Bagikan melalui


Pertanyaan umum penyebaran (FAQ) untuk kunci keamanan FIDO2 hibrid di ID Microsoft Entra

Artikel ini membahas pertanyaan yang sering diajukan penyebaran (FAQ) untuk perangkat gabungan hibrid Microsoft Entra dan masuk tanpa kata sandi ke sumber daya lokal. Dengan fitur tanpa kata sandi ini, Anda dapat mengaktifkan autentikasi Microsoft Entra pada perangkat Windows 10 untuk perangkat gabungan hibrid Microsoft Entra menggunakan kunci keamanan FIDO2. Pengguna dapat masuk ke Windows di perangkat mereka dengan kredensial modern seperti kunci FIDO2 dan mengakses sumber daya berbasis Active Directory Domain Services (AD DS) tradisional dengan pengalaman akses menyeluruh (SSO) yang mulus ke sumber daya lokal mereka.

Skenario berikut untuk pengguna di lingkungan hibrid didukung:

  • Masuk ke perangkat gabungan hibrid Microsoft Entra menggunakan kunci keamanan FIDO2 dan dapatkan akses SSO ke sumber daya lokal.
  • Masuk ke perangkat yang bergabung dengan Microsoft Entra menggunakan kunci keamanan FIDO2 dan dapatkan akses SSO ke sumber daya lokal.

Untuk mulai menggunakan kunci keamanan FIDO2 dan akses hibrid ke sumber daya lokal, lihat artikel berikut ini:

Kunci keamanan

Organisasi saya memerlukan autentikasi multifaktor untuk mengakses sumber daya. Apa yang dapat saya lakukan untuk mendukung persyaratan ini?

Kunci keamanan FIDO2 hadir dalam berbagai faktor bentuk. Hubungi produsen perangkat yang berkepentingan untuk membahas bagaimana perangkatnya dapat diaktifkan dengan PIN atau biometrik sebagai faktor kedua. Untuk daftar penyedia yang didukung, lihat penyedia kunci keamanan FIDO2.

Di mana saya dapat menemukan kunci keamanan FIDO2 yang sesuai?

Untuk daftar penyedia yang didukung, lihat penyedia kunci keamanan FIDO2.

Bagaimana jika saya kehilangan kunci keamanan?

Anda dapat menghapus kunci dengan menavigasi ke halaman Info keamanan dan menghapus kunci keamanan FIDO2.

Bagaimana data dilindungi pada kunci keamanan FIDO2?

Kunci keamanan FIDO2 memiliki enklave aman yang melindungi kunci privat yang tersimpan di dalamnya. Kunci keamanan FIDO2 juga memiliki sifat anti-palu bawaan, seperti di Windows Hello, tempat Anda tidak dapat mengekstrak kunci privat.

Bagaimana cara mendaftar kunci keamanan FIDO2?

Untuk informasi selengkapnya tentang cara mendaftar dan menggunakan kunci keamanan FIDO2, lihat Mengaktifkan rincian masuk kunci keamanan tanpa kata sandi.

Apakah ada cara bagi admin untuk menyediakan kunci bagi pengguna secara langsung?

Tidak untuk saat ini.

Mengapa saya mendapatkan "NotAllowedError" di browser, saat mendaftarkan kunci FIDO2?

Anda akan menerima "NotAllowedError" dari halaman pendaftaran kunci fido2. Ini biasanya terjadi ketika kesalahan terjadi saat Windows mencoba operasi authenticatorMakeCredential CTAP2 terhadap kunci keamanan. Anda akan melihat detail selengkapnya di log peristiwa Microsoft-Windows-WebAuthN/Operational.

Prasyarat

Apakah fitur ini berfungsi jika tidak ada koneksi internet?

Koneksi internet adalah prasyarat untuk mengaktifkan fitur ini. Pertama kali pengguna masuk menggunakan kunci keamanan FIDO2, pengguna harus memiliki koneksi internet. Untuk upaya masuk berikutnya, rincian masuk yang di-cache seharusnya dapat berfungsi dan memungkinkan pengguna melakukan autentikasi tanpa koneksi internet.

Untuk pengalaman yang konsisten, pastikan perangkat memiliki akses internet dan garis pandang ke DC.

Apa saja titik akhir spesifik yang harus dibuka untuk ID Microsoft Entra?

Endpoint berikut dibutuhkan untuk pendaftaran dan autentikasi:

  • *.microsoftonline.com
  • *.microsoftonline-p.com
  • *.msauth.net
  • *.msauthimages.net
  • *.msecnd.net
  • *.msftauth.net
  • *.msftauthimages.net
  • *.phonefactor.net
  • enterpriseregistration.windows.net
  • management.azure.com
  • policykeyservice.dc.ad.msft.net
  • secure.aadcdn.microsoftonline-p.com

Untuk daftar lengkap endpoint yang dibutuhkan dalam menggunakan produk online Microsoft, lihat URL dan rentang alamat IP Office 365.

Bagaimana cara mengidentifikasi jenis gabungan domain (gabungan Microsoft Entra atau gabungan hibrid Microsoft Entra) untuk perangkat Windows 10 saya?

Untuk memeriksa apakah perangkat klien Windows 10 memiliki jenis gabungan domain yang tepat, gunakan perintah berikut:

Dsregcmd /status

Contoh output berikut menunjukkan bahwa perangkat microsoft Entra bergabung sebagai AzureADJoined diatur ke YA:

+---------------------+
| Device State        |
+---------------------+

AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: NO

Contoh output berikut menunjukkan bahwa perangkat adalah Microsoft Entra hybrid joined as DomainedJoined juga diatur ke YA. DomainName juga ditunjukkan:

+---------------------+
| Device State        |
+---------------------+

AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: YES
DomainName: CONTOSO

Pada pengendali domain Windows Server 2016 atau 2019, periksa apakah patch berikut ini diterapkan. Jika diperlukan, jalankan Windows Update untuk menginstalnya:

Dari perangkat klien, jalankan perintah berikut untuk memastikan konektivitas ke pengendali domain yang sesuai dengan patch yang diinstal:

nltest /dsgetdc:<domain> /keylist /kdc

Berapa jumlah DC yang direkomendasikan untuk di-patch?

Kami merekomendasikan membuat patch sebagian besar pengendali domain Windows Server 2016 atau 2019 Anda dengan patch untuk memastikan pengendali dapat menangani beban permintaan autentikasi organisasi Anda.

Pada pengendali domain Windows Server 2016 atau 2019, periksa apakah patch berikut ini diterapkan. Jika diperlukan, jalankan Windows Update untuk menginstalnya:

Dapatkah saya menerapkan penyedia kredensial FIDO2 di perangkat lokal saja?

Tidak, fitur ini tidak didukung bagi perangkat lokal. Penyedia kredensial FIDO2 tidak akan muncul.

Rincian masuk kunci keamanan FIDO2 tidak berfungsi untuk Admin Domain saya atau akun hak istimewa tinggi lainnya. Mengapa?

Kebijakan keamanan default tidak memberikan izin Microsoft Entra untuk menandatangani akun hak istimewa tinggi ke sumber daya lokal.

Untuk membuka blokir akun, gunakan Pengguna Direktori Aktif dan Komputer untuk memodifikasi properti msDS-NeverRevealGroup dari objek Komputer Microsoft Entra Kerberos (CN=AzureADKerberos,OU=Pengendali Domain,domain-DN<>).

Di balik layanan

Bagaimana Microsoft Entra Kerberos ditautkan ke lingkungan Active Directory lokal Domain Services saya?

Ada dua bagian: lingkungan AD DS lokal dan penyewa Microsoft Entra.

Active Directory Domain Services (AD DS)

Server Microsoft Entra Kerberos diwakili di lingkungan AD DS lokal sebagai objek pengendali domain (DC). Objek DC ini terdiri dari beberapa objek:

  • CN=AzureADKerberos,OU=Domain Controllers,<domain-DN>

    Objek Komputer yang mewakili Pengendali Domain Baca-Saja (RODC) di AD DS. Tidak ada komputer yang terkait dengan objek ini. Sebagai gantinya, objek ini adalah perwakilan logis dari DC.

  • CN=krbtgt_AzureAD,CN=Users,<domain-DN>

    Objek Pengguna yang mewakili kunci enkripsi Ticket Granting Ticket (TGT) Kerberos RODC.

  • CN=900274c4-b7d2-43c8-90ee-00a9f650e335,CN=AzureAD,CN=System,<domain-DN>

    Objek Service Koneksi ionPoint yang menyimpan metadata tentang objek server Microsoft Entra Kerberos. Alat administratif menggunakan objek ini untuk mengidentifikasi dan menemukan objek server Microsoft Entra Kerberos.

Microsoft Entra ID

Server Microsoft Entra Kerberos diwakili dalam ID Microsoft Entra sebagai objek KerberosDomain . Setiap lingkungan AD DS lokal diwakili sebagai satu objek KerberosDomain di penyewa Microsoft Entra.

Misalnya, Anda mungkin memiliki forest AD DS dengan dua domain seperti contoso.com dan fabrikam.com. Jika Anda mengizinkan ID Microsoft Entra untuk menerbitkan Tiket Pemberian Tiket (TGT) Kerberos untuk seluruh forest, ada dua KerberosDomain objek di MICROSOFT Entra ID - satu objek untuk contoso.com dan satu untuk fabrikam.com.

Jika Anda memiliki beberapa forest AD DS, Anda memiliki satu KerberosDomain objek untuk setiap domain di setiap forest.

Di mana saya dapat melihat objek server Kerberos ini yang dibuat di AD DS dan diterbitkan di ID Microsoft Entra?

Untuk melihat semua objek, gunakan cmdlet PowerShell server Microsoft Entra Kerberos yang disertakan dengan versi terbaru Microsoft Entra Koneksi.

Untuk informasi selengkapnya, termasuk petunjuk cara melihat objek, lihat membuat objek Server Kerberos.

Mengapa kita tidak dapat mendaftarkan kunci publik ke AD DS lokal sehingga tidak ada dependensi di internet?

Kami menerima tanggapan seputar kompleksitas model penerapan untuk Windows Hello for Business, sehingga ingin mempermudah model penerapan tanpa harus menggunakan sertifikat dan PKI (FIDO2 tidak menggunakan sertifikat).

Bagaimana kunci berputar pada objek server Kerberos?

Seperti DC lainnya, kunci krbtgt enkripsi server Microsoft Entra Kerberos harus diputar secara teratur. Sebaiknya ikuti jadwal yang sama seperti yang Anda gunakan untuk memutar semua kunci krbtgt AD DS lainnya.

Catatan

Meskipun ada alat lain untuk memutar kunci krbtgt, Anda harus menggunakan cmdlet PowerShell untuk memutar kunci krbtgt server Microsoft Entra Kerberos Anda. Metode ini memastikan bahwa kunci diperbarui di lingkungan AD DS lokal dan di ID Microsoft Entra.

Mengapa kita memerlukan Microsoft Entra Koneksi? Apakah ia menulis info apa pun kembali ke AD DS dari ID Microsoft Entra?

Microsoft Entra Koneksi tidak menulis kembali info dari MICROSOFT Entra ID ke Active Directory DS. Utilitas ini mencakup modul PowerShell untuk membuat Objek Server Kerberos di AD DS dan menerbitkannya di ID Microsoft Entra.

Seperti apa permintaan/respons HTTP saat meminta TGT parsial PRT+?

Permintaan HTTP adalah permintaan Primary Refresh Token (PRT) standar. Permintaan PRT ini mencakup klaim yang menunjukkan bahwa Ticket Granting Ticket (TGT) Kerberos diperlukan.

Klaim Nilai Deskripsi
tgt benar Klaim menunjukkan klien membutuhkan TGT.

MICROSOFT Entra ID menggabungkan kunci klien terenkripsi dan buffer pesan ke dalam respons PRT sebagai properti tambahan. Payload dienkripsi menggunakan kunci sesi Microsoft Entra Device.

Bidang Jenis Deskripsi
tgt_client_key string Kunci klien yang dikodekan Base64 (rahasia). Kunci ini adalah rahasia klien yang digunakan untuk melindungi TGT. Dalam skenario tanpa kata sandi ini, rahasia klien dihasilkan oleh server sebagai bagian dari setiap permintaan TGT, lalu dikembalikan ke klien dalam responsnya.
tgt_key_type int Jenis kunci AD DS lokal yang digunakan untuk kunci klien dan kunci sesi Kerberos disertakan dalam KERB_MESSAGE_BUFFER.
tgt_message_buffer string KERB_MESSAGE_BUFFER yang dikodekan Base64.

Apakah pengguna harus menjadi anggota grup Direktori Aktif Pengguna Domain?

Ya. Pengguna harus berada di grup Pengguna Domain agar dapat masuk menggunakan Microsoft Entra Kerberos.

Langkah berikutnya

Untuk mulai menggunakan kunci keamanan FIDO2 dan akses hibrid ke sumber daya lokal, lihat artikel berikut ini: