Povolte přihlašování k místním prostředkům pomocí bezpečnostního klíče bez hesla pomocí Microsoft Entra ID.

Toto téma ukazuje, jak povolit ověřování bez hesla pro místní prostředky pro prostředí se zařízeními se systémem Windows 10 verze 2004 nebo novějším. Zařízení můžou být připojena k Microsoft Entra nebo hybridně připojena k Microsoft Entra. Tato funkčnost ověřování bez hesel poskytuje bezproblémové jednotné přihlašování (SSO) k místním prostředkům, pokud používáte bezpečnostní klíče kompatibilní s Microsoftem, nebo s cloudovou důvěrou Windows Hello pro firmy.

Použijte jednotné přihlašování (SSO) k přihlášení do místních prostředků pomocí klíčů FIDO2.

Microsoft Entra ID může vydávat lístky pro udělování přístupových práv Kerberos (TGT) pro jednu nebo více domén služby Active Directory. Díky této funkci se uživatelé můžou přihlásit k Windows pomocí moderních přihlašovacích údajů, jako jsou klíče zabezpečení FIDO2, a pak přistupovat k tradičním prostředkům založeným na službě Active Directory. Lístky služby a autorizace protokolu Kerberos jsou nadále řízeny vašimi místními řadiči domény Active Directory.

V instanci vašeho místního Active Directory se vytvoří Microsoft Entra Kerberos objekt serveru, který je pak bezpečně publikován do Microsoft Entra ID. Objekt není přidružený k žádným fyzickým serverům. Je to jednoduše prostředek, který může Microsoft Entra ID použít k vygenerování Kerberos TGT pro vaši Active Directory doménu.

1. Uživatel se přihlásí k zařízení s Windows 10 pomocí klíče zabezpečení FIDO2 a ověří se v Microsoft Entra ID.

2. Microsoft Entra ID zkontroluje adresář pro klíč serveru Kerberos, který odpovídá místní Active Directory doméně uživatele.

   Microsoft Entra ID generuje Kerberos TGT pro doménu Active Directory v uživatelově místním prostředí. TGT zahrnuje pouze SID uživatele a žádná autorizační data.

3. TGT se vrátí klientovi spolu s primárním obnovovacím tokenem Microsoft Entra (PRT).

4. Klientský počítač kontaktuje místní řadič domény Active Directory a vyměňuje částečné TGT za plně vytvořené TGT.

5. Klientský počítač nyní disponuje Microsoft Entra PRT a úplným TGT služby Active Directory a může přistupovat k cloudovým i lokálním prostředkům.

Požadavky

Než začnete s postupy v tomto článku, musí vaše organizace dokončit pokyny v Aktivovat klíče hesel (FIDO2) pro vaši organizaci.

Musíte také splnit následující požadavky na systém:

• Zařízení musí používat Windows 10 verze 2004 nebo novější.

• Řadiče domény Windows Serveru musí používat Windows Server 2016 nebo novější a musí mít nainstalované opravy pro následující servery:

  • Windows Server 2016
  • Windows Server 2019

• AES256_HMAC_SHA1 musí být povolena, když je zásada Zabezpečení sítě: Konfigurace povolených typů šifrování pro Kerberosnakonfigurovaná na řadičích domény.

• Musíte mít přihlašovací údaje potřebné k dokončení kroků ve scénáři:

  • Uživatel služby Active Directory, který je členem skupiny Domain Admins pro doménu a členem skupiny Enterprise Admins pro les. Označuje se jako $domainCred.
  • Uživatel Microsoft Entra s rolí Správci hybridní identity. Označuje se jako $cloudCred.

• Uživatelé musí mít následující atributy Microsoft Entra naplněné prostřednictvím služby Microsoft Entra Connect:

  • onPremisesSamAccountName (accountName ve Microsoft Entra Connect)
  • onPremisesDomainName (domainFQDN ve Microsoft Entra Connect)
  • onPremisesSecurityIdentifier (objectSID ve Microsoft Entra Connect)

  Microsoft Entra Connect ve výchozím nastavení synchronizuje tyto atributy. Pokud změníte atributy, které se mají synchronizovat, nezapomeňte vybrat accountName, domainFQDNa objectSID pro synchronizaci.

Podporované scénáře

Scénář v tomto článku podporuje jednotné přihlašování v obou následujících případech:

• Cloudové prostředky, jako jsou Microsoft 365 a jiné aplikace s podporou SAML (Security Assertion Markup Language).
• Prostředky na místních serverech a ověřování webových stránek integrované s Windows. Prostředky mohou zahrnovat webové stránky a SharePoint stránky, které vyžadují ověřování IIS a/nebo prostředky, které používají ověřování NTLM.

Nepodporované scénáře

Následující scénáře se nepodporují:

• Nasazení zařízení připojených ke službě Active Directory Domain Services (AD DS) na platformě Windows Server, určené pouze pro místní zařízení.
• Scénáře protokolu RDP (Remote Desktop Protocol), infrastruktury virtuálních klientských počítačů (VDI) a Citrixu pomocí klíče zabezpečení.
• S/MIME pomocí bezpečnostního klíče.
• Spustit jako za použití klíče zabezpečení.
• Přihlaste se k serveru pomocí klíče zabezpečení.

Instalace modulu AzureADHybridAuthenticationManagement

Modul AzureADHybridAuthenticationManagement poskytuje správcům funkce správy FIDO2.

1. Otevřete příkazový řádek PowerShellu pomocí možnosti Spustit jako správce.

2. AzureADHybridAuthenticationManagement Nainstalujte modul:

   # First, ensure TLS 1.2 for PowerShell gallery access.
   [Net.ServicePointManager]::SecurityProtocol = [Net.ServicePointManager]::SecurityProtocol -bor [Net.SecurityProtocolType]::Tls12
   
   # Install the AzureADHybridAuthenticationManagement PowerShell module.
   Install-Module -Name AzureADHybridAuthenticationManagement -AllowClobber
   

Poznámka:

• Od aktualizace 2.3.331.0 modul AzureADHybridAuthenticationManagement neinstaluje modul AzureADPreview.
• Modul můžete nainstalovat do libovolného AzureADHybridAuthenticationManagement počítače, ze kterého budete mít přístup ke svému řadiči domény místní Active Directory bez závislosti na řešení Microsoft Entra Connect.
• Modul AzureADHybridAuthenticationManagement se distribuuje prostřednictvím Galerie prostředí PowerShell. Galerie prostředí PowerShell je centrální úložiště pro obsah PowerShellu. V něm najdete užitečné moduly PowerShellu, které obsahují příkazy PowerShellu a prostředky DSC (Desired State Configuration).

Vytvoření objektu serveru Kerberos

Správci tento modul používají AzureADHybridAuthenticationManagement k vytvoření objektu serveru Microsoft Entra Kerberos ve svém místním adresáři. Objekt musí být vytvořen na serveru Microsoft Entra Connect nebo na serveru, který má nainstalovanou Microsoft.Online.PasswordSynchronization.Rpc.dll závislost.

V každé doméně a doménové struktuře ve vaší organizaci, které obsahují uživatele Microsoft Entra, spusťte následující kroky:

1. Otevřete příkazový řádek PowerShellu pomocí možnosti Spustit jako správce.
2. Spuštěním následujících příkazů PowerShellu vytvořte nový objekt serveru Microsoft Entra Kerberos ve vaší místní Active Directory doméně i v tenantovi Microsoft Entra.

Výběr cloudu Azure (výchozí hodnota je komerční azure)

Ve výchozím nastavení bude rutina Set-AzureADKerberosSever používat koncové body komerčního cloudu. Pokud konfigurujete Kerberos v jiném cloudovém prostředí, musíte nastavit rutinu tak, aby používala zadaný cloud.

Pokud chcete získat seznam dostupných cloudů a číselnou hodnotu potřebnou ke změně, spusťte následující příkaz:
Get-AzureADKerberosServerEndpoint

Příklad výstupu:

Current Endpoint = 0(Public)
Supported Endpoints:
   0 :Public
   1 :China
   2 :Us Government

Poznamenejte si číselnou hodnotu vedle požadovaného cloudového prostředí.

Pokud chcete nastavit požadované cloudové prostředí, spusťte následující příkaz:

(Příklad: Pro cloud pro státní správu USA)

Set-AzureADKerberosServerEndpoint -TargetEndpoint 2

Tip

Další informace o porovnání komerčních a suverénních cloudů Azure najdete v tématu: Rozdíly mezi komerčními a suverénními cloudy Azure.

Příklad 1 – výzva k zadání všech přihlašovacích údajů

# Specify the on-premises Active Directory domain. A new Microsoft Entra ID
# Kerberos Server object will be created in this Active Directory domain.
$domain = $env:USERDNSDOMAIN

# Enter an Azure Active Directory Hybrid Identity Administrator username and password.
$cloudCred = Get-Credential -Message 'An Active Directory user who is a member of the Hybrid Identity Administrators group for Microsoft Entra ID.'

# Enter a Domain Administrator username and password.
$domainCred = Get-Credential -Message 'An Active Directory user who is a member of the Domain Admins group.'

# Create the new Microsoft Entra ID Kerberos Server object in Active Directory
# and then publish it to Azure Active Directory.
Set-AzureADKerberosServer -Domain $domain -CloudCredential $cloudCred -DomainCredential $domainCred

Příklad 2 výzvy ke cloudovým přihlašovacím údajům

Poznámka:

Pokud pracujete na počítači připojeném k doméně s účtem s oprávněními správce domény, můžete parametr -DomainCredential přeskočit. Pokud není zadaný parametr -DomainCredential, použije se aktuální přihlašovací údaje windows pro přístup k vašemu místní Active Directory řadiči domény.

# Specify the on-premises Active Directory domain. A new Microsoft Entra ID
# Kerberos Server object will be created in this Active Directory domain.
$domain = $env:USERDNSDOMAIN

# Enter an Azure Active Directory Hybrid Identity Administrator username and password.
$cloudCred = Get-Credential

# Create the new Microsoft Entra ID Kerberos Server object in Active Directory
# and then publish it to Azure Active Directory.
# Use the current windows login credential to access the on-premises AD.
Set-AzureADKerberosServer -Domain $domain -CloudCredential $cloudCred

Příklad 3 výzva k zadání všech přihlašovacích údajů pomocí moderního ověřování

Poznámka:

Pokud vaše organizace chrání přihlašování založené na heslech a vynucuje moderní metody ověřování, jako je vícefaktorové ověřování, technologie FIDO2 nebo čipové karty, musíte použít -UserPrincipalName parametr s hlavním názvem uživatele (UPN) správce hybridní identity.

• V následujícím příkladu nahraďte contoso.corp.com názvem domény místní Active Directory.
• V následujícím příkladu nahraďte administrator@contoso.onmicrosoft.com UPN administrátora hybridní identity.

# Specify the on-premises Active Directory domain. A new Microsoft Entra ID
# Kerberos Server object will be created in this Active Directory domain.
$domain = $env:USERDNSDOMAIN

# Enter a UPN of a Hybrid Identity Administrator
$userPrincipalName = "administrator@contoso.onmicrosoft.com"

# Enter a Domain Administrator username and password.
$domainCred = Get-Credential

# Create the new Microsoft Entra ID Kerberos Server object in Active Directory
# and then publish it to Azure Active Directory.
# Open an interactive sign-in prompt with given username to access the Microsoft Entra ID.
Set-AzureADKerberosServer -Domain $domain -UserPrincipalName $userPrincipalName -DomainCredential $domainCred

Příklad 4 výzvy k zadání cloudových přihlašovacích údajů pomocí moderního ověřování

Poznámka:

Pokud pracujete na počítači připojeném k doméně s účtem, který má oprávnění správce domény a vaše organizace chrání přihlašování založené na heslech a vynucuje moderní metody ověřování, jako je vícefaktorové ověřování, FIDO2 nebo technologie čipových karet, musíte použít -UserPrincipalName parametr s hlavním názvem uživatele (UPN) správce hybridní identity. A můžete přeskočit parametr -DomainCredential. > – V následujícím příkladu nahraďte administrator@contoso.onmicrosoft.com uživatelským hlavním názvem (UPN) správce hybridní identity.

# Specify the on-premises Active Directory domain. A new Microsoft Entra ID
# Kerberos Server object will be created in this Active Directory domain.
$domain = $env:USERDNSDOMAIN

# Enter a UPN of a Hybrid Identity Administrator
$userPrincipalName = "administrator@contoso.onmicrosoft.com"

# Create the new Microsoft Entra ID Kerberos Server object in Active Directory
# and then publish it to Azure Active Directory.
# Open an interactive sign-in prompt with given username to access the Microsoft Entra ID.
Set-AzureADKerberosServer -Domain $domain -UserPrincipalName $userPrincipalName

Zobrazení a ověření serveru Microsoft Entra Kerberos

Nově vytvořený server Microsoft Entra Kerberos můžete zobrazit a ověřit pomocí následujícího příkazu:

 # When prompted to provide domain credentials use the userprincipalname format for the username instead of domain\username
Get-AzureADKerberosServer -Domain $domain -UserPrincipalName $userPrincipalName -DomainCredential (get-credential)

Tento příkaz vypíše vlastnosti serveru Microsoft Entra Kerberos. Můžete si zkontrolovat vlastnosti a ověřit, jestli je všechno v pořádku.

Poznámka:

Při pokusu o připojení k jiné doméně pomocí přihlašovacích údajů ve formátu doména\uživatelské_jméno se nejprve připojíte přes NTLM, ale pak dojde k selhání. Použití formátu UserPrincipalName pro správce domény však zajistí, že pokus o správné navázání vazby RPC na řadič domény pomocí protokolu Kerberos bude úspěšný. Pokud jsou uživatelé ve skupině zabezpečení Chrání uživatelé ve službě Active Directory, vyřešte tento problém pomocí těchto kroků: Přihlaste se jako jiný uživatel domény ve službě ADConnect a nepoužívejte "-domainCredential". Použije se lístek Kerberos uživatele, který je aktuálně přihlášený. Provedením příkazu whoami /groups můžete ověřit, jestli má uživatel požadovaná oprávnění ke spuštění předchozího příkazu ve službě Active Directory.

Vlastnost	Popis
Identifikátor	Jedinečné ID objektu DC v rámci služby Active Directory Domain Services. Toto ID je někdy označováno jako slot nebo ID větve.
DomainDnsName	Název domény DNS domény služby Active Directory.
Uživatelský účet počítače	Objekt účtu počítače na serveru Microsoft Entra Kerberos (dc)
Uživatelský účet	Zakázaný objekt uživatelského účtu, který obsahuje šifrovací klíč TGT serveru Microsoft Entra Kerberos. Název domény tohoto účtu je CN=krbtgt_AzureAD,CN=Users,<Domain-DN>.
KlíčováVerze	Klíčová verze šifrovacího klíče TGT serveru Microsoft Entra Kerberos. Verze se přiřadí při vytvoření klíče. Verze se pak zvyšuje při každé obměně klíče. Přírůstky jsou založené na metadatech o replikaci a jsou pravděpodobně vyšší než jedna. Například počáteční KeyVersion může být 192272. Při prvním otočení klíče může verze přejít na 212621. Důležité je ověřit, že keyVersion pro místní objekt a CloudKeyVersion pro cloudový objekt jsou stejné.
KlíčAktualizovánDne	Datum a čas, kdy byl šifrovací klíč TGT serveru Microsoft Entra Kerberos aktualizován nebo vytvořen.
Klíč aktualizován z	Řadič domény, kde byl naposledy aktualizován šifrovací klíč serveru Microsoft Entra Kerberos TGT.
CloudId	ID z objektu Microsoft Entra. Musí odpovídat ID z prvního řádku tabulky.
CloudDomainDnsName	DomainDnsName z objektu Microsoft Entra. Musí odpovídat DomainDnsName z druhého řádku tabulky.
Verze Cloudového Klíče	KeyVersion z objektu Microsoft Entra. Musí odpovídat keyVersion z pátého řádku tabulky.
KlíčClouduAktualizovánDne	Z objektu Microsoft Entra pochází KeyUpdatedOn. Musí odpovídat KeyUpdatedOn ze šestého řádku tabulky.

Rotace klíče serveru Microsoft Entra Kerberos

Šifrovací klíče serveru Microsoft Entra Kerberos krbtgt by se měly pravidelně obměňovat. Doporučujeme postupovat podle stejného plánu, který používáte k obměně všech ostatních klíčů nástroje Active Directory DC krbtgt .

Varování

Existují další nástroje, které by mohly otočit klíče krbtgt . K otočení klíčů krbtgt serveru Microsoft Entra Kerberos však musíte použít nástroje zmíněné v tomto dokumentu. Tím se zajistí, že se klíče aktualizují jak v místní Active Directory, tak v Microsoft Entra ID.

Set-AzureADKerberosServer -Domain $domain -CloudCredential $cloudCred -DomainCredential $domainCred -RotateServerKey

Odebrání serveru Microsoft Entra Kerberos

Pokud chcete vrátit scénář a odebrat server Microsoft Entra Kerberos z místní Active Directory i Microsoft Entra ID, spusťte následující příkaz:

Remove-AzureADKerberosServer -Domain $domain -CloudCredential $cloudCred -DomainCredential $domainCred

Scénáře pro více lesů a domén

Objekt serveru Microsoft Entra Kerberos je reprezentován v Microsoft Entra ID jako kerberosDomain objekt. Každá místní Active Directory doména je reprezentována jako jeden objekt KerberosDomain v Microsoft Entra ID.

Řekněme například, že vaše organizace má doménovou strukturu služby Active Directory se dvěma doménami contoso.com a fabrikam.com. Pokud se rozhodnete povolit Microsoft Entra ID vydávat Kerberos TGT pro celou doménovou strukturu, existují dva objekty KerberosDomain v Microsoft Entra ID, jeden objekt KerberosDomain pro contoso.com a druhý pro fabrikam.com. Pokud máte více doménových struktur služby Active Directory, existuje jeden objekt KerberosDomain pro každou doménu v každé doménové struktuře.

Postupujte podle pokynů v Vytvoření objektu serveru Kerberos v každé doméně a lese ve vaší organizaci, která obsahuje uživatele Microsoft Entra.

Známé chování

Pokud vypršela platnost hesla, přihlášení pomocí FIDO je zablokované. Očekávání spočívá v tom, že uživatelé resetují svá hesla, než se budou moct přihlásit pomocí FIDO. Toto chování platí také pro hybridní přihlašování uživatelů synchronizované na místě s Windows Hello for Business pomocí cloudovou důvěrou Kerberos.

Řešení potíží a zpětná vazba

Pokud narazíte na problémy nebo chcete sdílet zpětnou vazbu k této funkci přihlašování pomocí hesla bez hesla, sdílejte ji prostřednictvím aplikace Centrum Windows Feedback následujícím způsobem:

1. Otevřete Centrum Feedback a ujistěte se, že jste přihlášení.
2. Odešlete zpětnou vazbu výběrem následujících kategorií:
   • Kategorie: Zabezpečení a ochrana osobních údajů
   • Podkategorie: FIDO
3. Pokud chcete zaznamenat logy, použijte Recreate my Problem možnost.

Nejčastější dotazy k přihlašování k bezpečnostnímu klíči bez hesla

Tady jsou některé odpovědi na nejčastější dotazy týkající se přihlašování bez hesla:

Funguje přihlašování pomocí bezpečnostního klíče bez hesla v místním prostředí?

Tato funkce nefunguje v čistě místním prostředí služby AD DS.

Moje organizace vyžaduje dvoufaktorové ověřování pro přístup k prostředkům. Co můžu udělat pro podporu tohoto požadavku?

Klíče zabezpečení přicházejí v různých podobách. Požádejte oficiálního výrobce zařízení a prodiskutujte, jak lze jejich zařízení zabezpečit pomocí PIN nebo biometriky jako druhého faktoru.

Můžou správci nastavit klíče zabezpečení?

Pracujeme na této funkci pro její obecnou dostupnost (GA).

Kde najdu kompatibilní klíče zabezpečení?

Informace o kompatibilních klíčích zabezpečení najdete v tématu Klíče zabezpečení FIDO2.

Co můžu dělat, když ztratím svůj bezpečnostní klíč?

Pokud chcete odstranit zaregistrovaný bezpečnostní klíč, přihlaste se k myaccount.microsoft.com a přejděte na stránku Bezpečnostní údaje .

Co můžu dělat, když nemůžu použít klíč zabezpečení FIDO hned po vytvoření hybridního počítače připojeného k Microsoft Entra?

Pokud provádíte čistou instalaci počítače připojeného k Microsoft Entra v hybridním režimu, po připojení k doméně a restartu je nutné se přihlásit pomocí hesla a počkat na synchronizaci politik, než se budete moci přihlásit pomocí bezpečnostního klíče FIDO.

• Zkontrolujte aktuální stav spuštěním dsregcmd /status v okně příkazového řádku a zkontrolujte, jestli se stav AzureAdJoined i DomainJoined zobrazují jako ANO.
• Toto zpoždění při synchronizaci představuje známé omezení zařízení připojených k doméně a není specifické pro FIDO.

Co když se po přihlášení pomocí FIDO nemohu připojit k síťovému prostředku NTLM pomocí jednotného přihlášení a zobrazí se výzva k zadání přihlašovacích údajů?

Ujistěte se, že je dostatek řadičů domény aktualizovaných, aby mohly včas reagovat na vaši žádost o prostředky. Pokud chcete zjistit, jestli je na řadiči domény tato funkce spuštěna, spusťte nltest /dsgetdc:contoso /keylist /kdc a zkontrolujte výstup.

Poznámka:

Přepínač /keylist v nltest příkazu je k dispozici v klientském systému Windows 10 v2004 a novějším.

Je pro Microsoft Entra Kerberos k dispozici maximální počet skupin na token?

Ano, pro každý token můžete mít až 1 010 skupin.

Fungují bezpečnostní klíče FIDO2 při přihlášení do Windows, když je v hybridním prostředí přítomen řadič domény pouze pro čtení?

Přihlášení k systému Windows FIDO2 hledá zapisovatelný doménový řadič pro výměnu uživatelského pověření TGT. Pokud máte alespoň jeden zapisovatelný řadič domény na každé lokalitě, funguje přihlášení správně.

Další kroky

Další informace o ověřování bez hesla