Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Topik ini menunjukkan cara mengaktifkan autentikasi tanpa kata sandi ke sumber daya lokal untuk lingkungan dengan perangkat yang menjalankan Windows 10 versi 2004 atau yang lebih baru. Perangkat dapat terdaftar pada Microsoft Entra atau terdaftar hibrida di Microsoft Entra. Fungsionalitas autentikasi tanpa kata sandi ini menyediakan single sign-on (SSO) yang mulus ke sumber daya lokal saat Anda menggunakan kunci keamanan yang kompatibel dengan Microsoft, atau dengan Windows Hello for Business Cloud Trust.
Gunakan SSO untuk masuk ke sumber daya lokal dengan menggunakan kunci FIDO2
Microsoft Entra ID dapat menerbitkan tiket pemberian tiket (TGT) Kerberos untuk satu atau beberapa domain Active Directory Anda. Fungsi ini memungkinkan pengguna masuk ke Windows dengan kredensial modern, seperti kunci keamanan FIDO2, lalu mengakses sumber daya berbasis Active Directory Domain Services tradisional. Otorisasi dan Tiket Layanan Kerberos terus dikontrol oleh pengendali domain Active Directory lokal Anda.
Objek server Microsoft Entra Kerberos dibuat di instans Active Directory lokal Anda lalu diterbitkan dengan aman ke ID Microsoft Entra dengan menggunakan Microsoft Entra Connect. Objek tersebut tidak dikaitkan dengan server fisik apa pun. Ini hanyalah sumber daya yang dapat digunakan oleh Microsoft Entra ID untuk menghasilkan Kerberos TGT bagi domain Active Directory Anda.
Pengguna masuk ke perangkat Windows 10 dengan kunci keamanan FIDO2 dan mengautentikasi ke ID Microsoft Entra.
MICROSOFT Entra ID memeriksa direktori untuk kunci Kerberos Server yang cocok dengan domain Active Directory lokal pengguna.
MICROSOFT Entra ID menghasilkan Kerberos TGT untuk domain Active Directory lokal pengguna. TGT hanya mencakup SID pengguna, tanpa data otorisasi.
TGT dikembalikan ke klien bersama dengan Microsoft Entra Primary Refresh Token (PRT) pengguna.
Mesin klien menghubungi Pengendali Domain Active Directory di lokasi dan menukarkan TGT sementara dengan TGT yang sudah terbentuk sepenuhnya.
Komputer klien sekarang memiliki Microsoft Entra PRT dan Active Directory TGT lengkap dan dapat mengakses sumber daya cloud dan lokal.
Prasyarat
Sebelum memulai prosedur dalam artikel ini, organisasi Anda harus menyelesaikan instruksi di Mengaktifkan kode akses (FIDO2) untuk organisasi Anda.
Anda juga harus memenuhi persyaratan sistem berikut:
Perangkat harus menjalankan Windows 10 versi 2004 atau yang lebih baru.
Pengendali domain Windows Server Anda harus menjalankan Windows Server 2016 atau yang lebih baru dan memiliki patch yang terinstal untuk server berikut:
AES256_HMAC_SHA1 harus diaktifkan saat Keamanan jaringan: Mengonfigurasi jenis enkripsi yang diizinkan untuk kebijakan Kerberosdikonfigurasi pada pengendali domain.
Miliki kredensial yang diperlukan untuk menyelesaikan langkah-langkah dalam skenario:
- Pengguna Active Directory yang merupakan anggota grup Domain Admins untuk sebuah domain dan anggota grup Enterprise Admins untuk sebuah forest. Disebut sebagai $domainCred.
- Pengguna Microsoft Entra dengan peran Administrator Identitas Hibrid . Disebut sebagai $cloudCred.
Pengguna harus memiliki atribut Microsoft Entra berikut yang diisi melalui Microsoft Entra Connect:
-
onPremisesSamAccountName(accountNamedi Microsoft Entra Connect) -
onPremisesDomainName(domainFQDNdi Microsoft Entra Connect) -
onPremisesSecurityIdentifier(objectSIDdi Microsoft Entra Connect)
Microsoft Entra Connect menyinkronkan atribut ini secara default. Jika Anda mengubah atribut mana yang akan disinkronkan, pastikan Anda memilih
accountName, ,domainFQDNdanobjectSIDuntuk sinkronisasi.-
Skenario yang didukung
Skenario dalam artikel ini mendukung SSO dalam kedua instance berikut:
- Sumber daya cloud seperti Microsoft 365 dan aplikasi dengan dukungan Security Assertion Markup Language (SAML) lainnya.
- Sumber daya lokal, dan autentikasi terintegrasi Windows ke situs web. Sumber daya dapat menyertakan situs web dan situs SharePoint yang memerlukan autentikasi IIS dan/atau sumber daya yang menggunakan autentikasi NTLM.
Skenario yang tidak didukung
Skenario berikut tidak didukung:
- Penyebaran gabungan (khusus perangkat lokal) Windows Server Active Directory Domain Services (AD DS).
- Protokol Desktop Jauh (RDP), infrastruktur desktop virtual (VDI), dan skenario Citrix dengan menggunakan kunci keamanan.
- S/MIME menggunakan kunci keamanan.
- Jalankan seperti dengan menggunakan kunci keamanan.
- Masuk ke server menggunakan kunci keamanan.
Menginstal modul AzureADHybridAuthenticationManagement
ModulAzureADHybridAuthenticationManagement menyediakan fitur manajemen FIDO2 untuk administrator.
Buka perintah PowerShell menggunakan opsi Run as administrator.
Instal modul
AzureADHybridAuthenticationManagement:# First, ensure TLS 1.2 for PowerShell gallery access. [Net.ServicePointManager]::SecurityProtocol = [Net.ServicePointManager]::SecurityProtocol -bor [Net.SecurityProtocolType]::Tls12 # Install the AzureADHybridAuthenticationManagement PowerShell module. Install-Module -Name AzureADHybridAuthenticationManagement -AllowClobber
Catatan
- Pada pembaruan 2.3.331.0, modul AzureADHybridAuthenticationManagement tidak menginstal modul AzureADPreview.
- Anda dapat menginstal
AzureADHybridAuthenticationManagementmodul di komputer mana pun dari tempat Anda dapat mengakses Pengendali Domain Active Directory lokal Anda, tanpa dependensi pada solusi Microsoft Entra Connect. - Modul
AzureADHybridAuthenticationManagementdidistribusikan melalui Galeri PowerShell. PowerShell Gallery adalah repositori pusat untuk konten PowerShell. Di dalamnya, Anda dapat menemukan modul PowerShell yang berguna yang berisi perintah PowerShell dan sumber daya Desired State Configuration (DSC).
Membuat objek Kerberos Server
Administrator menggunakan AzureADHybridAuthenticationManagement modul untuk membuat objek server Microsoft Entra Kerberos di direktori lokal mereka. Objek harus dibuat di server Microsoft Entra Connect atau di server yang memiliki dependensi Microsoft.Online.PasswordSynchronization.Rpc.dll terinstal.
Jalankan langkah-langkah berikut di setiap domain dan forest di organisasi Anda yang berisi pengguna Microsoft Entra:
- Buka perintah PowerShell menggunakan opsi Run as administrator.
- Jalankan perintah PowerShell berikut untuk membuat objek server Microsoft Entra Kerberos baru baik di domain Active Directory lokal Anda maupun di penyewa Microsoft Entra Anda.
Pilih Azure Cloud (Defaultnya adalah Azure Commercial)
Secara default, Set-AzureADKerberosServer cmdlet akan menggunakan titik akhir cloud Komersial. Jika Anda mengonfigurasi Kerberos di lingkungan cloud lain, Anda perlu mengatur cmdlet untuk menggunakan cloud yang ditentukan.
Untuk mendapatkan daftar cloud yang tersedia dan nilai numerik yang perlu diubah, jalankan perintah berikut:
Get-AzureADKerberosServerEndpoint
Contoh Output:
Current Endpoint = 0(Public)
Supported Endpoints:
0 :Public
1 :China
2 :Us Government
Perhatikan nilai numerik di samping lingkungan cloud yang Anda inginkan.
Untuk kemudian mengatur lingkungan cloud yang diinginkan, jalankan hal berikut:
(Contoh: Untuk Cloud Pemerintah AS)
Set-AzureADKerberosServerEndpoint -TargetEndpoint 2
Nasihat / Petunjuk
Untuk informasi selengkapnya tentang bagaimana Azure Commercial membandingkan sovereign cloud, lihat Perbedaan antara Azure Commercial dan sovereign cloud Azure.
Permintaan contoh 1 untuk semua kredensial
# Specify the on-premises Active Directory domain. A new Microsoft Entra ID
# Kerberos Server object will be created in this Active Directory domain.
$domain = $env:USERDNSDOMAIN
# Enter an Azure Active Directory Hybrid Identity Administrator username and password.
$cloudCred = Get-Credential -Message 'An Active Directory user who is a member of the Hybrid Identity Administrators group for Microsoft Entra ID.'
# Enter a Domain Administrator username and password.
$domainCred = Get-Credential -Message 'An Active Directory user who is a member of the Domain Admins group and an Enterprise Admin for the forest.'
# Create the new Microsoft Entra ID Kerberos Server object in Active Directory
# and then publish it to Azure Active Directory.
Set-AzureADKerberosServer -Domain $domain -CloudCredential $cloudCred -DomainCredential $domainCred
Contoh 2 permintaan untuk kredensial cloud
Catatan
Jika Anda bekerja pada mesin yang terhubung ke domain dengan akun yang memiliki hak istimewa sebagai administrator domain, Anda dapat melewati parameter "-DomainCredential". Jika parameter "-DomainCredential" tidak disediakan, kredensial login Windows saat ini akan digunakan untuk mengakses Pengendali Domain Active Directory lokal Anda.
# Specify the on-premises Active Directory domain. A new Microsoft Entra ID
# Kerberos Server object will be created in this Active Directory domain.
$domain = $env:USERDNSDOMAIN
# Enter an Azure Active Directory Hybrid Identity Administrator username and password.
$cloudCred = Get-Credential
# Create the new Microsoft Entra ID Kerberos Server object in Active Directory
# and then publish it to Azure Active Directory.
# Use the current windows login credential to access the on-premises AD.
Set-AzureADKerberosServer -Domain $domain -CloudCredential $cloudCred
Contoh 3 meminta semua kredensial menggunakan autentikasi modern
Catatan
Jika organisasi Anda melindungi masuk berbasis kata sandi dan memberlakukan metode autentikasi modern seperti autentikasi multifaktor, FIDO2, atau teknologi kartu pintar, Anda harus menggunakan -UserPrincipalName parameter dengan Nama Prinsipal Pengguna (UPN) dari Administrator Identitas Hibrid.
- Ganti
contoso.corp.comdalam contoh berikut dengan nama domain Active Directory lokal Anda. - Ganti
administrator@contoso.onmicrosoft.comdalam contoh berikut dengan UPN Administrator Identitas Hibrid.
# Specify the on-premises Active Directory domain. A new Microsoft Entra ID
# Kerberos Server object will be created in this Active Directory domain.
$domain = $env:USERDNSDOMAIN
# Enter a UPN of a Hybrid Identity Administrator
$userPrincipalName = "administrator@contoso.onmicrosoft.com"
# Enter a Domain Administrator username and password.
$domainCred = Get-Credential
# Create the new Microsoft Entra ID Kerberos Server object in Active Directory
# and then publish it to Azure Active Directory.
# Open an interactive sign-in prompt with given username to access the Microsoft Entra ID.
Set-AzureADKerberosServer -Domain $domain -UserPrincipalName $userPrincipalName -DomainCredential $domainCred
Contoh 4 permintaan kredensial cloud menggunakan autentikasi modern
Catatan
Jika Anda bekerja pada mesin yang terhubung dengan domain dengan akun yang memiliki hak istimewa administrator domain dan organisasi Anda melindungi proses masuk berbasis kata sandi serta menerapkan metode autentikasi modern seperti autentikasi multifaktor, FIDO2, atau teknologi kartu pintar, Anda harus menggunakan parameter -UserPrincipalName dengan Nama Utama Pengguna (UPN) dari seorang Administrator Identitas Hibrida. Dan Anda dapat melewati parameter "-DomainCredential".
> - Ganti administrator@contoso.onmicrosoft.com dalam contoh berikut dengan UPN Administrator Identitas Hibrid.
# Specify the on-premises Active Directory domain. A new Microsoft Entra ID
# Kerberos Server object will be created in this Active Directory domain.
$domain = $env:USERDNSDOMAIN
# Enter a UPN of a Hybrid Identity Administrator
$userPrincipalName = "administrator@contoso.onmicrosoft.com"
# Create the new Microsoft Entra ID Kerberos Server object in Active Directory
# and then publish it to Azure Active Directory.
# Open an interactive sign-in prompt with given username to access the Microsoft Entra ID.
Set-AzureADKerberosServer -Domain $domain -UserPrincipalName $userPrincipalName
Menampilkan dan memverifikasi server Microsoft Entra Kerberos
Anda dapat melihat dan memverifikasi server Microsoft Entra Kerberos yang baru dibuat dengan menggunakan perintah berikut:
# When prompted to provide domain credentials use the userprincipalname format for the username instead of domain\username
Get-AzureADKerberosServer -Domain $domain -UserPrincipalName $userPrincipalName -DomainCredential (get-credential)
Perintah ini menghasilkan properti server Microsoft Entra Kerberos. Anda dapat meninjau properti untuk memverifikasi bahwa semuanya dalam kondisi baik.
Catatan
Mengakses domain lain dengan kredensial format domain\username akan terhubung melalui NTLM, lalu gagal. Namun, menggunakan format userprincipalname untuk administrator domain akan memastikan upaya RPC yang menghubungkan ke DC menggunakan Kerberos dilakukan dengan benar. Jika pengguna berada dalam grup keamanan Pengguna Terproteksi di Direktori Aktif, selesaikan langkah-langkah ini untuk mengatasi masalah: Masuk sebagai pengguna domain lain di ADConnect dan jangan berikan "-domainCredential". Tiket Kerberos milik pengguna yang sedang masuk saat ini digunakan. Anda dapat mengonfirmasi dengan menjalankan whoami /groups untuk memvalidasi apakah pengguna memiliki izin yang diperlukan di Active Directory Domain Services untuk menjalankan perintah sebelumnya.
| Properti | Deskripsi |
|---|---|
| ID | ID unik objek pada AD DS DC. ID ini terkadang disebut sebagai slot atau ID cabang. |
| DomainDnsName | Nama domain DNS dari domain Active Directory. |
| Akun Komputer | Objek akun komputer dari objek server Microsoft Entra Kerberos (DC). |
| AkunPengguna | Objek akun pengguna yang dinonaktifkan yang menyimpan kunci enkripsi TGT untuk server Microsoft Entra Kerberos. Nama domain akun ini adalah CN=krbtgt_AzureAD,CN=Users,<Domain-DN>. |
| Versi Kunci | Versi kunci enkripsi TGT pada server Microsoft Entra Kerberos. Versi tersebut ditetapkan saat kunci dibuat. Versi tersebut kemudian ditambahkan setiap kali kunci diputar. Penambahan didasarkan pada metadata replikasi dan nilainya cenderung lebih besar dari satu. Misalnya, KeyVersion awal dapat 192272. Saat pertama kali kunci diputar, versi dapat maju ke 212621. Hal penting untuk diverifikasi adalah bahwa KeyVersion untuk objek lokal dan CloudKeyVersion untuk objek cloud sama. |
| Kunci Diperbarui Pada | Tanggal dan waktu kunci enkripsi TGT server Microsoft Entra Kerberos diperbarui atau dibuat. |
| KunciDiperbaruiDari | DC di mana kunci enkripsi TGT untuk server Microsoft Entra Kerberos terakhir kali diperbarui. |
| CloudId | ID dari objek Microsoft Entra. Harus cocok dengan ID pada baris pertama tabel. |
| CloudDomainDnsName | DomainDnsName dari objek Microsoft Entra. Harus cocok dengan DomainDnsName dari baris kedua tabel. |
| Versi Kunci Awan | Versi Kunci dari objek Microsoft Entra. Harus cocok dengan KeyVersion dari baris kelima tabel. |
| Kunci Awan Diperbarui Pada | KeyUpdatedOn dari objek Microsoft Entra. Harus cocok dengan KeyUpdatedOn dari baris keenam tabel. |
Putar kunci server Microsoft Entra Kerberos
Kunci krbtgt enkripsi server Microsoft Entra Kerberos harus diputar secara teratur. Kami menyarankan agar Anda mengikuti jadwal yang sama dengan yang Anda gunakan untuk mengganti semua kunci krbtgt pada DC Active Directory lainnya.
Peringatan
Ada alat lain yang dapat memutar kunci krbtgt . Namun, Anda harus menggunakan alat yang disebutkan dalam dokumen ini untuk memutar kunci krbtgt server Microsoft Entra Kerberos Anda. Ini memastikan bahwa kunci diperbarui di Active Directory lokal dan Microsoft Entra ID.
Set-AzureADKerberosServer -Domain $domain -CloudCredential $cloudCred -DomainCredential $domainCred -RotateServerKey
Menghapus server Microsoft Entra Kerberos
Jika Anda ingin mengembalikan skenario dan menghapus server Microsoft Entra Kerberos dari Active Directory lokal dan ID Microsoft Entra, jalankan perintah berikut:
Remove-AzureADKerberosServer -Domain $domain -CloudCredential $cloudCred -DomainCredential $domainCred
Skenario multiforest dan multidomain
Objek server Microsoft Entra Kerberos diwakili dalam ID Microsoft Entra sebagai objek KerberosDomain . Setiap domain Active Directory lokal diwakili sebagai objek KerberosDomain tunggal di ID Microsoft Entra.
Misalnya, organisasi Anda memiliki hutan Active Directory dengan dua domain, contoso.com dan fabrikam.com. Jika Anda memilih untuk memungkinkan ID Microsoft Entra mengeluarkan TGT Kerberos untuk seluruh hutan, ada dua objek KerberosDomain di ID Microsoft Entra, satu objek KerberosDomain untuk contoso.com dan yang lainnya untuk fabrikam.com. Jika Anda memiliki beberapa forest Active Directory, terdapat satu objek KerberosDomain untuk setiap domain di setiap forest.
Ikuti instruksi dalam Membuat objek Kerberos Server di setiap domain dan forest di organisasi Anda yang berisi pengguna Microsoft Entra.
Perilaku yang diketahui
Masuk dengan FIDO diblokir jika kata sandi Anda telah kedaluwarsa. Pengguna diharapkan mereset kata sandi mereka terlebih dahulu sebelum masuk menggunakan FIDO. Perilaku ini juga berlaku untuk pemasukan pengguna terhubung secara lokal hibrid yang disinkronkan dengan Windows Hello untuk Bisnis dengan kepercayaan kerberos cloud.
Pemecahan masalah dan tanggapan
Jika Anda mengalami masalah atau ingin membagikan tanggapan tentang fitur masuk dengan kunci keamanan tanpa kata sandi ini, sampaikan melalui aplikasi Hub Tanggapan Windows dengan melakukan hal berikut:
- Buka Hub Umpan Balik, dan pastikan Anda masuk.
- Kirim umpan balik dengan memilih kategori berikut:
- Kategori: Keamanan dan Privasi
- Subkategori: FIDO
- Untuk mengambil log, gunakan opsi Buat Ulang Masalah saya .
FAQ terkait proses masuk dengan kunci keamanan tanpa kata sandi
Berikut adalah beberapa jawaban atas pertanyaan umum tentang proses masuk tanpa kata sandi:
Apakah fitur ini berfungsi di lingkungan lokal saya?
Fitur ini tidak bekerja di lingkungan AD DS lokal secara khusus.
Organisasi saya memerlukan autentikasi dua faktor untuk mengakses sumber daya. Apa yang dapat saya lakukan untuk mendukung persyaratan ini?
Kunci keamanan hadir dalam berbagai faktor bentuk. Hubungi produsen perangkat terkait untuk membahas cara mengaktifkan perangkat dengan PIN atau biometrik sebagai faktor keamanan kedua.
Bisakah administrator menyiapkan kunci keamanan?
Kami sedang mengembangkan kemampuan ini untuk rilis fitur ini pada ketersediaan umum (GA).
Di mana saya dapat menemukan kunci keamanan yang memenuhi syarat?
Untuk informasi tentang kunci keamanan yang sesuai, lihat Kunci keamanan FIDO2.
Apa yang harus saya lakukan jika kehilangan kunci keamanan saya?
Untuk menghapus kunci keamanan terdaftar, masuk ke myaccount.microsoft.com, lalu buka halaman Info keamanan .
Apa yang dapat saya lakukan jika saya tidak dapat menggunakan kunci keamanan FIDO segera setelah saya membuat mesin gabungan hibrid Microsoft Entra?
Jika Anda menginstal mesin gabungan hibrid Microsoft Entra secara bersih, setelah proses bergabung dan memulai ulang domain, Anda harus masuk dengan kata sandi dan menunggu kebijakan disinkronkan sebelum Anda dapat menggunakan kunci keamanan FIDO untuk masuk.
- Periksa status Anda saat ini dengan menjalankan
dsregcmd /statusdi jendela Prompt Perintah, dan periksa untuk memastikan bahwa status AzureAdJoined dan DomainJoined ditampilkan sebagai YA. - Penundaan sinkronisasi ini adalah batasan yang diketahui untuk perangkat dengan domain gabungan dan sifatnya tidak khusus untuk FIDO.
Bagaimana jika saya tidak bisa mendapatkan akses menyeluruh ke sumber daya jaringan NTLM setelah saya masuk menggunakan FIDO dan mendapatkan permintaan kredensial?
Pastikan bahwa cukup banyak DC yang di-update untuk dapat merespons tepat waktu permintaan layanan sumber daya Anda. Untuk melihat apakah DC menjalankan fitur, jalankan nltest /dsgetdc:contoso /keylist /kdc, lalu tinjau outputnya.
Catatan
Tombol /keylist pada perintah nltest tersedia pada klien Windows 10 v2004 dan yang lebih baru.
Apakah ada jumlah maksimum grup per token untuk Microsoft Entra Kerberos?
Ya, Anda dapat memiliki hingga 1.010 grup per token.
Bagaimana cara mengatasi Failed to read secrets kesalahan saat menjalankan AzureADHybridAuthenticationManagement perintah modul?
Nonaktifkan Kebijakan FIPS untuk sementara. Kebijakan FIPS dapat diaktifkan kembali setelah melakukan langkah-langkah dengan AzureADHybridAuthenticationManagement modul. Jika kesalahan berlanjut setelah menonaktifkan kebijakan FIPS, pastikan akun yang digunakan memiliki izin administratif default.
Apakah kunci keamanan FIDO2 berfungsi pada proses masuk Windows dengan adanya RODC di lingkungan hibrida?
Proses masuk Windows FIDO2 akan mencari Pengendali Domain yang bisa ditulis untuk menukarkan TGT pengguna. Selama Anda memiliki setidaknya satu DC baca-tulis per situs, proses masuk akan berjalan lancar.