Foires aux questions (FAQ) relatives au déploiement de clés de sécurité FIDO2 hybrides dans Microsoft Entra ID
Cet article aborde les questions fréquentes (FAQ) relatives au déploiement des appareils avec jointure hybride Microsoft Entra et la connexion sans mot de passe aux ressources locales. Grâce à cette fonctionnalité sans mot de passe, vous pouvez activer l’authentification Microsoft Entra sur les appareils Windows 10 pour les appareils à jonction hybride Microsoft Entra à l’aide de clés de sécurité FIDO2. Les utilisateurs peuvent se connecter à Windows sur leurs appareils à l’aide d’informations d’identification modernes telles que des clés FIDO2 et accéder à des ressources traditionnelles basées sur Active Directory Domain Services (AD DS) avec une expérience d’authentification unique (SSO) transparente pour leurs ressources locales.
Pour les utilisateurs d’un environnement hybride, les scénarios suivants sont pris en charge :
- Se connecter à des appareils à jonction hybride Microsoft Entra à l’aide de clés de sécurité FIDO2 et bénéficier d’un accès avec authentification unique aux ressources locales.
- Se connecter à des appareils joints à Microsoft Entra à l’aide de clés de sécurité FIDO2 et bénéficier d’un accès avec authentification unique aux ressources locales.
Pour vous familiariser avec les clés de sécurité FIDO2 et l’accès hybride aux ressources locales, consultez les articles suivants :
Clés de sécurité
- Mon organisation requiert une authentification à deux facteurs pour accéder aux ressources. Que puis-je faire pour prendre en charge cette exigence ?
- Où puis-je trouver des clés de sécurité FIDO2 conformes ?
- Que dois-je faire si je perds ma clé de sécurité ?
- Comment les données sont-elles protégées sur la clé de sécurité FIDO2 ?
- Comment l’inscription des clés de sécurité FIDO2 fonctionne-t-il ?
- Existe-t-il un moyen pour les administrateurs d’approvisionner les clés directement pour les utilisateurs ?
Mon organisation requiert une authentification multifacteur pour accéder aux ressources. Que puis-je faire pour prendre en charge cette exigence ?
Les clés de sécurité FIDO2 sont disponibles dans différents facteurs de forme. Contactez le fabricant de l’appareil pour savoir comment le paramétrer afin d’utiliser un code PIN ou un accès biométrique comme deuxième facteur. Pour obtenir la liste des fournisseurs pris en charge, consultez Fournisseurs de clés de sécurité FIDO2.
Où puis-je trouver des clés de sécurité FIDO2 conformes ?
Pour obtenir la liste des fournisseurs pris en charge, consultez Fournisseurs de clés de sécurité FIDO2.
Que se passe-t-il si je perds ma clé de sécurité ?
Vous pouvez supprimer des clés en accédant à la page Informations relatives à la sécurité et en supprimant les clés de sécurité FIDO2.
Comment les données sont-elles protégées sur la clé de sécurité FIDO2 ?
Les clés de sécurité FIDO2 ont des enclaves sécurisées qui protègent les clés privées qui y sont stockées. Une clé de sécurité FIDO2 a également des propriétés anti-martèlement intégrées, comme dans Windows Hello, où vous ne pouvez pas extraire la clé privée.
Comment l’inscription des clés de sécurité FIDO2 fonctionne-t-il ?
Pour plus d’informations sur l’inscription et l’utilisation de clés de sécurité FIDO2, consultez Activer la connexion par clé de sécurité sans mot de passe.
Existe-t-il un moyen pour les administrateurs d’approvisionner les clés directement pour les utilisateurs ?
Non, pas pour l’instant.
Pourquoi est-ce que je vois « NotAllowedError » dans le navigateur lors de l’inscription des clés FIDO2 ?
Vous verrez « NotAllowedError » dans la page d’inscription de la clé FIDO2. Cela se produit généralement lorsqu'une erreur survient alors que Windows tente une opération CTAP2 authenticatorMakeCredential contre la clé de sécurité. Vous trouverez plus de détails dans le journal des événements de Microsoft-Windows-WebAuthN/Operational.
Prérequis
- Cette fonctionnalité fonctionne-t-elle en l’absence de connexion Internet ?
- Quels sont les points de terminaison spécifiques qui doivent être ouverts pour Microsoft Entra ID ?
- Comment identifier le type de jointure de domaine (jointure Microsoft Entra ou jointure Microsoft Entra hybride) pour mon appareil Windows 10 ?
- Quelle est la recommandation en matière de nombre de contrôleurs de domaine qui doivent être corrigés ?
- Puis-je déployer le fournisseur d’informations d’identification FIDO2 sur un appareil uniquement local ?
- La connexion par clé de sécurité FIDO2 ne fonctionne pas pour mon compte Administrateur de domaine ou d’autres comptes à privilèges élevés. Pourquoi ?
Cette fonctionnalité fonctionne-t-elle en l’absence de connexion Internet ?
La connectivité Internet est une condition préalable à l’activation de cette fonctionnalité. La première fois qu’un utilisateur se connecte à l’aide de clés de sécurité FIDO2, il doit disposer d’une connexion Internet. Pour les événements de connexion suivants, la connexion mise en cache doit fonctionner et permettre à l’utilisateur de s’authentifier sans connexion à Internet.
Pour une expérience cohérente, assurez-vous que les appareils disposent d’un accès Internet et d’une ligne de vue sur les contrôleurs de domaine.
Quels sont les points de terminaison spécifiques qui doivent être ouverts pour Microsoft Entra ID ?
Les points de terminaison suivants sont nécessaires pour l’inscription et l’authentification :
*.microsoftonline.com*.microsoftonline-p.com*.msauth.net*.msauthimages.net*.msecnd.net*.msftauth.net*.msftauthimages.net*.phonefactor.netenterpriseregistration.windows.netmanagement.azure.compolicykeyservice.dc.ad.msft.netsecure.aadcdn.microsoftonline-p.com
Pour obtenir la liste complète des points de terminaison nécessaires à l’utilisation des produits en ligne de Microsoft, consultez URL et plages d’adresses IP Office 365.
Comment identifier le type de jointure de domaine (jointure Microsoft Entra ou jointure Microsoft Entra hybride) pour mon appareil Windows 10 ?
Pour vérifier si l’appareil client Windows 10 possède le type de jonction de domaine approprié, utilisez la commande suivante :
Dsregcmd /status
L’exemple de sortie suivant montre que l’appareil a une jointure Microsoft Entra, car AzureADJoined est défini sur OUI :
+---------------------+
| Device State |
+---------------------+
AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: NO
L’exemple de sortie suivant montre que l’appareil a une jointure hybride Microsoft Entra, car DomainedJoined est défini sur YES. La valeur DomainName est également illustrée ci-dessous :
+---------------------+
| Device State |
+---------------------+
AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: YES
DomainName: CONTOSO
Sur un contrôleur de domaine Windows Server 2016 ou 2019, vérifiez que les patchs suivants sont appliqués. Si nécessaire, exécutez Windows Update pour les installer :
À partir d’un appareil client, exécutez la commande suivante pour vérifier la connectivité à un contrôleur de domaine approprié avec les patchs installés :
nltest /dsgetdc:<domain> /keylist /kdc
Quelle est la recommandation en matière de nombre de contrôleurs de domaine qui doivent être corrigés ?
Nous vous recommandons d’appliquer le patch à la majorité de vos contrôleurs de domaine Windows Server 2016 ou 2019 afin qu’ils puissent traiter la charge de requêtes d’authentification de votre organisation.
Sur un contrôleur de domaine Windows Server 2016 ou 2019, vérifiez que les patchs suivants sont appliqués. Si nécessaire, exécutez Windows Update pour les installer :
Puis-je déployer le fournisseur d’informations d’identification FIDO2 sur un appareil uniquement local ?
Non, cette fonctionnalité n’est pas prise en charge pour un appareil uniquement local. Le fournisseur d’informations d’identification FIDO2 n’apparaît pas.
La connexion par clé de sécurité FIDO2 ne fonctionne pas pour mon compte Administrateur de domaine ou d’autres comptes à privilèges élevés. Pourquoi ?
La stratégie de sécurité par défaut n’accorde pas d’autorisation Microsoft Entra pour signer des comptes à privilèges élevés sur des ressources locales.
Pour débloquer les comptes, utilisez Utilisateurs et ordinateurs Active Directory pour modifier la propriété msDS-NeverRevealGroup de l’objet ordinateur Microsoft Entra Kerberos (CN=AzureADKerberos,OU=Domain Controllers,<domain-DN>).
Sous le capot
- Comment Microsoft Entra Kerberos est-il lié à mon environnement Active Directory Domain Services local ?
- Où puis-je voir ces objets serveur Kerberos qui sont créés dans AD et publiés dans Microsoft Entra ID ?
- Pourquoi la clé publique n’est-elle pas inscrite sur un AD DS local afin de ne pas dépendre d’Internet ?
- Comment les clés sont-elles alternées sur l’objet serveur Kerberos ?
- Pourquoi avons-nous besoin de Microsoft Entra Connect ? Réécrit-t-il des informations sur AD DS à partir de Microsoft Entra ID ?
- À quoi ressemble la requête/réponse HTTP lors d’une requête PRT + TGT partielle ?
Comment Microsoft Entra Kerberos est-il lié à mon environnement Active Directory Domain Services local ?
Il existe deux parties : l’environnement AD DS local et le locataire Microsoft Entra.
Active Directory Domain Services (AD DS)
Le serveur Microsoft Entra Kerberos est représenté dans un environnement AD DS local sous la forme d’un objet contrôleur de domaine (DC). Cet objet DC est constitué de plusieurs objets :
CN=AzureADKerberos,OU=Domain Controllers,<domain-DN>Objet Computer qui représente un contrôleur de domaine en lecture seule (RODC) dans AD DS. Aucun ordinateur n’est associé à cet objet. Au lieu de cela, il s’agit d’une représentation logique d’un DC.
CN=krbtgt_AzureAD,CN=Users,<domain-DN>Objet User qui représente une clé de chiffrement TGT (Ticket Granting Ticket) Kerberos RODC.
CN=900274c4-b7d2-43c8-90ee-00a9f650e335,CN=AzureAD,CN=System,<domain-DN>Objet ServiceConnectionPoint qui stocke les métadonnées relatives aux objets de serveur Microsoft Entra Kerberos. Les outils d’administration utilisent cet objet pour identifier et localiser les objets de serveur Microsoft Entra Kerberos.
Microsoft Entra ID
Le serveur Kerberos Microsoft Entra est représenté dans Microsoft Entra ID en tant qu’objet KerberosDomain. Chaque environnement AD DS local est représenté par un objet KerberosDomain unique dans le locataire Microsoft Entra.
Par exemple, vous pouvez avoir une forêt AD DS avec deux domaines tels que contoso.com et fabrikam.com. Si vous autorisez Microsoft Entra ID à émettre des TGT (Ticket-Granting Ticket) Kerberos pour l’ensemble de la forêt, il y aura deux objets KerberosDomain dans Microsoft Entra ID, un objet pour contoso.com et l’autre pour fabrikam.com.
Si vous avez plusieurs forêts AD DS, vous aurez un objet KerberosDomain pour chaque domaine dans chaque forêt.
Où puis-je voir ces objets serveur Kerberos qui sont créés dans AD DS et publiés dans Microsoft Entra ID ?
Pour visualiser tous les objets, utilisez les cmdlets PowerShell du serveur Microsoft Entra Kerberos inclus dans la dernière version de Microsoft Entra Connect.
Pour plus d’informations, notamment des instructions sur la façon d’afficher les objets, consultez créer un objet serveur Kerberos.
Pourquoi la clé publique n’est-elle pas inscrite sur un AD DS local afin de ne pas dépendre d’Internet ?
Nous avons reçu des commentaires sur la complexité du modèle de déploiement pour Windows Hello Entreprise. Nous voulions donc simplifier le modèle de déploiement sans avoir à utiliser de certificats ni de PKI (FIDO2 n’utilise pas de certificats).
Comment les clés sont-elles alternées sur l’objet serveur Kerberos ?
Comme pour tout autre contrôleur de domaine, les clés krbtgt de chiffrement du serveur Microsoft Entra Kerberos doivent être régulièrement alternées. Il est recommandé de suivre la même planification que celle utilisée pour alterner toutes les autres clés krbtgt d’AD DS.
Remarque
Bien qu’il existe d’autres outils pour alterner les clés krbtgt, vous devez utiliser les cmdlets PowerShell pour alterner les clés krbtgt de votre serveur Microsoft Entra Kerberos. Cette méthode permet de s’assurer que les clés sont mises à jour à la fois dans l’environnement AD DS local et dans Microsoft Entra.
Pourquoi avons-nous besoin de Microsoft Entra Connect ? Réécrit-t-il des informations sur AD DS à partir de Microsoft Entra ID ?
Microsoft Entra Connect n’écrit pas d’informations de Microsoft Entra ID dans Active Directory DS. L’utilitaire comprend le module PowerShell pour créer l’objet serveur Kerberos dans AD DS et le publier dans Microsoft Entra ID.
À quoi ressemble la requête/réponse HTTP lors d’une requête PRT + TGT partielle ?
La requête HTTP est une demande de jeton d’actualisation principal (PRT, Primary Refresh Token) standard. Cette demande de PRT comprend une revendication indiquant qu’un ticket TGT (Ticket Granting Ticket) Kerberos est nécessaire.
| Revendication | Valeur | Description |
|---|---|---|
| tgt | true | La revendication indique que le client a besoin d’un TGT. |
Microsoft Entra ID combine la clé de client chiffrée et la mémoire tampon de message dans la réponse PRT en tant que propriétés supplémentaires. La charge utile est chiffrée à l’aide de la clé de session de l’appareil Microsoft Entra.
| Champ | Type | Description |
|---|---|---|
| tgt_client_key | string | Clé client encodée en base64 (secret). Il s’agit de la clé secrète client utilisée pour protéger le TGT. Dans ce scénario sans mot de passe, la clé secrète client est générée par le serveur dans le cadre de chaque requête TGT, puis retournée au client dans la réponse. |
| tgt_key_type | int | Type de clé AD DS local utilisé pour la clé client et la clé de session Kerberos inclus dans le KERB_MESSAGE_BUFFER. |
| tgt_message_buffer | string | KERB_MESSAGE_BUFFER encodé en base64. |
Les utilisateurs doivent-ils être membres du groupe Utilisateurs du domaine Active Directory ?
Oui. Un utilisateur doit se trouver dans le groupe Utilisateurs du domaine pour pouvoir se connecter à l’aide de Microsoft Entra Kerberos.
Étapes suivantes
Pour vous familiariser avec les clés de sécurité FIDO2 et l’accès hybride aux ressources locales, consultez les articles suivants :