Microsoft Entra Id'de karma FIDO2 güvenlik anahtarları için dağıtımla ilgili sık sorulan sorular (SSS)

  • Makale

Bu makalede, Microsoft Entra karma katılmış cihazlar için dağıtımla ilgili sık sorulan sorular (SSS) ve şirket içi kaynaklarda parolasız oturum açma işlemleri ele alınmaktadır. Bu parolasız özellik ile FIDO2 güvenlik anahtarlarını kullanarak Microsoft Entra karma katılmış cihazlar için Windows 10 cihazlarında Microsoft Entra kimlik doğrulamasını etkinleştirebilirsiniz. Kullanıcılar cihazlarında FIDO2 anahtarları gibi modern kimlik bilgileriyle Windows'ta oturum açabilir ve şirket içi kaynaklarına sorunsuz bir çoklu oturum açma (SSO) deneyimiyle geleneksel Active Directory Etki Alanı Hizmetleri (AD DS) tabanlı kaynaklara erişebilir.

Karma ortamdaki kullanıcılar için aşağıdaki senaryolar desteklenir:

  • FIDO2 güvenlik anahtarlarını kullanarak Microsoft Entra karma katılmış cihazlarda oturum açın ve şirket içi kaynaklara SSO erişimi alın.
  • FIDO2 güvenlik anahtarlarını kullanarak Microsoft Entra'ya katılmış cihazlarda oturum açın ve şirket içi kaynaklara SSO erişimi alın.

FIDO2 güvenlik anahtarlarını ve şirket içi kaynaklara karma erişimi kullanmaya başlamak için aşağıdaki makalelere bakın:

Güvenlik anahtarları

Kuruluşum kaynaklara erişmek için çok faktörlü kimlik doğrulaması gerektiriyor. Bu gereksinimi desteklemek için ne yapabilirim?

FIDO2 Güvenlik anahtarları çeşitli form faktörleriyle birlikte gelir. Cihazlarının ikinci bir faktör olarak PIN veya biyometrik olarak nasıl etkinleştirilebileceğini tartışmak için ilgili cihaz üreticisine başvurun. Desteklenen sağlayıcıların listesi için bkz . FIDO2 güvenlik anahtarları sağlayıcıları.

Uyumlu FIDO2 güvenlik anahtarlarını nerede bulabilirim?

Desteklenen sağlayıcıların listesi için bkz . FIDO2 güvenlik anahtarları sağlayıcıları.

Güvenlik anahtarımı kaybedersem ne olur?

Güvenlik bilgileri sayfasına gidip FIDO2 güvenlik anahtarını kaldırarak anahtarları kaldırabilirsiniz.

Veriler FIDO2 güvenlik anahtarında nasıl korunur?

FIDO2 güvenlik anahtarları, üzerinde depolanan özel anahtarları koruyan güvenli kuşatmalara sahiptir. FIDO2 güvenlik anahtarının içinde özel anahtarı ayıklayabileceğiniz Windows Hello gibi çekiçleme önleme özellikleri de bulunur.

FIDO2 güvenlik anahtarlarının kaydedilmesi nasıl çalışır?

FIDO2 güvenlik anahtarlarını kaydetme ve kullanma hakkında daha fazla bilgi için bkz . Parolasız güvenlik anahtarı oturum açmayı etkinleştirme.

Yöneticilerin doğrudan kullanıcılar için anahtarları sağlamanın bir yolu var mı?

Hayır, şu anda değil.

FIDO2 anahtarlarını kaydederken neden tarayıcıda "NotAllowedError" alıyorum?

Fido2 anahtar kayıt sayfasından "NotAllowedError" ifadesini alırsınız. Bu durum genellikle Windows güvenlik anahtarına karşı bir CTAP2 authenticatorMakeCredential işlemi denediğinde bir hata oluştuğunda oluşur. Microsoft-Windows-WebAuthN/Operasyonel olay günlüğünde daha fazla ayrıntı görürsünüz.

Önkoşullar

İnternet bağlantısı yoksa bu özellik çalışır mı?

İnternet bağlantısı, bu özelliği etkinleştirmek için bir önkoşuldur. Bir kullanıcı FIDO2 güvenlik anahtarlarını kullanarak ilk kez oturum açtığında, İnternet bağlantısına sahip olmalıdır. Sonraki oturum açma olayları için önbelleğe alınmış oturum açmanın çalışması ve kullanıcının İnternet bağlantısı olmadan kimlik doğrulaması yapmasına izin vermelidir.

Tutarlı bir deneyim için cihazların DC'lere İnternet erişimine ve görüş çizgisine sahip olduğundan emin olun.

Microsoft Entra Id'ye açık olması gereken belirli uç noktalar nelerdir?

Kayıt ve kimlik doğrulaması için aşağıdaki uç noktalar gereklidir:

  • *.microsoftonline.com
  • *.microsoftonline-p.com
  • *.msauth.net
  • *.msauthimages.net
  • *.msecnd.net
  • *.msftauth.net
  • *.msftauthimages.net
  • *.phonefactor.net
  • enterpriseregistration.windows.net
  • management.azure.com
  • policykeyservice.dc.ad.msft.net
  • secure.aadcdn.microsoftonline-p.com

Microsoft çevrimiçi ürünlerini kullanmak için gereken uç noktaların tam listesi için bkz . Office 365 URL'leri ve IP adresi aralıkları.

Windows 10 cihazım için etki alanına katılma türünü (Microsoft Entra'ya katılmış veya Microsoft Entra karma katılmış) tanımlamak Nasıl yaparım??

Windows 10 istemci cihazının doğru etki alanına katılma türüne sahip olup olmadığını denetlemek için aşağıdaki komutu kullanın:

Dsregcmd /status

Aşağıdaki örnek çıktı, AzureADJoined evet olarak ayarlandığından cihazın Microsoft Entra'ya katılmış olduğunu gösterir:

+---------------------+
| Device State        |
+---------------------+

AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: NO

Aşağıdaki örnek çıktıda, DomainedJoined de EVET olarak ayarlandığından cihazın Microsoft Entra karmasına katılmış olduğu gösterilmektedir. DomainName de gösterilir:

+---------------------+
| Device State        |
+---------------------+

AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: YES
DomainName: CONTOSO

Windows Server 2016 veya 2019 etki alanı denetleyicisinde aşağıdaki düzeltme eklerinin uygulandığını denetleyin. Gerekirse, bunları yüklemek için Windows Update'i çalıştırın:

Bir istemci cihazından, düzeltme eklerinin yüklü olduğu uygun bir etki alanı denetleyicisine bağlantıyı doğrulamak için aşağıdaki komutu çalıştırın:

nltest /dsgetdc:<domain> /keylist /kdc

Düzeltme eki yapılması gereken DC sayısıyla ilgili öneri nedir?

Windows Server 2016 veya 2019 etki alanı denetleyicilerinizin çoğuna, kuruluşunuzun kimlik doğrulama isteği yükünü işleyebilmesi için düzeltme eki uygulamanızı öneririz.

Windows Server 2016 veya 2019 etki alanı denetleyicisinde aşağıdaki düzeltme eklerinin uygulandığını denetleyin. Gerekirse, bunları yüklemek için Windows Update'i çalıştırın:

FIDO2 kimlik bilgisi sağlayıcısını yalnızca şirket içi bir cihaza dağıtabilir miyim?

Hayır, bu özellik yalnızca şirket içi cihazlarda desteklenmez. FIDO2 kimlik bilgisi sağlayıcısı gösterilmez.

FIDO2 güvenlik anahtarıyla oturum açma, Etki Alanı Yönetici veya diğer yüksek ayrıcalıklı hesaplarımda çalışmıyor. Neden?

Varsayılan güvenlik ilkesi, Microsoft Entra'ya şirket içi kaynaklarda yüksek ayrıcalıklı hesapları imzalama izni vermez.

Hesapların engelini kaldırmak için Active Directory Kullanıcıları ve Bilgisayarları kullanarak Microsoft Entra Kerberos Bilgisayar nesnesinin (CN=AzureADKerberos,OU=Etki Alanı Denetleyicileri,etki< alanı-DN>) msDS-NeverRevealGroup özelliğini değiştirin.

Temel bileşenler

Microsoft Entra Kerberos şirket içi Active Directory Etki Alanı Hizmetleri ortamıma nasıl bağlanır?

İki bölüm vardır: şirket içi AD DS ortamı ve Microsoft Entra kiracısı.

Active Directory Etki Alanı Hizmetleri (AD DS)

Microsoft Entra Kerberos sunucusu, şirket içi AD DS ortamında etki alanı denetleyicisi (DC) nesnesi olarak temsil edilir. Bu DC nesnesi birden çok nesneden oluşur:

  • CN=AzureADKerberos,OU=Domain Controllers,<domain-DN>

    AD DS'de Salt Okunur Etki Alanı Denetleyicisi'ni (RODC) temsil eden bir Bilgisayar nesnesi. Bu nesneyle ilişkilendirilmiş bilgisayar yok. Bunun yerine, bir DC'nin mantıksal bir gösterimidir.

  • CN=krbtgt_AzureAD,CN=Users,<domain-DN>

    RODC Kerberos Anahtar Verme Anahtarı (TGT) şifreleme anahtarını temsil eden kullanıcı nesnesi.

  • CN=900274c4-b7d2-43c8-90ee-00a9f650e335,CN=AzureAD,CN=System,<domain-DN>

    Microsoft Entra Kerberos sunucu nesneleriyle ilgili meta verileri depolayan service Bağlan ionPoint nesnesi. Yönetim araçları, Microsoft Entra Kerberos sunucu nesnelerini tanımlamak ve bulmak için bu nesneyi kullanır.

Microsoft Entra ID

Microsoft Entra Kerberos sunucusu, Microsoft Entra ID'de KerberosDomain nesnesi olarak temsil edilir. Her şirket içi AD DS ortamı, Microsoft Entra kiracısında tek bir KerberosDomain nesnesi olarak temsil edilir.

Örneğin, ve fabrikam.comgibi contoso.com iki etki alanı içeren bir AD DS ormanınız olabilir. Microsoft Entra Id'nin tüm orman için Kerberos Anahtar Verme Biletleri (TGT) vermesine izin verirseniz, Microsoft Entra Id'de iki KerberosDomain nesne vardır: için bir nesne ve için fabrikam.combir nesnecontoso.com.

Birden çok AD DS ormanınız varsa, her ormandaki her etki alanı için bir KerberosDomain nesneniz vardır.

AD DS'de oluşturulan ve Microsoft Entra Id'de yayımlanan bu Kerberos sunucu nesnelerini nerede görüntüleyebilirim?

Tüm nesneleri görüntülemek için, Microsoft Entra Bağlan'nin en son sürümüne dahil edilen Microsoft Entra Kerberos sunucusu PowerShell cmdlet'lerini kullanın.

Nesneleri görüntüleme yönergeleri de dahil olmak üzere daha fazla bilgi için bkz . Kerberos Server nesnesi oluşturma.

İnternet'e bağımlılık olmaması için ortak anahtarı neden şirket içi AD DS'ye kaydedemiyoruz?

İş İçin Windows Hello için dağıtım modelinin karmaşıklığıyla ilgili geri bildirim aldık, bu nedenle sertifika ve PKI kullanmak zorunda kalmadan dağıtım modelini basitleştirmek istedik (FIDO2 sertifikaları kullanmaz).

Kerberos sunucu nesnesinde anahtarlar nasıl döndürülür?

Diğer DC'ler gibi Microsoft Entra Kerberos sunucu şifreleme krbtgt anahtarları da düzenli olarak döndürülmelidir. Diğer tüm AD DS krbtgt anahtarlarını döndürmek için kullandığınız zamanlamanın aynısını izlemeniz önerilir.

Not

Krbtgt anahtarlarını döndürmek için başka araçlar da olsa, Microsoft Entra Kerberos sunucunuzun krbtgt anahtarlarını döndürmek için PowerShell cmdlet'lerini kullanmanız gerekir. Bu yöntem, anahtarların hem şirket içi AD DS ortamında hem de Microsoft Entra Kimliği'nde güncelleştirilmesini sağlar.

Microsoft Entra Bağlan neden ihtiyacımız var? Microsoft Entra Id'den AD DS'ye herhangi bir bilgi yazıyor mu?

Microsoft Entra Bağlan, Microsoft Entra Id'den Active Directory DS'ye geri bilgi yazmaz. Yardımcı program, AD DS'de Kerberos Sunucu Nesnesi oluşturmak ve Microsoft Entra Id'de yayımlamak için PowerShell modülünü içerir.

PRT+ kısmi TGT isterken HTTP isteği/yanıtı nasıl görünür?

HTTP isteği standart bir Birincil Yenileme Belirteci (PRT) isteğidir. Bu PRT isteği, Kerberos Anahtar Verme Anahtarı (TGT) gerektiğini belirten bir talep içerir.

Talep Value Açıklama
Tgt true Talep, istemcinin bir TGT'ye ihtiyacı olduğunu gösterir.

Microsoft Entra Id, şifrelenmiş istemci anahtarını ve ileti arabelleğiyle PRT yanıtını ek özellikler olarak birleştirir. Yük, Microsoft Entra Device oturum anahtarı kullanılarak şifrelenir.

Alan Tür Açıklama
tgt_client_key Dize Base64 kodlanmış istemci anahtarı (gizli dizi). Bu anahtar, TGT'yi korumak için kullanılan istemci gizli dizisidir. Bu parolasız senaryoda, istemci gizli dizisi her TGT isteğinin bir parçası olarak sunucu tarafından oluşturulur ve ardından yanıtta istemciye döndürülür.
tgt_key_type int KERB_MESSAGE_BUFFER hem istemci anahtarı hem de Kerberos oturum anahtarı için kullanılan şirket içi AD DS anahtar türü.
tgt_message_buffer Dize Base64 kodlanmış KERB_MESSAGE_BUFFER.

Kullanıcıların Etki Alanı Kullanıcıları Active Directory grubunun üyesi olması gerekiyor mu?

Evet. Kullanıcının Microsoft Entra Kerberos kullanarak oturum açabilmesi için Etki Alanı Kullanıcıları grubunda olması gerekir.

Sonraki adımlar

FIDO2 güvenlik anahtarlarını ve şirket içi kaynaklara karma erişimi kullanmaya başlamak için aşağıdaki makalelere bakın: