Często zadawane pytania dotyczące wdrażania dla hybrydowych kluczy zabezpieczeń FIDO2 w usłudze Microsoft Entra ID
W tym artykule opisano często zadawane pytania dotyczące wdrażania urządzeń dołączonych hybrydowo do firmy Microsoft i logowania bez hasła do zasobów lokalnych. Dzięki tej funkcji bez hasła można włączyć uwierzytelnianie firmy Microsoft Entra na urządzeniach z systemem Windows 10 dla urządzeń dołączonych hybrydowych firmy Microsoft Entra przy użyciu kluczy zabezpieczeń FIDO2. Użytkownicy mogą logować się do systemu Windows na swoich urządzeniach przy użyciu nowoczesnych poświadczeń, takich jak klucze FIDO2 i uzyskiwać dostęp do tradycyjnych zasobów opartych na usługach domena usługi Active Directory (AD DS) przy użyciu bezproblemowego środowiska logowania jednokrotnego do zasobów lokalnych.
Obsługiwane są następujące scenariusze dla użytkowników w środowisku hybrydowym:
- Zaloguj się do urządzeń dołączonych hybrydowo do firmy Microsoft przy użyciu kluczy zabezpieczeń FIDO2 i uzyskaj dostęp do logowania jednokrotnego do zasobów lokalnych.
- Zaloguj się do urządzeń dołączonych do firmy Microsoft przy użyciu kluczy zabezpieczeń FIDO2 i uzyskaj dostęp do logowania jednokrotnego do zasobów lokalnych.
Aby rozpocząć pracę z kluczami zabezpieczeń FIDO2 i dostępem hybrydowym do zasobów lokalnych, zobacz następujące artykuły:
Klucze zabezpieczeń
- Moja organizacja wymaga uwierzytelniania dwuskładnikowego w celu uzyskania dostępu do zasobów. Co mogę zrobić, aby spełnić to wymaganie?
- Gdzie można znaleźć zgodne klucze zabezpieczeń FIDO2?
- Co zrobić, jeśli utracę klucz zabezpieczeń?
- W jaki sposób dane są chronione na kluczu zabezpieczeń FIDO2?
- Jak działa rejestrowanie kluczy zabezpieczeń FIDO2?
- Czy administratorzy mogą aprowizować klucze bezpośrednio dla użytkowników?
Moja organizacja wymaga uwierzytelniania wieloskładnikowego w celu uzyskania dostępu do zasobów. Co mogę zrobić, aby spełnić to wymaganie?
Klucze zabezpieczeń FIDO2 są dostępne w różnych formach. Skontaktuj się z producentem urządzenia, aby omówić sposób włączania ich urządzeń przy użyciu numeru PIN lub biometrycznego jako drugiego czynnika. Aby uzyskać listę obsługiwanych dostawców, zobacz FiDO2 security keys providers (Dostawcy kluczy zabezpieczeń FIDO2).
Gdzie można znaleźć zgodne klucze zabezpieczeń FIDO2?
Aby uzyskać listę obsługiwanych dostawców, zobacz FiDO2 security keys providers (Dostawcy kluczy zabezpieczeń FIDO2).
Co zrobić, jeśli utracę klucz zabezpieczeń?
Klucze można usunąć, przechodząc do strony Informacje o zabezpieczeniach i usuwając klucz zabezpieczeń FIDO2.
W jaki sposób dane są chronione na kluczu zabezpieczeń FIDO2?
Klucze zabezpieczeń FIDO2 mają bezpieczne enklawy, które chronią przechowywane na nich klucze prywatne. Klucz zabezpieczeń FIDO2 ma również wbudowane właściwości anty-hammering, takie jak w usłudze Windows Hello, gdzie nie można wyodrębnić klucza prywatnego.
Jak działa rejestrowanie kluczy zabezpieczeń FIDO2?
Aby uzyskać więcej informacji na temat rejestrowania i używania kluczy zabezpieczeń FIDO2, zobacz Włączanie logowania za pomocą klucza zabezpieczeń bez hasła.
Czy administratorzy mogą aprowizować klucze bezpośrednio dla użytkowników?
Nie, nie w tej chwili.
Dlaczego otrzymuję komunikat "NotAllowedError" w przeglądarce podczas rejestrowania kluczy FIDO2?
Otrzymasz komunikat "NotAllowedError" ze strony rejestracji klucza fido2. Zazwyczaj dzieje się tak, gdy wystąpi błąd podczas próby wykonania operacji authenticatorMakeCredential CTAP2 przez system Windows względem klucza zabezpieczeń. Więcej szczegółów znajdziesz w dzienniku zdarzeń Microsoft-Windows-WebAuthN/Operational.
Wymagania wstępne
- Czy ta funkcja działa, jeśli nie ma łączności z Internetem?
- Jakie są konkretne punkty końcowe, które muszą być otwarte dla identyfikatora Entra firmy Microsoft?
- Jak mogę zidentyfikować typ przyłączania do domeny (przyłączony do firmy Microsoft lub przyłączony hybrydowy microsoft Entra) dla mojego urządzenia z systemem Windows 10?
- Jaka jest rekomendacja dotycząca liczby kontrolerów domeny, które powinny zostać poprawione?
- Czy mogę wdrożyć dostawcę poświadczeń FIDO2 na urządzeniu lokalnym?
- Logowanie klucza zabezpieczeń FIDO2 nie działa w przypadku konta domeny Administracja ani innych kont z wysokimi uprawnieniami. Dlaczego?
Czy ta funkcja działa, jeśli nie ma łączności z Internetem?
Łączność z Internetem jest warunkiem wstępnym włączenia tej funkcji. Gdy użytkownik po raz pierwszy loguje się przy użyciu kluczy zabezpieczeń FIDO2, musi mieć łączność z Internetem. W przypadku kolejnych zdarzeń logowania buforowane logowanie powinno działać i umożliwić użytkownikowi uwierzytelnianie bez łączności z Internetem.
Aby zapewnić spójne środowisko, upewnij się, że urządzenia mają dostęp do Internetu i zasięg wzroku do kontrolerów domeny.
Jakie są konkretne punkty końcowe, które muszą być otwarte dla identyfikatora Entra firmy Microsoft?
Do rejestracji i uwierzytelniania potrzebne są następujące punkty końcowe:
*.microsoftonline.com*.microsoftonline-p.com*.msauth.net*.msauthimages.net*.msecnd.net*.msftauth.net*.msftauthimages.net*.phonefactor.netenterpriseregistration.windows.netmanagement.azure.compolicykeyservice.dc.ad.msft.netsecure.aadcdn.microsoftonline-p.com
Aby uzyskać pełną listę punktów końcowych potrzebnych do korzystania z produktów online firmy Microsoft, zobacz Office 365 URL and IP address ranges (Adresy URL i zakresy adresów IP usługi Office 365).
Jak mogę zidentyfikować typ przyłączania do domeny (przyłączony do firmy Microsoft lub przyłączony hybrydowy microsoft Entra) dla mojego urządzenia z systemem Windows 10?
Aby sprawdzić, czy urządzenie klienckie z systemem Windows 10 ma odpowiedni typ przyłączania do domeny, użyj następującego polecenia:
Dsregcmd /status
Następujące przykładowe dane wyjściowe pokazują, że urządzenie jest przyłączone do firmy Microsoft jako usługa AzureADJoined ma wartość TAK:
+---------------------+
| Device State |
+---------------------+
AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: NO
Poniższe przykładowe dane wyjściowe pokazują, że urządzenie jest przyłączone hybrydowo do firmy Microsoft jako DomenaWłaściwed jest również ustawione na wartość TAK. Nazwa _domeny jest również wyświetlana:
+---------------------+
| Device State |
+---------------------+
AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: YES
DomainName: CONTOSO
Na kontrolerze domeny systemu Windows Server 2016 lub 2019 sprawdź, czy są stosowane następujące poprawki. W razie potrzeby uruchom usługę Windows Update, aby je zainstalować:
Na urządzeniu klienckim uruchom następujące polecenie, aby zweryfikować łączność z odpowiednim kontrolerem domeny z zainstalowanymi poprawkami:
nltest /dsgetdc:<domain> /keylist /kdc
Jaka jest rekomendacja dotycząca liczby kontrolerów domeny, które powinny zostać poprawione?
Zalecamy stosowanie poprawek większości kontrolerów domeny systemu Windows Server 2016 lub 2019 za pomocą poprawki, aby upewnić się, że mogą obsługiwać obciążenie żądania uwierzytelniania organizacji.
Na kontrolerze domeny systemu Windows Server 2016 lub 2019 sprawdź, czy są stosowane następujące poprawki. W razie potrzeby uruchom usługę Windows Update, aby je zainstalować:
Czy mogę wdrożyć dostawcę poświadczeń FIDO2 na urządzeniu lokalnym?
Nie, ta funkcja nie jest obsługiwana w przypadku tylko urządzeń lokalnych. Dostawca poświadczeń FIDO2 nie zostanie wyświetlony.
Logowanie klucza zabezpieczeń FIDO2 nie działa w przypadku konta domeny Administracja ani innych kont z wysokimi uprawnieniami. Dlaczego?
Domyślne zasady zabezpieczeń nie zezwalają firmie Microsoft Entra na podpisywanie kont z wysokimi uprawnieniami do zasobów lokalnych.
Aby odblokować konta, użyj Użytkownicy i komputery usługi Active Directory, aby zmodyfikować właściwość msDS-NeverRevealGroup obiektu komputera Microsoft Entra Kerberos (CN=AzureADKerberos,OU=Kontrolery domeny,domena-DN<>).
Under the hood (Za kulisami usługi Azure RMS — działanie)
- W jaki sposób firma Microsoft Entra Kerberos jest połączona ze środowiskiem usług lokalna usługa Active Directory Domain Services?
- Gdzie można wyświetlić te obiekty serwera Kerberos utworzone w usłudze AD i opublikowane w usłudze Microsoft Entra ID?
- Dlaczego nie można zarejestrować klucza publicznego w lokalnych usługach AD DS, więc nie ma zależności od Internetu?
- W jaki sposób klucze są obracane w obiekcie serwera Kerberos?
- Dlaczego potrzebujemy Połączenie firmy Microsoft Entra? Czy zapisuje on jakiekolwiek informacje z powrotem do usług AD DS z identyfikatora entra firmy Microsoft?
- Jak wygląda żądanie HTTP/odpowiedź podczas żądania żądania prT+ częściowego biletu TGT?
W jaki sposób firma Microsoft Entra Kerberos jest połączona ze środowiskiem usług lokalna usługa Active Directory Domain Services?
Istnieją dwie części: lokalne środowisko usług AD DS i dzierżawa firmy Microsoft Entra.
domena usługi Active Directory Services (AD DS)
Serwer Microsoft Entra Kerberos jest reprezentowany w lokalnym środowisku usług AD DS jako obiekt kontrolera domeny (DC). Ten obiekt kontrolera domeny składa się z wielu obiektów:
CN=AzureADKerberos,OU=Domain Controllers,<domain-DN>Obiekt komputera reprezentujący kontroler domeny tylko do odczytu (RODC) w usługach AD DS. Brak komputera skojarzonego z tym obiektem. Zamiast tego jest to logiczna reprezentacja kontrolera domeny.
CN=krbtgt_AzureAD,CN=Users,<domain-DN>Obiekt użytkownika reprezentujący klucz szyfrowania biletu kerberos protokołu KERberos kontrolera RODC (TGT).
CN=900274c4-b7d2-43c8-90ee-00a9f650e335,CN=AzureAD,CN=System,<domain-DN>Obiekt Service Połączenie ionPoint, który przechowuje metadane dotyczące obiektów serwera Protokołu Kerberos firmy Microsoft. Narzędzia administracyjne używają tego obiektu do identyfikowania i lokalizowania obiektów serwera Microsoft Entra Kerberos.
Tożsamość Microsoft Entra
Serwer Microsoft Entra Kerberos jest reprezentowany w elemencie Microsoft Entra ID jako obiekt KerberosDomain . Każde lokalne środowisko usług AD DS jest reprezentowane jako pojedynczy obiekt KerberosDomain w dzierżawie firmy Microsoft Entra.
Na przykład może istnieć las usług AD DS z dwoma domenami, takimi jak contoso.com i fabrikam.com. Jeśli zezwolisz usłudze Microsoft Entra ID na wystawianie biletów przyznania biletu Protokołu Kerberos (TGTs) dla całego lasu, istnieją dwa KerberosDomain obiekty w identyfikatorze Entra firmy Microsoft — jeden obiekt dla contoso.com i jeden dla fabrikam.comsystemu .
Jeśli masz wiele lasów usług AD DS, masz jeden KerberosDomain obiekt dla każdej domeny w każdym lesie.
Gdzie można wyświetlić te obiekty serwera Kerberos utworzone w usługach AD DS i opublikowane w usłudze Microsoft Entra ID?
Aby wyświetlić wszystkie obiekty, użyj poleceń cmdlet programu PowerShell serwera Microsoft Entra Kerberos dołączonych do najnowszej wersji programu Microsoft Entra Połączenie.
Aby uzyskać więcej informacji, w tym instrukcje dotyczące wyświetlania obiektów, zobacz create a Kerberos Server object (Tworzenie obiektu serwera Kerberos).
Dlaczego nie można zarejestrować klucza publicznego w lokalnych usługach AD DS, więc nie ma zależności od Internetu?
Otrzymaliśmy opinię na temat złożoności modelu wdrażania dla Windows Hello dla firm, dlatego chcieliśmy uprościć model wdrażania bez konieczności używania certyfikatów i infrastruktury kluczy publicznych (FIDO2 nie używa certyfikatów).
W jaki sposób klucze są obracane w obiekcie serwera Kerberos?
Podobnie jak w przypadku każdego innego kontrolera domeny, klucze krbtgt szyfrowania serwera Kerberos firmy Microsoft powinny być regularnie obracane. Zaleca się przestrzeganie tego samego harmonogramu, który jest używany do rotacji wszystkich innych kluczy krbtgt usług AD DS.
Uwaga
Mimo że istnieją inne narzędzia do rotacji kluczy krbtgt, należy użyć poleceń cmdlet programu PowerShell do rotacji kluczy krbtgt serwera Microsoft Entra Kerberos. Ta metoda zapewnia, że klucze są aktualizowane zarówno w lokalnym środowisku usług AD DS, jak i w identyfikatorze Entra firmy Microsoft.
Dlaczego potrzebujemy Połączenie firmy Microsoft Entra? Czy zapisuje on jakiekolwiek informacje z powrotem do usług AD DS z identyfikatora entra firmy Microsoft?
Firma Microsoft Entra Połączenie nie zapisuje informacji zwrotnych z identyfikatora Entra firmy Microsoft do usługi Active Directory DS. Narzędzie zawiera moduł programu PowerShell umożliwiający utworzenie obiektu serwera Kerberos w usługach AD DS i opublikowanie go w usłudze Microsoft Entra ID.
Jak wygląda żądanie HTTP/odpowiedź podczas żądania żądania prT+ częściowego biletu TGT?
Żądanie HTTP to standardowe żądanie podstawowego tokenu odświeżania (PRT). To żądanie PRT zawiera oświadczenie wskazujące, że wymagany jest bilet przyznania biletu protokołu Kerberos (TGT).
| Oświadczenie | Wartość | Opis |
|---|---|---|
| biletu TGT | prawda | Oświadczenie wskazuje, że klient potrzebuje biletu TGT. |
Microsoft Entra ID łączy zaszyfrowany klucz klienta i bufor komunikatów w odpowiedzi PRT jako dodatkowe właściwości. Ładunek jest szyfrowany przy użyciu klucza sesji urządzenia Entra firmy Microsoft.
| Pole | Typ | Opis |
|---|---|---|
| tgt_client_key | string | Klucz klienta zakodowany w formacie Base64 (klucz tajny). Ten klucz jest kluczem tajnym klienta używanym do ochrony biletu TGT. W tym scenariuszu bez hasła klucz tajny klienta jest generowany przez serwer w ramach każdego żądania TGT, a następnie zwracany do klienta w odpowiedzi. |
| tgt_key_type | int | Lokalny typ klucza usług AD DS używany zarówno dla klucza klienta, jak i klucza sesji Protokołu Kerberos zawartego w KERB_MESSAGE_BUFFER. |
| tgt_message_buffer | string | KERB_MESSAGE_BUFFER zakodowane w formacie Base64. |
Czy użytkownicy muszą być członkami grupy Użytkownicy domeny usługi Active Directory?
Tak. Aby móc zalogować się przy użyciu protokołu Kerberos firmy Microsoft, użytkownik musi należeć do grupy Użytkownicy domeny.
Następne kroki
Aby rozpocząć pracę z kluczami zabezpieczeń FIDO2 i dostępem hybrydowym do zasobów lokalnych, zobacz następujące artykuły: