この記事では、Microsoft Entra ハイブリッド参加済みデバイスのデプロイに関してよく寄せられる質問 (FAQ) と、オンプレミス リソースへのパスワードレス サインインについて説明します。 このパスワードレス機能を使用すると、FIDO2 セキュリティ キーを使用し、Microsoft Entra ハイブリッド参加デバイスに対して Windows 10 デバイスで Microsoft Entra 認証を有効にすることができます。 ユーザーは、FIDO2 キーなどの最新の資格情報を使用してデバイス上の Windows にサインインし、オンプレミス リソースへのシームレスなシングル サインオン (SSO) エクスペリエンスを使用して従来の Active Directory Domain Services (AD DS) ベースのリソースにアクセスできます。
ハイブリッド環境のユーザーに対して、次のシナリオがサポートされています。
- FIDO2 セキュリティ キーを使用して Microsoft Entra ハイブリッド参加済みデバイスにサインインし、オンプレミス リソースへの SSO アクセスを取得します。
- FIDO2 セキュリティ キーを使用して Microsoft Entra 参加済みデバイスにサインインし、オンプレミス リソースへの SSO アクセスを取得します。
FIDO2 のセキュリティ キーおよびオンプレミスのリソースへのハイブリッド アクセスの概要については、次の記事を参照してください。
セキュリティ キー
- 自分の組織では、リソースにアクセスするために 2 要素認証が必要です。 この要件をサポートするにはどうすればよいですか。
- 準拠している FIDO2 セキュリティ キーはどこにありますか?
- セキュリティ キーを紛失した場合はどうすればよいですか?
- FIDO2 セキュリティ キーでデータはどのように保護されますか?
- FIDO2 セキュリティ キーの登録のしくみ
- 管理者がユーザーのキーを直接プロビジョニングする方法はありますか?
自分の組織では、リソースにアクセスするために多要素認証が必要です。 この要件をサポートするにはどうすればよいですか。
FIDO2 セキュリティ キーには、さまざまなフォーム ファクターがあります。 デバイスの製造元に問い合わせて、PIN または生体認証を 2 番目の要素としてデバイスを有効にする方法について説明します。 サポートされているプロバイダーの一覧については、「 FIDO2 セキュリティ キー プロバイダー」を参照してください。
準拠している FIDO2 セキュリティ キーはどこにありますか?
サポートされているプロバイダーの一覧については、「 FIDO2 セキュリティ キー プロバイダー」を参照してください。
セキュリティ キーを紛失した場合はどうすればよいですか?
キーを削除するには、[ セキュリティ情報 ] ページに移動し、FIDO2 セキュリティ キーを削除します。
FIDO2 セキュリティ キーでデータはどのように保護されますか?
FIDO2 セキュリティ キーには、それらに格納されている秘密キーを保護するセキュリティで保護されたエンクレーブがあります。 FIDO2 セキュリティ キーには、Windows Hello のように、秘密キーを抽出できないハンマリング防止プロパティも組み込まれています。
FIDO2 セキュリティ キーの登録のしくみ
FIDO2 セキュリティ キーを登録して使用する方法の詳細については、「 パスワードレス セキュリティ キーのサインインを有効にする」を参照してください。
管理者がユーザーのキーを直接プロビジョニングする方法はありますか?
現時点ではできません。
FIDO2 キーを登録するときに、ブラウザーで "NotAllowedError" が表示されるのはなぜですか?
fido2 キー登録ページから "NotAllowedError" を受け取ります。 これは通常、Windows がセキュリティ キーに対して CTAP2 authenticatorMakeCredential 操作を試行しているときにエラーが発生した場合に発生します。 詳細については、Microsoft-Windows-WebAuthN/Operational イベント ログを参照してください。
[前提条件]
- インターネットに接続できない場合、この機能は機能しますか?
- Microsoft Entra ID を開くために必要な特定のエンドポイントは何ですか?
- Windows 10 デバイスのドメイン参加の種類 (Microsoft Entra 参加済みまたは Microsoft Entra ハイブリッド参加済み) を特定するにはどうすればよいですか?
- 修正プログラムを適用する必要がある DC の数に関する推奨事項は何ですか?
- オンプレミスのみのデバイスに FIDO2 資格情報プロバイダーをデプロイできますか?
- FIDO2 セキュリティ キーのサインインが、ドメイン管理者またはその他の高い特権アカウントで機能していません。 なぜでしょうか。
インターネットに接続できない場合、この機能は機能しますか?
インターネット接続は、この機能を有効にするための前提条件です。 ユーザーが初めて FIDO2 セキュリティ キーを使用してサインインするときは、インターネットに接続する必要があります。 後続のサインイン イベントでは、キャッシュされたサインインが機能し、ユーザーがインターネットに接続せずに認証できるようにする必要があります。
一貫性のあるエクスペリエンスを実現するには、デバイスがインターネットにアクセスでき、DCが視界に入ることを確認してください。
Microsoft Entra ID を開くために必要な特定のエンドポイントは何ですか?
登録と認証には、次のエンドポイントが必要です。
*.microsoftonline.com*.microsoftonline-p.com*.msauth.net*.msauthimages.net*.msecnd.net*.msftauth.net*.msftauthimages.net*.phonefactor.netenterpriseregistration.windows.netmanagement.azure.compolicykeyservice.dc.ad.msft.netsecure.aadcdn.microsoftonline-p.com
Microsoft オンライン製品を使用するために必要なエンドポイントの完全な一覧については、 Office 365 の URL と IP アドレス範囲に関するページを参照してください。
Windows 10 デバイスのドメイン参加の種類 (Microsoft Entra 参加済みまたは Microsoft Entra ハイブリッド参加済み) を特定するにはどうすればよいですか?
Windows 10 クライアント デバイスに適切なドメイン参加の種類があるかどうかを確認するには、次のコマンドを使用します。
Dsregcmd /status
次の出力例は、 AzureADJoined が YES に設定されているため、デバイスが Microsoft Entra 参加済みであることを示しています。
+---------------------+
| Device State |
+---------------------+
AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: NO
次の出力例は、デバイスが Microsoft Entra ハイブリッド参加済みであることを示 しています。DomainedJoined も YES に設定されています。 DomainName も表示されます。
+---------------------+
| Device State |
+---------------------+
AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: YES
DomainName: CONTOSO
Windows Server 2016 または 2019 ドメイン コントローラーで、次のパッチが適用されていることを確認します。 必要に応じて、Windows Update を実行してインストールします。
クライアント デバイスから、次のコマンドを実行して、パッチがインストールされている適切なドメイン コントローラーへの接続を確認します。
nltest /dsgetdc:<domain> /keylist /kdc
修正プログラムを適用する必要がある DC の数に関する推奨事項は何ですか?
組織の認証要求の負荷を確実に処理できるように、Windows Server 2016 または 2019 ドメイン コントローラーの大部分にパッチを適用することをお勧めします。
Windows Server 2016 または 2019 ドメイン コントローラーで、次のパッチが適用されていることを確認します。 必要に応じて、Windows Update を実行してインストールします。
オンプレミスのみのデバイスに FIDO2 資格情報プロバイダーをデプロイできますか?
いいえ。この機能は、オンプレミスのみのデバイスではサポートされていません。 FIDO2 資格情報プロバイダーは表示されません。
FIDO2 セキュリティ キーのサインインが、ドメイン管理者またはその他の高い特権アカウントで機能していません。 なぜでしょうか。
既定のセキュリティ ポリシーでは、オンプレミスのリソースに対して高い特権アカウントに署名するためのアクセス許可が Microsoft Entra に付与されません。
Microsoft Entra ID から Active Directory への攻撃ベクトルの可能性があるため、コンピューター オブジェクト CN=AzureADKerberos、OU=Domain Controllers、<domain-DN> のパスワード レプリケーション ポリシーを緩和して、これらのアカウントのブロックを解除することはお勧めしません。
しくみ
- Microsoft Entra Kerberos は、オンプレミスの Active Directory Domain Services 環境にどのようにリンクされていますか?
- AD で作成され、Microsoft Entra ID で公開されている Kerberos サーバー オブジェクトはどこで表示できますか?
- インターネットに依存しないように、オンプレミスの AD DS に公開キーを登録できないのはなぜですか?
- Kerberos サーバー オブジェクトでキーはどのようにローテーションされますか?
- Microsoft Entra Connect が必要な理由 Microsoft Entra ID から AD DS に情報が書き戻されますか?
- PRT+ 部分 TGT を要求すると、HTTP 要求/応答はどのように表示されますか?
Microsoft Entra Kerberos は、オンプレミスの Active Directory Domain Services 環境にどのようにリンクされていますか?
オンプレミスの AD DS 環境と Microsoft Entra テナントの 2 つの部分があります。
Active Directory Domain Services (AD DS)
Microsoft Entra Kerberos サーバーは、オンプレミスの AD DS 環境でドメイン コントローラー (DC) オブジェクトとして表されます。 この DC オブジェクトは、複数のオブジェクトで構成されます。
CN=AzureADKerberos,OU=Domain Controllers,<domain-DN>AD DS の Read-Only ドメイン コントローラー (RODC) を表す Computer オブジェクト。 このオブジェクトに関連付けられているコンピューターはありません。 むしろ、これは DC の論理的な表現です。
CN=krbtgt_AzureAD,CN=Users,<domain-DN>RODC Kerberos チケット許可チケット (TGT) 暗号化キーを表す User オブジェクト。
CN=900274c4-b7d2-43c8-90ee-00a9f650e335,CN=AzureAD,CN=System,<domain-DN>Microsoft Entra Kerberos サーバー オブジェクトに関するメタデータを格納する ServiceConnectionPoint オブジェクト。 管理ツールは、このオブジェクトを使用して、Microsoft Entra Kerberos サーバー オブジェクトを識別して見つけます。
Microsoft Entra ID
Microsoft Entra Kerberos サーバーは、 KerberosDomain オブジェクトとして Microsoft Entra ID で表されます。 各オンプレミス AD DS 環境は、Microsoft Entra テナント内の 1 つの KerberosDomain オブジェクトとして表されます。
たとえば、 contoso.com と fabrikam.comなどの 2 つのドメインを持つ AD DS フォレストがあるとします。 Microsoft Entra ID がフォレスト全体に対して Kerberos チケット許可チケット (TGT) を発行できるようにする場合、Microsoft Entra ID には 2 つの KerberosDomain オブジェクト ( contoso.com 用のオブジェクトと fabrikam.com用のオブジェクト) があります。
複数の AD DS フォレストがある場合は、各フォレスト内のドメインごとに 1 つの KerberosDomain オブジェクトがあります。
AD DS で作成され、Microsoft Entra ID で発行された Kerberos サーバー オブジェクトはどこで表示できますか?
すべてのオブジェクトを表示するには、Microsoft Entra Connect の最新バージョンに含まれている Microsoft Entra Kerberos サーバー PowerShell コマンドレットを使用します。
オブジェクトを表示する方法の手順など、詳細については、 Kerberos Server オブジェクトの作成を参照してください。
インターネットに依存しないように、オンプレミスの AD DS に公開キーを登録できないのはなぜですか?
Windows Hello for Business の展開モデルの複雑さに関するフィードバックを受け取りました。そのため、証明書と PKI を使用せずにデプロイ モデルを簡略化したいと考えていました (FIDO2 では証明書は使用されません)。
Kerberos サーバー オブジェクトでキーはどのようにローテーションされますか?
他の DC と同様に、Microsoft Entra Kerberos サーバー暗号化 krbtgt キーは定期的にローテーションする必要があります。 他のすべての AD DS krbtgt キーをローテーションする場合と同じスケジュールに従うことをお勧めします。
注
krbtgt キーをローテーションするツールは他にもありますが、PowerShell コマンドレットを使用して Microsoft Entra Kerberos サーバーの krbtgt キーをローテーションする必要があります。 このメソッドにより、オンプレミスの AD DS 環境と Microsoft Entra ID の両方でキーが更新されます。
Microsoft Entra Connect が必要な理由 Microsoft Entra ID から AD DS に情報が書き戻されますか?
Microsoft Entra Connect は、Microsoft Entra ID から Active Directory DS に情報を書き戻しません。 このユーティリティには、AD DS で Kerberos サーバー オブジェクトを作成し、Microsoft Entra ID で発行するための PowerShell モジュールが含まれています。
PRT+ 部分 TGT を要求すると、HTTP 要求/応答はどのように表示されますか?
HTTP 要求は、標準のプライマリ更新トークン (PRT) 要求です。 この PRT 要求には、Kerberos チケット許可チケット (TGT) が必要であることを示す要求が含まれています。
| 主張 | 価値 | 説明 |
|---|---|---|
| tgt | ほんとう | クライアントが TGT を必要としていることを請求は示しています。 |
Microsoft Entra ID は、暗号化されたクライアント キーとメッセージ バッファーを追加のプロパティとして PRT 応答に結合します。 ペイロードは、Microsoft Entra Device セッション キーを使用して暗号化されます。
| フィールド | タイプ | 説明 |
|---|---|---|
| tgt_client_key | ひも | Base64 でエンコードされたクライアント キー (シークレット)。 このキーは、TGT を保護するために使用されるクライアント シークレットです。 このパスワードなしのシナリオでは、クライアント シークレットは各 TGT 要求の一部としてサーバーによって生成され、応答でクライアントに返されます。 |
| tgt_key_type | 整数 (int) | KERB_MESSAGE_BUFFERに含まれるクライアント キーと Kerberos セッション キーの両方に使用されるオンプレミスの AD DS キーの種類。 |
| tgt_message_buffer | ひも | Base64 でエンコードされたKERB_MESSAGE_BUFFER。 |
ユーザーはドメイン ユーザー Active Directory グループのメンバーである必要がありますか?
はい。 Microsoft Entra Kerberos を使用してサインインできるようにするには、ユーザーがドメイン ユーザー グループに含まれている必要があります。
次のステップ
FIDO2 のセキュリティ キーおよびオンプレミスのリソースへのハイブリッド アクセスの概要については、次の記事を参照してください。