Aanmelden met een wachtwoordloze beveiligingssleutel inschakelen bij on-premises resources met behulp van Microsoft Entra-id

  • Artikel

In dit onderwerp wordt beschreven hoe u verificatie zonder wachtwoord inschakelt voor on-premises resources voor omgevingen met apparaten met Windows 10 versie 2004 of hoger. Apparaten kunnen lid zijn van Microsoft Entra of hybride Microsoft Entra-gekoppeld. Deze functionaliteit voor verificatie zonder wachtwoord biedt naadloze eenmalige aanmelding (SSO) voor on-premises resources wanneer u microsoft-compatibele beveiligingssleutels of met Windows Hello voor Bedrijven Cloud Trust gebruikt.

Eenmalige aanmelding gebruiken om u aan te melden bij on-premises resources met behulp van FIDO2-sleutels

Microsoft Entra ID kan Kerberos ticket-granting tickets (TGTs) uitgeven voor een of meer van uw Active Directory-domeinen. Met deze functionaliteit kunnen gebruikers zich bij Windows aanmelden met moderne referenties, zoals FIDO2-beveiligingssleutels, en vervolgens toegang krijgen tot traditionele Active Directory-resources. Kerberos-servicetickets en -autorisatie blijven worden beheerd door uw on-premises Active Directory-domeincontrollers (DC's).

Er wordt een Microsoft Entra Kerberos-serverobject gemaakt in uw on-premises Active Directory-exemplaar en vervolgens veilig gepubliceerd naar Microsoft Entra-id. Het object is niet gekoppeld aan fysieke servers. Het is gewoon een resource die kan worden gebruikt door Microsoft Entra ID voor het genereren van Kerberos TGT's voor uw Active Directory-domein.

Diagram waarin wordt getoond hoe u een TGT kunt ophalen uit Microsoft Entra ID en Active Directory-domein Services.

  1. Een gebruiker meldt zich aan bij een Windows 10-apparaat met een FIDO2-beveiligingssleutel en verifieert zich bij Microsoft Entra-id.

  2. Microsoft Entra ID controleert de map op een Kerberos Server-sleutel die overeenkomt met het on-premises Active Directory-domein van de gebruiker.

    Microsoft Entra ID genereert een Kerberos TGT voor het on-premises Active Directory-domein van de gebruiker. De TGT bevat alleen de SID van de gebruiker en geen autorisatiegegevens.

  3. De TGT wordt samen met het Microsoft Entra Primary Refresh Token (PRT) van de gebruiker geretourneerd naar de client.

  4. De clientcomputer neemt contact op met een on-premises Active Directory-domeincontroller en ruilt de gedeeltelijke TGT voor een volledig gevormde TGT.

  5. De clientcomputer heeft nu een Microsoft Entra PRT en een volledige Active Directory TGT en heeft toegang tot zowel cloud- als on-premises resources.

Vereisten

Voordat u met de procedures in dit artikel begint, moet uw organisatie de instructies in Wachtwoordsleutels inschakelen (FIDO2) voor uw organisatie voltooien.

U moet ook voldoen aan de volgende systeemvereisten:

  • Op apparaten moet Windows 10 versie 2004 of hoger worden uitgevoerd.

  • Uw Windows Server-domeincontrollers moeten Windows Server 2016 of hoger uitvoeren en patches hebben geïnstalleerd voor de volgende servers:

  • Netwerkbeveiliging: de versleutelingstypen configureren die voor Kerberos zijn toegestaanAES256_HMAC_SHA1 moet zijn ingeschakeld wanneer het beleid netwerkbeveiliging: versleutelingstypen configureren die zijn toegestaan voor Kerberos-beleid is geconfigureerd op domeincontrollers.

  • Zorg ervoor dat de u de benodigde referenties hebt om de stappen in het scenario uit te voeren:

    • Een Active Directory-gebruiker die lid is van de groep Domeinadministrators voor een domein en lid van de groep Ondernemingsadministrators voor een forest. Aangeduid als $domainCred.
    • Een Microsoft Entra-gebruiker die lid is van de rol Global Beheer istrators. Aangeduid als $cloudCred.

  • Gebruikers moeten beschikken over de volgende Microsoft Entra ID-kenmerken die zijn ingevuld via Microsoft Entra Verbinding maken:

    • onPremisesSamAccountName (accountName in Entra Verbinding maken)
    • onPremisesDomainName (domainFQDN in Entra Verbinding maken)
    • onPremisesSecurityIdentifier (objectSID in Entra Verbinding maken)

    Met Entra Verbinding maken worden deze kenmerken standaard gesynchroniseerd. Als u wijzigt welke kenmerken moeten worden gesynchroniseerd, moet u accountName, domainFQDN en objectSID selecteren voor synchronisatie.

Ondersteunde scenario's

Het scenario in dit artikel ondersteunt eenmalige aanmelding in beide volgende gevallen:

  • Cloudresources zoals Microsoft 365 en andere toepassingen met SAML (Security Assertion Markup Language).
  • On-premises resources en geïntegreerde Windows-verificatie voor websites. De resources kunnen websites en SharePoint-sites bevatten waarvoor IIS-verificatie en/of resources die gebruikmaken van NTLM-verificatie nodig zijn.

Niet-ondersteunde scenario's

De volgende scenario's worden niet ondersteund:

  • Een aan Windows Server Active Directory Domain Services (AD DS) gekoppelde (alleen on-premises apparaten) implementatie.
  • Scenario's met Remote Desktop Protocol (RDP), Virtuele bureaublad infrastructuur (VDI) en Citrix met behulp van een beveiligingssleutel.
  • S/MIME met behulp van een beveiligingssleutel.
  • Uitvoeren als met behulp van een beveiligingssleutel.
  • Meld u aan bij een server met behulp van een beveiligingssleutel.

AzureADHybridAuthenticationManagement De module installeren

De AzureADHybridAuthenticationManagement module biedt FIDO2-beheerfuncties voor beheerders.

  1. Open een PowerShell-prompt met de optie Uitvoeren als administrator.

  2. Installeer de AzureADHybridAuthenticationManagement module:

    # First, ensure TLS 1.2 for PowerShell gallery access.
[Net.ServicePointManager]::SecurityProtocol = [Net.ServicePointManager]::SecurityProtocol -bor [Net.SecurityProtocolType]::Tls12

# Install the AzureADHybridAuthenticationManagement PowerShell module.
Install-Module -Name AzureADHybridAuthenticationManagement -AllowClobber

Notitie

  • De AzureADHybridAuthenticationManagement module maakt gebruik van de AzureADPreview PowerShell-module om geavanceerde Microsoft Entra-beheerfuncties te bieden. Als de Azure Active Directory PowerShell-module al op uw lokale computer is geïnstalleerd, kan de installatie die hier wordt beschreven, mislukken vanwege een conflict. Als u conflicten tijdens de installatie wilt voorkomen, moet u de optie '-AllowClobber' opnemen.
  • U kunt de AzureADHybridAuthenticationManagement module installeren op elke computer waarop u toegang hebt tot uw on-premises Active Directory-domein Controller, zonder afhankelijk te zijn van de Microsoft Entra Verbinding maken-oplossing.
  • De AzureADHybridAuthenticationManagement module wordt gedistribueerd via de PowerShell Gallery. De PowerShell Gallery is de centrale opslagplaats voor PowerShell-inhoud. In deze module vindt u nuttige PowerShell-modules die PowerShell-opdrachten en DSC-resources (Desired State Configuration) bevatten.

Een Kerberos Server-object maken

Beheer istrators gebruiken de AzureADHybridAuthenticationManagement module om een Microsoft Entra Kerberos-serverobject te maken in hun on-premises map.

Voer de volgende stappen uit in elk domein en forest in uw organisatie die Microsoft Entra-gebruikers bevatten:

  1. Open een PowerShell-prompt met de optie Uitvoeren als administrator.
  2. Voer de volgende PowerShell-opdrachten uit om een nieuw Microsoft Entra Kerberos-serverobject te maken in uw on-premises Active Directory-domein en in uw Microsoft Entra-tenant.

Selecteer Azure Cloud (standaard is Commercieel in Azure)

De cmdlet gebruikt standaard Set-AzureADKerberosSever de commerciële cloudeindpunten. Als u Kerberos configureert in een andere cloudomgeving, moet u de cmdlet instellen voor het gebruik van de opgegeven cloud.

Voer het volgende uit om een lijst op te halen met de beschikbare clouds en de numerieke waarde die u wilt wijzigen:
Get-AzureADKerberosServerEndpoint

Voorbeelduitvoer:

Current Endpoint = 0(Public)
Supported Endpoints:
   0 :Public
   1 :China
   2 :Us Government

Noteer de numerieke waarde naast uw gewenste cloudomgeving.

Voer het volgende uit om vervolgens de gewenste cloudomgeving in te stellen :
(Bijvoorbeeld: voor de Cloud van de Amerikaanse overheid)
Set-AzureADKerberosServerEndpoint -TargetEndpoint 2

Voorbeeld 1: vragen om alle referenties

# Specify the on-premises Active Directory domain. A new Azure AD
# Kerberos Server object will be created in this Active Directory domain.
$domain = $env:USERDNSDOMAIN

# Enter an Azure Active Directory global administrator username and password.
$cloudCred = Get-Credential -Message 'An Active Directory user who is a member of the Global Administrators group for Azure AD.'

# Enter a domain administrator username and password.
$domainCred = Get-Credential -Message 'An Active Directory user who is a member of the Domain Admins group.'

# Create the new Azure AD Kerberos Server object in Active Directory
# and then publish it to Azure Active Directory.
Set-AzureADKerberosServer -Domain $domain -CloudCredential $cloudCred -DomainCredential $domainCred

Voorbeeld 2: vragen om cloudreferenties

Notitie

Als u werkt op een computer die lid is van een domein met een account met domeinbeheerdersbevoegdheden, kunt u de parameter '-DomainCredential' overslaan. Als de parameter '-DomainCredential' niet is opgegeven, wordt de huidige Windows-aanmeldingsreferentie gebruikt voor toegang tot uw on-premises Active Directory-domeincontroller.

# Specify the on-premises Active Directory domain. A new Azure AD
# Kerberos Server object will be created in this Active Directory domain.
$domain = $env:USERDNSDOMAIN

# Enter an Azure Active Directory global administrator username and password.
$cloudCred = Get-Credential

# Create the new Azure AD Kerberos Server object in Active Directory
# and then publish it to Azure Active Directory.
# Use the current windows login credential to access the on-premises AD.
Set-AzureADKerberosServer -Domain $domain -CloudCredential $cloudCred

Voorbeeld 3: vragen om alle referenties met moderne verificatie

Notitie

Als uw organisatie aanmelding beveiligt op basis van wachtwoorden en moderne verificatiemethoden afdwingt, zoals meervoudige verificatie, FIDO2 of smartcardtechnologie, moet u de parameter -UserPrincipalName gebruiken met de UPN (User Principal Name) van een globale beheerder.

  • Vervang contoso.corp.com in het volgende voorbeeld door uw on-premises Active Directory-domeinnaam.
  • Vervang administrator@contoso.onmicrosoft.com in het volgende voorbeeld door de UPN van een globale beheerder.
# Specify the on-premises Active Directory domain. A new Azure AD
# Kerberos Server object will be created in this Active Directory domain.
$domain = $env:USERDNSDOMAIN

# Enter a UPN of an Azure Active Directory global administrator
$userPrincipalName = "administrator@contoso.onmicrosoft.com"

# Enter a domain administrator username and password.
$domainCred = Get-Credential

# Create the new Azure AD Kerberos Server object in Active Directory
# and then publish it to Azure Active Directory.
# Open an interactive sign-in prompt with given username to access the Azure AD.
Set-AzureADKerberosServer -Domain $domain -UserPrincipalName $userPrincipalName -DomainCredential $domainCred

Voorbeeld 4: vragen om cloudreferenties met moderne verificatie

Notitie

Als u werkt op een computer die lid is van een domein met een account met domeinbeheerdersbevoegdheden en uw organisatie aanmelding beveiligt op basis van wachtwoorden en moderne verificatiemethoden afdwingt, zoals meervoudige verificatie, FIDO2 of smartcardtechnologie, moet u de parameter -UserPrincipalName gebruiken met de UPN (User Principal Name) van een globale beheerder. En u kunt de parameter '-DomainCredential' overslaan. > - Vervang administrator@contoso.onmicrosoft.com in het volgende voorbeeld door de UPN van een globale beheerder.

# Specify the on-premises Active Directory domain. A new Azure AD
# Kerberos Server object will be created in this Active Directory domain.
$domain = $env:USERDNSDOMAIN

# Enter a UPN of an Azure Active Directory global administrator
$userPrincipalName = "administrator@contoso.onmicrosoft.com"

# Create the new Azure AD Kerberos Server object in Active Directory
# and then publish it to Azure Active Directory.
# Open an interactive sign-in prompt with given username to access the Azure AD.
Set-AzureADKerberosServer -Domain $domain -UserPrincipalName $userPrincipalName

De Microsoft Entra Kerberos-server weergeven en controleren

U kunt de zojuist gemaakte Microsoft Entra Kerberos-server weergeven en controleren met behulp van de volgende opdracht:

 # When prompted to provide domain credentials use the userprincipalname format for the username instead of domain\username
Get-AzureADKerberosServer -Domain $domain -UserPrincipalName $userPrincipalName -DomainCredential (get-credential)

Met deze opdracht worden de eigenschappen van de Microsoft Entra Kerberos-server uitgevoerd. U kunt de eigenschappen controleren om te verifiëren of alles in goede orde is.

Notitie

Als u een ander domein uitvoert door de referentie in domein\gebruikersnaam-indeling op te leveren, wordt verbinding gemaakt via NTLM en mislukt het. Als u echter de userprincipalname-indeling voor de domeinbeheerder gebruikt, zorgt u ervoor dat RPC-binding met de domeincontroller correct wordt geprobeerd met Behulp van Kerberos. Als de gebruikers zich in de beveiligingsgroep Beveiligde gebruikers in Active Directory bevinden, voert u deze stappen uit om het probleem op te lossen: meld u aan als een andere domeingebruiker in ADConnect en geef geen '-domainCredential' op. Het Kerberos-ticket van de gebruiker die momenteel is aangemeld, wordt gebruikt. U kunt dit bevestigen door whoami /groups uit te voeren om te controleren of de gebruiker over de vereiste machtigingen in Active Directory beschikt om de voorgaande opdracht uit te voeren.

Eigenschappen Description
Id De unieke id van het AD DS DC-object. Deze id wordt soms ook wel de site- of vertakkings-id genoemd.
DomainDnsName De DNS-domeinnaam van het Active Directory-domein.
ComputerAccount Het computeraccountobject van het Microsoft Entra Kerberos-serverobject (de DC).
UserAccount Het uitgeschakelde gebruikersaccountobject dat de TGT-versleutelingssleutel van de Microsoft Entra Kerberos-server bevat. De domeinnaam van dit account is CN=krbtgt_AzureAD,CN=Users,<Domain-DN>.
KeyVersion De sleutelversie van de TGT-versleutelingssleutel van de Microsoft Entra Kerberos-server. De versie wordt toegewezen wanneer de sleutel wordt gemaakt. De versie wordt vervolgens verhoogd telkens wanneer de sleutel wordt gerouleerd. De verhogingen zijn gebaseerd op replicatiemetagegevens en waarschijnlijk groter dan één. De initiële KeyVersion kan bijvoorbeeld 192272 zijn. De eerste keer dat de sleutel wordt gerouleerd, kan de versie naar 212621 gaan. Het belangrijkste om te controleren is dat de KeyVersion voor het on-premises object en de CloudKeyVersion voor het cloudobject hetzelfde zijn.
KeyUpdatedOn De datum en tijd waarop de TGT-versleutelingssleutel van de Microsoft Entra Kerberos-server is bijgewerkt of gemaakt.
KeyUpdatedFrom De domeincontroller waarop de TGT-versleutelingssleutel van de Microsoft Entra Kerberos-server voor het laatst is bijgewerkt.
CloudId De id van het Microsoft Entra-object. Moet overeenkomen met de id van de eerste regel van de tabel.
CloudDomainDnsName De DomainDnsName van het Microsoft Entra-object. Moet overeenkomen met de DomainDnsName van de tweede regel van de tabel.
CloudKeyVersion De KeyVersion van het Microsoft Entra-object. Moet overeenkomen met de KeyVersion van de vijfde regel van de tabel.
CloudKeyUpdatedOn De KeyUpdatedOn van het Microsoft Entra-object. Moet overeenkomen met de KeyUpdatedOn van de zesde regel van de tabel.

De Microsoft Entra Kerberos-serversleutel draaien

De Krbtgt-sleutels voor Microsoft Entra Kerberos-serverversleuteling moeten regelmatig worden geroteerd. We raden u aan hetzelfde schema te volgen dat u gebruikt om alle andere krbtgt-sleutels van Active Directory DC te rouleren.

Waarschuwing

Er zijn andere hulpprogramma's waarmee de krbtgt-sleutels kunnen worden gerouleerd. U moet echter de hulpprogramma's in dit document gebruiken om de krbtgt-sleutels van uw Microsoft Entra Kerberos-server te roteren. Dit zorgt ervoor dat de sleutels worden bijgewerkt in zowel on-premises Active Directory als Microsoft Entra-id.

Set-AzureADKerberosServer -Domain $domain -CloudCredential $cloudCred -DomainCredential $domainCred -RotateServerKey

De Microsoft Entra Kerberos-server verwijderen

Als u het scenario wilt herstellen en de Microsoft Entra Kerberos-server wilt verwijderen uit zowel de on-premises Active Directory als de Microsoft Entra-id, voert u de volgende opdracht uit:

Remove-AzureADKerberosServer -Domain $domain -CloudCredential $cloudCred -DomainCredential $domainCred

Scenario's met meerdere forests en meerdere domeinen

Het Microsoft Entra Kerberos-serverobject wordt weergegeven in Microsoft Entra ID als een KerberosDomain-object . Elk on-premises Active Directory-domein wordt weergegeven als één KerberosDomain-object in Microsoft Entra-id.

Stel bijvoorbeeld dat uw organisatie een Active Directory-forest met twee domeinen heeft, contoso.com en fabrikam.com. Als u ervoor kiest om Microsoft Entra ID toe te staan Kerberos TGT's uit te geven voor het hele forest, zijn er twee KerberosDomain-objecten in Microsoft Entra ID, één KerberosDomain-object voor contoso.com en de andere voorfabrikam.com. Als u meerdere Active Directory-forests hebt, is er één KerberosDomain-object voor elk domein in elk forest.

Volg de instructies in Een Kerberos Server-object maken in elk domein en forest in uw organisatie met Microsoft Entra-gebruikers.

Bekend probleem

Als uw wachtwoord is verlopen, wordt aanmelden met FIDO geblokkeerd. Van gebruikers wordt verwacht dat ze hun wachtwoord opnieuw instellen voordat ze zich kunnen aanmelden met FIDO. Dit gedrag is ook van toepassing op hybride on-premises gesynchroniseerde gebruikersaanmelding met Windows Hello voor Bedrijven vertrouwensrelatie van cloud kerberos.

Problemen met en feedback oplossen

Als u problemen ondervindt of feedback wilt delen over deze functie voor aanmelding zonder wachtwoord met een beveiligingssleutel, kunt u dit melden via de Windows Feedback-hub-app door het volgende te doen:

  1. Open de Feedback-hub en zorg ervoor dat u bent aangemeld.
  2. Dien feedback in door de volgende categorieën te selecteren:
    • Categorie: Beveiliging en privacy
    • Subcategorie: FIDO
  3. Als u logboeken wilt vastleggen, gebruikt u de optie Mijn probleem opnieuw maken.

Veelgestelde vragen over aanmelding zonder wachtwoord met een beveiligingssleutel

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

Hier volgen enkele antwoorden op veelgestelde vragen over aanmelding zonder wachtwoord:

Werkt aanmelding zonder wachtwoord met een beveiligingssleutel in mijn on-premises omgeving?

De functie werkt niet in een pure on-premises AD DS-omgeving.

Mijn organisatie vereist tweeledige verificatie voor toegang tot resources. Wat kan ik doen om dit vereiste te ondersteunen?

Beveiligingssleutels zijn beschikbaar in een verscheidenheid van vormfactoren. Neem contact op met de geregistreerde fabrikant van het apparaat om te bespreken hoe hun apparaten kunnen worden ingeschakeld met een pincode of biometrie als tweede factor.

Kunnen beheerders beveiligingssleutels instellen?

We werken aan deze mogelijkheid voor de algemene beschikbaarheidsrelease van deze functie.

Waar kan ik compatibele beveiligingssleutels vinden?

Zie FIDO2-beveiligingssleutels voor informatie over compatibele beveiligingssleutels.

Wat kan ik doen als ik mijn beveiligingssleutel ben kwijtgeraakt?

Als u een geregistreerde beveiligingssleutel wilt verwijderen, meldt u zich aan bij de myaccount.microsoft.com en gaat u naar de pagina Beveiligingsgegevens .

Wat kan ik doen als ik de FIDO-beveiligingssleutel niet direct kan gebruiken nadat ik een hybride machine van Microsoft Entra heb gemaakt?

Als u een hybride machine van Microsoft Entra installeert nadat het domein is toegevoegd en opnieuw is opgestart, moet u zich aanmelden met een wachtwoord en wachten tot het beleid is gesynchroniseerd voordat u de FIDO-beveiligingssleutel kunt gebruiken om u aan te melden.

  • Controleer uw huidige status door dsregcmd /status uit te voeren in een opdrachtpromptvenster en controleer of zowel de status AzureAdJoined als de status DomainJoined wordt weergegeven als JA.
  • Deze vertraging bij het synchroniseren is een bekende beperking van apparaten die lid zijn van een domein en is niet specifiek voor FIDO.

Wat gebeurt er als ik geen eenmalige aanmelding kan krijgen bij mijn NTLM-netwerkresource nadat ik me heb aangemeld met FIDO en een referentieprompt krijg?

Zorg ervoor dat er voldoende DC's zijn gepatcht om tijdig te reageren op uw resourceaanvraag. Als u wilt zien of een DC de functie uitvoert, voert u nltest /dsgetdc:contoso /keylist /kdc uit en controleert u de uitvoer.

Notitie

De schakeloptie /keylist in de opdracht nltest is beschikbaar in Client Windows 10 v2004 en hoger.

Werken FIDO2-beveiligingssleutels in een Windows-aanmelding met RODC die aanwezig zijn in de hybride omgeving?

Een FIDO2 Windows-aanmelding zoekt naar een beschrijfbare domeincontroller om de gebruiker-TGT uit te wisselen. Zolang u ten minste één beschrijfbare DC per site hebt, werkt de aanmelding prima.

Volgende stappen

Meer informatie over verificatie zonder wachtwoord