Pertanyaan yang sering diajukan (FAQ) tentang penerapan kunci keamanan FIDO2 hibrid di Microsoft Entra ID

Artikel ini membahas pertanyaan umum (FAQ) terkait penyebaran perangkat Microsoft Entra yang terhubung hibrid dan cara masuk tanpa menggunakan kata sandi ke sumber daya lokal. Dengan fitur tanpa kata sandi ini, Anda dapat mengaktifkan autentikasi Microsoft Entra pada perangkat Windows 10 untuk perangkat gabungan hibrid Microsoft Entra menggunakan kunci keamanan FIDO2. Pengguna dapat masuk ke Windows di perangkat mereka dengan kredensial modern seperti kunci FIDO2 dan mengakses sumber daya berbasis Active Directory Domain Services (AD DS) tradisional dengan pengalaman akses menyeluruh (SSO) yang mulus ke sumber daya lokal mereka.

Skenario berikut untuk pengguna di lingkungan hibrid didukung:

• Masuk ke perangkat gabungan hibrid Microsoft Entra menggunakan kunci keamanan FIDO2 dan dapatkan akses SSO ke sumber daya lokal.
• Masuk ke perangkat yang bergabung dengan Microsoft Entra menggunakan kunci keamanan FIDO2 dan dapatkan akses SSO ke sumber daya lokal.

Untuk mulai menggunakan kunci keamanan FIDO2 dan akses hibrid ke sumber daya lokal, lihat artikel berikut ini:

• kunci keamanan FIDO2 Tanpa Kata Sandi
• Windows 10 Tanpa Kata Sandi
• Tanpa kata sandi di tempat

Kunci keamanan

• Organisasi saya memerlukan autentikasi dua faktor untuk mengakses sumber daya. Apa yang dapat saya lakukan untuk mendukung persyaratan ini?
• Di mana saya dapat menemukan kunci keamanan FIDO2 yang sesuai?
• Apa yang harus saya lakukan jika saya kehilangan kunci keamanan saya?
• Bagaimana data dilindungi pada kunci keamanan FIDO2?
• Bagaimana cara kerja pendaftaran kunci keamanan FIDO2?
• Apakah ada cara bagi admin untuk menyediakan kunci bagi pengguna secara langsung?

Organisasi saya memerlukan autentikasi multifaktor untuk mengakses sumber daya. Apa yang dapat saya lakukan untuk mendukung persyaratan ini?

Kunci Keamanan FIDO2 hadir dalam berbagai bentuk fisik. Hubungi produsen perangkat yang menarik untuk membahas bagaimana perangkat mereka dapat diaktifkan dengan PIN atau biometrik sebagai faktor kedua. Untuk daftar penyedia yang didukung, lihat penyedia kunci keamanan FIDO2.

Di mana saya dapat menemukan kunci keamanan FIDO2 yang sesuai?

Untuk daftar penyedia yang didukung, lihat penyedia kunci keamanan FIDO2.

Bagaimana jika saya kehilangan kunci keamanan saya?

Anda dapat menghapus kunci dengan menavigasi ke halaman info Keamanan dan menghapus kunci keamanan FIDO2.

Bagaimana data dilindungi pada kunci keamanan FIDO2?

Kunci keamanan FIDO2 memiliki enklave aman yang melindungi kunci privat yang disimpan di dalamnya. Kunci keamanan FIDO2 juga memiliki properti anti-hammering yang sudah terintegrasi, seperti di Windows Hello, di mana Anda tidak dapat mengekstrak kunci pribadi.

Bagaimana cara kerja pendaftaran kunci keamanan FIDO2?

Untuk informasi selengkapnya tentang cara mendaftar dan menggunakan kunci keamanan FIDO2, lihat Mengaktifkan masuk dengan kunci keamanan tanpa kata sandi.

Apakah ada cara bagi admin untuk menyediakan kunci untuk pengguna secara langsung?

Tidak, tidak saat ini.

Mengapa saya mendapatkan "NotAllowedError" di browser, saat mendaftarkan kunci FIDO2?

Anda akan menerima "NotAllowedError" dari halaman pendaftaran kunci fido2. Ini biasanya terjadi ketika terjadi kesalahan saat Windows mencoba melakukan operasi authenticatorMakeCredential CTAP2 terhadap kunci keamanan. Anda akan melihat detail selengkapnya di log peristiwa Microsoft-Windows-WebAuthN/Operational.

Prasyarat

• Apakah fitur ini berfungsi jika tidak ada konektivitas internet?
• Apa saja titik akhir spesifik yang harus dibuka untuk ID Microsoft Entra?
• Bagaimana cara mengidentifikasi jenis gabungan domain (gabungan Microsoft Entra atau gabungan hibrid Microsoft Entra) untuk perangkat Windows 10 saya?
• Apa rekomendasi tentang jumlah DC yang harus di-patch?
• Dapatkah saya menyebarkan penyedia kredensial FIDO2 di perangkat lokal saja?
• Masuk menggunakan kunci keamanan FIDO2 tidak berfungsi untuk Admin Domain saya atau akun berhak istimewa tinggi lainnya. Mengapa?

Apakah fitur ini berfungsi jika tidak ada konektivitas internet?

Konektivitas internet adalah prasyarat untuk mengaktifkan fitur ini. Pertama kali pengguna masuk menggunakan kunci keamanan FIDO2, mereka harus memiliki konektivitas internet. Untuk peristiwa masuk berikutnya, proses masuk yang di-cache harus berfungsi dan membiarkan pengguna mengautentikasi tanpa konektivitas internet.

Untuk pengalaman yang konsisten, pastikan perangkat memiliki akses internet dan memiliki garis pandang yang jelas ke pusat data.

Apa saja titik akhir spesifik yang harus dibuka untuk ID Microsoft Entra?

Titik akhir berikut diperlukan untuk pendaftaran dan autentikasi:

• *.microsoftonline.com
• *.microsoftonline-p.com
• *.msauth.net
• *.msauthimages.net
• *.msecnd.net
• *.msftauth.net
• *.msftauthimages.net
• *.phonefactor.net
• enterpriseregistration.windows.net
• management.azure.com
• policykeyservice.dc.ad.msft.net
• secure.aadcdn.microsoftonline-p.com

Untuk daftar lengkap titik akhir yang diperlukan untuk menggunakan produk online Microsoft, lihat URL Office 365 dan rentang alamat IP.

Bagaimana cara mengidentifikasi jenis gabungan domain (gabungan Microsoft Entra atau gabungan hibrid Microsoft Entra) untuk perangkat Windows 10 saya?

Untuk memeriksa apakah perangkat klien Windows 10 memiliki jenis gabungan domain yang tepat, gunakan perintah berikut:

Dsregcmd /status

Contoh output berikut menunjukkan bahwa perangkat tersebut tergabung ke dalam Microsoft Entra sebagai AzureADJoined dan diatur menjadi YA:

+---------------------+
| Device State        |
+---------------------+

AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: NO

Contoh output berikut menunjukkan bahwa perangkat sudah bergabung secara hybrid dengan Microsoft Entra, dengan DomainedJoined juga diset ke YA. DomainName juga ditampilkan:

+---------------------+
| Device State        |
+---------------------+

AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: YES
DomainName: CONTOSO

Pada pengontrol domain Windows Server 2016 atau 2019, periksa apakah patch berikut diterapkan. Jika diperlukan, jalankan Windows Update untuk menginstalnya:

• Windows Server 2016 - KB4534307
• Windows Server 2019 - KB4534321

Dari perangkat klien, jalankan perintah berikut untuk memverifikasi konektivitas ke pengontrol domain yang sesuai dengan patch yang diinstal:

nltest /dsgetdc:<domain> /keylist /kdc

Apa rekomendasi tentang berapa banyak DC yang perlu diperbarui?

Kami menyarankan Anda memperbarui sebagian besar pengendali domain Windows Server 2016 atau 2019 Anda untuk memastikan mereka mampu menangani beban permintaan autentikasi organisasi Anda.

Pada pengontrol domain Windows Server 2016 atau 2019, periksa apakah patch berikut diterapkan. Jika diperlukan, jalankan Windows Update untuk menginstalnya:

• Windows Server 2016 - KB4534307
• Windows Server 2019 - KB4534321

Dapatkah saya menyebarkan penyedia kredensial FIDO2 pada perangkat lokal saja?

Tidak, fitur ini tidak didukung untuk perangkat lokal saja. Penyedia kredensial FIDO2 tidak tampil.

Masuk menggunakan kunci keamanan FIDO2 tidak berfungsi untuk Admin Domain saya atau akun berhak istimewa tinggi lainnya. Mengapa?

Kebijakan keamanan default tidak memberikan izin Microsoft Entra untuk menandatangani akun hak istimewa tinggi ke sumber daya lokal.

Karena kemungkinan vektor serangan dari Microsoft Entra ID ke Direktori Aktif, tidak disarankan untuk membuka blokir akun-akun ini dengan melonggarkan Kebijakan Replikasi Kata Sandi dari objek komputer CN=AzureADKerberos,OU=Pengendali Domain,<domain-DN>.

Di bawah tenda

• Bagaimana Microsoft Entra Kerberos ditautkan ke lingkungan Active Directory Domain Services lokal saya?
• Di mana saya dapat melihat objek server Kerberos ini yang dibuat di AD dan diterbitkan di ID Microsoft Entra?
• Mengapa kita tidak dapat mendaftarkan kunci publik ke AD DS lokal sehingga tidak ada dependensi di internet?
• Bagaimana kunci diputar pada objek server Kerberos?
• Mengapa kita memerlukan Microsoft Entra Connect? Apakah Microsoft Entra ID mengirim informasi kembali ke AD DS?
• Seperti apa permintaan/respons HTTP saat meminta PRT+ dengan TGT parsial?

Bagaimana Microsoft Entra Kerberos ditautkan ke lingkungan Active Directory Domain Services lokal saya?

Ada dua bagian: lingkungan AD DS (Active Directory Domain Services) lokal dan tenant Microsoft Entra.

Active Directory Domain Services (AD DS)

Server Microsoft Entra Kerberos diwakili di lingkungan AD DS lokal sebagai objek pengendali domain (DC). Objek DC ini terdiri dari beberapa objek:

• CN=AzureADKerberos,OU=Domain Controllers,<domain-DN>

  Objek Komputer yang mewakili Read-Only Domain Controller (RODC) di AD DS. Tidak ada komputer yang terkait dengan objek ini. Sebaliknya, ini adalah representasi logis dari DC.

• CN=krbtgt_AzureAD,CN=Users,<domain-DN>

  Objek Pengguna yang mewakili kunci enkripsi untuk RODC Kerberos Ticket Granting Ticket (TGT).

• CN=900274c4-b7d2-43c8-90ee-00a9f650e335,CN=AzureAD,CN=System,<domain-DN>

  Objek ServiceConnectionPoint yang menyimpan metadata tentang objek server Microsoft Entra Kerberos. Alat administratif menggunakan objek ini untuk mengidentifikasi dan menemukan objek server Microsoft Entra Kerberos.

ID Microsoft Entra

Server Microsoft Entra Kerberos diwakili dalam ID Microsoft Entra sebagai objek KerberosDomain. Setiap lingkungan AD DS lokal diwakili sebagai satu objek KerberosDomain di penyewa Microsoft Entra.

Misalnya, Anda mungkin memiliki forest AD DS dengan dua domain seperti contoso.com dan fabrikam.com. Jika Anda mengizinkan Microsoft Entra ID untuk menerbitkan Tiket Pemberian Tiket Kerberos (TGT) untuk seluruh forest, terdapat dua objek KerberosDomain di Microsoft Entra ID - satu objek untuk contoso.com dan satu untuk fabrikam.com.

Jika Anda memiliki sekumpulan forest AD DS, Anda memiliki satu objek KerberosDomain untuk setiap domain di tiap forest.

Di mana saya dapat melihat objek server Kerberos ini yang dibuat di AD DS dan diterbitkan di ID Microsoft Entra?

Untuk melihat semua objek, gunakan cmdlet PowerShell server Microsoft Entra Kerberos yang disertakan dengan versi terbaru Microsoft Entra Connect.

Untuk informasi selengkapnya, termasuk instruksi tentang cara melihat objek, lihat membuat objek Kerberos Server.

Mengapa kita tidak dapat mendaftarkan kunci publik ke AD DS lokal sehingga tidak ada dependensi di internet?

Kami menerima umpan balik sekeliling kompleksitas model penyebaran untuk Windows Hello for Business, jadi ingin menyederhanakan model penyebaran tanpa harus menggunakan sertifikat dan PKI (FIDO2 tidak menggunakan sertifikat).

Bagaimana kunci diputar pada objek server Kerberos?

Seperti DC lainnya, kunci enkripsi server Microsoft Entra Kerberos krbtgt harus diganti secara teratur. Disarankan untuk mengikuti jadwal yang sama seperti yang Anda gunakan untuk merotasi semua kunci AD DS lainnya krbtgt.

Nota

Meskipun ada alat lain untuk memutar kunci krbtgt , Anda harus menggunakan cmdlet PowerShell untuk memutar kunci krbtgt pada server Microsoft Entra Kerberos Anda. Metode ini memastikan bahwa kunci diperbarui di lingkungan AD DS lokal dan di ID Microsoft Entra.

Mengapa kita memerlukan Microsoft Entra Connect? Apakah Microsoft Entra ID mengirim informasi kembali ke AD DS?

Microsoft Entra Connect tidak menulis kembali info dari MICROSOFT Entra ID ke Active Directory DS. Utilitas ini mencakup modul PowerShell untuk membuat Objek Server Kerberos di AD DS dan menerbitkannya di ID Microsoft Entra.

Seperti apa permintaan/respons HTTP saat meminta PRT+ parsial TGT?

Permintaan HTTP adalah permintaan Token Refresh Utama (PRT) standar. Permintaan PRT ini mencakup klaim yang menunjukkan bahwa Kerberos Ticket Granting Ticket (TGT) diperlukan.

Klaim	Nilai	Deskripsi
tgt	benar	Klaim menunjukkan bahwa klien membutuhkan TGT.

MICROSOFT Entra ID menggabungkan kunci klien terenkripsi dan buffer pesan ke dalam respons PRT sebagai properti tambahan. Payload dienkripsi menggunakan kunci sesi Microsoft Entra Device.

Lapangan	Jenis	Deskripsi
tgt_client_key	benang	Kunci klien (rahasia) yang dikodekan dengan Base64. Kunci ini adalah rahasia klien yang digunakan untuk melindungi TGT. Dalam skenario tanpa kata sandi ini, rahasia klien dihasilkan oleh server sebagai bagian dari setiap permintaan TGT dan kemudian dikembalikan ke klien dalam respons.
tipe_kunci_target	Int	Jenis kunci AD DS lokal yang digunakan untuk kunci klien dan kunci sesi Kerberos yang disertakan dalam KERB_MESSAGE_BUFFER.
tgt_message_buffer	benang	KERB_MESSAGE_BUFFER yang dikodekan dalam format Base64.

Apakah pengguna harus menjadi anggota grup Direktori Aktif Pengguna Domain?

Ya. Pengguna harus berada di grup Pengguna Domain agar dapat masuk menggunakan Microsoft Entra Kerberos.

Langkah berikutnya

Untuk mulai menggunakan kunci keamanan FIDO2 dan akses hibrid ke sumber daya lokal, lihat artikel berikut ini:

• kunci keamanan FIDO2 Tanpa Kata Sandi
• Windows 10 Tanpa Kata Sandi
• Tanpa kata sandi di tempat