonline-p.com*.msauth.net*.msauthimages.net*.msecnd.net*.msftauth.net*.msftauthimages.net*.phonefactor.netenterpriseregistration.windows.netmanagement.azure.compolicykeyservice.dc.ad.msft.netsecure.aadcdn.microsoftonline-p.com
Eine vollständige Liste der Endpunkte, die für die Verwendung von Microsoft-Onlineprodukten erforderlich sind, finden Sie unter Office 365-URLs und -IP-Adressbereiche.
Wie kann ich den Domänenbeitrittstyp (in Microsoft Entra eingebunden oder hybrid in Microsoft Entra eingebunden) für mein Windows 10-Gerät ermitteln?
Verwenden Sie den folgenden Befehl, um zu überprüfen, ob das Windows 10-Clientgerät über den richtigen Domänenbeitrittstyp verfügt:
Dsregcmd /status
In der folgenden Beispielausgabe ist zu sehen, dass das Gerät in Microsoft Entra eingebunden ist, da AzureADJoined auf YES (JA) festgelegt ist:
+---------------------+
| Device State |
+---------------------+
AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: NO
In der folgenden Beispielausgabe ist zu sehen, dass das Gerät hybrid in Microsoft Entra eingebunden ist, da auch DomainedJoined auf YES (JA) festgelegt ist. Außerdem wird der Domänenname (DomainName) angezeigt:
+---------------------+
| Device State |
+---------------------+
AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: YES
DomainName: CONTOSO
Vergewissern Sie sich bei einem Domänencontroller unter Windows Server 2016 oder 2019, dass die im Anschluss angegebenen Patches angewendet wurden. Führen Sie bei Bedarf Windows Update aus, um sie zu installieren:
Führen Sie auf einem Clientgerät den folgenden Befehl aus, um die Konnektivität mit einem geeigneten Domänencontroller mit den installierten Patches zu überprüfen:
nltest /dsgetdc:<domain> /keylist /kdc
Wie lautet die Empfehlung hinsichtlich der Anzahl von Domänencontrollern, die gepatcht werden sollten?
Es empfiehlt sich, den Patch auf einen Großteil Ihrer Domänencontroller unter Windows Server 2016 oder 2019 anzuwenden, um sicherzustellen, dass sie die Authentifizierungsanforderungslast Ihrer Organisation bewältigen können.
Vergewissern Sie sich bei einem Domänencontroller unter Windows Server 2016 oder 2019, dass die im Anschluss angegebenen Patches angewendet wurden. Führen Sie bei Bedarf Windows Update aus, um sie zu installieren:
Kann ich den FIDO2-Anmeldeinformationsanbieter auf einem rein lokalen Gerät bereitstellen?
Nein. Dieses Feature wird für rein lokale Geräte nicht unterstützt. Der FIDO2 Anmeldeinformationsanbieter wird nicht angezeigt.
Die Anmeldung mit FIDO2-Sicherheitsschlüssel funktioniert für mein Domänenadministratorkonto oder für andere Konten mit hohen Berechtigungen nicht. Warum?
Durch die Standardsicherheitsrichtlinie wird keine Microsoft Entra-Berechtigung für die Anmeldung von Konten mit hohen Berechtigungen bei lokalen Ressourcen gewährt.
Verwenden Sie zum Aufheben der Kontenblockierung Active Directory-Benutzer und -Computer, um die Eigenschaft msDS-NeverRevealGroup des Microsoft Entra Kerberos-Computerobjekts (CN=AzureADKerberos,OU=Domain Controllers,<domain-DN>) zu ändern.
Hinter den Kulissen
- Wie ist Microsoft Entra Kerberos mit meiner lokalen Active Directory Domain Services-Umgebung verknüpft?
- Wo kann ich die Kerberos-Serverobjekte anzeigen, die in AD erstellt und in Microsoft Entra ID veröffentlicht werden?
- Warum kann der öffentliche Schlüssel nicht bei der lokalen AD DS-Instanz registriert werden, um vom Internet unabhängig zu sein?
- Wie werden die Schlüssel für das Kerberos-Serverobjekt rotiert?
- Warum benötigen wir Microsoft Entra Connect? Werden dadurch Informationen aus Microsoft Entra ID in AD DS zurückgeschrieben?
- Wie sieht die HTTP-Anforderung/-Antwort aus, wenn PRT und partielles TGT angefordert werden?
Wie ist Microsoft Entra Kerberos mit meiner lokalen Active Directory Domain Services-Umgebung verknüpft?
Es gibt zwei Komponenten: die lokale AD DS-Umgebung und den Microsoft Entra-Mandanten.
Active Directory Domain Services (AD DS)
Der Microsoft Entra Kerberos-Server wird in einer lokalen AD DS-Umgebung als DC-Objekt (Domänencontroller) dargestellt. Dieses DC-Objekt setzt sich aus mehreren Objekten zusammen:
CN=AzureADKerberos,OU=Domain Controllers,<domain-DN>Ein Objekt vom Typ Computer, das einen schreibgeschützten Domänencontroller (Read-Only Domain Controller, RODC) in AD DS darstellt. Diesem Objekt ist kein Computer zugeordnet. Stattdessen handelt es sich um eine logische Darstellung eines DC.
CN=krbtgt_AzureAD,CN=Users,<domain-DN>Ein Objekt vom Typ User (Benutzer), das einen RODC-Kerberos-TGT-Verschlüsselungsschlüssel (Ticket Granting Ticket) darstellt.
CN=900274c4-b7d2-43c8-90ee-00a9f650e335,CN=AzureAD,CN=System,<domain-DN>Ein Objekt vom Typ ServiceConnectionPoint (Dienstverbindungspunkt) zum Speichern von Metadaten zu den Microsoft Entra Kerberos-Serverobjekten. Dieses Objekt wird von den Verwaltungstools verwendet, um die Microsoft Entra Kerberos-Serverobjekte zu identifizieren und zu suchen.
Microsoft Entra ID
Der Microsoft Entra Kerberos-Server wird in Microsoft Entra ID als KerberosDomain-Objekt dargestellt. Lokale AD DS-Umgebungen werden im Microsoft Entra-Mandanten jeweils als einzelnes Objekt vom Typ KerberosDomain (Kerberos-Domäne) dargestellt.
So können Sie beispielsweise über eine AD DS-Gesamtstruktur mit zwei Domänen wie contoso.com und fabrikam.com verfügen. Wenn Sie für Microsoft Entra die Ausstellung von Kerberos-TGTs (Ticket Granting Tickets) für die Gesamtstruktur zulassen, sind in Microsoft Entra ID zwei Objekte vom Typ KerberosDomain vorhanden: eines für contoso.com und eines für fabrikam.com.
Wenn Sie über mehrere AD DS-Gesamtstrukturen verfügen, ist für jede Domäne in jeder Gesamtstruktur ein Objekt vom Typ KerberosDomain vorhanden.
Wo kann ich die Kerberos-Serverobjekte anzeigen, die in AD DS erstellt und in Microsoft Entra ID veröffentlicht werden?
Verwenden Sie zum Anzeigen aller Objekte die PowerShell-Cmdlets für Microsoft Entra Kerberos-Server aus der neuesten Version von Microsoft Entra Connect.
Weitere Informationen finden Sie unter Erstellen eines Kerberos-Serverobjekts. Hier erfahren Sie auch wie Sie die Objekte anzeigen.
Warum kann der öffentliche Schlüssel nicht bei der lokalen AD DS-Instanz registriert werden, um vom Internet unabhängig zu sein?
Wir haben Feedback zur Komplexität des Bereitstellungsmodells für Windows Hello for Business erhalten und wollten daher das Bereitstellungsmodell vereinfachen, um weder Zertifikate noch eine PKI verwenden zu müssen. (Von FIDO2 werden keine Zertifikate verwendet.)
Wie werden die Schlüssel für das Kerberos-Serverobjekt rotiert?
Wie jeder andere DC sollten auch die krbtgt-Verschlüsselungsschlüssel des Microsoft Entra Kerberos-Servers regelmäßig rotiert werden. Dabei sollte der gleiche Zeitplan verwendet werden wie beim Rotieren aller anderen AD DS-Schlüssel vom Typ krbtgt.
Hinweis
Schlüssel vom Typ krbtgt können zwar auch mit anderen Tools rotiert werden, Sie müssen jedoch die PowerShell-Cmdlets zum Rotieren der Schlüssel vom Typ krbtgt Ihres Microsoft Entra Kerberos-Servers verwenden. Dadurch wird sichergestellt, dass die Schlüssel sowohl in der lokalen AD DS-Umgebung als auch in Microsoft Entra ID aktualisiert werden.
Warum benötigen wir Microsoft Entra Connect? Werden dadurch Informationen aus Microsoft Entra ID in AD DS zurückgeschrieben?
Microsoft Entra Connect schreibt keine Informationen aus Microsoft Entra ID in Active Directory DS zurück. Das Hilfsprogramm umfasst das PowerShell-Modul für die Erstellung des Kerberos-Serverobjekts in AD DS und die Veröffentlichung des Objekts in Microsoft Entra ID.
Wie sieht die HTTP-Anforderung/-Antwort aus, wenn PRT und partielles TGT angefordert werden?
Die HTTP-Anforderung ist eine standardmäßige PRT-Anforderung (Primary Refresh Token, primäres Aktualisierungstoken). Diese PRT-Anforderung enthält einen Anspruch, der angibt, dass ein Kerberos Ticket Granting Ticket (TGT) benötigt wird.
| Anspruch | Wert | BESCHREIBUNG |
|---|---|---|
| tgt | true | Der Anspruch gibt an, dass der Client ein TGT benötigt. |
Microsoft Entra ID kombiniert den verschlüsselten Clientschlüssel und den Nachrichtenpuffer als zusätzliche Eigenschaften in der PRT-Antwort. Die Nutzlast wird unter Verwendung des Microsoft Entra-Gerätesitzungsschlüssels verschlüsselt.
| Feld | Typ | BESCHREIBUNG |
|---|---|---|
| tgt_client_key | Zeichenfolge | Base64-codierter Clientschlüssel (Geheimnis). Dieser Schlüssel ist der geheime Clientschlüssel, der zum Schutz des TGT verwendet wird. In diesem kennwortlosen Szenario wird der geheime Clientschlüssel bei jeder TGT-Anforderung durch den Server generiert und dann in der Antwort an den Client zurückgegeben. |
| tgt_key_type | INT | Der lokale AD DS-Schlüsseltyp, der sowohl für den Clientschlüssel als auch für den in „KERB_MESSAGE_BUFFER“ enthaltenen Kerberos-Sitzungsschlüssel verwendet wird. |
| tgt_message_buffer | Zeichenfolge | KERB_MESSAGE_BUFFER (Base64-codiert). |
Müssen Benutzer*innen Mitglied der Active Directory-Gruppe „Domänenbenutzer“ sein?
Ja. Benutzer*innen müssen der Gruppe „Domänenbenutzer“ angehören, um sich mit Microsoft Entra Kerberos anmelden zu können.
Nächste Schritte
Informationen zu den ersten Schritten mit FIDO2-Sicherheitsschlüsseln und dem Hybridzugriff auf lokale Ressourcen finden Sie in den folgenden Artikeln: