A hibrid FIDO2 biztonsági kulcsokkal kapcsolatos gyakori kérdések (GYIK) telepítése a Microsoft Entra ID-ben
Ez a cikk a Microsoft Entra hibrid csatlakoztatott eszközeire és a helyszíni erőforrásokba való jelszó nélküli bejelentkezésre vonatkozó gyakori kérdéseket (GYIK) ismerteti. Ezzel a jelszó nélküli funkcióval engedélyezheti a Microsoft Entra-hitelesítést Windows 10 rendszerű eszközökön a Microsoft Entra hibrid csatlakoztatott eszközökhöz FIDO2 biztonsági kulcsok használatával. A felhasználók modern hitelesítő adatokkal, például FIDO2-kulcsokkal jelentkezhetnek be a Windowsba, és a helyszíni erőforrásokhoz zökkenőmentes egyszeri bejelentkezéssel (SSO) férhetnek hozzá a hagyományos Active Directory tartományi szolgáltatások (AD DS) alapú erőforrásokhoz.
A hibrid környezetben lévő felhasználók esetében a következő forgatókönyvek támogatottak:
- Jelentkezzen be a Hibrid Microsoft Entra-eszközökre FIDO2 biztonsági kulcsokkal, és szerezzen SSO-hozzáférést a helyszíni erőforrásokhoz.
- Jelentkezzen be a Microsoft Entra-hoz csatlakoztatott eszközökre FIDO2 biztonsági kulcsokkal, és szerezzen SSO-hozzáférést a helyszíni erőforrásokhoz.
A FIDO2 biztonsági kulcsaival és a helyszíni erőforrásokhoz való hibrid hozzáféréssel kapcsolatos első lépésekért tekintse meg a következő cikkeket:
Biztonsági kulcsok
- A szervezetemnek kéttényezős hitelesítésre van szüksége az erőforrások eléréséhez. Mit tehetek ennek a követelménynek a támogatásához?
- Hol találhatók a megfelelő FIDO2 biztonsági kulcsok?
- Mit tegyek, ha elveszítem a biztonsági kulcsomat?
- Hogyan védik az adatokat a FIDO2 biztonsági kulcson?
- Hogyan működik a FIDO2 biztonsági kulcsok regisztrálása?
- Van mód arra, hogy a rendszergazdák közvetlenül kiépíteni a kulcsokat a felhasználók számára?
A szervezetem többtényezős hitelesítést igényel az erőforrások eléréséhez. Mit tehetek ennek a követelménynek a támogatásához?
A FIDO2 biztonsági kulcsok számos különböző formában érhetők el. Lépjen kapcsolatba az érdeklődési körrel rendelkező eszköz gyártójával, hogy megvitassák, hogyan engedélyezhetők az eszközeik PIN-kóddal vagy biometrikus adatokkal második tényezőként. A támogatott szolgáltatók listájáért tekintse meg a FIDO2 biztonsági kulcsok szolgáltatóinak listáját.
Hol találhatók a megfelelő FIDO2 biztonsági kulcsok?
A támogatott szolgáltatók listájáért tekintse meg a FIDO2 biztonsági kulcsok szolgáltatóinak listáját.
Mi történik, ha elveszítem a biztonsági kulcsomat?
A kulcsok eltávolításához lépjen a Biztonsági adatok lapra, és távolítsa el a FIDO2 biztonsági kulcsot.
Hogyan védik az adatokat a FIDO2 biztonsági kulcson?
A FIDO2 biztonsági kulcsok biztonságos enklávékkal rendelkeznek, amelyek védik a rajtuk tárolt titkos kulcsokat. A FIDO2 biztonsági kulcsok kalapács elleni tulajdonságokkal is rendelkeznek, például a Windows Hello-ban, ahol nem lehet kinyerni a titkos kulcsot.
Hogyan működik a FIDO2 biztonsági kulcsok regisztrálása?
A FIDO2 biztonsági kulcsok regisztrálásáról és használatáról további információt a jelszó nélküli biztonsági kulcsok bejelentkezésének engedélyezése című témakörben talál.
Van mód arra, hogy a rendszergazdák közvetlenül kiépíteni a kulcsokat a felhasználók számára?
Nem, egyelőre még nem.
Miért kapok "NotAllowedError"-t a böngészőben a FIDO2-kulcsok regisztrálásakor?
A "NotAllowedError" a Fido2 kulcsregisztrációs oldaláról fog érkezni. Ez általában akkor fordul elő, ha hiba történik, amikor a Windows CTAP2 authenticatorMakeCredential műveletet kísérel meg a biztonsági kulcson. További részleteket a Microsoft-Windows-WebAuthN/Operational eseménynaplóban talál.
Előfeltételek
- Működik ez a funkció, ha nincs internetkapcsolat?
- Melyek azok a konkrét végpontok, amelyek a Microsoft Entra-azonosító megnyitásához szükségesek?
- Hogyan a Windows 10-es eszközhöz tartozó tartománycsatlakozás típusát (Microsoft Entra csatlakoztatott vagy hibrid Microsoft Entra csatlakoztatott) azonosítja?
- Mi a javaslat a javítandó tartományvezérlők számával kapcsolatban?
- Üzembe helyezhetem a FIDO2 hitelesítőadat-szolgáltatót egy csak helyszíni eszközön?
- A FIDO2 biztonsági kulcs bejelentkezése nem működik a Tartomány Rendszergazda vagy más magas jogosultságú fiókokhoz. Miért?
Működik ez a funkció, ha nincs internetkapcsolat?
A funkció engedélyezésének előfeltétele az internetkapcsolat. Amikor egy felhasználó először jelentkezik be FIDO2 biztonsági kulcsokkal, internetkapcsolattal kell rendelkeznie. A későbbi bejelentkezési események esetén a gyorsítótárazott bejelentkezésnek működnie kell, és lehetővé kell tenni a felhasználó számára az internetkapcsolat nélküli hitelesítést.
A konzisztens felhasználói élmény érdekében győződjön meg arról, hogy az eszközök rendelkeznek internetkapcsolattal és a tartományvezérlők látóvonalával.
Melyek azok a konkrét végpontok, amelyek a Microsoft Entra-azonosító megnyitásához szükségesek?
A regisztrációhoz és a hitelesítéshez a következő végpontokra van szükség:
*.microsoftonline.com*.microsoftonline-p.com*.msauth.net*.msauthimages.net*.msecnd.net*.msftauth.net*.msftauthimages.net*.phonefactor.netenterpriseregistration.windows.netmanagement.azure.compolicykeyservice.dc.ad.msft.netsecure.aadcdn.microsoftonline-p.com
A Microsoft online termékeinek használatához szükséges végpontok teljes listáját az Office 365 URL-címeivel és AZ IP-címtartományokkal foglalkozó cikkben találja.
Hogyan a Windows 10-es eszközhöz tartozó tartománycsatlakozás típusát (Microsoft Entra csatlakoztatott vagy hibrid Microsoft Entra csatlakoztatott) azonosítja?
Annak ellenőrzéséhez, hogy a Windows 10-ügyféleszköz rendelkezik-e a megfelelő tartománybeléptetési típussal, használja a következő parancsot:
Dsregcmd /status
Az alábbi mintakimenet azt mutatja, hogy az eszköz a Microsoft Entra azureADJoined-hez való csatlakoztatása IGEN értékre van állítva:
+---------------------+
| Device State |
+---------------------+
AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: NO
Az alábbi mintakimenet azt mutatja, hogy az eszköz a Microsoft Entra hibrid csatlakozik a DomainedJoinedhez, szintén IGEN értékre van állítva. A DomainName is megjelenik:
+---------------------+
| Device State |
+---------------------+
AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: YES
DomainName: CONTOSO
Windows Server 2016- vagy 2019-tartományvezérlőn ellenőrizze, hogy az alábbi javítások vannak-e alkalmazva. Szükség esetén futtassa a Windows Update-et a telepítésükhöz:
Egy ügyféleszközről futtassa a következő parancsot a megfelelő tartományvezérlőhöz való csatlakozás ellenőrzéséhez a telepített javításokkal:
nltest /dsgetdc:<domain> /keylist /kdc
Mi a javaslat a javítandó tartományvezérlők számával kapcsolatban?
Javasoljuk, hogy a Windows Server 2016-os vagy 2019-beli tartományvezérlők többségét kijavítsa a javítással, hogy azok kezelni tudják a szervezet hitelesítési kéréseinek terhelését.
Windows Server 2016- vagy 2019-tartományvezérlőn ellenőrizze, hogy az alábbi javítások vannak-e alkalmazva. Szükség esetén futtassa a Windows Update-et a telepítésükhöz:
Üzembe helyezhetem a FIDO2 hitelesítőadat-szolgáltatót egy csak helyszíni eszközön?
Nem, ez a funkció nem támogatott csak helyszíni eszközökön. A FIDO2 hitelesítőadat-szolgáltató nem jelenik meg.
A FIDO2 biztonsági kulcs bejelentkezése nem működik a Tartomány Rendszergazda vagy más magas jogosultságú fiókokhoz. Miért?
Az alapértelmezett biztonsági szabályzat nem ad engedélyt a Microsoft Entra számára a magas jogosultsági szintű fiókok helyszíni erőforrásokba való aláírására.
A fiókok letiltásának feloldásához használja a Active Directory - felhasználók és számítógépek a Microsoft Entra Kerberos Számítógép objektum msDS-NeverRevealGroup tulajdonságának módosításához (CN=AzureADKerberos,OU=Tartományvezérlők,tartomány-DN<>).
Technikai részletek
- Hogyan kapcsolódik a Microsoft Entra Kerberos a helyi Active Directory Domain Services-környezethez?
- Hol tekinthetem meg az AD-ben létrehozott és a Microsoft Entra-azonosítóban közzétett Kerberos-kiszolgálóobjektumokat?
- Miért nem tudjuk regisztrálni a nyilvános kulcsot a helyszíni AD DS-ben, hogy ne legyen függőség az interneten?
- Hogyan vannak elforgatva a kulcsok a Kerberos-kiszolgáló objektumán?
- Miért van szükségünk a Microsoft Entra Csatlakozás? Visszaírja az adatokat az AD DS-be a Microsoft Entra-azonosítóból?
- Hogyan néz ki a HTTP-kérés/válasz a PRT+ részleges TGT kérésekor?
Hogyan kapcsolódik a Microsoft Entra Kerberos a helyi Active Directory Domain Services-környezethez?
Két részből áll: a helyszíni AD DS-környezetből és a Microsoft Entra-bérlőből.
Active Directory tartományi szolgáltatások (AD DS)
A Microsoft Entra Kerberos-kiszolgáló egy helyszíni AD DS-környezetben jelenik meg tartományvezérlő (DC) objektumként. Ez a tartományvezérlő-objektum több objektumból áll:
CN=AzureADKerberos,OU=Domain Controllers,<domain-DN>Olyan számítógépobjektum , amely írásvédett tartományvezérlőt (RODC) jelöl az AD DS-ben. Ehhez az objektumhoz nincs számítógép társítva. Ehelyett egy tartományvezérlő logikai ábrázolása.
CN=krbtgt_AzureAD,CN=Users,<domain-DN>Az RODC Kerberos-jegykiadó jegy (TGT) titkosítási kulcsát jelképező felhasználói objektum.
CN=900274c4-b7d2-43c8-90ee-00a9f650e335,CN=AzureAD,CN=System,<domain-DN>Szolgáltatás Csatlakozás ionPoint-objektum, amely metaadatokat tárol a Microsoft Entra Kerberos-kiszolgálóobjektumokról. A felügyeleti eszközök ezt az objektumot használják a Microsoft Entra Kerberos-kiszolgálóobjektumok azonosítására és megkeresésére.
Microsoft Entra ID
A Microsoft Entra Kerberos-kiszolgáló a Microsoft Entra ID-ban KerberosDomain objektumként jelenik meg. Minden helyszíni AD DS-környezet egyetlen KerberosDomain objektumként jelenik meg a Microsoft Entra-bérlőben.
Előfordulhat például, hogy egy AD DS-erdő két tartománnyal rendelkezik, például contoso.com és fabrikam.com. Ha engedélyezi a Microsoft Entra ID-nak, hogy Kerberos-jegykiadó jegyeket (TGT-ket) állítson ki az egész erdőre, két KerberosDomain objektum található a Microsoft Entra ID-ban : egy objektum és contoso.com egy az erdő számára fabrikam.com.
Ha több AD DS-erdővel rendelkezik, minden erdő minden tartományához egy KerberosDomain objektum tartozik.
Hol tekinthetem meg az AD DS-ben létrehozott és a Microsoft Entra-azonosítóban közzétett Kerberos-kiszolgálóobjektumokat?
Az összes objektum megtekintéséhez használja a Microsoft Entra Kerberos kiszolgálói PowerShell-parancsmagokat a Microsoft Entra legújabb verziójához Csatlakozás.
További információkért, beleértve az objektumok megtekintésére vonatkozó utasításokat, tekintse meg a Kerberos Server-objektum létrehozását.
Miért nem tudjuk regisztrálni a nyilvános kulcsot a helyszíni AD DS-ben, hogy ne legyen függőség az interneten?
Visszajelzést kaptunk a Vállalati Windows Hello üzemi modelljének összetettségéről, ezért a tanúsítvány és a PKI használata nélkül szerettük volna egyszerűsíteni az üzembe helyezési modellt (a FIDO2 nem használ tanúsítványokat).
Hogyan vannak elforgatva a kulcsok a Kerberos-kiszolgáló objektumán?
Mint minden más tartományvezérlő, a Microsoft Entra Kerberos kiszolgálótitkosítási krbtgt kulcsait is rendszeresen el kell forgatni. Ajánlott az összes többi AD DS krbtgt kulcs elforgatásához használt ütemezést követni.
Feljegyzés
Bár vannak más eszközök is a krbtgt-kulcsok elforgatásához, a Microsoft Entra Kerberos-kiszolgáló krbtgt kulcsainak elforgatásához a PowerShell-parancsmagokat kell használnia. Ez a módszer gondoskodik arról, hogy a kulcsok a helyszíni AD DS-környezetben és a Microsoft Entra-azonosítóban is frissülnek.
Miért van szükségünk a Microsoft Entra Csatlakozás? Visszaírja az adatokat az AD DS-be a Microsoft Entra-azonosítóból?
A Microsoft Entra Csatlakozás nem ír vissza adatokat a Microsoft Entra ID-ból az Active Directory DS-be. A segédprogram tartalmazza a PowerShell-modult, amely létrehozza a Kerberos-kiszolgálóobjektumot az AD DS-ben, és közzéteszi azt a Microsoft Entra ID-ban.
Hogyan néz ki a HTTP-kérés/válasz a PRT+ részleges TGT kérésekor?
A HTTP-kérés egy szabványos elsődleges frissítési jogkivonat (PRT) kérés. Ez a PRT-kérelem tartalmaz egy olyan jogcímet, amely azt jelzi, hogy kerberos jegykiadó jegyre (TGT) van szükség.
| Jogcím | Érték | Leírás |
|---|---|---|
| tgt | true | A jogcím azt jelzi, hogy az ügyfélnek TGT-ra van szüksége. |
A Microsoft Entra ID további tulajdonságokként egyesíti a titkosított ügyfélkulcsot és az üzenetpuffert a PRT-válaszban. A hasznos adatok titkosítva lesznek a Microsoft Entra-eszköz munkamenetkulcsával.
| Mező | Típus | Leírás |
|---|---|---|
| tgt_client_key | húr | Base64 kódolású ügyfélkulcs (titkos kód). Ez a kulcs a TGT védelméhez használt titkos ügyfélkód. Ebben a jelszó nélküli forgatókönyvben az ügyfél titkos kódját a kiszolgáló minden TGT-kérés részeként hozza létre, majd a válaszban visszaadja az ügyfélnek. |
| tgt_key_type | egész | A helyszíni AD DS-kulcstípus, amelyet az ügyfélkulcshoz és a Kerberos-munkamenetkulcshoz is használnak a KERB_MESSAGE_BUFFER. |
| tgt_message_buffer | húr | Base64 kódolású KERB_MESSAGE_BUFFER. |
A felhasználóknak a Tartományfelhasználók Active Directory csoport tagjának kell lenniük?
Igen. Egy felhasználónak a Tartományfelhasználók csoportban kell lennie ahhoz, hogy a Microsoft Entra Kerberos használatával bejelentkezhessen.
Következő lépések
A FIDO2 biztonsági kulcsaival és a helyszíni erőforrásokhoz való hibrid hozzáféréssel kapcsolatos első lépésekért tekintse meg a következő cikkeket:
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: