雲端 Kerberos 信任部署指南

本文說明 Windows Hello 企業版 適用的功能或案例:

需求

開始部署之前,請檢閱規劃 Windows Hello 企業版 部署一文中所述的需求。

開始之前,請確定符合下列需求:

重要

實作雲端 Kerberos 信任部署模型時,您必須確定每個 Active Directory 網站中有足夠的讀寫域控制器數目,使用者將在其中向 Windows Hello 企業版 進行驗證。 如需詳細資訊,請參閱 Active Directory 的容量規劃

部署步驟

一旦符合必要條件,部署 Windows Hello 企業版 包含下列步驟:

部署 Microsoft Entra Kerberos

如果您已部署內部部署 SSO 以進行無密碼安全性密鑰登入,則 Microsoft Entra 已在您的組織中部署 Kerberos。 您不需要重新部署或變更現有的 Microsoft Entra Kerberos 部署以支援 Windows Hello 企業版,而且可以跳至 [設定 Windows Hello 企業版 原則設定] 區段。

如果您尚未部署 Microsoft Entra Kerberos,請遵循啟用無密碼安全性密鑰登入檔中的指示。 此頁面包含如何安裝和使用 Microsoft Entra Kerberos PowerShell 模組的相關信息。 使用模組為您想要使用 Windows Hello 企業版 雲端 Kerberos 信任的網域建立 Microsoft Entra Kerberos 伺服器物件。

Microsoft Entra Kerberos 和雲端 Kerberos 信任驗證

在 Active Directory 網域中啟用 Microsoft Entra Kerberos 時,會在網域中建立 AzureADKerberos 計算機物件。 此物件:

  • 顯示為 RODC) 物件 (只讀域控制器,但未與任何實體伺服器相關聯

  • 僅供 Microsoft Entra ID 用來產生 Active Directory 網域的 TGT

    注意

    適用於 RODC 的類似規則和限制適用於 AzureADKerberos 計算機物件。 例如,身為許可權內建安全組直接或間接成員的使用者將無法使用雲端 Kerberos 信任。

Active Directory 使用者和電腦 主控台的螢幕快照,其中顯示代表 Microsoft Entra Kerberos 伺服器的計算機物件。

如需 Microsoft Entra Kerberos 如何與 Windows Hello 企業版 雲端 Kerberos 信任搭配運作的詳細資訊,請參閱 Windows Hello 企業版 驗證技術深入探討

注意

在 AzureADKerberos 計算機物件上設定的預設 密碼複製原則 不允許使用雲端 Kerberos 信任或 FIDO2 安全性密鑰,將高許可權帳戶登入內部部署資源。

由於可能的攻擊媒介從 Microsoft Entra ID 到 Active Directory,因此不建議放寬計算機對象 CN=AzureADKerberos,OU=Domain Controllers,<domain-DN>的密碼複製原則來解除封鎖這些帳戶。

設定 Windows Hello 企業版原則設定

設定 Microsoft Entra Kerberos 物件之後,必須啟用商務用 Windows Hello 並設定為使用雲端 Kerberos 信任。 在雲端 Kerberos 信任模型中設定 Windows Hello 企業版 需要兩個原則設定:

另一個選擇性但建議的原則設定如下:

重要

如果已啟用 使用憑證進行內部部署驗證 原則,憑證信任會優先於雲端 Kerberos 信任。 請確定您想要啟用雲端 Kerberos 信任的機器 未設定此原則。

下列指示說明如何使用 GPO) (Microsoft Intune 或組策略來設定您的裝置。

注意

檢閱使用 Microsoft Intune 設定 Windows Hello 企業版 一文,以瞭解 Microsoft Intune 為設定 Windows Hello 企業版 所提供的不同選項。

如果 Intune 全租使用者原則已啟用並設定為您的需求,您只需要啟用原則設定 [使用雲端信任進行內部部署驗證]。否則,必須設定這兩個設定。

若要使用 Microsoft Intune 設定裝置,請建立 [設定] 目錄原則,並使用下列設定:

類別 設定名稱
Windows Hello 企業版 使用 Passport for Work true
Windows Hello 企業版 使用雲端信任進行內部部署驗證 啟用
Windows Hello 企業版 需要安全性裝置 true

將原則指派給包含 為您要設定之裝置或用戶成員的群組。

或者,您可以使用 自定義 原則搭配 PassportForWork CSP 來設定裝置。

設定
- OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork
- 資料類型:bool
- 價值:True
- OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseCloudTrustForOnPremAuth
- 資料類型:bool
- 價值:True
- OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice
- 資料類型:bool
- 價值:True

如果您使用 群組原則 和 Intune 部署 Windows Hello 企業版 組態,群組原則 設定會優先,並忽略 Intune 設定。 如需原則衝突的詳細資訊,請參閱 來自多個原則來源的原則衝突

您可以設定更多原則設定來控制 Windows Hello 企業版 的行為。 如需詳細資訊,請參閱 Windows Hello 企業版 原則設定

註冊 Windows Hello 企業版

如果必要條件檢查通過,Windows Hello 企業版 布建程式會在使用者登入之後立即開始。 Windows Hello 企業版 雲端 Kerberos 信任會在原則啟用雲端 Kerberos 信任時,新增 Microsoft Entra 混合式聯結裝置的必要條件檢查。

您可以檢視 MicrosoftWindows 應用程式和服務記錄底下的使用者裝置註冊系統管理員記錄,以判斷必要條件檢查的>>狀態。
您也可以從主控台使用 dsregcmd.exe /status 命令來取得這項資訊。 如需詳細資訊,請參閱 dsregcmd

雲端 Kerberos 信任必要條件檢查會先偵測使用者是否具有部分 TGT,然後才允許開始布建。 這項檢查的目的是要驗證是否已針對使用者的網域和租用戶設定 Microsoft Entra Kerberos。 如果已設定 Microsoft Entra Kerberos,使用者會在登入期間收到部分 TGT 及其其他解除鎖定方法之一。 此檢查有三種狀態:[是]、[否] 和 [未測試]。 如果未由原則強制執行雲端 Kerberos 信任,或裝置 Microsoft Entra 加入,則會報告未測試狀態。

注意

雲端 Kerberos 信任必要條件檢查不會在已加入 Microsoft Entra 裝置上完成。 如果未布建 Microsoft Entra Kerberos,已加入 Microsoft Entra 裝置上的使用者仍可登入,但不會對 Active Directory 保護的內部部署資源使用 SSO。

使用者體驗

使用者登入之後,Windows Hello 企業版 註冊程式會開始:

  1. 如果裝置支援生物特徵辨識驗證,系統會提示使用者設定生物特徵辨識手勢。 此手勢可用來解除鎖定裝置,並驗證需要 Windows Hello 企業版 的資源。 如果使用者不想設定生物特徵辨識手勢,則可以略過此步驟
  2. 系統會提示使用者搭配組織帳戶使用 Windows Hello。 用戶選取 [確定]
  3. 布建流程會繼續進行註冊的多重要素驗證部分。 布建會通知使用者,其正透過其設定的 MFA 形式主動嘗試連絡使用者。 在驗證成功、失敗或逾時之前,布建程式不會繼續。MFA 失敗或逾時會導致錯誤,並要求使用者重試
  4. MFA 成功後,佈建流程會要求使用者建立並驗證 PIN 碼。 此 PIN 必須觀察在裝置上設定的任何 PIN 複雜性原則
  5. 佈建餘下的工作包括 Windows Hello 企業版要求使用者的非對稱金鑰組,最好是向 TPM 要求 (如果已透過原則明確設定,則必須如此)。 取得金鑰組之後,Windows 會與 IdP 通訊以註冊公鑰。 密鑰註冊完成時,Windows Hello 企業版 布建會通知用戶他們可以使用其 PIN 登入。 用戶可以關閉布建應用程式並存取其桌面

一旦使用者完成雲端 Kerberos 信任的註冊,Windows Hello 手勢就可以立即用於登入。 在 Microsoft Entra 混合式聯結裝置上,第一次使用 PIN 需要 DC 的視線。 一旦使用者使用DC登入或解除鎖定,快取登入就可以用於後續解除鎖定,而不需要視線或網路連線。

註冊之後,Microsoft Entra Connect 會將使用者的金鑰從 Microsoft Entra ID 同步至 Active Directory。

時序圖

若要進一步瞭解布建流程,請根據裝置加入和驗證類型檢閱下列循序圖:

若要進一步了解驗證流程,請檢閱下列循序圖:

從金鑰信任部署模型移轉至雲端 Kerberos 信任

如果您使用金鑰信任模型部署 Windows Hello 企業版,並想要移轉至雲端 Kerberos 信任模型,請遵循下列步驟:

  1. 在混合式環境中設定 Microsoft Entra Kerberos
  2. 透過 群組原則 或 Intune 啟用雲端 Kerberos 信任
  3. 針對已加入 Microsoft Entra 裝置,請使用 Windows Hello 企業版 註銷並登入裝置

注意

針對 Microsoft Entra 混合式聯結裝置,用戶必須使用新的認證執行第一次登入,同時才能看到 DC。

從憑證信任部署模型移轉至雲端 Kerberos 信任

重要

沒有從憑證信任部署到雲端 Kerberos 信任部署的 直接 移轉路徑。 您必須先刪除 Windows Hello 容器,才能移轉至雲端 Kerberos 信任。

如果您使用憑證信任模型部署 Windows Hello 企業版,而且想要使用雲端 Kerberos 信任模型,您必須依照下列步驟重新部署 Windows Hello 企業版:

  1. 停用憑證信任原則
  2. 透過 群組原則 或 Intune 啟用雲端 Kerberos 信任
  3. 從用戶內容中使用 命令 certutil.exe -deletehellocontainer 移除憑證信任認證
  4. 註銷並重新登入
  5. 使用您選擇的方法布建 Windows Hello 企業版

注意

針對 Microsoft Entra 混合式聯結裝置,用戶必須使用新的認證執行第一次登入,同時才能看到 DC。

常見問題集

如需 Windows Hello 企業版 雲端 Kerberos 信任的常見問題清單,請參閱 Windows Hello 企業版 常見問題。

不支援的案例

不支援使用 Windows Hello 企業版 雲端 Kerberos 信任的下列案例:

  • 使用提供的認證 (RDP/VDI 的 RDP/VDI 案例可以與遠端 Credential Guard 搭配使用,或是憑證已註冊到 Windows Hello 企業版 容器)
  • 使用雲端 Kerberos 信任執行 身分
  • 在 Microsoft Entra 混合式已加入裝置上使用雲端 Kerberos 信任登入,但先前未使用 DC 連線能力登入