Einführung in Microsoft Entra Kerberos

Microsoft Entra Kerberos ist ein cloudeigenes Authentifizierungsprotokoll, das Hybrididentitätsszenarien überbrückt, indem der sichere Zugriff auf Cloud- und lokale Ressourcen ermöglicht wird. Sie erweitert herkömmliche Kerberos-Funktionen in das Microsoft Entra-Ökosystem, sodass Organisationen ihre Identitätsinfrastruktur modernisieren können, ohne die Kompatibilität mit älteren Systemen zu beeinträchtigen. Es ermöglicht auch nahtloses einmaliges Anmelden (Single Sign-On, SSO) für lokale Ressourcen für Benutzer, die mit modernen Anmeldeinformationen wie Windows Hello for Business oder FIDO2-Sicherheitsschlüsseln authentifiziert wurden.

Microsoft Entra Kerberos wurde 2021 eingeführt, um die Lücke zwischen älteren lokalen Authentifizierungsprotokollen und moderner Cloudidentität zu überbrücken. In der Praxis wandelt Microsoft Entra Kerberos Microsoft Entra ID in ein cloudbasiertes Key Distribution Center (KDC) für die Kerberos-Authentifizierung um. Mit dieser Funktion können Microsoft Entra ID Kerberos-Tickets für Benutzer ausgeben und die herkömmliche Kerberos-Authentifizierung über lokales Active Directory hinaus erweitern.

In einem Hybridszenario, in dem Konten in lokalen Active Directory Domain Services (AD DS) vorhanden sind und diese Benutzer mit Microsoft Entra ID synchronisiert werden, spielt Microsoft Entra Kerberos eine entscheidende Rolle. Sie ermöglicht es diesen Hybridbenutzern, sich bei Cloud- und lokalen Ressourcen mithilfe von Kerberos zu authentifizieren, ohne dass eine direkte Sicht auf Domänencontroller erforderlich ist. Wenn beispielsweise ein mit Microsoft Entra ID verbundener Windows-Client über das Internet auf eine Dateifreigabe oder Anwendung zugreift, kann Microsoft Entra ID die erforderlichen Kerberos-Tickets im Namen der lokalen Active Directory-Umgebung ausstellen.

Weitere Informationen zu Kerberos in Windows finden Sie unter Kerberos-Authentifizierungsübersicht in Windows Server.

Microsoft Entra Kerberos funktioniert sowohl mit Hybrididentitäten als auch mit reinen Cloudidentitäten, wenn der Dienst unterstützt.

Hybrididentität

Eine Hybrididentität bezieht sich auf eine Benutzeridentität, die sowohl in lokalen AD DS als auch in Microsoft Entra ID vorhanden ist. Diese Identitäten werden mithilfe von Tools wie Microsoft Entra Connect synchronisiert, sodass Benutzer mit einer einzigen Gruppe von Anmeldeinformationen auf cloudbasierte und lokale Ressourcen zugreifen können.

Dieses Setup ermöglicht eine nahtlose Authentifizierung und SSO-Umgebung in allen Umgebungen. Es ist ideal für Organisationen, die auf die Cloud umsteigen möchten, während die Legacyinfrastruktur beibehalten wird.

Reine Cloudidentität (Vorschau)

Eine reine Cloudidentität bezieht sich auf ein Benutzerkonto, das nur in Microsoft Entra ID (früher Azure AD) vorhanden ist und kein entsprechendes Konto in einem lokales Active Directory hat.

Wichtige Features und Vorteile

Nahtlose Hybridauthentifizierung: Microsoft Entra Kerberos ermöglicht Benutzern, deren Konten sich in lokalem AD DS befinden und mit Microsoft Entra ID synchronisiert sind, die Authentifizierung über Cloud- und lokale Ressourcen hinweg durchzuführen. Es reduziert (und in einigen Fällen eliminiert es) die Notwendigkeit einer direkten Verbindung zu Domänencontrollern.

Wenn ein Microsoft Entra ID-verbundener Windows-Client beispielsweise auf eine Dateifreigabe oder -anwendung über das Internet zugreift, kann Microsoft Entra ID die erforderlichen Kerberos-Tickets als ein KDC ausgeben, das der Ressource zugeordnet ist.

Cloud-only Identity Support (Preview): Cloudgeschützte Identitäten können jetzt kerberos-Authentifizierung für Workloads wie Azure Files verwenden, ohne dass lokale AD DS erforderlich ist. Dies wird von Entra Kerberos aktiviert, das als cloudbasiertes KDC fungiert.

Erhöhte Sicherheit mit moderner Unterstützung für Anmeldeinformationen: Benutzer können sich mit kennwortlosen Methoden wie Windows Hello for Business oder FIDO2-Sicherheitsschlüsseln anmelden, aber dennoch auf lokale Ressourcen zugreifen, die durch Kerberos geschützt sind. Diese Möglichkeit ermöglicht die mehrstufige Authentifizierung (Multifactor Authentication, MFA) und die kennwortlose Authentifizierung, um die Risiken zu reduzieren, die mit Kennwortdiebstahl- und Phishingangriffen verbunden sind.

Secure ticket exchange: Microsoft Entra Kerberos verwendet ein TGT-Austauschmodell (Ticket Granting Ticket) für erhöhte Sicherheit.

Skalierbare Gruppenmitgliedschaften: Microsoft Entra Kerberos befasst sich mit herkömmlichen Kerberos-Einschränkungen mit großen oder dynamischen Gruppenmitgliedschaften, um Zuverlässigkeit und Benutzerfreundlichkeit zu verbessern. In Szenarien mit großen Benutzergruppen wird die Leistung optimiert, indem die Last automatisch über alle Domänencontroller (DCs) innerhalb eines Standorts verteilt wird. Für Bereitstellungen in Azure Virtual Desktop Umgebungen empfehlen wir, sicherzustellen, dass ausreichende DCs verfügbar und geografisch nahe an der Umgebung sind, um die Reaktionsfähigkeit aufrechtzuerhalten.

Funktionsweise von Microsoft Entra Kerberos

In Hybridszenarien ermöglicht Microsoft Entra Kerberos Ihrem Microsoft Entra ID Mandanten, zusammen mit ihrem vorhandenen lokales Active Directory Bereich als dedizierten Kerberos-Bereich zu arbeiten. Wenn sich ein Benutzer auf einem Windows-Gerät anmeldet, das entweder mit Microsoft Entra ID verbunden oder hybrid verbunden ist, authentifiziert sich das Gerät bei Microsoft Entra ID und es wird ein Primary Refresh Token (PRT) ausgestellt.

Zusätzlich zum PRT gibt Microsoft Entra ID einen Cloud-TGT für den Bereich KERBEROS.MICROSOFTONLINE.COM aus, der für die Authentifizierung für Cloudressourcen verwendet wird. Für den Zugriff auf lokale Ressourcen wird ein separates Teil-TGT ausgestellt, wie später in diesem Dokument beschrieben. In diesem Modell fungiert Microsoft Entra ID als KDC, um die nahtlose Authentifizierung zu erleichtern.

Szenarien für reine Cloudidentitäten (Vorschau)

Für die Unterstützung von reinen Cloud-Identitäten für Entra Kerberos ist ein Microsoft Entra ID Mandant mit aktiviertem Entra Kerberos und ein Windows 10/11 Gerät erforderlich, das in Microsoft Entra eingebunden ist.

Die Unterstützung für Microsoft Entra ID mit Entra Kerberos für reine Cloud-Identitäten ermöglicht es Sitzungshosts, die mit Entra verbunden sind, Cloudressourcen wie Azure-Dateifreigaben zu authentifizieren und darauf zuzugreifen, ohne auf die herkömmliche Active Directory-Infrastruktur angewiesen zu sein. Diese Funktion ist entscheidend für Organisationen, die eine reine Cloudstrategie einführen, da sie die Notwendigkeit für Domänencontroller entfernt und gleichzeitig sicherheit, Zugriffssteuerung und Verschlüsselung auf Unternehmensniveau bewahrt.

Derzeit werden die unterstützten Workloads Azure Files, Azure Virtual Desktop und der Zugriff mit Windows-Authentifizierung auf Azure SQL Managed Instance unterstützt.

Authentifizierungsfluss

1. Benutzerauthentifizierung

Der Benutzer meldet sich bei einem Windows-Gerät an, das entweder mit Microsoft Entra verbunden oder hybrid verbunden ist.

Die lokale Sicherheitsbehörde (Local Security Authority, LSA) verwendet den Cloudauthentifizierungsanbieter (CloudAP), um sich über OAuth zu Microsoft Entra ID zu authentifizieren.

2. Tokenausgabe

Bei erfolgreicher Authentifizierung gibt Microsoft Entra ID eine PRT aus, die Benutzer- und Geräteinformationen enthält. Neben dem PRT stellt Microsoft Entra ID ein Cloud-TGT für die Domäne KERBEROS.MICROSOFTONLINE.COM aus.

Microsoft Entra ID gibt auch ein OnPremTgt (partial TGT) aus, das die Sicherheits-ID (SID) des Benutzers enthält, aber keine Gruppenansprüche. Dieses Teil-TGT ist für den direkten Zugriff auf lokale Ressourcen nicht ausreichend.

Cloud-TGT-Ausstellung

Microsoft Entra ID fungiert als KDC für Cloudressourcen, indem ein Cloud-TGT bei Bedarf an den Client ausgestellt wird. Der Client erkennt den Microsoft Entra ID-Tenant als separaten Kerberos-Bereich für Cloud-Ressourcen, und das TGT wird im Kerberos-Ticket-Cache des Clients gespeichert. Die Cloud TGT wird lokal zwischengespeichert und kann mithilfe des PowerShell-Befehls "klist cloud_debug" überprüft werden.

Die Cloud-TGT, die von Microsoft Entra ID ausgegeben wird:

• Gilt für den Bereich KERBEROS.MICROSOFTONLINE.COM.
• Ermöglicht den Zugriff auf cloudbasierte Ressourcen wie Azure Files, Azure SQL und andere Dienste, die in Microsoft Entra Kerberos integriert sind.
• Enthält Autorisierungsdaten, die für Clouddienste spezifisch sind und direkt verwendet werden, um Kerberos-Diensttickets für Cloudressourcen anzufordern.
• Wird immer ausgegeben, wenn sich ein Benutzer mit unterstützten Anmeldeinformationen (z. B. Windows Hello for Business oder FIDO2) bei einem Windows Gerät anmeldet.
• Hat keine Abhängigkeit von lokalen Domänencontrollern.

Hinweis

Die Cloud TGT ist kein Ersatz für die lokale TGT. Es ist ein weiteres Ticket, das den Zugriff auf Cloudressourcen ermöglicht. Das lokale TGT ist weiterhin für den Zugriff auf lokale Ressourcen erforderlich.

Ausstellung von OnPremTgt für lokalen Zugriff

Diese Voraussetzungen gelten:

• Benutzer müssen über Microsoft Entra Connect von lokales Active Directory mit Microsoft Entra ID synchronisiert werden.
• Ein Kerberos-Serverobjekt muss in lokales Active Directory vorhanden sein und mit Microsoft Entra ID synchronisiert werden. Mit diesem Objekt kann Microsoft Entra ID OnPremTgt ausstellen, die von lokalen Domänencontrollern eingelöst werden können.
• Geräte müssen Windows 10 (2004 oder höher) oder Windows 11 ausführen.
• Die Geräte sollten mit Microsoft Entra verbunden oder hybrid verbunden sein.
• Wir empfehlen Windows Hello for Business- oder FIDO2-Authentifizierungsmethoden für eine optimale Integration.
• Lokale Domänencontroller müssen gepatcht werden, um Kerberos Cloud Trust zu unterstützen.
• Stellen Sie die Sichtlinie zwischen Clientgeräten und Domänencontrollern für den Ticketaustausch sicher.

Wenn sich der Benutzer mit einer kennwortlosen Methode (z. B. FIDO2 oder Windows Hello for Business) auf Geräten mit Windows 10 (2004 oder höher) oder Windows 11 anmeldet, stellt Microsoft Entra ID ein OnPremTgt für die On-Premises Active Directory-Domäne des Benutzers aus. Dieses OnPremTgt enthält die SID des Benutzers, aber keine Autorisierungsdaten.

Das von Microsoft Entra ID ausgestellte OnPremTgt:

• Ermöglicht den Zugriff auf lokale Ressourcen, indem er als Brücke zwischen Microsoft Entra ID und Active Directory fungiert.
• Enthält eingeschränkte Daten (z. B. die SID des Benutzers) und keine Gruppenansprüche. Es reicht nicht allein aus, um auf lokale Ressourcen zuzugreifen.
• Wird nur ausgegeben, wenn die Umgebung für die Unterstützung konfiguriert ist. Beispielsweise verfügen Sie über eine Hybrididentitätseinrichtung und ein Microsoft Entra Kerberos-Serverobjekt in Active Directory.
• Muss mit einem lokales Active Directory Domänencontroller für einen vollständigen TGT ausgetauscht werden, der die SID des Benutzers, den vollständigen PAC (alle Gruppenmitgliedschaften), den Sitzungsschlüssel und andere Zugriffssteuerungsdaten enthält. Das vollständige TGT wird dann für den Zugriff auf Ressourcen wie Server Message Block (SMB)-Shares oder SQL-Server verwendet.

Der dsregcmd /status Befehl zeigt das Ergebnis für beide TGT an. Weitere Informationen zur Problembehandlung von Geräten mithilfe des Befehls "dsregcmd".

• OnPremTgt: Legen Sie den Status auf "JA" fest, wenn ein Cloud Kerberos-Ticket für den Zugriff auf lokale Ressourcen auf dem Gerät für den angemeldeten Benutzer vorhanden ist.
• CloudTgt: Legen Sie den Status auf JA fest, wenn ein Cloud Kerberos-Ticket für den Zugriff auf Cloudressourcen auf dem Gerät für den angemeldeten Benutzer vorhanden ist.

Microsoft Entra Kerberos-TGT und Active Directory Zugriffssteuerung

Der Besitz eines Microsoft Entra Kerberos TGT für die lokale Active Directory-Domäne eines Benutzers gewährt nicht automatisch Zugriff auf ein vollständiges Active Directory TGT.

Microsoft Entra Kerberos verwendet die Positivliste und Sperrliste des Read-Only Domain Controller (RODC)-Objekts, um zu kontrollieren, welche Benutzer partielle TGTs von Microsoft Entra ID für den Zugriff auf lokale Ressourcen erhalten können. Dieser Mechanismus ist entscheidend für die Begrenzung der Exposition und das Erzwingen von Sicherheitsgrenzen. Dieser Mechanismus ist besonders in Hybridumgebungen wichtig, in denen Microsoft Entra ID partielle TGTs ausgibt, die mit lokales Active Directory Domänencontrollern für ein vollständiges TGT eingelöst werden müssen.

Um den Austausch abzuschließen, muss der Benutzer in der Zulassungsliste des RODC-Objekts und nicht in der Blockliste aufgeführt sein.

Während des Austauschprozesses wird ein partieller Microsoft Entra Kerberos-TGT in eine vollständige Active Directory TGT konvertiert. Microsoft Entra ID wertet die Listen aus, um die Zugriffsberechtigung zu ermitteln. Wenn der Benutzer in der Positivliste steht, gibt Microsoft Entra ID den vollständigen TGT aus. Wenn sich der Benutzer in der Sperrliste befindet, schlägt Microsoft Entra ID die Anforderung zurück und die Authentifizierung schlägt fehl.

Legen Sie als bewährte Methode die Standardkonfiguration auf "Verweigern" fest. Erteilen Sie explizite Allow-Berechtigungen nur für Gruppen, die berechtigt sind, Microsoft Entra Kerberos zu verwenden.

Von Bedeutung

Nur das lokal installierte Active Directory erkennt das partielle TGT. Der Zugriff auf ein partielles TGT bietet keinen Zugriff auf Ressourcen außerhalb Active Directory.

Bereichszuordnung

Die Bereichszuordnung ist der Mechanismus, mit dem Windows Clients bestimmen können, welcher Kerberos-Bereich kontaktiert werden soll, wenn ein Benutzer auf eine Ressource zugreift. Dieser Mechanismus ist besonders wichtig, wenn eine Organisation sowohl lokales Active Directory als auch Microsoft Entra ID in derselben Umgebung verwendet.

Windows verwendet den Namespace des Diensts (z. B. *.file.core.windows.net), um zu entscheiden, ob Active Directory oder Microsoft Entra ID für ein Kerberos-Ticket kontaktiert werden soll. Da cloudbasierte und lokale Dienste möglicherweise denselben Namespace gemeinsam nutzen, können Windows sie nicht automatisch unterscheiden.

Um diese Situation zu beheben, konfigurieren Administratoren Zuordnungen des Hostnamens zum Kerberos-Bereich über:

• Gruppenrichtlinie:Administrative Computerkonfigurationsvorlagen>>System>Kerberos>Definieren von Hostnamen-zu-Kerberos-Bereichszuordnungen
• Intune-Richtlinienkonfigurationsdienstanbieter (CSP): Kerberos/HostToRealm

Ein Beispiel für eine Zuordnung von contoso.com ist .file.core.windows.net zu KERBEROS.MICROSOFTONLINE.COM. Diese Zuordnung weist Windows an, Microsoft Entra Kerberos für bestimmte Azure Files-Instanzen zu verwenden, während andere auf das lokale Active Directory zurückgreifen.

Azure Mandanteninformationen in Microsoft Entra Kerberos

Microsoft Entra ID fungiert als KDC für Cloudressourcen. Es verwaltet mandantenspezifische Konfigurationen, die die Ausstellung und Validierung von Kerberos-Tickets unterstützen:

• Cloud TGT: Microsoft Entra ID gibt dieses TGT für den Bereich KERBEROS.MICROSOFTONLINE.COM aus. Sie wird im Kerberos-Ticketcache des Clients gespeichert und für den Cloudressourcenzugriff verwendet.
• KDC-Proxy: Dieses Protokoll leitet Kerberos-Datenverkehr sicher über das Internet an Microsoft Entra ID weiter. Mit diesem Routing können Clients Tickets ohne direkte Verbindung mit Domänencontrollern abrufen.
• Azure Mandantenerkennung: Der Kerberos-Stapel verwendet die Bereichszuordnung und die Mandanten-ID, um die Cloud-TGT zu überprüfen und Servicetickets ausstellen zu können.

3. Serviceticketanfrage und Ausstellung

Für den Clientzugriff auf lokale Ressourcen (Hybridszenario):

1. Microsoft Entra ID stellt ein partielles TGT aus.
2. Der Client kontaktiert einen Active Directory-Domänencontroller vor Ort, um das Teil-TGT gegen ein vollständiges TGT auszutauschen.
3. Das vollständige TGT wird für den Zugriff auf lokale Ressourcen wie SMB-Freigaben oder SQL-Server verwendet.

Der Client verwendet die Cloud TGT, um Servicetickets für Cloudressourcen anzufordern. Es ist keine Interaktion mit lokales Active Directory erforderlich. Für den Clientzugriff auf Cloudressourcen:

1. Wenn der Benutzer auf einen Dienst zugreift (z. B. Azure Files), fordert der Client ein Serviceticket von Microsoft Entra ID an, indem er die TGT vorstellt.
2. Der Client sendet eine Ticketgewährungs-Serviceanfrage (TGS-REQ) an Microsoft Entra ID.
3. Kerberos identifiziert den Dienst (z. B cifs/mystuff.file.core.windows.net. ) und ordnet die Domäne zu KERBEROS.MICROSOFTONLINE.COM. Das KDC-Proxyprotokoll ermöglicht die Kerberos-Kommunikation über das Internet.
4. Microsoft Entra ID überprüft die Cloud TGT und die Identität des Benutzers. Außerdem wird der angeforderte Dienstprinzipalname (SPN) für die Azure Files-Ressource gesucht, die in Microsoft Entra ID registriert ist.
5. Microsoft Entra ID generiert ein Dienstticket und verschlüsselt es mithilfe des Schlüssels des Dienstprinzipals. Microsoft Entra ID gibt das Ticket in einer Ticketgewährungsdienstantwort (TGS-REP) an den Kunden zurück.
6. Der Kerberos-Stapel verarbeitet den TGS-REP, extrahiert das Ticket und generiert eine Anwendungsanforderung (AP-REQ).
7. Die AP-REQ wird SMB zur Verfügung gestellt, die sie in die Anforderung zum Azure Files einschließt.
8. Azure Files entschlüsselt das Ticket und gewährt Zugriff. FSLogix können nun das Benutzerprofil aus Azure Files lesen und die Azure Virtual Desktop Sitzung laden.

Für den Clientzugriff auf Cloudressourcen:

1. Der Benutzer, der nur eine cloudbasierte Identität verwendet, greift auf eine Cloudressource zu (z. B. Azure Files Share).
2. Der SMB-Client fordert ein Kerberos-Dienstticket für den Ressourcen-SPN an (z. B. cifs/<storageaccount>.file.core.windows.net).
3. Entra Kerberos gibt das Dienstticket basierend auf der Cloud TGT aus. Das Ticket enthält die Entra ID-Identität und Gruppen-Claims des Benutzers.
4. Azure Files validiert das Kerberos-Ticket gegen Entra ID. Die Autorisierung wird mithilfe von Azure RBAC-Rollen erzwungen (z. B. Mitwirkender für SMB-Share von Speicherdateidaten).
5. Der Benutzer erhält Zugriff auf die Ressource, wenn RBAC-Berechtigungen erfüllt sind. Es sind keine lokalen AD- oder NTFS-ACLs beteiligt – die Autorisierung ist vollständig cloudbasiert.

Wichtige Unterschiede von herkömmlichem Kerberos:

• Kein lokaler KDC oder Active Directory DS.
• Keine NTFS-ACL-Erzwingung; verwendet Azure RBAC.
• Von Entra Kerberos in der Cloud ausgestellte Kerberos-Tickets.

Zusammenfassung

Merkmal	Wolke TGT	Lokaler TGT
Emittent	Microsoft Entra ID	Lokale Active Directory (über Exchange)
Realm	KERBEROS.MICROSOFTONLINE.COM	Lokale Active Directory Domäne
Autorisierungsdaten	Cloudspezifisch	Vollständige Active Directory Gruppenmitgliedschaften
Austausch erforderlich	Nein	Ja (Teil-TGT bis Voll-TGT)
Anwendungsfall	Azure Files, Azure SQL	SMB-Freigaben, ältere Anwendungen
Überprüfungstool (macOS)	tgt_cloud	tgt_ad
Überprüfungstool (Windows)	klist cloud_debug	klist get krbtgt

Szenarien

Verwenden Sie Microsoft Entra Kerberos für den Windows-Authentifizierungszugriff auf Azure SQL Managed Instance

Die Kerberos-Authentifizierung ermöglicht für Microsoft Entra ID den Windows-Authentifizierungszugriff auf Azure SQL Managed Instance. Windows-Authentifizierung für verwaltete Instanzen ermöglicht Es Kunden, vorhandene Dienste in die Cloud zu verschieben und gleichzeitig eine nahtlose Benutzererfahrung zu gewährleisten. Diese Möglichkeit bietet die Basis für die Infrastrukturmodernisierung.

Ausführliche Informationen finden Sie unter Was ist die Windows-Authentifizierung für Microsoft Entra-Hauptdienstobjekte auf einer verwalteten Azure SQL-Instanz?.

Verwenden von SSO zum Anmelden bei lokalen Ressourcen mithilfe von FIDO2-Schlüsseln

Microsoft Entra Kerberos-Benutzer können sich mit modernen Anmeldeinformationen wie FIDO2-Sicherheitsschlüsseln bei Windows anmelden und dann auf herkömmliche Active Directory-basierte Ressourcen zugreifen.

Ausführliche Informationen finden Sie unter Aktivieren der passwortlosen Anmeldung mit Sicherheitsschlüssel zu lokalen Ressourcen mithilfe von Microsoft Entra ID.

Aktivieren von Kerberos-Single Sign-On (SSO) für lokale Active Directory- und Microsoft Entra ID-Kerberos-Ressourcen in Platform SSO.

Zusammen mit dem Platform SSO PRT stellt Microsoft Entra sowohl Kerberos-TGTs für lokale als auch für Cloud-basierte Umgebungen aus. Diese TGTs werden dann mit dem nativen Kerberos-Stack in macOS über die TGT-Zuordnung in Platform SSO geteilt.

Ausführliche Informationen finden Sie unter Kerberos SSO für lokale Active Directory- und Microsoft Entra ID-Kerberos-Ressourcen in Platform SSO aktivieren.

Speichern von Profilcontainern mit FSLogix für Azure Virtual Desktop

Um Benutzerprofile für virtuelle Desktops zu hosten, können Sie Profile in einer Azure Dateifreigabe speichern, auf die über Microsoft Entra Kerberos zugegriffen wird. Microsoft Entra Kerberos ermöglicht es Microsoft Entra ID, die erforderlichen Kerberos-Tickets für den Zugriff auf die Dateifreigabe über das Branchenstandard-SMB-Protokoll auszugeben.

Ausführliche Informationen finden Sie unter Store FSLogix Profilcontainer auf Azure Files unter Verwendung von Microsoft Entra ID in einem hybriden Szenario.

Aktivieren der Microsoft Entra Kerberos-Authentifizierung für Azure Files

Microsoft Entra Kerberos-Authentifizierung ermöglicht sowohl Hybrididentitäten als auch Cloud-only-Identitäten den Zugriff auf Dateifreigaben in Azure über die Kerberos-Authentifizierung. In diesem Szenario wird Microsoft Entra ID verwendet, um die erforderlichen Kerberos-Tickets für den Zugriff auf die Dateifreigabe über das SMB-Protokoll auszugeben.

Ausführliche Informationen finden Sie unter Enable Microsoft Entra Kerberos-Authentifizierung für Hybrididentitäten auf Azure Files.

Sicherheitsüberlegungen

• Microsoft Entra Kerberos stellt keine teilweisen TGTs für Identitäten aus, die nicht mit Microsoft Entra ID synchronisiert sind.
• Microsoft Entra Kerberos verwendet ein sicheres TGT-Austauschmodell über den KDC-Proxy. Dieses Modell minimiert die Gefährdung von Domänencontrollern und reduziert die Angriffsfläche.
• Administratoren können Gruppenauflösungsrichtlinien konfigurieren, um einzuschränken, welche Gruppen in Kerberos-Tickets enthalten sind. Diese Kontrollen sind unerlässlich für die Verwaltung der Ticketgröße und die Verringerung der Exposition gegenüber unnötiger Gruppendaten.
• Wir empfehlen Ihnen, eine klare Trennung zwischen Cloud- und lokalen Umgebungen einzuhalten und das krbtgt_AzureAD-sensible Konto nicht zu synchronisieren, um das Risiko der Eskalation von Berechtigungen zu vermeiden. Das konto krbtgt_AzureAD sollte nur in Entra ID vorhanden sein, das von den Clouddiensten Microsoft automatisch erstellt und verwaltet wird.
• Verwenden Sie die Zulassungsliste und Blockliste des RODC-Objekts, um zu steuern, welche Benutzer partielle TGTs von Microsoft Entra ID für den lokalen Ressourcenzugriff erhalten können.

Einschränkungen und andere Überlegungen

Unterstützung für reine Cloudbenutzeridentitäten (Vorschau)

Cloud-basierte Benutzerkonten, die ausschließlich in Microsoft Entra ID verwaltet werden, werden für die Kerberos-Authentifizierung von Workloads wie Azure Files, Azure Virtual Desktop und Windows-Authentifizierungszugriff auf Azure SQL Managed Instance unterstützt.

Betriebssystem- und Geräteeinschränkungen

Microsoft Entra Kerberos wird auf Microsoft Entra verbundenen oder hybrid eingebundenen Windows 10 (2004 oder höher) und Windows 11 Geräten unterstützt. Einige Features sind von bestimmten Windows Versionen und Patches abhängig.

Netzwerkkonnektivitätsanforderungen für die ACL-Konfiguration

Benutzer können auf Azure-Dateifreigaben über das Internet zugreifen, ohne eine direkte Verbindung zu Domänencontrollern zu benötigen. Das Konfigurieren von Windows-Zugriffssteuerungslisten (ACLs) oder Berechtigungen auf Dateiebene für Hybrididentitäten erfordert jedoch uneingeschränkten Netzwerkzugriff auf die lokalen Domänencontroller.

Keine Unterstützung für mandantenübergreifende oder Gastbenutzer

Business-to-Business-Gastbenutzer oder Benutzer aus anderen Microsoft Entra-Mandanten können sich derzeit nicht über Microsoft Entra Kerberos authentifizieren.

Ablauf des Passworts

Dienstprinzipal-Kennwörter für Speicherkonten laufen alle sechs Monate ab und müssen ausgetauscht werden, um den Zugriff aufrechtzuerhalten.

Gruppenmitgliedschaftsbeschränkungen

Kerberos-Tickets haben eine Größenbeschränkung, die die Anzahl der Gruppen-SIDs begrenzt, die Sie einschließen können. Die Standardgrenze beträgt 1.010 Gruppen pro Ticket. Wenn Sie diese Obergrenze überschreiten, sind nur die ersten 1.010 enthalten. Der Ausschluss des Rests kann Zugriffsfehler für Benutzer in großen Organisationen verursachen.

MFA-Inkompatibilität für Azure Files Authentifizierung

Die Microsoft Entra Kerberos-Authentifizierung für Azure-Dateifreigaben unterstützt keine MFA. Microsoft Entra Richtlinien für den bedingten Zugriff, die MFA erzwingen, müssen die Speicherkontoanwendung ausschließen, da sonst die Authentifizierung der Benutzer fehlschlägt.

Schließen Sie Azure Files von Richtlinien für bedingten Zugriff aus, für die MFA erforderlich ist. Sie können diese Aufgabe ausführen, indem Sie die Richtlinie festlegen, um das Speicherkonto oder die spezifische Anwendung auszuschließen, die auf Azure Files zugreift.

Anforderungen für die Attributsynchronisierung

Damit Microsoft Entra Kerberos funktioniert, ist die ordnungsgemäße Synchronisierung von Schlüsselbenutzerattributen aus dem lokalen Active Directory unerlässlich. Zu diesen Attributen gehören onPremisesDomainName, onPremisesUserPrincipalNameund onPremisesSamAccountName.

Einzelne Active Directory Methode pro Azure Storage Konto

Für Azure Files identitätsbasierte Authentifizierung können Sie pro Speicherkonto jeweils nur eine Active Directory Methode aktivieren. Zu diesen Methoden gehören Microsoft Entra Kerberos, lokale AD DS und Microsoft Entra Domain Services. Zum Wechseln zwischen Methoden muss zuerst die aktuelle Methode deaktiviert werden.

Kerberos-Verschlüsselungseinstellungen

Kerberos-Ticketverschlüsselung mit Microsoft Entra Kerberos verwendet ausschließlich AES-256. Sie können die SMB-Kanalverschlüsselung separat basierend auf Ihren Anforderungen konfigurieren.

Erste Schritte mit Microsoft Entra Kerberos

1. Um Hybrididentitäten zu authentifizieren, müssen Sie zuerst Microsoft Entra Connect einrichten, um lokale AD DS-Benutzer mit Microsoft Entra ID zu synchronisieren. Ausführliche Informationen finden Sie im Installationshandbuch Microsoft Entra Connect.

2. Konfigurieren Sie Azure Files oder andere Dienste für die Verwendung Microsoft Entra Kerberos-Authentifizierung. Anweisungen finden Sie unter Enable Microsoft Entra Kerberos-Authentifizierung.

3. Stellen Sie sicher, dass Windows Clients auf dem neuesten Stand sind und für Microsoft Entra Kerberos konfiguriert sind.

4. Überwachen und ändern Sie die Passwörter der Dienstprinzipale nach Bedarf.

5. Verwenden Sie Microsoft Entra ID Berichte und Überwachungstools, um Authentifizierungsereignisse nachzuverfolgen.

Gruppen-SID-Grenzwert in Entra Kerberos (Vorschau)

Kerberos-Tickets können maximal 1.010 Sicherheitskennungen (SECURITY Identifiers, SIDs) für Gruppen enthalten. Dies ist ein Windows Spezifikationslimit. Mit Entra Kerberos, das jetzt reine Cloudidentitäten (zusätzlich zu hybriden Identitäten) unterstützt, müssen Tickets sowohl lokale Gruppen-SIDs als auch Cloudgruppen-SIDs enthalten. Große Unternehmen haben häufig Benutzer in Hunderten oder Tausenden von Gruppen, einschließlich geschachtelter und dynamischer Mitgliedschaften. Wenn die kombinierten Gruppen-SIDs 1.010 überschreiten, kann das Kerberos-Ticket nicht ausgestellt werden, und die Authentifizierung schlägt fehl. Dies ist besonders problematisch für SMB-Zugriffsszenarien wie Azure Files, bei denen NTFS-ACL-Prüfungen von der vollständigen Gruppenmitgliedschaft im Ticket abhängen.

Als kurzfristige Lösung können Apps, die Entra Kerberos für reine Cloudidentitäten verwenden, ein Tag in ihrem Anwendungsmanifest hinzufügen. Wenn der Kerberos-Dienst dieses Tag sieht, weiß er, dass die Anforderung nur Cloudidentitäten umfasst. Anmeldung und PRT-Ausstellung sind erfolgreich; jedoch können Fehler beim Anfordern des Diensttickets auftreten, wenn der Benutzer auf eine Kerberos-geschützte Ressource zugreift und das Limit von 1010 Gruppe SIDs überschreitet.

Typische Endbenutzerfehler

Windows SMB /Azure Files – Zuordnungs-/Bereitstellungsversuche können mit generischen SMB-Fehlern fehlschlagen (z. B. Systemfehler 86 oder 1327 können in anderen Richtlinienkonflikten wie MFA auftreten). - Der Zugriff kann für Nutzer kleinerer Gruppen zugriffsberechtigt sein, jedoch aufgrund der Überschreitung des Grenzwerts von 1010 Gruppen-SIDs bei stark gruppierten Nutzern im selben Mandanten intermittierend fehlschlagen.

Anmeldung vs. Ressourcenzugriff – Anmeldung und PRT-Ausstellung sind erfolgreich; Fehler treten bei der Ausstellung des Diensttickets auf (wenn der Benutzer auf eine Kerberos-geschützte Ressource zugreift).

Entra-Anmeldeprotokolleintrag – Fehler 140011 – KerberosUsersGroupNumberExceeded im Entra-Anmeldeprotokoll gibt an, dass der Kerberos-Ticketausstellungsprozess fehlgeschlagen ist, da die effektive Gruppenmitgliedschaft des Benutzers die maximale zulässige Anzahl von Sicherheits-IDs (SIDs) in einem Kerberos-Ticket überschritten hat. Der Administrator sollte gruppenmitgliedschaften für betroffene Benutzer verringern (insbesondere geschachtelte/dynamische Gruppen).

So aktualisieren Sie das Tags-Attribut in der Anwendungsmanifestdatei

Option 1: Aktualisieren von Tags im Entra Admin Portal

1. Melden Sie sich beim Microsoft Entra Admin Center oder bei der Cloud-Administratorrolle für Anwendungen an.
2. Navigieren Sie zu:
   • Entra ID → App-Registrierungen → Wählen Sie Ihre Anwendung aus.
3. Klicken Sie unter "Verwalten" auf "Manifest".
   • Suchen Sie im JSON-Editor die Tags-Eigenschaft, und fügen Sie "kdc_enable_cloud_group_sids" hinzu.
4. Klicken Sie auf "Speichern", um Änderungen anzuwenden.

Option 2: Aktualisieren von Tags mithilfe von Microsoft Graph-API (Berechtigungen: Application.ReadWrite.All)

Anforderungstext

PATCH https://graph.microsoft.com/v1.0/applications/{applicationObjectId}
Content-Type: application/json
{
   "tags": [
           "kdc_enable_cloud_group_sids"
    ]
}

Option 3: Aktualisieren von Tags mithilfe von PowerShell-Cmdlets

1. Starten Sie PowerShell mit Administratorrechten.

2. Installieren und importieren Sie die Microsoft Graph PowerShell SDK.

   Install-Module Microsoft.Graph -Scope CurrentUser
   Import-Module Microsoft.Graph.Authentication
   Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser
   

3. Stellen Sie eine Verbindung mit dem Mandanten her und akzeptieren Sie alle Elemente.

   Connect-MGGraph -Scopes "Application.ReadWrite.All" -TenantId <tenantId>
   

4. Listen Sie das „certificateUserIds“-Attributs eines bestimmten Benutzers auf.

   Update-MgApplication -ApplicationId "<AppObjectId>" -Tags @("kdc_enable_cloud_group_sids")
   

Verwandte Inhalte

• Erstellen des vertrauenswürdigen Domänenobjekts
• Konfigurieren von Clients zum Abrufen von Kerberos-Tickets
• Konfigurieren Sie das Gruppenrichtlinienobjekt (GPO) für Azure SQL Managed Instance