Vanliga frågor och svar om distribution för hybrid-FIDO2-säkerhetsnycklar i Microsoft Entra-ID

  • Artikel

Den här artikeln beskriver vanliga frågor och svar om distribution för Hybrid-anslutna Microsoft Entra-enheter och lösenordslös inloggning till lokala resurser. Med den här lösenordslösa funktionen kan du aktivera Microsoft Entra-autentisering på Windows 10-enheter för Microsoft Entra Hybrid-anslutna enheter med hjälp av FIDO2-säkerhetsnycklar. Användare kan logga in på Windows på sina enheter med moderna autentiseringsuppgifter som FIDO2-nycklar och få åtkomst till traditionella Active Directory-domän Services-baserade resurser (AD DS) med en sömlös enkel inloggning (SSO) för sina lokala resurser.

Följande scenarier för användare i en hybridmiljö stöds:

  • Logga in på Microsoft Entra Hybrid-anslutna enheter med hjälp av FIDO2-säkerhetsnycklar och få SSO-åtkomst till lokala resurser.
  • Logga in på Microsoft Entra-anslutna enheter med hjälp av FIDO2-säkerhetsnycklar och få åtkomst till lokala resurser med enkel inloggning.

Information om hur du kommer igång med FIDO2-säkerhetsnycklar och hybridåtkomst till lokala resurser finns i följande artiklar:

Säkerhetsnycklar

Min organisation kräver multifaktorautentisering för att få åtkomst till resurser. Vad kan jag göra för att stödja detta krav?

FIDO2 Säkerhetsnycklar finns i en mängd olika formfaktorer. Kontakta enhetstillverkaren av intresse för att diskutera hur deras enheter kan aktiveras med en PIN-kod eller biometrisk kod som en andra faktor. En lista över leverantörer som stöds finns i FIDO2-leverantörer av säkerhetsnycklar.

Var hittar jag kompatibla FIDO2-säkerhetsnycklar?

En lista över leverantörer som stöds finns i FIDO2-leverantörer av säkerhetsnycklar.

Vad händer om jag förlorar min säkerhetsnyckel?

Du kan ta bort nycklar genom att gå till sidan Säkerhetsinformation och ta bort FIDO2-säkerhetsnyckeln.

Hur skyddas data på FIDO2-säkerhetsnyckeln?

FIDO2-säkerhetsnycklar har säkra enklaver som skyddar de privata nycklar som lagras på dem. En FIDO2-säkerhetsnyckel har också inbyggda egenskaper för skydd mot hamring, till exempel i Windows Hello, där du inte kan extrahera den privata nyckeln.

Hur fungerar registreringen av FIDO2-säkerhetsnycklar?

Mer information om hur du registrerar och använder FIDO2-säkerhetsnycklar finns i Aktivera inloggning med lösenordslös säkerhetsnyckel.

Finns det något sätt för administratörer att etablera nycklarna direkt för användarna?

Nej, inte för tillfället.

Varför får jag "NotAllowedError" i webbläsaren när jag registrerar FIDO2-nycklar?

Du får "NotAllowedError" från fido2-nyckelregistreringssidan. Detta inträffar vanligtvis när ett fel inträffar när Windows försöker utföra en CTAP2-autentiseringMakeCredential-åtgärd mot säkerhetsnyckeln. Mer information finns i händelseloggen Microsoft-Windows-WebAuthN/Operational.

Förutsättningar

Fungerar den här funktionen om det inte finns någon Internetanslutning?

Internetanslutning är en förutsättning för att aktivera den här funktionen. Första gången en användare loggar in med FIDO2-säkerhetsnycklar måste de ha internetanslutning. För efterföljande inloggningshändelser bör cachelagrad inloggning fungera och låta användaren autentisera sig utan internetanslutning.

För en konsekvent upplevelse, se till att enheterna har internetåtkomst och siktlinje till domänkontrollanter.

Vilka är de specifika slutpunkter som krävs för att vara öppna för Microsoft Entra-ID?

Följande slutpunkter behövs för registrering och autentisering:

  • *.microsoftonline.com
  • *.microsoftonline-p.com
  • *.msauth.net
  • *.msauthimages.net
  • *.msecnd.net
  • *.msftauth.net
  • *.msftauthimages.net
  • *.phonefactor.net
  • enterpriseregistration.windows.net
  • management.azure.com
  • policykeyservice.dc.ad.msft.net
  • secure.aadcdn.microsoftonline-p.com

En fullständig lista över slutpunkter som behövs för att använda Microsofts onlineprodukter finns i Url:er och IP-adressintervall för Office 365.

Hur gör jag för att identifiera domänanslutningstypen (Microsoft Entra-ansluten eller Microsoft Entra-hybridansluten) för min Windows 10-enhet?

Om du vill kontrollera om Windows 10-klientenheten har rätt domänanslutningstyp använder du följande kommando:

Dsregcmd /status

Följande exempelutdata visar att enheten är Microsoft Entra-ansluten eftersom AzureADJoined är inställt på JA:

+---------------------+
| Device State        |
+---------------------+

AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: NO

Följande exempelutdata visar att enheten är Microsoft Entra-hybridansluten som DomainedJoined är också inställd på JA. DomainName visas också:

+---------------------+
| Device State        |
+---------------------+

AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: YES
DomainName: CONTOSO

På en Windows Server 2016- eller 2019-domänkontrollant kontrollerar du att följande korrigeringar tillämpas. Om det behövs kör du Windows Update för att installera dem:

Kör följande kommando från en klientenhet för att verifiera anslutningen till en lämplig domänkontrollant med korrigeringarna installerade:

nltest /dsgetdc:<domain> /keylist /kdc

Vad är rekommendationen för antalet domänkontrollanter som ska korrigeras?

Vi rekommenderar att du korrigerar en majoritet av dina Windows Server 2016- eller 2019-domänkontrollanter med korrigeringen för att säkerställa att de kan hantera belastningen på autentiseringsbegäran i din organisation.

På en Windows Server 2016- eller 2019-domänkontrollant kontrollerar du att följande korrigeringar tillämpas. Om det behövs kör du Windows Update för att installera dem:

Kan jag distribuera FIDO2-autentiseringsprovidern på en lokal enhet?

Nej, den här funktionen stöds inte endast för lokala enheter. FIDO2-autentiseringsprovidern skulle inte visas.

FIDO2-inloggning med säkerhetsnycklar fungerar inte för min domänadministratör eller andra konton med hög behörighet. Varför?

Standardsäkerhetsprincipen ger inte Microsoft Entra behörighet att signera konton med hög behörighet på lokala resurser.

Om du vill avblockera kontona använder du Active Directory - användare och datorer för att ändra egenskapen msDS-NeverRevealGroup för Microsoft Entra Kerberos-datorobjektet (CN=AzureADKerberos,OU=Domain Controllers,domain-DN><).

Under huven

Hur är Microsoft Entra Kerberos länkat till min lokal Active Directory Domain Services-miljö?

Det finns två delar: den lokala AD DS-miljön och Microsoft Entra-klientorganisationen.

Active Directory-domän Services (AD DS)

Microsoft Entra Kerberos-servern representeras i en lokal AD DS-miljö som ett domänkontrollantobjekt (DC). Det här DC-objektet består av flera objekt:

  • CN=AzureADKerberos,OU=Domain Controllers,<domain-DN>

    Ett datorobjekt som representerar en skrivskyddad domänkontrollant (RODC) i AD DS. Det finns ingen dator som är associerad med det här objektet. I stället är det en logisk representation av en domänkontrollant.

  • CN=krbtgt_AzureAD,CN=Users,<domain-DN>

    Ett användarobjekt som representerar en krypteringsnyckel för RODC Kerberos Ticket Granting Ticket (TGT).

  • CN=900274c4-b7d2-43c8-90ee-00a9f650e335,CN=AzureAD,CN=System,<domain-DN>

    Ett Service Anslut ionPoint-objekt som lagrar metadata om Microsoft Entra Kerberos-serverobjekt. De administrativa verktygen använder det här objektet för att identifiera och hitta Microsoft Entra Kerberos-serverobjekten.

Microsoft Entra ID

Microsoft Entra Kerberos-servern representeras i Microsoft Entra-ID som ett KerberosDomain-objekt . Varje lokal AD DS-miljö representeras som ett enda KerberosDomain-objekt i Microsoft Entra-klientorganisationen.

Du kan till exempel ha en AD DS-skog med två domäner som contoso.com och fabrikam.com. Om du tillåter att Microsoft Entra-ID utfärdar Kerberos Ticket Granting Tickets (TGT) för hela skogen finns det två KerberosDomain objekt i Microsoft Entra ID – ett objekt för och ett för contoso.comfabrikam.com.

Om du har flera AD DS-skogar har du ett KerberosDomain objekt för varje domän i varje skog.

Var kan jag visa dessa Kerberos-serverobjekt som skapas i AD DS och publiceras i Microsoft Entra-ID?

Om du vill visa alla objekt använder du Microsoft Entra Kerberos-serverns PowerShell-cmdletar som ingår i den senaste versionen av Microsoft Entra Anslut.

Mer information, inklusive instruktioner om hur du visar objekten, finns i skapa ett Kerberos Server-objekt.

Varför kan vi inte ha den offentliga nyckeln registrerad på lokal AD DS så att det inte finns något beroende av Internet?

Vi fick feedback om komplexiteten i distributionsmodellen för Windows Hello för företag, så vi ville förenkla distributionsmodellen utan att behöva använda certifikat och PKI (FIDO2 använder inte certifikat).

Hur roteras nycklarna på Kerberos-serverobjektet?

Precis som andra domänkontrollanter bör Microsoft Entra Kerberos-serverkrypteringsnycklarna roteras regelbundet. Vi rekommenderar att du följer samma schema som du använder för att rotera alla andra AD DS krbtgt-nycklar .

Kommentar

Även om det finns andra verktyg för att rotera krbtgt-nycklarna måste du använda PowerShell-cmdletarna för att rotera krbtgt-nycklarna på Microsoft Entra Kerberos-servern. Den här metoden ser till att nycklarna uppdateras både i den lokala AD DS-miljön och i Microsoft Entra-ID.

Varför behöver vi Microsoft Entra Anslut? Skriver den någon information tillbaka till AD DS från Microsoft Entra-ID?

Microsoft Entra Anslut skriver inte tillbaka information från Microsoft Entra-ID till Active Directory DS. Verktyget innehåller PowerShell-modulen för att skapa Kerberos Server-objektet i AD DS och publicera det i Microsoft Entra-ID.

Hur ser HTTP-begäran/-svaret ut när du begär PRT+ partiell TGT?

HTTP-begäran är en standardbegäran för primär uppdateringstoken (PRT). Den här PRT-begäran innehåller ett anspråk som anger att en Kerberos-biljettbeviljande biljett (TGT) behövs.

Anspråk Värde beskrivning
Tgt true Anspråk anger att klienten behöver en TGT.

Microsoft Entra ID kombinerar den krypterade klientnyckeln och meddelandebufferten till PRT-svaret som ytterligare egenskaper. Nyttolasten krypteras med sessionsnyckeln för Microsoft Entra-enhet.

Fält Type Beskrivning
tgt_client_key sträng Base64-kodad klientnyckel (hemlighet). Den här nyckeln är den klienthemlighet som används för att skydda TGT. I det här lösenordslösa scenariot genereras klienthemligheten av servern som en del av varje TGT-begäran och returneras sedan till klienten i svaret.
tgt_key_type heltal Den lokala AD DS-nyckeltypen som används för både klientnyckeln och Kerberos-sessionsnyckeln som ingår i KERB_MESSAGE_BUFFER.
tgt_message_buffer sträng Base64-kodad KERB_MESSAGE_BUFFER.

Måste användarna vara medlemmar i active directory-gruppen Domänanvändare?

Ja. En användare måste vara i gruppen Domänanvändare för att kunna logga in med Microsoft Entra Kerberos.

Nästa steg

Information om hur du kommer igång med FIDO2-säkerhetsnycklar och hybridåtkomst till lokala resurser finns i följande artiklar: