Share via

Perguntas frequentes (FAQs) de implantação para chaves de segurança FIDO2 híbridas no Microsoft Entra ID

  • Artigo

Este artigo aborda as perguntas freqüentes (FAQs) de implantação para dispositivos associados híbridos do Microsoft Entra e a entrada sem senha em recursos locais. Com este recurso sem senha, você pode habilitar a autenticação do Microsoft Entra em dispositivos Windows 10 para dispositivos híbridos ingressados no Microsoft Entra usando chaves de segurança FIDO2. Os usuários podem entrar no Windows em seus dispositivos com credenciais modernas, como chaves FIDO2, e acessar recursos tradicionais baseados nos Serviços de Domínio Ative Directory (AD DS) com uma experiência de logon único (SSO) perfeita para seus recursos locais.

Os seguintes cenários para usuários em um ambiente híbrido são suportados:

  • Entre em dispositivos híbridos ingressados no Microsoft Entra usando chaves de segurança FIDO2 e obtenha acesso SSO a recursos locais.
  • Entre em dispositivos ingressados do Microsoft Entra usando chaves de segurança FIDO2 e obtenha acesso SSO a recursos locais.

Para começar a usar chaves de segurança FIDO2 e acesso híbrido a recursos locais, consulte os seguintes artigos:

Chaves de segurança

Minha organização requer autenticação multifator para acessar recursos. O que posso fazer para apoiar este requisito?

As chaves de segurança FIDO2 vêm em uma variedade de fatores de forma. Entre em contato com o fabricante do dispositivo de interesse para discutir como seus dispositivos podem ser habilitados com um PIN ou biométrico como um segundo fator. Para obter uma lista de fornecedores suportados, consulte Fornecedores de chaves de segurança FIDO2.

Onde posso encontrar chaves de segurança FIDO2 compatíveis?

Para obter uma lista de fornecedores suportados, consulte Fornecedores de chaves de segurança FIDO2.

E se eu perder a minha chave de segurança?

Você pode remover chaves navegando até a página Informações de segurança e removendo a chave de segurança FIDO2.

Como são protegidos os dados na chave de segurança FIDO2?

As chaves de segurança FIDO2 têm enclaves seguros que protegem as chaves privadas armazenadas nelas. Uma chave de segurança FIDO2 também tem propriedades antimartelo incorporadas, como no Windows Hello, onde você não pode extrair a chave privada.

Como funciona o registo das chaves de segurança FIDO2?

Para obter mais informações sobre como registrar e usar chaves de segurança FIDO2, consulte Habilitar login de chave de segurança sem senha.

Existe uma maneira de os administradores provisionarem as chaves diretamente para os usuários?

Não, neste momento, não.

Por que estou recebendo "NotAllowedError" no navegador, ao registrar chaves FIDO2?

Você receberá "NotAllowedError" da página de registro da chave fido2. Isso normalmente acontece quando ocorre um erro enquanto o Windows tenta uma operação CTAP2 authenticatorMakeCredential contra a chave de segurança. Você verá mais detalhes no log de eventos Microsoft-Windows-WebAuthN/Operation.

Pré-requisitos

Esse recurso funciona se não houver conectividade com a Internet?

A conectividade com a Internet é um pré-requisito para habilitar esse recurso. A primeira vez que um usuário entra usando chaves de segurança FIDO2, ele deve ter conectividade com a Internet. Para eventos de entrada subsequentes, a entrada em cache deve funcionar e permitir que o usuário se autentique sem conectividade com a Internet.

Para uma experiência consistente, certifique-se de que os dispositivos têm acesso à Internet e linha de visão para DCs.

Quais são os pontos de extremidade específicos que são necessários para ser aberto para o Microsoft Entra ID?

Os seguintes pontos de extremidade são necessários para registro e autenticação:

  • *.microsoftonline.com
  • *.microsoftonline-p.com
  • *.msauth.net
  • *.msauthimages.net
  • *.msecnd.net
  • *.msftauth.net
  • *.msftauthimages.net
  • *.phonefactor.net
  • enterpriseregistration.windows.net
  • management.azure.com
  • policykeyservice.dc.ad.msft.net
  • secure.aadcdn.microsoftonline-p.com

Para obter uma lista completa dos pontos de extremidade necessários para usar os produtos online da Microsoft, consulte URLs e intervalos de endereços IP do Office 365.

Como posso identificar o tipo de associação de domínio (Microsoft Entra juntou-se ou Microsoft Entra híbrido juntou-se) para o meu dispositivo Windows 10?

Para verificar se o dispositivo cliente Windows 10 tem o tipo de associação de domínio correto, use o seguinte comando:

Dsregcmd /status

A saída de exemplo a seguir mostra que o dispositivo é Microsoft Entra juntou como AzureADJoined está definido como YES:

+---------------------+
| Device State        |
+---------------------+

AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: NO

A saída de exemplo a seguir mostra que o dispositivo é Microsoft Entra híbrido ingressado como DomainedJoined também está definido como YES. O DomainName também é mostrado:

+---------------------+
| Device State        |
+---------------------+

AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: YES
DomainName: CONTOSO

Em um controlador de domínio do Windows Server 2016 ou 2019, verifique se os patches a seguir são aplicados. Se necessário, execute o Windows Update para instalá-los:

Em um dispositivo cliente, execute o seguinte comando para verificar a conectividade com um controlador de domínio apropriado com os patches instalados:

nltest /dsgetdc:<domain> /keylist /kdc

Qual é a recomendação sobre o número de CDs que devem ser corrigidos?

Recomendamos aplicar patches à maioria dos controladores de domínio do Windows Server 2016 ou 2019 com o patch para garantir que eles possam lidar com a carga de solicitação de autenticação da sua organização.

Em um controlador de domínio do Windows Server 2016 ou 2019, verifique se os patches a seguir são aplicados. Se necessário, execute o Windows Update para instalá-los:

Posso implantar o provedor de credenciais FIDO2 em um dispositivo somente local?

Não, este recurso não é suportado apenas para dispositivos locais. O provedor de credenciais FIDO2 não apareceria.

O início de sessão com chave de segurança FIDO2 não está a funcionar para o meu Administrador de Domínio ou outras contas de elevado privilégio. Porquê?

A política de segurança padrão não concede permissão ao Microsoft Entra para assinar contas de alto privilégio em recursos locais.

Para desbloquear as contas, use Usuários e Computadores do Ative Directory para modificar a propriedade msDS-NeverRevealGroup do objeto Microsoft Entra Kerberos Computer (CN=AzureADKerberos,OU=Domain Controllers,domain-DN<>).

Under the hood (Como funciona o Azure RMS? Nos bastidores)

Como o Microsoft Entra Kerberos está vinculado ao meu ambiente local dos Serviços de Domínio Ative Directory?

Há duas partes: o ambiente do AD DS local e o locatário do Microsoft Entra.

Serviços de Domínio Ative Directory (AD DS)

O servidor Kerberos do Microsoft Entra é representado em um ambiente AD DS local como um objeto de controlador de domínio (DC). Este objeto DC é composto por vários objetos:

  • CN=AzureADKerberos,OU=Domain Controllers,<domain-DN>

    Um objeto Computer que representa um Controlador de Domínio Somente Leitura (RODC) no AD DS. Não há nenhum computador associado a este objeto. Em vez disso, é uma representação lógica de um DC.

  • CN=krbtgt_AzureAD,CN=Users,<domain-DN>

    Um objeto User que representa uma chave de criptografia RODC Kerberos Ticket Granting Ticket (TGT).

  • CN=900274c4-b7d2-43c8-90ee-00a9f650e335,CN=AzureAD,CN=System,<domain-DN>

    Um objeto ServiceConnectionPoint que armazena metadados sobre os objetos do servidor Kerberos do Microsoft Entra. As ferramentas administrativas usam esse objeto para identificar e localizar os objetos do servidor Microsoft Entra Kerberos.

Microsoft Entra ID

O servidor Microsoft Entra Kerberos é representado no Microsoft Entra ID como um objeto KerberosDomain . Cada ambiente AD DS local é representado como um único objeto KerberosDomain no locatário do Microsoft Entra.

Por exemplo, você pode ter uma floresta do AD DS com dois domínios, como contoso.com e fabrikam.com. Se você permitir que o Microsoft Entra ID emita tíquetes de concessão de tíquete Kerberos (TGTs) para toda a floresta, há dois KerberosDomain objetos no Microsoft Entra ID - um objeto para contoso.com e outro para fabrikam.com.

Se você tiver várias florestas do AD DS, terá um KerberosDomain objeto para cada domínio em cada floresta.

Onde posso exibir esses objetos de servidor Kerberos criados no AD DS e publicados no Microsoft Entra ID?

Para exibir todos os objetos, use os cmdlets do PowerShell do servidor Microsoft Entra Kerberos incluídos na versão mais recente do Microsoft Entra Connect.

Para obter mais informações, incluindo instruções sobre como exibir os objetos, consulte Criar um objeto Kerberos Server.

Por que não podemos ter a chave pública registrada no AD DS local para que não haja dependência da Internet?

Recebemos comentários sobre a complexidade do modelo de implantação do Windows Hello for Business, então queríamos simplificar o modelo de implantação sem precisar usar certificados e PKI (FIDO2 não usa certificados).

Como as chaves são giradas no objeto do servidor Kerberos?

Como qualquer outro DC, as chaves krbtgt de criptografia do servidor Microsoft Entra Kerberos devem ser giradas regularmente. Recomenda-se seguir o mesmo cronograma que você usa para girar todas as outras chaves krbtgt do AD DS.

Nota

Embora existam outras ferramentas para girar as chaves krbtgt, você deve usar os cmdlets do PowerShell para girar as chaves krbtgt do seu servidor Microsoft Entra Kerberos. Esse método garante que as chaves sejam atualizadas no ambiente local do AD DS e na ID do Microsoft Entra.

Por que precisamos do Microsoft Entra Connect? Ele grava alguma informação de volta para o AD DS a partir do Microsoft Entra ID?

O Microsoft Entra Connect não grava informações de volta do ID do Microsoft Entra no Ative Directory DS. O utilitário inclui o módulo PowerShell para criar o Objeto de Servidor Kerberos no AD DS e publicá-lo na ID do Microsoft Entra.

Qual é a aparência da solicitação/resposta HTTP ao solicitar o TGT parcial PRT+?

A solicitação HTTP é uma solicitação PRT (Primary Refresh Token) padrão. Esta solicitação PRT inclui uma reivindicação indicando que um Ticket de Concessão de Ticket (TGT) Kerberos é necessário.

Afirmação valor Description
TGT verdadeiro A reclamação indica que o cliente precisa de um TGT.

O Microsoft Entra ID combina a chave do cliente criptografada e o buffer de mensagens na resposta PRT como propriedades adicionais. A carga é criptografada usando a chave de sessão do dispositivo Microsoft Entra.

Campo Tipo Description
tgt_client_key string Chave de cliente codificada Base64 (secreta). Esta chave é o segredo do cliente usado para proteger o TGT. Nesse cenário sem senha, o segredo do cliente é gerado pelo servidor como parte de cada solicitação TGT e, em seguida, retornado ao cliente na resposta.
tgt_key_type número inteiro O tipo de chave AD DS local usado para a chave do cliente e a chave de sessão Kerberos incluídas no KERB_MESSAGE_BUFFER.
tgt_message_buffer string Base64 codificado KERB_MESSAGE_BUFFER.

Os usuários precisam ser membros do grupo Usuários do Domínio Ative Directory?

Sim. Um usuário deve estar no grupo Usuários do Domínio para poder entrar usando o Microsoft Entra Kerberos.

Próximos passos

Para começar a usar chaves de segurança FIDO2 e acesso híbrido a recursos locais, consulte os seguintes artigos: