Domande frequenti sulla distribuzione per le chiavi di sicurezza FIDO2 ibride in Microsoft Entra ID

  • Articolo

Questo articolo illustra le domande frequenti sulla distribuzione per i dispositivi aggiunti a Microsoft Entra ibrido e l'accesso senza password alle risorse locali. Con questa funzionalità senza password, è possibile abilitare l'autenticazione di Microsoft Entra nei dispositivi Windows 10 per i dispositivi aggiunti all'ambiente ibrido di Microsoft Entra usando le chiavi di sicurezza FIDO2. Gli utenti possono accedere a Windows nei propri dispositivi con credenziali moderne, ad esempio chiavi FIDO2 e accedere alle risorse tradizionali basate su Dominio di Active Directory Services (AD DS) con un'esperienza single sign-on (SSO) facile per le risorse locali.

Sono supportati gli scenari seguenti per gli utenti in un ambiente ibrido:

  • Accedere ai dispositivi aggiunti all'ambiente ibrido di Microsoft Entra usando le chiavi di sicurezza FIDO2 e ottenere l'accesso SSO alle risorse locali.
  • Accedere ai dispositivi aggiunti a Microsoft Entra usando le chiavi di sicurezza FIDO2 e ottenere l'accesso SSO alle risorse locali.

Per iniziare a usare le chiavi di sicurezza FIDO2 e l'accesso ibrido alle risorse locali, vedere gli articoli seguenti:

Chiavi di sicurezza

L'organizzazione richiede l'autenticazione a più fattori per accedere alle risorse. Cosa è possibile fare per supportare questo requisito?

Le chiavi di sicurezza FIDO2 sono disponibili in diversi fattori di forma. Contattare il produttore del dispositivo di interesse per discutere come abilitare i propri dispositivi con un PIN o una biometria come secondo fattore. Per un elenco dei provider supportati, vedere Provider di chiavi di sicurezza FIDO2.

Dove è possibile trovare le chiavi di sicurezza FIDO2 conformi?

Per un elenco dei provider supportati, vedere Provider di chiavi di sicurezza FIDO2.

Cosa succede se si perde la chiave di sicurezza?

È possibile rimuovere le chiavi passando alla pagina Informazioni di sicurezza e rimuovendo la chiave di sicurezza FIDO2.

Come sono protetti i dati nella chiave di sicurezza FIDO2?

Le chiavi di sicurezza FIDO2 hanno enclave sicuri che proteggono le chiavi private archiviate. Una chiave di sicurezza FIDO2 include anche proprietà anti-hammering incorporate, come in Windows Hello, in cui non è possibile estrarre la chiave privata.

Come funziona la registrazione delle chiavi di sicurezza FIDO2?

Per altre informazioni su come registrare e usare chiavi di sicurezza FIDO2, vedere Abilitare l'accesso tramite chiave di sicurezza senza password.

È possibile consentire agli amministratori di effettuare direttamente il provisioning delle chiavi per gli utenti?

No, attualmente non è possibile.

Perché viene visualizzato "NotAllowedError" nel browser, quando si registrano chiavi FIDO2?

Si riceverà "NotAllowedError" dalla pagina di registrazione della chiave fido2. Ciò si verifica in genere quando si verifica un errore mentre Windows tenta un'operazione di autenticazione CTAP2MakeCredential sulla chiave di sicurezza. Verranno visualizzati altri dettagli nel registro eventi Microsoft-Windows-WebAuthN/Operational.

Prerequisiti

Questa funzionalità funziona se non è disponibile connettività Internet?

La connettività Internet è un prerequisito per abilitare questa funzionalità. La prima volta che un utente accede usando le chiavi di sicurezza FIDO2, deve avere connettività Internet. Per gli eventi di accesso successivi, l'accesso memorizzato nella cache dovrebbe funzionare e consentire all'utente di eseguire l'autenticazione senza connettività Internet.

Per un'esperienza coerente, assicurarsi che i dispositivi dispongano dell'accesso a Internet e della linea di visualizzazione ai controller di dominio.

Quali sono i punti finali specifici che devono essere aperti all'ID Entra Di Microsoft?

Per la registrazione e l'autenticazione sono necessari gli endpoint seguenti:

  • *.microsoftonline.com
  • *.microsoftonline-p.com
  • *.msauth.net
  • *.msauthimages.net
  • *.msecnd.net
  • *.msftauth.net
  • *.msftauthimages.net
  • *.phonefactor.net
  • enterpriseregistration.windows.net
  • management.azure.com
  • policykeyservice.dc.ad.msft.net
  • secure.aadcdn.microsoftonline-p.com

Per un elenco completo degli endpoint necessari per l'uso dei prodotti Online Microsoft, vedere URL e intervalli di indirizzi IP di Office 365.

Ricerca per categorie identificare il tipo di aggiunta a un dominio (aggiunto a Microsoft Entra o aggiunto a Microsoft Entra ibrido) per il dispositivo Windows 10?

Per verificare se il dispositivo client Windows 10 ha il tipo di aggiunta al dominio corretto, usare il comando seguente:

Dsregcmd /status

L'output di esempio seguente mostra che il dispositivo è aggiunto a Microsoft Entra perché AzureADJoined è impostato su :

+---------------------+
| Device State        |
+---------------------+

AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: NO

L'output di esempio seguente mostra che il dispositivo è aggiunto ibrido a Microsoft Entra perché DomainedJoined è impostato anche su . Viene visualizzato anche DomainName :

+---------------------+
| Device State        |
+---------------------+

AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: YES
DomainName: CONTOSO

In un controller di dominio di Windows Server 2016 o 2019 verificare che siano applicate le patch seguenti. Se necessario, eseguire Windows Update per installarli:

Da un dispositivo client eseguire il comando seguente per verificare la connettività a un controller di dominio appropriato con le patch installate:

nltest /dsgetdc:<domain> /keylist /kdc

Qual è la raccomandazione sul numero di controller di dominio da applicare alle patch?

È consigliabile applicare patch alla maggior parte dei controller di dominio di Windows Server 2016 o 2019 con la patch per assicurarsi che possano gestire il carico della richiesta di autenticazione dell'organizzazione.

In un controller di dominio di Windows Server 2016 o 2019 verificare che siano applicate le patch seguenti. Se necessario, eseguire Windows Update per installarli:

È possibile distribuire il provider di credenziali FIDO2 in un dispositivo solo locale?

No, questa funzionalità non è supportata per il dispositivo solo locale. Il provider di credenziali FIDO2 non viene visualizzato.

L'accesso alla chiave di sicurezza FIDO2 non funziona per il dominio Amministrazione o altri account con privilegi elevati. Perché?

I criteri di sicurezza predefiniti non concedono a Microsoft Entra l'autorizzazione per firmare account con privilegi elevati alle risorse locali.

Per sbloccare gli account, usare Utenti e computer di Active Directory per modificare la proprietà msDS-NeverRevealGroup dell'oggetto Computer Kerberos Microsoft Entra (CN=AzureADKerberos,OU=Domain Controllers,domain-DN<>).

Informazioni dettagliate

In che modo Microsoft Entra Kerberos è collegato all'ambiente Active Directory locale Domain Services?

Esistono due parti: l'ambiente di Active Directory Domain Services locale e il tenant di Microsoft Entra.

Active Directory Domain Services (AD DS)

Il server Kerberos Microsoft Entra è rappresentato in un ambiente di Active Directory Domain Services locale come oggetto controller di dominio . Questo oggetto DC è costituito da più oggetti:

  • CN=AzureADKerberos,OU=Domain Controllers,<domain-DN>

    Oggetto Computer che rappresenta un controller di dominio di sola lettura in Active Directory Domain Services. Nessun computer associato a questo oggetto. È invece una rappresentazione logica di un controller di dominio.

  • CN=krbtgt_AzureAD,CN=Users,<domain-DN>

    Oggetto User che rappresenta una chiave di crittografia TGT (Ticket Granting Ticket Granting Ticket) kerberos del controller di dominio di sola lettura.

  • CN=900274c4-b7d2-43c8-90ee-00a9f650e335,CN=AzureAD,CN=System,<domain-DN>

    Oggetto Service Connessione ionPoint che archivia i metadati relativi agli oggetti server Kerberos di Microsoft Entra. Gli strumenti di amministrazione usano questo oggetto per identificare e individuare gli oggetti server Kerberos di Microsoft Entra.

Microsoft Entra ID

Il server Kerberos Microsoft Entra è rappresentato in Microsoft Entra ID come oggetto KerberosDomain . Ogni ambiente di Active Directory Domain Services locale è rappresentato come un singolo oggetto KerberosDomain nel tenant di Microsoft Entra.

Ad esempio, potrebbe essere disponibile una foresta di Active Directory Domain Services con due domini, contoso.com ad esempio e fabrikam.com. Se si consente a Microsoft Entra ID di rilasciare Ticket Granting Tickets (TGT) Kerberos per l'intera foresta, sono presenti due KerberosDomain oggetti in Microsoft Entra ID- un oggetto per contoso.com e uno per fabrikam.com.

Se sono presenti più foreste di Active Directory Domain Services, si dispone di un KerberosDomain oggetto per ogni dominio in ogni foresta.

Dove è possibile visualizzare questi oggetti server Kerberos creati in Active Directory Domain Services e pubblicati in Microsoft Entra ID?

Per visualizzare tutti gli oggetti, usare i cmdlet powerShell del server Microsoft Entra Kerberos inclusi nella versione più recente di Microsoft Entra Connessione.

Per altre informazioni, incluse le istruzioni su come visualizzare gli oggetti, vedere Creare un oggetto Server Kerberos.

Perché non è possibile registrare la chiave pubblica in Active Directory Domain Services locale, quindi non esiste alcuna dipendenza da Internet?

Sono stati ricevuti commenti e suggerimenti sulla complessità del modello di distribuzione per Windows Hello for Business, quindi si è voluto semplificare il modello di distribuzione senza dover usare certificati e PKI (FIDO2 non usa certificati).

Come vengono ruotate le chiavi nell'oggetto server Kerberos?

Come qualsiasi altro controller di dominio, le chiavi krbtgt di crittografia del server Kerberos di Microsoft Entra devono essere ruotate regolarmente. È consigliabile seguire la stessa pianificazione usata per ruotare tutte le altre chiavi krbtgt di Active Directory Domain Services.

Nota

Anche se sono disponibili altri strumenti per ruotare le chiavi krbtgt, è necessario usare i cmdlet di PowerShell per ruotare le chiavi krbtgt del server Kerberos di Microsoft Entra. Questo metodo assicura che le chiavi vengano aggiornate sia nell'ambiente di Active Directory Domain Services locale che in Microsoft Entra ID.

Perché abbiamo bisogno di Microsoft Entra Connessione? Scrive informazioni in Servizi di dominio Active Directory da Microsoft Entra ID?

Microsoft Entra Connessione non scrive informazioni da Microsoft Entra ID in Active Directory DS. L'utilità include il modulo PowerShell per creare l'oggetto server Kerberos in Active Directory Domain Services e pubblicarlo in Microsoft Entra ID.

Che aspetto ha la richiesta http di richiesta/risposta quando si richiede prt+ TGT parziale?

La richiesta HTTP è una richiesta di token di aggiornamento primario (PRT) standard. Questa richiesta PRT include un'attestazione che indica che è necessario un ticket di concessione ticket (TGT) Kerberos.

Richiesta di rimborso Valore Descrizione
TGT true L'attestazione indica che il client necessita di un TGT.

Microsoft Entra ID combina la chiave client crittografata e il buffer dei messaggi nella risposta PRT come proprietà aggiuntive. Il payload viene crittografato usando la chiave di sessione del dispositivo Microsoft Entra.

Campo Tipo Descrizione
tgt_client_key string Chiave client con codifica Base64 (segreto). Questa chiave è il segreto client usato per proteggere il TGT. In questo scenario senza password, il segreto client viene generato dal server come parte di ogni richiesta TGT e quindi restituito al client nella risposta.
tgt_key_type int Tipo di chiave di Active Directory Domain Services locale usato sia per la chiave client che per la chiave di sessione Kerberos inclusa nella KERB_MESSAGE_BUFFER.
tgt_message_buffer string KERB_MESSAGE_BUFFER con codifica Base64.

Gli utenti devono essere membri del gruppo Active Directory Domain Users?

Sì. Un utente deve trovarsi nel gruppo Domain Users per poter accedere tramite Microsoft Entra Kerberos.

Passaggi successivi

Per iniziare a usare le chiavi di sicurezza FIDO2 e l'accesso ibrido alle risorse locali, vedere gli articoli seguenti: