Quando si implementa il modello di distribuzione trust Kerberos cloud, è necessario assicurarsi di disporre di un numero adeguato di controller di dominio di lettura/scrittura in ogni sito di Active Directory in cui gli utenti eseguono l'autenticazione con Windows Hello for Business. Per altre informazioni, vedere Pianificazione della capacità per Active Directory.
Fasi di distribuzione
Dopo aver soddisfatto i prerequisiti, la distribuzione di Windows Hello for Business prevede i passaggi seguenti:
Se l'accesso SSO locale è già stato distribuito per l'accesso con chiave di sicurezza senza password, Microsoft Entra Kerberos è già stato distribuito nell'organizzazione. Non è necessario ridistribuire o modificare la distribuzione Kerberos Microsoft Entra esistente per supportare Windows Hello for Business ed è possibile passare alla sezione Configurare le impostazioni dei criteri di Windows Hello for Business.
Se non è stato distribuito Microsoft Entra Kerberos, seguire le istruzioni riportate nella documentazione Abilitare l'accesso con chiave di sicurezza senza password. Questa pagina include informazioni su come installare e usare il modulo di PowerShell Kerberos Microsoft Entra. Usare il modulo per creare un oggetto server Kerberos Microsoft Entra per i domini in cui si vuole usare Windows Hello for Business trust Kerberos cloud.
Microsoft Entra l'autenticazione kerberos e kerberos cloud
Quando Microsoft Entra Kerberos è abilitato in un dominio di Active Directory, nel dominio viene creato un oggetto computer AzureADKerberos. Questo oggetto:
Viene visualizzato come oggetto controller di dominio di sola lettura, ma non è associato ad alcun server fisico
Viene usato solo da Microsoft Entra ID per generare TCT per il dominio Active Directory
Nota
Regole e restrizioni simili usate per i controller di dominio di sola lettura si applicano all'oggetto computer AzureADKerberos. Ad esempio, gli utenti che sono membri diretti o indiretti di gruppi di sicurezza predefiniti con privilegi non potranno usare l'attendibilità Kerberos cloud.
I criteri di replica delle password predefiniti configurati nell'oggetto computer AzureADKerberos non consentono di firmare account con privilegi elevati alle risorse locali con chiavi di sicurezza FIDO2 o trust Kerberos cloud.
A causa di possibili vettori di attacco da Microsoft Entra ID ad Active Directory, non è consigliabile sbloccare questi account riducendo i criteri di replica delle password dell'oggetto CN=AzureADKerberos,OU=Domain Controllers,<domain-DN>computer .
Configurare le impostazioni dei criteri per Windows Hello for Business
Dopo aver configurato l'oggetto Microsoft Entra Kerberos, è necessario abilitare e configurare Windows Hello per le aziende per l'uso dell'attendibilità Kerberos cloud. Per configurare Windows Hello for Business in un modello di attendibilità Kerberos cloud sono necessarie due impostazioni dei criteri:
Se il criterio Usa certificato per l'autenticazione locale è abilitato, l'attendibilità del certificato ha la precedenza sull'attendibilità Kerberos cloud. Assicurarsi che i computer che si desidera abilitare l'attendibilità Kerberos cloud non abbiano questo criterio configurato.
Le istruzioni seguenti illustrano come configurare i dispositivi usando Microsoft Intune o Criteri di gruppo.
Se il Intune criterio a livello di tenant è abilitato e configurato in base alle proprie esigenze, è sufficiente abilitare l'impostazione dei criteri Usa attendibilità cloud per On Prem Auth.If the Intune tenant-wide policy is enabled and configured to your needs, you only need to enable the policy setting Use Cloud Trust For On Prem Auth. In caso contrario, entrambe le impostazioni devono essere configurate.
Distribuendo l'impostazione dei criteri del nodo del computer, tutti gli utenti che accedono ai dispositivi di destinazione tentano una registrazione Windows Hello for Business
Distribuendo l'impostazione dei criteri del nodo utente, vengono eseguiti solo gli utenti di destinazione per tentare una registrazione Windows Hello for Business
Se si distribuiscono le impostazioni dei criteri sia per gli utenti che per i computer, l'impostazione per gli utenti ha la precedenza.
Nota
L'attendibilità Kerberos cloud richiede l'impostazione di un criterio dedicato per consentirne l'abilitazione. Questa impostazione di criterio è disponibile solo come configurazione del computer.
Potrebbe essere necessario aggiornare le definizioni di Criteri di gruppo per poter configurare i criteri di attendibilità Kerberos cloud. È possibile copiare i file ADMX e ADML da un client Windows che supporta l'attendibilità Kerberos cloud nella rispettiva cartella della lingua nel server di gestione Criteri di gruppo. Windows Hello for Business impostazioni si trovano nei file Passport.admx e Passport.adml.
Per configurare un dispositivo con criteri di gruppo, usare l'Editor Criteri di gruppo locali. Per configurare più dispositivi aggiunti ad Active Directory, creare o modificare un oggetto Criteri di gruppo (GPO) e usare le impostazioni seguenti:
Percorso Criteri di gruppo
Impostazione di Criteri di gruppo
Value
Configurazione computer\Modelli amministrativi\Componenti di Windows\Windows Hello for Business or Configurazione utente\Modelli amministrativi\Componenti di Windows\Windows Hello for Business
Usa Windows Hello for Business
Abilitato
Configurazione computer\Modelli amministrativi\Componenti di Windows\Windows Hello for Business
Usare l'attendibilità Kerberos cloud per l'autenticazione locale
Abilitato
Configurazione computer\Modelli amministrativi\Componenti di Windows\Windows Hello for Business
Il modo migliore per distribuire l'oggetto Criteri di gruppo Windows Hello for Business consiste nell'usare il filtro dei gruppi di sicurezza. Solo i membri del gruppo di sicurezza di destinazione eseguiranno il provisioning Windows Hello for Business, abilitando un'implementazione in più fasi. Questa soluzione consente di collegare l'oggetto Criteri di gruppo al dominio, assicurando che l'ambito dell'oggetto Criteri di gruppo sia limitato a tutte le entità di sicurezza. Il filtro del gruppo di sicurezza garantisce che solo i membri del gruppo globale ricevano e applichino l'oggetto Criteri di gruppo, con conseguente provisioning di Windows Hello for Business.
Se si distribuisce Windows Hello for Business configurazione usando sia Criteri di gruppo che Intune, le impostazioni Criteri di gruppo hanno la precedenza e Intune impostazioni vengono ignorate. Per altre informazioni sui conflitti di criteri, vedere Conflitti di criteri da più origini dei criteri.
Il processo di provisioning Windows Hello for Business inizia immediatamente dopo l'accesso di un utente, se i controlli dei prerequisiti vengono superati. Windows Hello for Business trust Kerberos cloud aggiunge un controllo dei prerequisiti per Microsoft Entra dispositivi aggiunti ibridi quando l'attendibilità Kerberos cloud è abilitata dai criteri.
È possibile determinare lo stato del controllo dei prerequisiti visualizzando il log di amministrazione registrazione dispositivi utente in Registri applicazioni e servizi>di Microsoft>Windows.
Queste informazioni sono disponibili anche usando il dsregcmd.exe /status comando da una console. Per altre informazioni, vedere dsregcmd.
Il controllo dei prerequisiti di attendibilità Kerberos cloud rileva se l'utente dispone di un TGT parziale prima di consentire l'avvio del provisioning. Lo scopo di questo controllo consiste nel verificare se Microsoft Entra Kerberos è configurato per il dominio e il tenant dell'utente. Se Microsoft Entra Kerberos è configurato, l'utente riceve un TGT parziale durante l'accesso con uno degli altri metodi di sblocco. Questo controllo ha tre stati: Sì, No e Non testato. Lo stato Non testato viene segnalato se l'attendibilità Kerberos cloud non viene applicata dai criteri o se il dispositivo è Microsoft Entra aggiunto.
Nota
Il controllo dei prerequisiti dell'attendibilità Kerberos cloud non viene eseguito nei dispositivi aggiunti Microsoft Entra. Se non viene effettuato il provisioning di Microsoft Entra Kerberos, un utente in un dispositivo aggiunto Microsoft Entra sarà comunque in grado di accedere, ma non avrà accesso SSO alle risorse locali protette da Active Directory.
Esperienza utente
Dopo l'accesso di un utente, inizia il processo di registrazione Windows Hello for Business:
Se il dispositivo supporta l'autenticazione biometrica, all'utente viene richiesto di configurare un movimento biometrico. Questo movimento può essere usato per sbloccare il dispositivo e eseguire l'autenticazione alle risorse che richiedono Windows Hello for Business. L'utente può ignorare questo passaggio se non vuole configurare un movimento biometrico
All'utente viene richiesto di usare Windows Hello con l'account dell'organizzazione. L'utente seleziona OK
Il flusso di provisioning procede alla parte di autenticazione a più fattori della registrazione. Il provisioning informa l'utente che sta tentando attivamente di contattare l'utente tramite la forma configurata di MFA. Il processo di provisioning non procede fino a quando l'autenticazione non riesce, non ha esito negativo o non si verifica un timeout. Un'autenticazione MFA non riuscita o timeout genera un errore e chiede all'utente di riprovare
Dopo l'esito positivo dell'autenticazione a più fattori, il flusso di provisioning chiede all'utente di creare e convalidare un PIN. Questo PIN deve osservare eventuali criteri di complessità del PIN configurati nel dispositivo
La parte restante del provisioning include la richiesta di Windows Hello for Business per una coppia di chiavi asimmetriche per l'utente, preferibilmente dal TPM (o obbligatorio se è impostato in modo esplicito tramite criteri). Dopo aver acquisito la coppia di chiavi, Windows comunica con l'IdP per registrare la chiave pubblica. Al termine della registrazione delle chiavi, Windows Hello for Business provisioning informa l'utente che può usare il PIN per accedere. L'utente può chiudere l'applicazione di provisioning e accedere al desktop
Dopo che un utente ha completato la registrazione con l'attendibilità Kerberos cloud, il movimento di Windows Hello può essere usato immediatamente per l'accesso. In un Microsoft Entra dispositivo ibrido aggiunto, il primo uso del PIN richiede una linea di vista per un controller di dominio. Dopo l'accesso o lo sblocco dell'utente con il controller di dominio, è possibile usare l'accesso memorizzato nella cache per gli sblocchi successivi senza connettività di rete o di vista.
Dopo la registrazione, Microsoft Entra Connect sincronizza la chiave dell'utente da Microsoft Entra ID ad Active Directory.
Diagrammi di sequenza
Per comprendere meglio i flussi di provisioning, esaminare i diagrammi di sequenza seguenti in base al tipo di autenticazione e join del dispositivo:
Eseguire la migrazione dal modello di distribuzione dell'attendibilità chiave al trust Kerberos cloud
Se è stato distribuito Windows Hello for Business usando il modello di attendibilità chiave e si vuole eseguire la migrazione al modello di attendibilità Kerberos cloud, seguire questa procedura:
Per Microsoft Entra dispositivi aggiunti, disconnettersi e accedere al dispositivo usando Windows Hello for Business
Nota
Per Microsoft Entra dispositivi aggiunti ibridi, gli utenti devono eseguire il primo accesso con nuove credenziali pur avendo una linea di vista verso un controller di dominio.
Eseguire la migrazione dal modello di distribuzione dell'attendibilità dei certificati all'attendibilità Kerberos cloud
Importante
Non esiste alcun percorso di migrazione diretta da una distribuzione di attendibilità del certificato a una distribuzione di trust Kerberos cloud. Il contenitore Windows Hello deve essere eliminato prima di poter eseguire la migrazione all'attendibilità Kerberos cloud.
Se è stato distribuito Windows Hello for Business usando il modello di attendibilità del certificato e si vuole usare il modello di attendibilità Kerberos cloud, è necessario ridistribuire Windows Hello for Business seguendo questa procedura:
Disabilitare i criteri di attendibilità del certificato.
Rimuovere le credenziali di attendibilità del certificato usando il comando certutil.exe -deletehellocontainer dal contesto utente.
Disconnettersi e accedere di nuovo.
Effettuare il provisioning Windows Hello for Business usando un metodo di propria scelta.
Nota
Per Microsoft Entra dispositivi aggiunti ibridi, gli utenti devono eseguire il primo accesso con nuove credenziali pur avendo una linea di vista verso un controller di dominio.
Gli scenari seguenti non sono supportati usando Windows Hello for Business trust Kerberos cloud:
Scenari RDP/VDI con credenziali fornite (RDP/VDI può essere usato con Remote Credential Guard o se un certificato è registrato nel contenitore Windows Hello for Business)
Uso dell'attendibilità Kerberos cloud per Runas
Accesso con attendibilità Kerberos cloud in un dispositivo aggiunto ibrido Microsoft Entra senza accedere in precedenza con la connettività del controller di dominio
Illustrare le funzionalità di Microsoft Entra ID per modernizzare le soluzioni di identità, implementare soluzioni ibride e implementare la governance delle identità.
Informazioni sul ruolo di ogni componente all'interno di Windows Hello for Business e su come determinate decisioni di distribuzione influiscono su altri aspetti dell'infrastruttura.