Este artigo aborda perguntas frequentes sobre como o Microsoft Entra Kerberos funciona.
O que é o Cloud Kerberos Trust?
Um modelo de implantação que permite que o Windows Hello para Empresas use o Entra ID como a âncora de confiança para Kerberos, removendo a necessidade do ADFS (Active Directory Federated Server) ou emitindo certificados de usuário. Os dispositivos obtêm um TGT de nuvem da Entra ID e (quando necessário) trocam um TGT parcial com DCs locais para acesso on-premises.
Qual é a diferença entre um TGT (tíquete de concessão na nuvem) e um TGT parcial (referência)?
Cloud TGT: Emitido pelo Entra ID para o realm KERBEROS.MICROSOFTONLINE.COM; usado para solicitar bilhetes de serviço para recursos integrados à nuvem, como Azure Files e Azure SQL.
TGT parcial (referência): ticket mínimo da Entra ID que o cliente troca com um DC on-premises para obter um TGT completo do AD para recursos locais.
Quais dispositivos são compatíveis com o Cloud Kerberos Trust?
Dispositivos Windows 10, versão 2004 e posterior e Windows 11 ingressados no Azure AD ou ingressados no Azure AD híbrido.
Há suporte para macOS?
Sim, por meio do logon único da Plataforma com um perfil de logon único Kerberos. O macOS pode obter tíquetes tgt_cloud (Entra) e tgt_ad (local) quando configurados com a extensão Kerberos.
Quais políticas devo habilitar em clientes Windows?
Ative o Windows Hello para Empresas e habilite Usar a confiança na nuvem para autenticação local. Normalmente, isso é implantado por meio do Catálogo de Configurações do Intune ou do Objeto de Política de Grupo.
Quais métodos de entrada do usuário têm suporte para o Cloud Kerberos Trust?
Somente métodos de entrada baseados em chave: Windows Hello para Empresas (PIN ou FIDO2) ou entrada de telefone sem senha. Não há suporte para entrada por senha.
Como os clientes recuperam TGTs de nuvem no logon?
Configure a política de dispositivo CloudKerberosTicketRetrievalEnabled = 1 (Provedores de Serviços de Configuração do Microsoft Intune ou Objeto de Política de Grupo). Sem ele, os clientes não recuperarão automaticamente os TGTs da nuvem.
Como verificar se o dispositivo está corretamente integrado e possui estado de logon único?
Execute dsregcmd /status e confirme AzureAdJoined = SIM (ou Híbrido), AzureAdPrt = SIM e CloudTgt = SIM.
Como verificar tíquetes de serviço para um recurso?
Use klist get cifs/<storage>.file.core.windows.net (exemplo de Arquivos do Azure) e, em seguida, klist, para exibir tíquetes recuperados.
Por que `klist cloud_debug` mostra o Cloud Kerberos habilitado pela política: 0?
A política de cliente não é aplicada. Defina CloudKerberosTicketRetrievalEnabled = 1 via Intune ou Objeto de Política de Grupo e reinicialize para aplicar.
Por que o Cloud TGT está ausente mesmo depois de habilitar a política?
Certifique-se de que o usuário fez login com um método baseado em chave (WHfB/FIDO2) e que o dispositivo está associado ao Entra ou de forma híbrida. Se o acesso híbrido for necessário, verifique se o Objeto de Domínio Confiável existe e se há conectividade com o DC.
Por que o TGT parcial (referência) está ausente em cenários híbridos?
Valide se o objeto AzureADKerberos (objeto de domínio confiável) foi criado e está íntegro; confirme que há conectividade com os DCs durante o primeiro logon interativo.
Como posso inspecionar o tráfego de Entra Kerberos em busca de diagnósticos profundos?
Use a extensão Kerberos.NET Fiddler para descriptografar o tráfego HTTPS do proxy do Centro de Distribuição de Chaves para a ID do Entra e investigar os fluxos e códigos de erro do Serviço de Concessão de Tíquete/Servidor de Autenticação.
Posso impor o Acesso Condicional e a MFA para aplicativos herdados por meio do Entra Kerberos?
Sim, a autenticação passa pela ID do Entra primeiro, para que você possa aplicar o Acesso Condicional e, em seguida, contar com tíquetes Kerberos para acesso ao aplicativo.
O Cloud Kerberos Trust pode coexistir com a confiança do certificado WHfB?
Não. Se as políticas de confiança de certificado estiverem presentes, elas têm precedência sobre a confiança na nuvem. Escolher um modelo de confiança por dispositivo
Preciso de um objeto de computador do AzureADKerberos no AD para identidades somente na nuvem?
Não, o objeto de computador AzureADKerberos no AD só é necessário para cenários híbridos.
Como o Entra Kerberos lida com alterações de senha?
Para logins baseados em chave, as alterações de senha não afetam os tíquetes Kerberos. O usuário continua a autenticar com WHfB/FIDO2 sem interrupção.
Como encontrar o SID (identificador de segurança de nuvem) para um usuário somente na nuvem?
GET https://graph.microsoft.com/v1.0/users/{userid}?$select=securityIdentifier
ConsistencyLevel: eventual
Como encontrar o SID local para um usuário híbrido?
GET https://graph.microsoft.com/v1.0/users/{userid}?$select=onPremisesSecurityIdentifier
ConsistencyLevel: eventual
Como encontrar SIDs de grupo de nuvem para um usuário somente na nuvem?
GET https://graph.microsoft.com/v1.0/groups?$filter=securityEnabled eq true&$select=id,displayName,securityIdentifier
ConsistencyLevel: eventual
Como encontrar SIDs de grupo local para um usuário híbrido?
GET https://graph.microsoft.com/v1.0/groups?$filter=securityEnabled eq true&$select=id,displayName,onPremisesSecurityIdentifier
ConsistencyLevel: eventual
Conteúdo relacionado
Se sua pergunta não for respondida aqui, consulte os seguintes artigos relacionados: