Sdílet prostřednictvím

Nejčastější dotazy k nasazení hybridních klíčů zabezpečení FIDO2 v Microsoft Entra ID

  • Článek

Tento článek se věnuje nejčastějším dotazům k nasazení pro hybridní zařízení připojená k Microsoft Entra a přihlašování bez hesla k místním prostředkům. Pomocí této funkce bez hesla můžete povolit ověřování Microsoft Entra na zařízeních s Windows 10 pro hybridní zařízení připojená k Microsoft Entra pomocí klíčů zabezpečení FIDO2. Uživatelé se můžou na svých zařízeních přihlásit pomocí moderních přihlašovacích údajů, jako jsou klíče FIDO2, a přistupovat k tradičním prostředkům založeným na službě Active Directory Domain Services (AD DS) s bezproblémovým jednotným přihlašováním k místním prostředkům.

Podporují se následující scénáře pro uživatele v hybridním prostředí:

  • Přihlaste se k hybridním zařízením připojeným k Microsoft Entra pomocí klíčů zabezpečení FIDO2 a získejte přístup přes jednotné přihlašování k místním prostředkům.
  • Přihlaste se k zařízením připojeným k Microsoft Entra pomocí klíčů zabezpečení FIDO2 a získejte přístup přes jednotné přihlašování k místním prostředkům.

Pokud chcete začít používat klíče zabezpečení FIDO2 a hybridní přístup k místním prostředkům, přečtěte si následující články:

Klíče zabezpečení

Moje organizace vyžaduje vícefaktorové ověřování pro přístup k prostředkům. Co můžu udělat pro podporu tohoto požadavku?

Klíče zabezpečení FIDO2 mají různé podoby. Obraťte se na výrobce zařízení, který zajímá, a prodiskutujte, jak je možné jejich zařízení povolit pomocí PIN kódu nebo biometrického kódu jako druhého faktoru. Seznam podporovaných poskytovatelů najdete v tématu poskytovatelé klíčů zabezpečení FIDO2.

Kde najdu kompatibilní klíče zabezpečení FIDO2?

Seznam podporovaných poskytovatelů najdete v tématu poskytovatelé klíčů zabezpečení FIDO2.

Co když ztratím svůj bezpečnostní klíč?

Klíče můžete odebrat tak, že přejdete na stránku Bezpečnostní údaje a odeberete klíč zabezpečení FIDO2.

Jak jsou data chráněná v klíči zabezpečení FIDO2?

Klíče zabezpečení FIDO2 mají zabezpečené enklávy, které chrání privátní klíče uložené na nich. Klíč zabezpečení FIDO2 má také integrované vlastnosti proti kladivu, například ve Windows Hello, kde nemůžete extrahovat privátní klíč.

Jak funguje registrace klíčů zabezpečení FIDO2?

Další informace o registraci a používání klíčů zabezpečení FIDO2 najdete v tématu Povolení přihlašování pomocí hesla bez hesla.

Existuje způsob, jak mohou správci poskytnout klíče uživatelům přímo?

Ne, v tuto chvíli ne.

Proč se mi při registraci klíčů FIDO2 zobrazuje chyba NotAllowedError v prohlížeči?

Obdržíte chybu "NotAllowedError" na stránce registrace klíče FIDO2. K tomu obvykle dochází v případě, že systém Windows narazí na chybu při pokusu o operaci CTAP2 AuthenticatorMakeCredential s bezpečnostním klíčem. Další podrobnosti najdete v protokolu událostí Microsoft-Windows-WebAuthN/Operational.

Požadavky

Funguje tato funkce, pokud neexistuje připojení k internetu?

Připojení k internetu je předpokladem pro povolení této funkce. Když se uživatel poprvé přihlásí pomocí klíčů zabezpečení FIDO2, musí mít připojení k internetu. U následných událostí přihlášení by mělo fungovat přihlášení uložené v mezipaměti a umožnit uživateli ověření bez připojení k internetu.

Pro konzistentní prostředí se ujistěte, že zařízení mají přístup k internetu a přímý dohled na řadiče domény.

Jaké jsou konkrétní koncové body, které je potřeba otevřít pro Microsoft Entra ID?

K registraci a ověřování jsou potřeba následující koncové body:

  • *.microsoftonline.com
  • *.microsoftonline-p.com
  • *.msauth.net
  • *.msauthimages.net
  • *.msecnd.net
  • *.msftauth.net
  • *.msftauthimages.net
  • *.phonefactor.net
  • enterpriseregistration.windows.net
  • management.azure.com
  • policykeyservice.dc.ad.msft.net
  • secure.aadcdn.microsoftonline-p.com

Úplný seznam koncových bodů potřebných k používání online produktů Microsoftu najdete v tématu adresy URL Office 365 a rozsahy IP adres.

Jak zjistím typ připojení k doméně (zařízení připojené k Microsoft Entra nebo zařízení hybridně připojené k Microsoft Entra) pro svého zařízení s Windows 10?

Pokud chcete zkontrolovat, jestli má klientské zařízení s Windows 10 správný typ připojení k doméně, použijte následující příkaz:

Dsregcmd /status

Následující příkladový výstup ukazuje, že zařízení je spojeno s Microsoft Entra jako AzureADJoined a je nastaveno na ANO:

+---------------------+
| Device State        |
+---------------------+

AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: NO

Následující ukázkový výstup ukazuje, že zařízení je připojeno k Microsoft Entra hybridně jako DomainedJoined a je také nastaveno na ANO. Zobrazí se také DomainName.

+---------------------+
| Device State        |
+---------------------+

AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: YES
DomainName: CONTOSO

Na řadiči domény s Windows Serverem 2016 nebo 2019 zkontrolujte, jestli jsou použity následující opravy. V případě potřeby je nainstalujte spuštěním služby Windows Update:

Spuštěním následujícího příkazu z klientského zařízení ověřte připojení k příslušnému řadiči domény s nainstalovanými opravami:

nltest /dsgetdc:<domain> /keylist /kdc

Jaké je doporučení týkající se počtu řadičů domény, které by se měly opravit?

Doporučujeme opravit většinu řadičů domény s Windows Serverem 2016 nebo 2019 pomocí opravy, aby se zajistilo, že budou moct zpracovávat zatížení žádosti o ověření ve vaší organizaci.

Na řadiči domény s Windows Serverem 2016 nebo 2019 zkontrolujte, jestli jsou použity následující opravy. V případě potřeby je nainstalujte spuštěním služby Windows Update:

Můžu nasadit poskytovatele přihlašovacích údajů FIDO2 jenom na místní zařízení?

Ne, tato funkce není podporovaná jenom pro místní zařízení. Zprostředkovatel přihlašovacích údajů FIDO2 se nezobrazí.

Přihlášení pomocí klíče zabezpečení FIDO2 nefunguje pro správce domény ani pro jiné účty s vysokými oprávněními. Proč?

Výchozí zásady zabezpečení neudělují Microsoft Entra oprávnění k podepisování účtů s vysokými oprávněními k místním prostředkům.

Z důvodu možných vektorů útoku, které by mohly směřovat z Microsoft Entra ID na Active Directory, se nedoporučuje odblokovat tyto účty tím, že byste uvolnili zásady replikace hesel pro objekt počítače CN=AzureADKerberos,OU=Řadiče domény,<název-DN domény>.

Pod kapotou

Jak je Microsoft Entra Kerberos propojený s místním prostředím služby Active Directory Domain Services?

Existují dvě části: místní prostředí AD DS a tenant Microsoft Entra.

Služby domény Active Directory (AD DS)

Server Microsoft Entra Kerberos je reprezentován v místním prostředí služby Služby Active Directory (AD DS) jako objekt řadiče domény (DC). Tento objekt DC se skládá z více objektů:

  • CN=AzureADKerberos,OU=Domain Controllers,<domain-DN>

    Objekt Počítač představující řadič domény Read-Only (RODC) ve službě AD DS. K tomuto objektu není přidružený žádný počítač. Místo toho se jedná o logickou reprezentaci řadiče domény.

  • CN=krbtgt_AzureAD,CN=Users,<domain-DN>

    Objekt User, který představuje šifrovací klíč pro vydávání lístků TGT (Kerberos ticket) pro řadič domény jen pro čtení (RODC).

  • CN=900274c4-b7d2-43c8-90ee-00a9f650e335,CN=AzureAD,CN=System,<domain-DN>

    ServiceConnectionPoint objekt, který ukládá metadata o objektech serveru Microsoft Entra Kerberos. Nástroje pro správu používají tento objekt k identifikaci a vyhledání objektů serveru Microsoft Entra Kerberos.

Microsoft Entra ID

Server Microsoft Entra Kerberos je reprezentován v Microsoft Entra ID jako KerberosDomain objektu. Každé místní prostředí služby AD DS je reprezentováno jako jeden objekt KerberosDomain v tenantovi Microsoft Entra.

Můžete mít například doménovou strukturu služby AD DS se dvěma doménami, jako jsou contoso.com a fabrikam.com. Pokud povolíte Microsoft Entra ID vydávat lístky udělování lístku Kerberos (TGT) pro celou doménovou strukturu, v Microsoft Entra ID existují dva objekty KerberosDomain – jeden objekt pro contoso.com a jeden pro fabrikam.com.

Pokud máte více lesů AD DS, máte jeden objekt KerberosDomain pro každou doménu v každém lese.

Kde se dají zobrazit tyto objekty serveru Kerberos vytvořené ve službě AD DS a publikované v Microsoft Entra ID?

Pokud chcete zobrazit všechny objekty, použijte rutiny PowerShellu serveru Microsoft Entra Kerberos, které jsou součástí nejnovější verze microsoft Entra Connect.

Další informace, včetně pokynů k zobrazení objektů, naleznete v tématu vytvoření objektu serveru Kerberos.

Proč nemůžeme mít veřejný klíč zaregistrovaný v místní službě AD DS, takže není na internetu žádná závislost?

Obdrželi jsme zpětnou vazbu ohledně složitosti modelu nasazení pro Windows Hello pro firmy, proto jsme chtěli model nasazení zjednodušit, aniž bychom museli používat certifikáty a PKI (FIDO2 nepoužívá certifikáty).

Jak se klíče obměňují v objektu serveru Kerberos?

Stejně jako u jiných řadičů domény by se šifrovací klíče serveru Microsoft Entra Kerberos krbtgt měly pravidelně měnit. Doporučujeme postupovat podle stejného plánu jako při rotaci všech ostatních klíčů služby AD DS krbtgt.

Poznámka

I když existují další nástroje pro otáčení klíčů krbtgt, musíte pomocí rutin PowerShellu otočit klíče krbtgt klíče serveru Microsoft Entra Kerberos. Tato metoda zajišťuje, aby se klíče aktualizovaly v místním prostředí služby AD DS i v Microsoft Entra ID.

Proč potřebujeme Microsoft Entra Connect? Zapisuje ze služby Microsoft Entra ID nějaké informace zpět do služby AD DS?

Microsoft Entra Connect nezapisuje informace z ID Microsoft Entra do služby Active Directory DS. Tento nástroj obsahuje modul PowerShellu pro vytvoření objektu serveru Kerberos ve službě AD DS a jeho publikování v Microsoft Entra ID.

Jak vypadá požadavek HTTP nebo odpověď při vyžádání PRT+ částečného TGT?

Požadavek HTTP je standardní požadavek primárního obnovovacího tokenu (PRT). Tento požadavek PRT obsahuje nárok, který značí, že je potřeba lístek TGT (Kerberos Ticket Granting Ticket).

Tvrzení Hodnota Popis
tgt pravda Nárok označuje, že klient potřebuje TGT.

Microsoft Entra ID kombinuje šifrovaný klíč klienta a vyrovnávací paměť zpráv v odpovědi PRT jako další atributy. Datová část se šifruje pomocí klíče relace zařízení Microsoft Entra.

Pole Typ Popis
klíč_klienta_tgt řetězec Kódovaný klientský klíč base64 (tajný klíč). Tento klíč je tajný klíč klienta použitý k ochraně TGT. V tomto scénáři bez hesla se tajný klíč klienta vygeneruje serverem jako součást každého požadavku TGT a pak se vrátí klientovi v odpovědi.
tgt_key_type Int Lokální typ klíče Active Directory Domain Services (AD DS) používaný jak pro klientský klíč, tak pro klíč relace Kerberos, který je součástí KERB_MESSAGE_BUFFER.
tgt_message_buffer řetězec Kódování Base64 KERB_MESSAGE_BUFFER

Musí být uživatelé členem skupiny Domain Users Active Directory?

Ano. Uživatel musí být ve skupině Domain Users, aby se mohl přihlásit pomocí protokolu Microsoft Entra Kerberos.

Další kroky

Pokud chcete začít používat klíče zabezpečení FIDO2 a hybridní přístup k místním prostředkům, přečtěte si následující články: