Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden häufig gestellte Fragen zu in Microsoft Entra eingebundenen Hybridgeräten und zur kennwortlosen Anmeldung bei lokalen Ressourcen behandelt. Bei diesem kennwortlosen Feature können Sie die Microsoft Entra-Authentifizierung auf Windows 10-Geräten für in Microsoft Entra eingebundene Hybridgeräte mithilfe von FIDO2-Sicherheitsschlüsseln aktivieren. Benutzer und Benutzerinnen können sich auf ihren Geräten mit modernen Anmeldeinformationen wie FIDO2-Schlüsseln bei Windows anmelden und auf herkömmliche AD DS-basierte Ressourcen (Active Directory Domäne Services) zugreifen, indem sie für ihre lokalen Ressourcen nahtloses einmaliges Anmelden (Single Sign-On, SSO) nutzen.
Für Benutzer in einer Hybridumgebung werden folgende Szenarien unterstützt:
- Melden Sie sich mit FIDO2-Sicherheitsschlüsseln bei hybrid verbundenen Microsoft Entra-Geräten an, und erhalten Sie SSO-Zugriff auf lokale Ressourcen.
- Melden Sie sich mit FIDO2-Sicherheitsschlüsseln bei Microsoft Entra-verbundenen Geräten an und erhalten Sie SSO-Zugriff auf lokale Ressourcen.
Informationen zu den ersten Schritten mit FIDO2-Sicherheitsschlüsseln und dem Hybridzugriff auf lokale Ressourcen finden Sie in den folgenden Artikeln:
Bekannte Probleme
- Benutzer können sich mit FIDO2-Sicherheitsschlüsseln nicht anmelden, da die Gesichtserkennung in Windows Hello zu schnell und der Standardmechanismus für Anmeldungen ist
- Benutzer*innen können nach dem Erstellen eines in Microsoft Entra eingebundenen Hybridcomputers nicht sofort FIDO2-Sicherheitsschlüssel verwenden.
- Benutzer können kein SSO für meine NTLM-Netzwerkressource abrufen, nachdem sie sich mit einem FIDO2-Sicherheitsschlüssel angemeldet und eine Aufforderung zur Eingabe der Anmeldeinformationen erhalten haben
Benutzer können sich mit FIDO2-Sicherheitsschlüsseln nicht anmelden, da die Gesichtserkennung in Windows Hello zu schnell und der Standardmechanismus für Anmeldungen ist
Die Gesichtserkennung in Windows Hello ist die vorgesehene beste Oberfläche für ein Gerät, auf dem ein Benutzer registriert wurde. FIDO2-Sicherheitsschlüssel sind vorgesehen für eine Verwendung auf freigegebenen Geräten oder dort, wo die Registrierung bei Windows Hello for Business eine Barriere ist.
Wenn die Gesichtserkennung in Windows Hello verhindert, dass Benutzer das Anmeldeszenario mit FIDO2-Sicherheitsschlüssel ausprobieren, können sie diese Art der Anmeldung deaktivieren, indem sie unter Einstellungen > Anmeldeoptionen die Option für die Registrierung per Gesichtserkennung entfernen.
Benutzer*innen können nach dem Erstellen eines in Microsoft Entra eingebundenen Hybridcomputers nicht sofort FIDO2-Sicherheitsschlüssel verwenden.
Nach dem Einbinden in die Domäne und dem Neustarten bei der Neuinstallation eines in Microsoft Entra eingebundenen Hybridcomputers müssen Sie sich mit einem Kennwort anmelden und warten, bis die Richtlinie synchronisiert wurde, bevor Sie sich mithilfe eines FIDO2-Sicherheitsschlüssels anmelden können.
Dieses Verhalten ist eine bekannte Einschränkung bei in die Domäne eingebundenen Geräten und für FIDO2-Sicherheitsschlüssel nicht spezifisch.
Mit dem Befehl dsregcmd /status können Sie den aktuellen Status überprüfen. Überprüfen Sie, ob sowohl bei AzureAdJoined als auch bei DomainJoined der Wert YES angezeigt wird.
Benutzer können kein SSO für meine NTLM-Netzwerkressource abrufen, nachdem sie sich mit einem FIDO2-Sicherheitsschlüssel angemeldet und eine Aufforderung zur Eingabe der Anmeldeinformationen erhalten haben
Stellen Sie sicher, dass genügend DCs gepatcht werden, damit sie rechtzeitig reagieren können, um Ihre Ressourcenanforderung zu bearbeiten. Wenn Sie überprüfen möchten, ob ein Server mit dem gerade ausgeführten Feature angezeigt wird, sehen Sie sich die Ausgabe von nltest /dsgetdc:<dc name> /keylist /kdc an.
Wenn bei diesem Feature ein DC angezeigt wird, hat sich das Kennwort des Benutzers nach seiner Anmeldung möglicherweise geändert, oder es liegt ein anderes Problem vor. Sammeln Sie Protokolle wie im folgenden Abschnitt beschrieben, damit das Microsoft-Supportteam debuggen kann.
Problembehandlung
Es gibt zwei Bereiche, in denen eine Problembehandlung erforderlich werden kann – Windows-Clientprobleme und Bereitstellungsprobleme.
Windows-Clientprobleme
Führen Sie zum Sammeln von Daten, die bei der Behebung von Problemen im Zusammenhang mit der Anmeldung bei Windows oder dem Zugriff auf lokale Ressourcen von Windows 10-Geräten helfen können, die folgenden Schritte aus:
Öffnen Sie die App Feedback-Hub. Vergewissern Sie sich, dass Ihr Name unten links in der App angezeigt wird, und wählen Sie Create a new feedback item (Neues Feedbackelement erstellen) aus.
Wählen Sie als Art des Feedbackelements Problem aus.
Wählen Sie die Kategorie Sicherheit und Datenschutz aus, und klicken Sie auf die Unterkategorie FIDO.
Aktivieren Sie das Kontrollkästchen für Angefügte Dateien und Diagnosen zusammen mit meinem Feedback an Microsoft senden.
Wählen Sie Problem reproduzieren und dann Aufnahme starten aus.
Sperren und entsperren Sie den Computer mit dem FIDO2-Sicherheitsschlüssel. Wenn das Problem auftritt, versuchen Sie, die Sperre mit anderen Anmeldeinformationen aufzuheben.
Kehren Sie zu Feedback-Hub zurück, wählen Sie Aufnahme beenden aus, und senden Sie Ihr Feedback.
Wechseln Sie zur Seite Feedback und dann zur Registerkarte Mein Feedback. Wählen Sie Ihr kürzlich gesendetes Feedback aus.
Wählen Sie oben rechts die Schaltfläche Freigeben aus, um einen Link zum Feedback abzurufen. Fügen Sie diesen Link ein, wenn Sie eine Supportanfrage öffnen oder dem Entwickler antworten, der einer vorhandenen Supportanfrage zugewiesen wurde.
Die folgenden Ereignisprotokolle und Informationen zum Registrierungsschlüssel werden gesammelt:
Registrierungsschlüssel
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FIDO [*]
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\PassportForWork* [*]
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Policies\PassportForWork* [*]
Diagnoseinformationen
- Live-Kernelabbild
- Sammeln von AppX-Paketinformationen
- UIF-Kontextdateien
Ereignisprotokolle
- %SystemRoot%\System32\winevt\Logs\Microsoft-Windows-AAD%40Operational.evtx
- %SystemRoot%\System32\winevt\Logs\Microsoft-Windows-WebAuthN%40Operational.evtx
- %SystemRoot%\System32\winevt\Logs\Microsoft-Windows-HelloForBusiness%40Operational.evtx
Probleme bei der Bereitstellung
Um Probleme bei der Bereitstellung des Microsoft Entra Kerberos-Servers zu behandeln, verwenden Sie die Protokolle für das neue PowerShell-Modul AzureADHybridAuthenticationManagement.
Anzeigen der Protokolle
Die PowerShell-Cmdlets für den Microsoft Entra Kerberos-Server im Modul AzureADHybridAuthenticationManagement verwenden die gleiche Protokollierung wie der standardmäßige Microsoft Entra Connect-Assistent. Führen Sie zum Anzeigen von Informationen oder Fehlerdetails aus den Cmdlets die folgenden Schritte aus:
- Browsen Sie auf dem Computer, auf dem das Modul AzureADHybridAuthenticationManagement verwendet wurde, zu
C:\ProgramData\AADConnect\. Dieser Ordner ist standardmäßig ausgeblendet. - Öffnen Sie die neueste
trace-*.log-Datei im Verzeichnis, und zeigen Sie sie an.
Anzeigen der Microsoft Entra Kerberos-Serverobjekte
Wenn Sie die Microsoft Entra Kerberos-Serverobjekte anzeigen sich vergewissern möchten, dass mit ihnen alles in Ordnung ist, können Sie die folgenden Schritte ausführen:
Öffnen Sie PowerShell auf dem Microsoft Entra Connect-Server oder auf einem beliebigen anderen Computer, auf dem das Modul AzureADHybridAuthenticationManagement installiert ist, und navigieren Sie zu
C:\Program Files\Microsoft Azure Active Directory Connect\AzureADKerberos\.Führen Sie die folgenden PowerShell-Befehle aus, um den Microsoft Entra Kerberos-Server sowohl von Microsoft Entra ID aus als auch von der lokalen AD DS-Instanz aus anzuzeigen.
Ersetzen Sie corp.contoso.com durch den Namen Ihrer lokalen AD DS-Domäne.
Import-Module ".\AzureAdKerberos.psd1" # Specify the on-premises AD DS domain. $domain = "corp.contoso.com" # Enter an Azure Active Directory Global Administrator username and password. $cloudCred = Get-Credential # Enter a Domain Admin username and password. $domainCred = Get-Credential # Get the Azure AD Kerberos Server Object Get-AzureADKerberosServer -Domain $domain -CloudCredential $cloudCred -DomainCredential $domainCred
Der Befehl gibt die Eigenschaften des Microsoft Entra Kerberos-Servers aus Microsoft Entra ID und aus der lokalen AD DS-Instanz aus. Überprüfen Sie die Eigenschaften, um sich zu vergewissern, dass alles in Ordnung ist. Verwenden Sie die folgende Tabelle zum Überprüfen der Eigenschaften.
Der erste Satz von Eigenschaften stammt aus den Objekten in der lokalen AD DS-Umgebung. Die zweite Hälfte (die Eigenschaften, die mit Cloud beginnen) stammen aus dem Kerberos-Serverobjekt in Microsoft Entra ID:
| Eigenschaft | BESCHREIBUNG |
|---|---|
| Id | Die eindeutige ID des AD DS-Domänencontrollerobjekts. |
| DomainDnsName | Der DNS-Domänenname der AD DS-Domäne. |
| ComputerAccount | Das Computerkontoobjekt des Microsoft Entra Kerberos-Serverobjekts (der DC). |
| UserAccount | Das deaktivierte Benutzerkontoobjekt, das den TGT-Verschlüsselungsschlüssel des Microsoft Entra Kerberos-Servers enthält. Der DN dieses Kontos lautet: CN=krbtgt_AzureAD,CN=Users,<Domain-DN> |
| KeyVersion | Die Schlüsselversion des TGT-Verschlüsselungsschlüssels des Microsoft Entra Kerberos-Servers. Die Version wird beim Erstellen des Schlüssels zugewiesen. Die Version wird dann bei jeder Rotation des Schlüssels inkrementiert. Die Inkremente basieren auf Replikationsmetadaten und werden wahrscheinlich größer als ein Inkrement sein. Die anfängliche Schlüsselversion (KeyVersion) könnte beispielsweise 192272 lauten. Bei der ersten Rotation des Schlüssels könnte die Version auf 212621 erhöht werden. Sie müssen unbedingt überprüfen, ob die KeyVersion für das lokale Objekt und die CloudKeyVersion für das Cloudobjekt identisch sind. |
| KeyUpdatedOn | Das Datum und die Uhrzeit der Aktualisierung oder Erstellung des TGT-Verschlüsselungsschlüssels des Microsoft Entra Kerberos-Servers. |
| KeyUpdatedFrom | Der DC, auf dem der TGT-Verschlüsselungsschlüssel des Microsoft Entra Kerberos-Servers zuletzt aktualisiert wurde. |
| CloudId | Der Wert für Id des Microsoft Entra-Objekts. Sie muss der obigen ID entsprechen. |
| CloudDomainDnsName | Der Wert für DomainDnsName des Microsoft Entra-Objekts. Dieser muss dem obigen DomainDnsName entsprechen. |
| CloudKeyVersion | Der Wert für KeyVersion des Microsoft Entra-Objekts. Diese muss der obigen KeyVersion entsprechen. |
| CloudKeyUpdatedOn | Der Wert für KeyUpdatedOn des Microsoft Entra-Objekts. Dieser muss dem obigen KeyUpdatedOn-Wert entsprechen. |
Nächste Schritte
Informationen zu den ersten Schritten mit FIDO2-Sicherheitsschlüsseln und dem Hybridzugriff auf lokale Ressourcen finden Sie in den folgenden Artikeln: