Veelgestelde vragen over implementatie voor hybride FIDO2-beveiligingssleutels in Microsoft Entra-id
In dit artikel vindt u informatie over de implementatie van veelgestelde vragen (veelgestelde vragen) over hybride apparaten die zijn toegevoegd aan Microsoft Entra en aanmelden bij on-premises resources zonder wachtwoord. Met deze functie zonder wachtwoord kunt u Microsoft Entra-verificatie inschakelen op Windows 10-apparaten voor hybride apparaten van Microsoft Entra met behulp van FIDO2-beveiligingssleutels. Gebruikers kunnen zich aanmelden bij Windows op hun apparaten met moderne referenties, zoals FIDO2-sleutels en toegang krijgen tot traditionele bronnen van Active Directory-domein Services (AD DS) met een naadloze SSO-ervaring (eenmalige aanmelding) voor hun on-premises resources.
De volgende scenario's voor gebruikers in een hybride omgeving worden ondersteund:
- Meld u aan bij hybride apparaten van Microsoft Entra met behulp van FIDO2-beveiligingssleutels en krijg SSO-toegang tot on-premises resources.
- Meld u aan bij apparaten die zijn toegevoegd aan Microsoft Entra met behulp van FIDO2-beveiligingssleutels en krijg SSO-toegang tot on-premises resources.
Raadpleeg de volgende artikelen om aan de slag te gaan met FIDO2-beveiligingssleutels en hybride toegang tot on-premises resources:
- Fido2-beveiligingssleutels zonder wachtwoord
- Wachtwoordloze Windows 10
- On-premises zonder wachtwoord
Beveiligingssleutels
- Mijn organisatie vereist tweeledige verificatie voor toegang tot resources. Wat kan ik doen om dit vereiste te ondersteunen?
- Waar vind ik compatibele FIDO2-beveiligingssleutels?
- Wat moet ik doen als ik mijn beveiligingssleutel kwijtraakt?
- Hoe worden de gegevens beveiligd op de FIDO2-beveiligingssleutel?
- Hoe werkt het registreren van FIDO2-beveiligingssleutels?
- Is er een manier voor beheerders om de sleutels rechtstreeks voor de gebruikers in te richten?
Voor mijn organisatie is meervoudige verificatie vereist voor toegang tot resources. Wat kan ik doen om dit vereiste te ondersteunen?
FIDO2-beveiligingssleutels worden geleverd in verschillende vormfactoren. Neem contact op met de fabrikant van het apparaat om te bespreken hoe hun apparaten kunnen worden ingeschakeld met een pincode of biometrie als tweede factor. Zie FIDO2-beveiligingssleutelproviders voor een lijst met ondersteunde providers.
Waar vind ik compatibele FIDO2-beveiligingssleutels?
Zie FIDO2-beveiligingssleutelproviders voor een lijst met ondersteunde providers.
Wat gebeurt er als ik mijn beveiligingssleutel kwijtraakt?
U kunt sleutels verwijderen door naar de pagina Beveiligingsgegevens te gaan en de FIDO2-beveiligingssleutel te verwijderen.
Hoe worden de gegevens beveiligd op de FIDO2-beveiligingssleutel?
FIDO2-beveiligingssleutels hebben beveiligde enclaves die de persoonlijke sleutels beveiligen die erop zijn opgeslagen. Een FIDO2-beveiligingssleutel heeft ook ingebouwde anti-hamereigenschappen, zoals in Windows Hello, waar u de persoonlijke sleutel niet kunt extraheren.
Hoe werkt het registreren van FIDO2-beveiligingssleutels?
Zie Aanmelden met beveiligingssleutels zonder wachtwoord inschakelen voor meer informatie over het registreren en gebruiken van FIDO2-beveiligingssleutels.
Is er een manier voor beheerders om de sleutels rechtstreeks voor de gebruikers in te richten?
Nee, nu niet.
Waarom krijg ik 'NotAllowedError' in de browser, bij het registreren van FIDO2-sleutels?
U ontvangt 'NotAllowedError' op de pagina voor fido2-sleutelregistratie. Dit gebeurt meestal wanneer er een fout optreedt tijdens een CTAP2 authenticatorMakeCredential-bewerking tegen de beveiligingssleutel. U ziet meer informatie in het gebeurtenislogboek Microsoft-Windows-WebAuthN/Operational.
Vereisten
- Werkt deze functie als er geen internetverbinding is?
- Wat zijn de specifieke eindpunten die open moeten staan voor Microsoft Entra ID?
- Hoe kan ik het domeindeelnametype (toegevoegd aan Microsoft Entra of hybride microsoft Entra)) identificeren voor mijn Windows 10-apparaat?
- Wat is de aanbeveling voor het aantal DC's dat moet worden gepatcht?
- Kan ik de FIDO2-referentieprovider implementeren op een on-premises apparaat?
- Aanmelden met FIDO2-beveiligingssleutel werkt niet voor mijn domein Beheer of andere accounts met hoge bevoegdheden. Waarom?
Werkt deze functie als er geen internetverbinding is?
Internetverbinding is een vereiste om deze functie in te schakelen. De eerste keer dat een gebruiker zich aanmeldt met FIDO2-beveiligingssleutels, moet deze een internetverbinding hebben. Voor volgende aanmeldingsgebeurtenissen moet aanmelding in de cache werken en kan de gebruiker zich verifiëren zonder internetverbinding.
Voor een consistente ervaring moet u ervoor zorgen dat apparaten toegang hebben tot internet en zicht op DC's.
Wat zijn de specifieke eindpunten die open moeten staan voor Microsoft Entra ID?
De volgende eindpunten zijn nodig voor registratie en verificatie:
*.microsoftonline.com*.microsoftonline-p.com*.msauth.net*.msauthimages.net*.msecnd.net*.msftauth.net*.msftauthimages.net*.phonefactor.netenterpriseregistration.windows.netmanagement.azure.compolicykeyservice.dc.ad.msft.netsecure.aadcdn.microsoftonline-p.com
Zie Office 365-URL's en IP-adresbereiken voor een volledige lijst met eindpunten die nodig zijn voor het gebruik van Microsoft Online-producten.
Hoe kan ik het domeindeelnametype (toegevoegd aan Microsoft Entra of hybride microsoft Entra)) identificeren voor mijn Windows 10-apparaat?
Gebruik de volgende opdracht om te controleren of het Windows 10-clientapparaat het juiste domeindeelnametype heeft:
Dsregcmd /status
In de volgende voorbeelduitvoer ziet u dat het apparaat is toegevoegd aan Microsoft Entra als AzureADJoined is ingesteld op JA:
+---------------------+
| Device State |
+---------------------+
AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: NO
In de volgende voorbeelduitvoer ziet u dat het apparaat is toegevoegd aan Microsoft Entra hybrid, omdat DomainedJoined ook is ingesteld op JA. De Domeinnaam wordt ook weergegeven:
+---------------------+
| Device State |
+---------------------+
AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: YES
DomainName: CONTOSO
Controleer op een domeincontroller van Windows Server 2016 of 2019 of de volgende patches zijn toegepast. Voer Indien nodig Windows Update uit om ze te installeren:
Voer vanaf een clientapparaat de volgende opdracht uit om de verbinding met een geschikte domeincontroller te controleren waarop de patches zijn geïnstalleerd:
nltest /dsgetdc:<domain> /keylist /kdc
Wat is de aanbeveling voor het aantal DC's dat moet worden gepatcht?
Het is raadzaam om een groot deel van uw Windows Server 2016- of 2019-domeincontrollers met de patch te patchen om ervoor te zorgen dat ze de belasting van de verificatieaanvraag van uw organisatie kunnen verwerken.
Controleer op een domeincontroller van Windows Server 2016 of 2019 of de volgende patches zijn toegepast. Voer Indien nodig Windows Update uit om ze te installeren:
Kan ik de FIDO2-referentieprovider implementeren op een on-premises apparaat?
Nee, deze functie wordt niet ondersteund voor alleen on-premises apparaten. De FIDO2-referentieprovider zou niet worden weergegeven.
Aanmelden met FIDO2-beveiligingssleutel werkt niet voor mijn domein Beheer of andere accounts met hoge bevoegdheden. Waarom?
Het standaardbeveiligingsbeleid verleent Microsoft Entra geen toestemming om accounts met hoge bevoegdheden aan te melden bij on-premises resources.
Als u de blokkering van de accounts wilt opheffen, gebruikt u Active Directory om de eigenschap msDS-NeverRevealGroup van het Microsoft Entra Kerberos-computerobject (CN=AzureADKerberos,OU=domeincontrollers,< domein-DN>) te wijzigen.
Onder de motorkap
- Hoe is Microsoft Entra Kerberos gekoppeld aan mijn on-premises Active Directory-domein Services-omgeving?
- Waar kan ik deze Kerberos-serverobjecten bekijken die zijn gemaakt in AD en gepubliceerd in Microsoft Entra ID?
- Waarom kunnen we de openbare sleutel niet registreren bij on-premises AD DS, zodat er geen afhankelijkheid van internet is?
- Hoe worden de sleutels gedraaid op het Kerberos-serverobject?
- Waarom hebben we Microsoft Entra Verbinding maken nodig? Schrijft het informatie terug naar AD DS vanuit Microsoft Entra ID?
- Hoe ziet de HTTP-aanvraag/-reactie eruit wanneer u PRT+ gedeeltelijke TGT aanvraagt?
Hoe is Microsoft Entra Kerberos gekoppeld aan mijn on-premises Active Directory-domein Services-omgeving?
Er zijn twee onderdelen: de on-premises AD DS-omgeving en de Microsoft Entra-tenant.
Active Directory-domein Services (AD DS)
De Microsoft Entra Kerberos-server wordt weergegeven in een on-premises AD DS-omgeving als een DC-object (domeincontroller). Dit DC-object bestaat uit meerdere objecten:
CN=AzureADKerberos,OU=Domain Controllers,<domain-DN>Een computerobject dat een alleen-lezen domeincontroller (RODC) in AD DS vertegenwoordigt. Er is geen computer gekoppeld aan dit object. In plaats daarvan is het een logische weergave van een DC.
CN=krbtgt_AzureAD,CN=Users,<domain-DN>Een gebruikersobject dat een RODC Kerberos Ticket Granting Ticket-versleutelingssleutel (TGT) vertegenwoordigt.
CN=900274c4-b7d2-43c8-90ee-00a9f650e335,CN=AzureAD,CN=System,<domain-DN>Een Service Verbinding maken ionPoint-object waarin metagegevens over de Microsoft Entra Kerberos-serverobjecten worden opgeslagen. De beheerhulpprogramma's gebruiken dit object om de Microsoft Entra Kerberos-serverobjecten te identificeren en te vinden.
Microsoft Entra ID
De Microsoft Entra Kerberos-server wordt weergegeven in Microsoft Entra ID als een KerberosDomain-object . Elke on-premises AD DS-omgeving wordt weergegeven als één KerberosDomain-object in de Microsoft Entra-tenant.
U hebt bijvoorbeeld een AD DS-forest met twee domeinen zoals contoso.com en fabrikam.com. Als u Microsoft Entra ID toestaat Kerberos Ticket Granting Tickets (TGT's) uit te geven voor het hele forest, zijn er twee KerberosDomain objecten in Microsoft Entra ID: één object voor contoso.com en één voor fabrikam.com.
Als u meerdere AD DS-forests hebt, hebt u één KerberosDomain object voor elk domein in elk forest.
Waar kan ik deze Kerberos-serverobjecten bekijken die zijn gemaakt in AD DS en gepubliceerd in Microsoft Entra ID?
Als u alle objecten wilt weergeven, gebruikt u de PowerShell-cmdlets van de Microsoft Entra Kerberos-server die zijn opgenomen in de nieuwste versie van Microsoft Entra Verbinding maken.
Zie Een Kerberos Server-object maken voor meer informatie, inclusief instructies voor het weergeven van de objecten.
Waarom kunnen we de openbare sleutel niet registreren bij on-premises AD DS, zodat er geen afhankelijkheid van internet is?
We hebben feedback ontvangen over de complexiteit van het implementatiemodel voor Windows Hello voor Bedrijven, dus wilde het implementatiemodel vereenvoudigen zonder certificaten en PKI (FIDO2 gebruikt geen certificaten).
Hoe worden de sleutels gedraaid op het Kerberos-serverobject?
Net als elke andere domeincontroller moeten de Krbtgt-sleutels van de Microsoft Entra Kerberos-serverversleuteling regelmatig worden geroteerd. Het is raadzaam om hetzelfde schema te volgen als u gebruikt om alle andere AD DS krbtgt-sleutels te roteren.
Notitie
Hoewel er andere hulpprogramma's zijn om de krbtgt-sleutels te roteren, moet u de PowerShell-cmdlets gebruiken om de krbtgt-sleutels van uw Microsoft Entra Kerberos-server te roteren. Deze methode zorgt ervoor dat de sleutels worden bijgewerkt in zowel de on-premises AD DS-omgeving als in de Microsoft Entra-id.
Waarom hebben we Microsoft Entra Verbinding maken nodig? Schrijft het informatie terug naar AD DS vanuit Microsoft Entra ID?
Microsoft Entra Verbinding maken schrijft geen gegevens terug van Microsoft Entra-id naar Active Directory DS. Het hulpprogramma bevat de PowerShell-module voor het maken van het Kerberos Server-object in AD DS en het publiceren ervan in Microsoft Entra-id.
Hoe ziet de HTTP-aanvraag/-reactie eruit wanneer u PRT+ gedeeltelijke TGT aanvraagt?
De HTTP-aanvraag is een standaard PRT-aanvraag (Primary Refresh Token). Deze PRT-aanvraag bevat een claim die aangeeft dat er een Kerberos Ticket Granting Ticket (TGT) nodig is.
| Claim | Weergegeven als | Beschrijving |
|---|---|---|
| Tgt | true | Claim geeft aan dat de client een TGT nodig heeft. |
Microsoft Entra ID combineert de versleutelde clientsleutel en berichtbuffer als aanvullende eigenschappen in het PRT-antwoord. De nettolading wordt versleuteld met behulp van de sessiesleutel microsoft Entra-apparaat.
| Veld | Type | Description |
|---|---|---|
| tgt_client_key | tekenreeks | Met Base64 gecodeerde clientsleutel (geheim). Deze sleutel is het clientgeheim dat wordt gebruikt om de TGT te beveiligen. In dit scenario zonder wachtwoord wordt het clientgeheim gegenereerd door de server als onderdeel van elke TGT-aanvraag en vervolgens geretourneerd naar de client in het antwoord. |
| tgt_key_type | int | Het on-premises AD DS-sleuteltype dat wordt gebruikt voor zowel de clientsleutel als de Kerberos-sessiesleutel die is opgenomen in de KERB_MESSAGE_BUFFER. |
| tgt_message_buffer | tekenreeks | Met Base64 gecodeerde KERB_MESSAGE_BUFFER. |
Moeten gebruikers lid zijn van de Active Directory-groep Domeingebruikers?
Ja. Een gebruiker moet zich in de groep Domeingebruikers bevinden om zich aan te melden met Behulp van Microsoft Entra Kerberos.
Volgende stappen
Raadpleeg de volgende artikelen om aan de slag te gaan met FIDO2-beveiligingssleutels en hybride toegang tot on-premises resources:
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor