Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Thema wird gezeigt, wie Sie die kennwortlose Authentifizierung für lokale Ressourcen für Umgebungen mit Geräten aktivieren, auf denen Windows 10, Version 2004 oder höher ausgeführt wird. Geräte können bei Microsoft Entra registriert oder hybrid bei Microsoft Entra registriert werden. Diese kennwortlose Authentifizierungsfunktion bietet nahtloses Einmaliges Anmelden (Single Sign-On, SSO) für lokale Ressourcen, wenn Sie microsoftkompatible Sicherheitsschlüssel oder windows Hello for Business Cloud trust verwenden.
Verwenden von SSO zum Anmelden bei lokalen Ressourcen mithilfe von FIDO2-Schlüsseln
Microsoft Entra ID kann Kerberos-Tickets für die Vergabe von Tickets (Kerberos Ticket Granting Tickets, TGTs) für eine oder mehrere Ihrer Active Directory-Domänen ausstellen. Mit dieser Funktion können Benutzer*innen sich mit modernen Anmeldeinformationen, wie z. B. FIDO2-Sicherheitsschlüsseln, bei Windows anmelden und dann auf traditionelle, Active Directory-basierte Ressourcen zugreifen. Kerberos-Diensttickets und die Autorisierung werden weiterhin von Ihren lokalen Active Directory-Domänencontrollern (DCs) gesteuert.
Ein Microsoft Entra Kerberos-Serverobjekt wird in Ihrer lokalen Active Directory-Instanz erstellt und dann mithilfe von Microsoft Entra Connect sicher in Microsoft Entra ID veröffentlicht. Das Objekt ist keinem physischen Server zugeordnet. Es handelt sich dabei einfach um eine Ressource, die von Microsoft Entra ID verwendet werden kann, um Kerberos-TGTs für Ihre Active Directory-Domäne zu generieren.
Ein*e Benutzer*in meldet sich mit einem FIDO2-Sicherheitsschlüssel bei einem Windows 10-Gerät an und authentifiziert sich bei Microsoft Entra ID.
Microsoft Entra ID überprüft das Verzeichnis auf einen Kerberos-Serverschlüssel, der mit der lokalen Active Directory-Domäne des Benutzers bzw. der Benutzerin übereinstimmt.
Microsoft Entra ID generiert ein Kerberos-TGT für die lokale Active Directory-Domäne des Benutzers bzw. der Benutzerin. Das TGT enthält lediglich die SID des Benutzers bzw. der Benutzerin und enthält keine Autorisierungsdaten.
Das TGT wird zusammen mit dem Microsoft Entra Primary Refresh Token (PRT) des Benutzers an den Client zurückgegeben.
Der Clientcomputer kontaktiert einen lokalen Active Directory-Domänencontroller und tauscht das partielle TGT gegen ein vollständig geformtes TGT aus.
Der Clientcomputer verfügt jetzt über ein Microsoft Entra-PRT und ein vollständiges Active Directory-TGT und kann auf cloudbasierte und lokale Ressourcen zugreifen.
Voraussetzungen
Bevor Sie mit den Verfahren in diesem Artikel beginnen, muss Ihre Organisation die Anweisungen in Enable passkeys (FIDO2) für Ihre Organisation ausführen.
Außerdem müssen Sie die folgenden Systemanforderungen erfüllen:
Auf Geräten muss Windows 10, Version 2004 oder höher ausgeführt werden.
Ihre Windows Server-Domänencontroller müssen Windows Server 2016 oder höher ausführen und Patches für die folgenden Server installiert haben:
AES256_HMAC_SHA1 muss aktiviert sein, wenn die Richtlinie Netzwerksicherheit: Verschlüsselungstypen konfigurieren, die für Kerberos zulässig sind auf Domänencontrollern konfiguriert ist.
Besorgen Sie sich die Anmeldeinformationen, die zum Ausführen der Schritte in diesem Szenario erforderlich sind:
- Eine Person, die Active Directory verwendet, die Mitglied der Gruppe „Domänenadministratoren“ für eine Domäne und der Gruppe „Unternehmensadministratoren“ für eine Gesamtstruktur ist. Wird als $domainCred bezeichnet.
- Ein Microsoft Entra Benutzer mit der Rolle Hybrid-Identitätsadministrator. Wird als $cloudCred bezeichnet.
Benutzer müssen die folgenden Microsoft Entra-Attribute über Microsoft Entra Connect aufgefüllt haben:
-
onPremisesSamAccountName(accountNamein Microsoft Entra Connect) -
onPremisesDomainName(domainFQDNin Microsoft Entra Connect) -
onPremisesSecurityIdentifier(objectSIDin Microsoft Entra Connect)
Microsoft Entra Connect synchronisiert diese Attribute standardmäßig. Wenn Sie ändern, welche Attribute synchronisiert werden sollen, wählen Sie unbedingt „
accountName“, „domainFQDN“ und „objectSID“ für die Synchronisierung aus.-
Unterstützte Szenarios
In dem Szenario in diesem Artikel wird SSO in beiden der folgenden Instanzen unterstützt:
- Cloudressourcen wie z. B. Microsoft 365 und andere Security Assertion Markup Language-fähige (SAML) Anwendungen
- Lokale Ressourcen und die Windows-integrierte Authentifizierung bei Websites Zu den Ressourcen können Websites und SharePoint-Websites zählen, die eine IIS-Authentifizierung und bzw. oder Ressourcen erfordern, die die NTLM-Authentifizierung verwenden.
Nicht unterstützte Szenarien
Folgende Szenarios werden nicht unterstützt:
- In Active Directory Domain Services (AD DS) eingebundene Windows Server-Bereitstellung nur auf lokalen Geräten
- Das Remotedesktopprotokoll (RDP), Virtual Desktop Infrastructure (VDI) und Citrix-Szenarios mithilfe eines Sicherheitsschlüssels
- S/MIME mithilfe eines Sicherheitsschlüssel
- Ausführen als bei Verwendung eines Sicherheitsschlüssels.
- Die Anmeldung bei einem Server mithilfe eines Sicherheitsschlüssels
Installieren des AzureADHybridAuthenticationManagement-Moduls
Das AzureADHybridAuthenticationManagement Modul bietet FIDO2-Verwaltungsfeatures für Administratoren.
Öffnen Sie eine PowerShell-Eingabeaufforderung, indem Sie die Option „Als Administrator ausführen“ verwenden.
Installieren Sie das
AzureADHybridAuthenticationManagement-Modul:# First, ensure TLS 1.2 for PowerShell gallery access. [Net.ServicePointManager]::SecurityProtocol = [Net.ServicePointManager]::SecurityProtocol -bor [Net.SecurityProtocolType]::Tls12 # Install the AzureADHybridAuthenticationManagement PowerShell module. Install-Module -Name AzureADHybridAuthenticationManagement -AllowClobber
Hinweis
- Ab dem Update 2.3.331.0 installiert das AzureADHybridAuthenticationManagement-Modul nicht das AzureADPreview-Modul.
- Sie können das
AzureADHybridAuthenticationManagement-Modul für PowerShell auf allen Computern installieren, auf die Sie von Ihrem lokalen Active Directory-Domänencontroller zugreifen können, ohne Abhängigkeit von der Microsoft Entra Connect-Lösung. - Das
AzureADHybridAuthenticationManagementModul wird über den PowerShell-Katalog verteilt. Der PowerShell-Katalog ist das zentrale Repository für PowerShell-Inhalte. Sie finden darin nützliche PowerShell-Module, die PowerShell-Befehle und Desired State Configuration-Ressourcen (DSC) enthalten.
Erstellen eines Kerberos-Serverobjekts
Administrator*innen verwenden das AzureADHybridAuthenticationManagement-Modul für PowerShell, um ein Kerberos-Serverobjekt für Microsoft Entra im lokalen Verzeichnis zu erstellen. Das Objekt muss auf dem Microsoft Entra Connect-Server oder auf einem Server erstellt werden, auf dem die Microsoft.Online.PasswordSynchronization.Rpc.dll-Abhängigkeit installiert ist.
Führen Sie die folgenden Schritte in jeder Domäne und Gesamtstruktur in Ihrer Organisation aus, die Microsoft Entra-Benutzer*innen enthält:
- Öffnen Sie eine PowerShell-Eingabeaufforderung, indem Sie die Option „Als Administrator ausführen“ verwenden.
- Führen Sie die folgenden PowerShell-Befehle aus, um ein neues Kerberos-Serverobjekt für Microsoft Entra sowohl in Ihrer lokalen Active Directory-Domäne als auch in Ihrem Microsoft Entra-Mandanten zu erstellen.
Auswählen der Azure-Cloud (Standard ist Azure Commercial)
Standardmäßig wird das Set-AzureADKerberosServer-Cmdlet die kommerziellen Cloudendpunkte verwenden. Wenn Sie Kerberos in einer anderen Cloudumgebung konfigurieren, müssen Sie festlegen, dass das Cmdlet die angegebene Cloud verwenden soll.
Führen Sie die folgenden Schritte aus, um eine Liste der verfügbaren Clouds und den zu ändernden numerischen Wert abzurufen:
Get-AzureADKerberosServerEndpoint
Beispielausgabe:
Current Endpoint = 0(Public)
Supported Endpoints:
0 :Public
1 :China
2 :Us Government
Notieren Sie den numerischen Wert neben Ihrer gewünschten Cloudumgebung.
Führen Sie die folgenden Schritte aus, um die gewünschte Cloudumgebung festzulegen :
(Beispiel: Für US Government Cloud)
Set-AzureADKerberosServerEndpoint -TargetEndpoint 2
Tipp
Weitere Informationen zum Vergleich von kommerziellen und souveränen Azure-Clouds finden Sie unter: Unterschiede zwischen azure Commercial und Azure Sovereign Clouds.
Beispiel 1: Eingabeaufforderung für alle Anmeldeinformationen
# Specify the on-premises Active Directory domain. A new Microsoft Entra ID
# Kerberos Server object will be created in this Active Directory domain.
$domain = $env:USERDNSDOMAIN
# Enter an Azure Active Directory Hybrid Identity Administrator username and password.
$cloudCred = Get-Credential -Message 'An Active Directory user who is a member of the Hybrid Identity Administrators group for Microsoft Entra ID.'
# Enter a Domain Administrator username and password.
$domainCred = Get-Credential -Message 'An Active Directory user who is a member of the Domain Admins group and an Enterprise Admin for the forest.'
# Create the new Microsoft Entra ID Kerberos Server object in Active Directory
# and then publish it to Azure Active Directory.
Set-AzureADKerberosServer -Domain $domain -CloudCredential $cloudCred -DomainCredential $domainCred
Beispiel 2: Eingabeaufforderung für Cloud-Anmeldeinformationen
Hinweis
Wenn Sie an einem in eine Domäne eingebundenen Computer arbeiten, der über ein Konto mit Domänenadministratorberechtigungen verfügt, können Sie den Parameter „-DomainCredential“ überspringen. Wenn der Parameter „-DomainCredential“ nicht angegeben wird, werden die aktuellen Windows-Anmeldeinformationen verwendet, um auf Ihren lokalen Active Directory-Domänencontroller zuzugreifen.
# Specify the on-premises Active Directory domain. A new Microsoft Entra ID
# Kerberos Server object will be created in this Active Directory domain.
$domain = $env:USERDNSDOMAIN
# Enter an Azure Active Directory Hybrid Identity Administrator username and password.
$cloudCred = Get-Credential
# Create the new Microsoft Entra ID Kerberos Server object in Active Directory
# and then publish it to Azure Active Directory.
# Use the current windows login credential to access the on-premises AD.
Set-AzureADKerberosServer -Domain $domain -CloudCredential $cloudCred
Beispiel 3: Eingabeaufforderung für alle Anmeldeinformationen unter Verwendung von moderner Authentifizierung
Hinweis
Wenn sich Ihre Organisation durch die kennwortbasierte Anmeldung schützt und moderne Authentifizierungsmethoden wie z. B. die Multi-Faktor-Authentifizierung, FIDO2 oder die Smartcard-Technologie durchsetzt, müssen Sie den Parameter -UserPrincipalName mit dem Benutzerprinzipalnamen (User Principal Name, UPN) eines Hybrid-Identitätsadministrators verwenden.
- Ersetzen Sie
contoso.corp.comim folgenden Beispiel durch den Namen Ihrer lokalen Active Directory-Domäne. - Ersetzen Sie
administrator@contoso.onmicrosoft.comim folgenden Beispiel durch den UPN des Hybrid-Identitätsadministrators.
# Specify the on-premises Active Directory domain. A new Microsoft Entra ID
# Kerberos Server object will be created in this Active Directory domain.
$domain = $env:USERDNSDOMAIN
# Enter a UPN of a Hybrid Identity Administrator
$userPrincipalName = "administrator@contoso.onmicrosoft.com"
# Enter a Domain Administrator username and password.
$domainCred = Get-Credential
# Create the new Microsoft Entra ID Kerberos Server object in Active Directory
# and then publish it to Azure Active Directory.
# Open an interactive sign-in prompt with given username to access the Microsoft Entra ID.
Set-AzureADKerberosServer -Domain $domain -UserPrincipalName $userPrincipalName -DomainCredential $domainCred
Beispiel 4: Eingabeaufforderung für Cloud-Anmeldeinformationen unter Verwendung von moderner Authentifizierung
Hinweis
Wenn Sie mit einem Konto, das über Domänenadministratorrechte verfügt, auf einem in eine Domäne eingebundenen Computer arbeiten und sich Ihre Organisation durch die kennwortbasierte Anmeldung schützt und moderne Authentifizierungsmethoden wie z. B. die Multi-Faktor-Authentifizierung, FIDO2 oder die Smartcard-Technologie durchsetzt, müssen Sie den Parameter -UserPrincipalName mit dem Benutzerprinzipalnamen (UPN) eines Hybrid-Identitätsadministrators verwenden. Außerdem können Sie den Parameter "-DomainCredential" überspringen.
> – Ersetzen Sie administrator@contoso.onmicrosoft.com im folgenden Beispiel durch den UPN eines Hybrid-Identitätsadministrators.
# Specify the on-premises Active Directory domain. A new Microsoft Entra ID
# Kerberos Server object will be created in this Active Directory domain.
$domain = $env:USERDNSDOMAIN
# Enter a UPN of a Hybrid Identity Administrator
$userPrincipalName = "administrator@contoso.onmicrosoft.com"
# Create the new Microsoft Entra ID Kerberos Server object in Active Directory
# and then publish it to Azure Active Directory.
# Open an interactive sign-in prompt with given username to access the Microsoft Entra ID.
Set-AzureADKerberosServer -Domain $domain -UserPrincipalName $userPrincipalName
Anzeigen und Überprüfen des Microsoft Entra Kerberos-Servers
Sie können den neu erstellten Kerberos-Server für Microsoft Entra mit dem folgenden Befehl anzeigen und überprüfen:
# When prompted to provide domain credentials use the userprincipalname format for the username instead of domain\username
Get-AzureADKerberosServer -Domain $domain -UserPrincipalName $userPrincipalName -DomainCredential (get-credential)
Mit diesem Befehl werden die Eigenschaften des Microsoft Entra Kerberos-Servers ausgegeben. Sie können die Eigenschaften überprüfen, um sich zu vergewissern, dass alles in Ordnung ist.
Hinweis
Bei der Ausführung für eine andere Domäne durch das Angeben der entsprechenden Anmeldeinformationen im Format „domain\username“ wird eine Verbindung über NTLM hergestellt, und dann tritt ein Fehler auf. Durch die Verwendung des Formats „userprincipalname“ für den Domänenadministrator wird jedoch sichergestellt, dass die RPC-Verbindung mit dem DC unter Verwendung von Kerberos korrekt versucht wird. Wenn sich die Benutzer in der Sicherheitsgruppe "Geschützte Benutzer" in Active Directory befinden, führen Sie die folgenden Schritte aus, um das Problem zu beheben: Melden Sie sich als anderer Domänenbenutzer in ADConnect an und geben Sie keine "-domainCredential" an. Das Kerberos-Ticket des Benutzers bzw. der Benutzerin, der bzw. die aktuell angemeldet ist, wird verwendet. Sie können es durch das Ausführen von whoami /groups bestätigen, um zu überprüfen, ob der*die Benutzer*in über die erforderlichen Berechtigungen in Active Directory verfügt, um den folgenden Befehl ausführen.
| Eigentum | BESCHREIBUNG |
|---|---|
| Identifikationsnummer | Die eindeutige ID des AD DS DC-Objekts. Diese ID wird manchmal als Steckplatz oder Verzweigungs-ID bezeichnet. |
| DomainDnsName | Der DNS-Domänenname der Active Directory-Domäne |
| Computerkonto | Das Computerkontoobjekt des Microsoft Entra Kerberos-Serverobjekts (der DC). |
| Benutzerkonto | Das deaktivierte Benutzerkontoobjekt, das den TGT-Verschlüsselungsschlüssel des Microsoft Entra Kerberos-Servers enthält. Der Domänenname dieses Kontos ist CN=krbtgt_AzureAD,CN=Users,<Domain-DN>. |
| Schlüsselversion | Die Schlüsselversion des TGT-Verschlüsselungsschlüssels des Microsoft Entra Kerberos-Servers. Die Version wird beim Erstellen des Schlüssels zugewiesen. Die Version wird dann bei jeder Rotation des Schlüssels inkrementiert. Die Inkremente basieren auf Replikationsmetadaten und werden wahrscheinlich größer als ein Inkrement sein. Beispielsweise könnte die ursprüngliche KeyVersion192272 werden. Wenn der Schlüssel zum ersten Mal gedreht wird, kann die Version zu 212621 wechseln. Wichtig zu überprüfen ist, dass die KeyVersion für das lokale Objekt und die CloudKeyVersion für das Cloudobjekt identisch sind. |
| SchlüsselAktualisiertAm | Das Datum und die Uhrzeit der Aktualisierung oder Erstellung des TGT-Verschlüsselungsschlüssels des Microsoft Entra Kerberos-Servers. |
| SchlüsselAktualisiertVon | Der DC, auf dem der TGT-Verschlüsselungsschlüssel des Microsoft Entra Kerberos-Servers zuletzt aktualisiert wurde. |
| CloudId | Die ID des Microsoft Entra-Objekts. Diese muss der ID aus der ersten Zeile der Tabelle entsprechen. |
| CloudDomainDnsName | Der DomainDnsName aus dem Microsoft Entra-Objekt. Muss mit dem DomainDnsName aus der zweiten Zeile der Tabelle übereinstimmen. |
| Cloud-Schlüsselversion | Die KeyVersion aus dem Microsoft Entra-Objekt. Muss der KeyVersion aus der fünften Zeile der Tabelle entsprechen. |
| Cloud-Schlüssel-aktualisiert-am | Aus dem Microsoft Entra-Objekt: KeyUpdatedOn. Muss mit dem KeyUpdatedOn aus der sechsten Zeile der Tabelle übereinstimmen. |
Rotieren des Microsoft Entra Kerberos-Serverschlüssels
Die Microsoft Entra Kerberos-Serververschlüsselungs-Krbtgt-Schlüssel sollten regelmäßig gedreht werden. Es wird empfohlen, denselben Zeitplan zu befolgen, den Sie für das Rotieren aller anderen Active Directory DC krbtgt-Schlüssel verwenden.
Warnung
Es gibt weitere Tools, mit denen die Krbtgt-Tasten gedreht werden können. Sie müssen jedoch die in diesem Dokument genannten Tools verwenden, um die krbtgt-Schlüssel Ihres Microsoft Entra Kerberos-Servers zu drehen. Dadurch wird sichergestellt, dass die Schlüssel sowohl im lokalen Active Directory als auch in Microsoft Entra ID aktualisiert werden.
Set-AzureADKerberosServer -Domain $domain -CloudCredential $cloudCred -DomainCredential $domainCred -RotateServerKey
Entfernen des Microsoft Entra Kerberos-Servers
Wenn Sie das Szenario rückgängig machen und den Kerberos-Server für Microsoft Entra sowohl aus dem lokalen Active Directory als auch aus Microsoft Entra ID entfernen möchten, führen Sie den folgenden Befehl aus:
Remove-AzureADKerberosServer -Domain $domain -CloudCredential $cloudCred -DomainCredential $domainCred
Szenarios mit mehreren Gesamtstrukturen und Domänen
Das Microsoft Entra Kerberos-Serverobjekt wird in der Microsoft Entra-ID als KerberosDomain-Objekt dargestellt. Jede lokale Active Directory-Domäne wird als einzelnes KerberosDomain-Objekt in der Microsoft Entra-ID dargestellt.
Beispiel: Ihre Organisation verfügt über eine Active Directory-Gesamtstruktur mit zwei Domänen, contoso.com und fabrikam.com. Wenn Sie festlegen, dass Microsoft Entra ID Kerberos-TGTs für die gesamte Gesamtstruktur ausstellen kann, gibt es zwei KerberosDomain-Objekte in Microsoft Entra ID: ein KerberosDomain-Objekt für contoso.com und das andere für fabrikam.com. Wenn Sie über mehrere Active Directory-Gesamtstrukturen verfügen, gibt es ein KerberosDomain-Objekt für jede Domäne in jeder Gesamtstruktur.
Befolgen Sie die Anweisungen unter Erstellen eines Kerberos-Serverobjekts in jeder Domäne und jedem Forest in Ihrer Organisation, die die Microsoft Entra-Benutzer enthält.
Bekanntes Verhalten
Wenn Ihr Kennwort abgelaufen ist, wird die Anmeldung mit FIDO blockiert. Es wird erwartet, dass Benutzer*innen ihre Kennwörter zurücksetzen, bevor sie sich mithilfe von FIDO anmelden können. Dieses Verhalten gilt auch für die lokal synchronisierte Hybrid-Benutzeranmeldung mit der Windows Hello for Business Cloud-Kerberos-Vertrauensstellung.
Problembehandlung und Feedback
Wenn Probleme auftreten oder Sie Feedback zum kennwortlosen Sicherheitsschlüssel-Anmeldefeature geben möchten, können Sie das wie folgt über die Windows Feedback Hub-App tun:
- Öffnen Sie den Feedback-Hub, und stellen Sie sicher, dass Sie angemeldet sind.
- Senden Sie Feedback, indem Sie die folgenden Kategorien auswählen:
- Kategorie: Sicherheit und Datenschutz
- Unterkategorie: FIDO
- Verwenden Sie zum Erfassen von Protokollen die Option " Problem neu erstellen ".
Häufig gestellte Fragen zur passwortlosen Anmeldung mit Sicherheitsschlüsseln
Hier finden Sie einige häufig gestellte Fragen zur kennwortlosen Anmeldung:
Funktioniert die kennwortlose Anmeldung mit Sicherheitsschlüsseln in meiner lokalen Umgebung?
Das Feature funktioniert in einer rein lokalen AD DS-Umgebung nicht.
Meine Organisation verlangt die Verwendung der zweistufigen Authentifizierung für den Zugriff auf Ressourcen. Was kann ich tun, um diese Anforderung zu unterstützen?
Sicherheitsschlüssel sind in einer Vielzahl von Formfaktoren verfügbar. Wenden Sie sich an den eingetragenen Gerätehersteller, um zu erfahren, wie die Geräte mit einer PIN oder mit biometrischen Daten als zweitem Faktor aktiviert werden können.
Können Administrator*innen Sicherheitsschlüssel einrichten?
Zurzeit wird an dieser Funktion für das Release für allgemeine Verfügbarkeit (GA) dieses Features gearbeitet.
Wo kann ich kompatible Sicherheitsschlüssel finden?
Informationen zu kompatiblen Sicherheitsschlüsseln finden Sie unter FIDO2-Sicherheitsschlüssel.
Was kann ich tun, wenn ich meinen Schlüssel verliere?
Um einen registrierten Sicherheitsschlüssel zu löschen, melden Sie sich beim myaccount.microsoft.com an, und wechseln Sie dann zur Seite "Sicherheitsinformationen ".
Was kann ich tun, wenn ich den FIDO-Sicherheitsschlüssel nicht direkt nach dem Erstellen eines hybriden, in Microsoft Entra ID eingebundenen Computers verwenden kann?
Wenn Sie einen hybriden, in Microsoft Entra eingebundenen Computer neu installieren, müssen Sie sich nach dem Domänenbeitritt und dem Neustartprozess mit einem Kennwort anmelden und darauf warten, dass die Richtlinie synchronisiert wird, bevor Sie den FIDO-Sicherheitsschlüssel zum Anmelden verwenden können.
- Überprüfen Sie Ihren aktuellen Status, indem Sie
dsregcmd /statusin einem Eingabeaufforderungsfenster ausführen, und stellen Sie sicher, dass sowohl AzureAdJoined als auch DomainJoined mit JA angezeigt werden. - Diese Verzögerung beim Synchronisieren ist eine bekannte Beschränkung von in Domänen eingebundenen Geräten und ist nicht FIDO-spezifisch.
Was ist, wenn ich nach dem Anmelden mit FIDO und dem Erhalten einer Administratoranmeldeaufforderung kein SSO bei meiner NTLM-Netzwerkressource erhalten kann?
Stellen Sie sicher, dass genügend DCs gepatcht werden, damit sie rechtzeitig reagieren können, um Ihre Ressourcenanforderung zu bearbeiten. Um anzuzeigen, ob eine DC-Instanz ein Feature ausführt, führen Sie nltest /dsgetdc:contoso /keylist /kdc aus und überprüfen Sie dann die Ausgabe.
Hinweis
Der Schalter /keylist im Befehl nltest ist auf Client-Windows 10 v2004 und höher verfügbar.
Gibt es eine maximale Anzahl von Gruppen pro Token für Microsoft Entra Kerberos?
Ja, Sie können bis zu 1.010 Gruppen pro Token haben.
Funktionieren FIDO2-Sicherheitsschlüssel bei einer Windows-Anmeldung, wenn der RODC in der Hybridumgebung vorhanden ist?
Eine Windows-Anmeldung mit FIDO2 sucht nach einem beschreibbaren DC, um die Benutzer-TGT auszutauschen. So lange Sie mindestens einen beschreibbaren DC pro Website haben, sollte die Anmeldung funktionieren.