Condividi tramite

Guida alla distribuzione dell'attendibilità Kerberos cloud

Questo articolo descrive le funzionalità o gli scenari di Windows Hello for Business applicabili a:

Requisiti

Prima di avviare la distribuzione, esaminare i requisiti descritti nell'articolo Pianificare una distribuzione di Windows Hello for Business .

Prima di iniziare, verificare che siano soddisfatti i requisiti seguenti:

Importante

Quando si implementa il modello di distribuzione trust Kerberos cloud, è necessario assicurarsi di disporre di un numero adeguato di controller di dominio di lettura-scrittura in ogni sito di Active Directory in cui gli utenti eseguono l'autenticazione con Windows Hello for Business. Per altre informazioni, vedere Pianificazione della capacità per Active Directory.

Fasi di distribuzione

Dopo aver soddisfatto i prerequisiti, la distribuzione di Windows Hello for Business prevede i passaggi seguenti:

Distribuire Microsoft Entra Kerberos

Se l'accesso SSO locale è già stato distribuito per l'accesso con chiave di sicurezza senza password, Microsoft Entra Kerberos è già stato distribuito nell'organizzazione. Non è necessario ridistribuire o modificare la distribuzione Kerberos di Microsoft Entra esistente per supportare Windows Hello for Business ed è possibile passare alla sezione Configurare le impostazioni dei criteri di Windows Hello for Business .

Se Microsoft Entra Kerberos non è stato distribuito, seguire le istruzioni riportate nella documentazione Abilitare l'accesso con chiave di sicurezza senza password . Questa pagina include informazioni su come installare e usare il modulo PowerShell Kerberos di Microsoft Entra. Usare il modulo per creare un oggetto server Kerberos Microsoft Entra per i domini in cui si vuole usare l'attendibilità Kerberos cloud Windows Hello for Business.

Autenticazione dell'attendibilità Kerberos di Microsoft Entra e Kerberos cloud

Quando Microsoft Entra Kerberos è abilitato in un dominio di Active Directory, nel dominio viene creato un oggetto computer AzureADKerberos . Questo oggetto:

  • Viene visualizzato come oggetto Controller di dominio di sola lettura, ma non è associato a server fisici

  • Viene usato solo da Microsoft Entra ID per generare TCT per il dominio di Active Directory

    Nota

    Regole e restrizioni simili usate per i controller di dominio di sola lettura si applicano all'oggetto computer AzureADKerberos. Ad esempio, gli utenti che sono membri diretti o indiretti di gruppi di sicurezza predefiniti privi non saranno in grado di usare l'attendibilità Kerberos cloud.

Screenshot della console Utenti e computer di Active Directory che mostra l'oggetto computer che rappresenta il server Kerberos Microsoft Entra.

Per altre informazioni sul funzionamento di Microsoft Entra Kerberos con l'attendibilità Kerberos cloud di Windows Hello for Business, vedere l'approfondimento tecnico sull'autenticazione di Windows Hello for Business.

Nota

I criteri di replica delle password predefiniti configurati nell'oggetto computer AzureADKerberos non consentono di firmare account con privilegi elevati alle risorse locali con chiavi di sicurezza FIDO2 o trust Kerberos cloud.

A causa di possibili vettori di attacco da Microsoft Entra ID ad Active Directory, non è consigliabile sbloccare questi account riducendo i criteri di replica delle password dell'oggetto CN=AzureADKerberos,OU=Domain Controllers,<domain-DN>computer .

Configurare le impostazioni dei criteri per Windows Hello for Business

Dopo aver configurato l'oggetto Kerberos Microsoft Entra, è necessario abilitare e configurare Windows Hello for business per l'uso dell'attendibilità Kerberos cloud. Sono necessarie due impostazioni dei criteri per configurare Windows Hello for Business in un modello di attendibilità Kerberos cloud:

Un'altra impostazione facoltativa, ma consigliata, dei criteri è:

Importante

Se il criterio Usa certificato per l'autenticazione locale è abilitato, l'attendibilità del certificato ha la precedenza sull'attendibilità Kerberos cloud. Assicurarsi che i computer che si desidera abilitare l'attendibilità Kerberos cloud non abbiano questo criterio configurato.

Le istruzioni seguenti illustrano come configurare i dispositivi usando Microsoft Intune o Criteri di gruppo.

Nota

Vedere l'articolo Configurare Windows Hello for Business con Microsoft Intune per informazioni sulle diverse opzioni offerte da Microsoft Intune per configurare Windows Hello for Business.

Se i criteri a livello di tenant di Intune sono abilitati e configurati in base alle proprie esigenze, è sufficiente abilitare l'impostazione dei criteri Usa attendibilità cloud per On Prem Auth. In caso contrario, entrambe le impostazioni devono essere configurate.

Per configurare i dispositivi con Microsoft Intune, creare un criterio del catalogo impostazioni e usare le impostazioni seguenti:

Categoria Nome dell'impostazione Valore
Windows Hello for Business Usare Passport for Work true
Windows Hello for Business Usare l'attendibilità cloud per On Prem Auth Abilitato
Windows Hello for Business Richiedi dispositivo di sicurezza true

Assegnare i criteri a un gruppo che contiene come membri i dispositivi o gli utenti che si desidera configurare.

In alternativa, è possibile configurare i dispositivi usando criteri personalizzati con il CSP PassportForWork.

Impostazione
- URI OMA:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork
- Tipo di dati:bool
- Valore:True
- URI OMA:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseCloudTrustForOnPremAuth
- Tipo di dati:bool
- Valore:True
- URI OMA:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice
- Tipo di dati:bool
- Valore:True

Se si distribuisce la configurazione di Windows Hello for Business usando Criteri di gruppo e Intune, le impostazioni di Criteri di gruppo hanno la precedenza e le impostazioni di Intune vengono ignorate. Per altre informazioni sui conflitti di criteri, vedere Conflitti di criteri da più origini dei criteri.

È possibile configurare altre impostazioni dei criteri per controllare il comportamento di Windows Hello for Business. Per altre informazioni, vedere Impostazioni dei criteri di Windows Hello for Business.

Iscriversi a Windows Hello for Business

Il processo di provisioning di Windows Hello for Business inizia immediatamente dopo l'accesso di un utente, se i controlli dei prerequisiti vengono superati. Windows Hello for Business cloud Kerberos trust aggiunge un controllo dei prerequisiti per i dispositivi aggiunti a Microsoft Entra ibrido quando l'attendibilità Kerberos cloud è abilitata dai criteri.

È possibile determinare lo stato del controllo dei prerequisiti visualizzando il log di amministrazione registrazione dispositivi utente in Registri applicazioni e servizi>di Microsoft>Windows.
Queste informazioni sono disponibili anche usando il dsregcmd.exe /status comando da una console. Per altre informazioni, vedere dsregcmd.

Il controllo dei prerequisiti di attendibilità Kerberos cloud rileva se l'utente dispone di un TGT parziale prima di consentire l'avvio del provisioning. Lo scopo di questo controllo è verificare se Microsoft Entra Kerberos è configurato per il dominio e il tenant dell'utente. Se Microsoft Entra Kerberos è configurato, l'utente riceve un TGT parziale durante l'accesso con uno degli altri metodi di sblocco. Questo controllo ha tre stati: Sì, No e Non testato. Lo stato Non testato viene segnalato se l'attendibilità Kerberos cloud non viene applicata dai criteri o se il dispositivo è aggiunto a Microsoft Entra.

Nota

Il controllo dei prerequisiti di attendibilità Kerberos cloud non viene eseguito nei dispositivi aggiunti a Microsoft Entra. Se non viene effettuato il provisioning di Microsoft Entra Kerberos, un utente in un dispositivo aggiunto a Microsoft Entra potrà comunque accedere, ma non avrà accesso SSO alle risorse locali protette da Active Directory.

Esperienza utente

Dopo l'accesso di un utente, inizia il processo di registrazione di Windows Hello for Business:

  1. Se il dispositivo supporta l'autenticazione biometrica, all'utente viene richiesto di configurare un movimento biometrico. Questo movimento può essere usato per sbloccare il dispositivo e eseguire l'autenticazione alle risorse che richiedono Windows Hello for Business. L'utente può ignorare questo passaggio se non vuole configurare un movimento biometrico
  2. All'utente viene richiesto di usare Windows Hello con l'account dell'organizzazione. L'utente seleziona OK
  3. Il flusso di provisioning procede alla parte di autenticazione a più fattori della registrazione. Il provisioning informa l'utente che sta tentando attivamente di contattare l'utente tramite la forma configurata di MFA. Il processo di provisioning non procede fino a quando l'autenticazione non riesce, non ha esito negativo o non si verifica un timeout. Un'autenticazione MFA non riuscita o timeout genera un errore e chiede all'utente di riprovare
  4. Dopo l'esito positivo dell'autenticazione a più fattori, il flusso di provisioning chiede all'utente di creare e convalidare un PIN. Questo PIN deve osservare eventuali criteri di complessità del PIN configurati nel dispositivo
  5. La parte restante del provisioning include la richiesta di Windows Hello for Business per una coppia di chiavi asimmetriche per l'utente, preferibilmente dal TPM (o obbligatorio se è impostato in modo esplicito tramite criteri). Dopo aver acquisito la coppia di chiavi, Windows comunica con l'IdP per registrare la chiave pubblica. Al termine della registrazione delle chiavi, il provisioning di Windows Hello for Business informa l'utente che può usare il PIN per accedere. L'utente può chiudere l'applicazione di provisioning e accedere al desktop

Dopo che un utente ha completato la registrazione con l'attendibilità Kerberos cloud, il movimento Windows Hello può essere usato immediatamente per l'accesso. In un dispositivo aggiunto ibrido a Microsoft Entra, il primo uso del PIN richiede una linea di vista per un controller di dominio. Dopo l'accesso o lo sblocco dell'utente con il controller di dominio, è possibile usare l'accesso memorizzato nella cache per gli sblocchi successivi senza connettività di rete o di vista.

Dopo la registrazione, Microsoft Entra Connect sincronizza la chiave dell'utente da Microsoft Entra ID ad Active Directory.

Diagrammi di sequenza

Per comprendere meglio i flussi di provisioning, esaminare i diagrammi di sequenza seguenti in base al tipo di autenticazione e join del dispositivo:

Per comprendere meglio i flussi di autenticazione, esaminare il diagramma di sequenza seguente:

Eseguire la migrazione dal modello di distribuzione dell'attendibilità chiave al trust Kerberos cloud

Se Windows Hello for Business è stato distribuito usando il modello di attendibilità chiave e si vuole eseguire la migrazione al modello di attendibilità Kerberos cloud, seguire questa procedura:

  1. Configurare Microsoft Entra Kerberos nell'ambiente ibrido
  2. Abilitare l'attendibilità Kerberos cloud tramite Criteri di gruppo o Intune
  3. Per i dispositivi aggiunti a Microsoft Entra, disconnettersi e accedere al dispositivo usando Windows Hello for Business

Nota

Per i dispositivi aggiunti ibridi a Microsoft Entra, gli utenti devono eseguire il primo accesso con nuove credenziali pur avendo una linea di vista per un controller di dominio.

Eseguire la migrazione dal modello di distribuzione dell'attendibilità dei certificati all'attendibilità Kerberos cloud

Importante

Non esiste alcun percorso di migrazione diretta da una distribuzione di attendibilità del certificato a una distribuzione di trust Kerberos cloud. Il contenitore Windows Hello deve essere eliminato prima di poter eseguire la migrazione all'attendibilità Kerberos cloud.

Se Windows Hello for Business è stato distribuito usando il modello di attendibilità del certificato e si vuole usare il modello di attendibilità Kerberos cloud, è necessario ridistribuire Windows Hello for Business seguendo questa procedura:

  1. Disabilitare i criteri di attendibilità del certificato
  2. Abilitare l'attendibilità Kerberos cloud tramite Criteri di gruppo o Intune
  3. Rimuovere le credenziali di attendibilità del certificato usando il comando certutil.exe -deletehellocontainer dal contesto utente
  4. Disconnettersi ed eseguire di nuovo l'accesso
  5. Effettuare il provisioning di Windows Hello for Business usando un metodo di propria scelta

Nota

Per i dispositivi aggiunti a Microsoft Entra ibrido, gli utenti devono eseguire il primo accesso con nuove credenziali pur avendo una linea di vista verso un controller di dominio.

Domande frequenti

Per un elenco delle domande frequenti sull'attendibilità Kerberos cloud di Windows Hello for Business, vedi Domande frequenti su Windows Hello for Business.

Scenari non supportati

Gli scenari seguenti non sono supportati usando l'attendibilità Kerberos cloud Windows Hello for Business:

  • Scenari RDP/VDI con credenziali fornite (RDP/VDI può essere usato con Remote Credential Guard o se un certificato è registrato nel contenitore Windows Hello for Business)
  • Uso dell'attendibilità Kerberos cloud per Runas
  • Accesso con attendibilità Kerberos cloud in un dispositivo aggiunto ibrido a Microsoft Entra senza accedere in precedenza con la connettività del controller di dominio