Condividi tramite

Domande frequenti (FAQ) sulla distribuzione di chiavi di sicurezza FIDO2 ibride in Microsoft Entra ID

  • Articolo

Questo articolo illustra le domande frequenti sulla distribuzione per i dispositivi ibridi associati a Microsoft Entra e l'accesso senza password alle risorse locali. Con questa funzionalità senza password, è possibile abilitare l'autenticazione di Microsoft Entra nei dispositivi Windows 10 per i dispositivi aggiunti all'ambiente ibrido di Microsoft Entra usando le chiavi di sicurezza FIDO2. Gli utenti possono accedere a Windows nei propri dispositivi con credenziali moderne, ad esempio chiavi FIDO2 e accedere alle risorse tradizionali basate su Active Directory Domain Services (AD DS) con un'esperienza single sign-on (SSO) facile per le risorse locali.

Sono supportati gli scenari seguenti per gli utenti in un ambiente ibrido:

  • Accedere ai dispositivi aggiunti all'ambiente ibrido di Microsoft Entra usando le chiavi di sicurezza FIDO2 e ottenere l'accesso SSO alle risorse locali.
  • Accedere ai dispositivi aggiunti a Microsoft Entra usando le chiavi di sicurezza FIDO2 e ottenere l'accesso SSO alle risorse locali.

Per iniziare a usare le chiavi di sicurezza FIDO2 e l'accesso ibrido alle risorse locali, vedere gli articoli seguenti:

Chiavi di sicurezza

L'organizzazione richiede l'autenticazione a più fattori per accedere alle risorse. Cosa è possibile fare per supportare questo requisito?

Le chiavi di sicurezza FIDO2 sono disponibili in diversi fattori di forma. Contattare il produttore del dispositivo di interesse per discutere come abilitare i propri dispositivi con un PIN o una biometria come secondo fattore. Per un elenco dei fornitori supportati, vedere fornitori delle chiavi di sicurezza FIDO2.

Dove è possibile trovare le chiavi di sicurezza FIDO2 conformi?

Per un elenco dei provider supportati, vedere provider di chiavi di sicurezza FIDO2.

Cosa succede se si perde la chiave di sicurezza?

È possibile rimuovere le chiavi passando alla pagina Informazioni di sicurezza e rimuovendo la chiave di sicurezza FIDO2.

Come sono protetti i dati nella chiave di sicurezza FIDO2?

Le chiavi di sicurezza FIDO2 hanno enclave sicuri che proteggono le chiavi private archiviate. Una chiave di sicurezza FIDO2 include anche misure di protezione contro l'attacco di forza bruta, com'è in Windows Hello, in cui non è possibile estrarre la chiave privata.

Come funziona la registrazione delle chiavi di sicurezza FIDO2?

Per altre informazioni su come registrare e usare le chiavi di sicurezza FIDO2, vedere Abilitare l'accesso con chiave di sicurezza senza password.

È possibile consentire agli amministratori di effettuare direttamente il provisioning delle chiavi per gli utenti?

No, non in questo momento.

Perché viene visualizzato "NotAllowedError" nel browser, quando si registrano chiavi FIDO2?

Riceverai "NotAllowedError" dalla pagina di registrazione della chiave FIDO2. Ciò si verifica in genere quando si verifica un errore mentre Windows tenta un'operazione di autenticazione CTAP2MakeCredential sulla chiave di sicurezza. Verranno visualizzati altri dettagli nel registro eventi Microsoft-Windows-WebAuthN/Operational.

Prerequisiti

Questa funzionalità funziona se non è disponibile connettività Internet?

La connettività Internet è un prerequisito per abilitare questa funzionalità. La prima volta che un utente accede usando le chiavi di sicurezza FIDO2, deve avere connettività Internet. Per gli eventi di accesso successivi, l'accesso memorizzato nella cache dovrebbe funzionare e consentire all'utente di eseguire l'autenticazione senza connettività Internet.

Per un'esperienza coerente, assicurarsi che i dispositivi dispongano dell'accesso a Internet e della linea di visualizzazione ai controller di dominio.

Quali sono i punti finali specifici che devono essere aperti all'ID Entra Di Microsoft?

Per la registrazione e l'autenticazione sono necessari gli endpoint seguenti:

  • *.microsoftonline.com
  • *.microsoftonline-p.com
  • *.msauth.net
  • *.msauthimages.net
  • *.msecnd.net
  • *.msftauth.net
  • *.msftauthimages.net
  • *.phonefactor.net
  • enterpriseregistration.windows.net
  • management.azure.com
  • policykeyservice.dc.ad.msft.net
  • secure.aadcdn.microsoftonline-p.com

Per un elenco completo degli endpoint necessari per l'uso dei prodotti Microsoft Online, vedere URL e intervalli di indirizzi IP di Office 365.

Come posso identificare il tipo di collegamento al dominio (Microsoft Entra standard o Microsoft Entra ibrido) per il mio dispositivo Windows 10?

Per verificare se il dispositivo client Windows 10 ha il tipo di aggiunta al dominio corretto, usare il comando seguente:

Dsregcmd /status

L'output di esempio seguente mostra che il dispositivo è unito a Microsoft Entra come AzureADJoined è impostato su :

+---------------------+
| Device State        |
+---------------------+

AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: NO

L'output di esempio seguente mostra che il dispositivo è ibrido collegato a Microsoft Entra come DomainedJoined ed è impostato anche su YES. Viene visualizzato anche DomainName:

+---------------------+
| Device State        |
+---------------------+

AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: YES
DomainName: CONTOSO

In un controller di dominio di Windows Server 2016 o 2019 verificare che siano applicate le patch seguenti. Se necessario, eseguire Windows Update per installarli:

Da un dispositivo client eseguire il comando seguente per verificare la connettività a un controller di dominio appropriato con le patch installate:

nltest /dsgetdc:<domain> /keylist /kdc

Qual è la raccomandazione sul numero di controller di dominio da aggiornare con le patch?

È consigliabile applicare patch alla maggior parte dei controller di dominio di Windows Server 2016 o 2019 con la patch per assicurarsi che possano gestire il carico della richiesta di autenticazione dell'organizzazione.

In un controller di dominio di Windows Server 2016 o 2019 verificare che siano applicate le patch seguenti. Se necessario, eseguire Windows Update per installarli:

È possibile distribuire il provider di credenziali FIDO2 in un dispositivo solo locale?

No, questa funzionalità non è supportata per dispositivi on-premises. Il provider di credenziali FIDO2 non viene visualizzato.

L'accesso alla chiave di sicurezza FIDO2 non funziona per l'amministratore di dominio o per altri account con privilegi elevati. Perché?

I criteri di sicurezza predefiniti non concedono a Microsoft Entra l'autorizzazione per firmare account con privilegi elevati alle risorse locali.

A causa di possibili vettori di attacco da Microsoft Entra ID ad Active Directory, non è consigliabile sbloccare questi account allentando i criteri di replica della password dell'oggetto computer CN=AzureADKerberos,OU=Controller di Dominio,<domain-DN>.

Sotto il cofano

In che modo Microsoft Entra Kerberos è collegato all'ambiente Active Directory Domain Services locale?

Esistono due parti: l'ambiente di Active Directory Domain Services locale e il tenant di Microsoft Entra.

Active Directory Domain Services (AD DS)

Il server Kerberos di Microsoft Entra è rappresentato in un ambiente di Active Directory Domain Services locale come un oggetto controller di dominio (DC). Questo oggetto DC è costituito da più oggetti:

  • CN=AzureADKerberos,OU=Domain Controllers,<domain-DN>

    Oggetto computer che rappresenta un controller di dominio Read-Only in Active Directory Domain Services. Nessun computer associato a questo oggetto. È invece una rappresentazione logica di un controller di dominio.

  • CN=krbtgt_AzureAD,CN=Users,<domain-DN>

    Un oggetto utente che rappresenta una chiave di crittografia del Ticket Granting Ticket (TGT) Kerberos di un controller di dominio di sola lettura (RODC).

  • CN=900274c4-b7d2-43c8-90ee-00a9f650e335,CN=AzureAD,CN=System,<domain-DN>

    Oggetto ServiceConnectionPoint che archivia i metadati relativi agli oggetti server Kerberos di Microsoft Entra. Gli strumenti di amministrazione usano questo oggetto per identificare e individuare gli oggetti server Kerberos di Microsoft Entra.

Microsoft Entra ID

Il server Kerberos Microsoft Entra è rappresentato in Microsoft Entra ID come un oggetto KerberosDomain. Ogni ambiente di Active Directory Domain Services locale viene rappresentato come un singolo oggetto KerberosDomain nel tenant di Microsoft Entra.

Ad esempio, è possibile avere una foresta di Active Directory Domain Services con due domini, ad esempio contoso.com e fabrikam.com. Se si consente a Microsoft Entra ID di rilasciare Ticket Granting Tickets (TGT) Kerberos per l'intera foresta, sono presenti due oggetti KerberosDomain in Microsoft Entra ID, un oggetto per contoso.com e uno per fabrikam.com.

Se sono presenti più foreste di Active Directory Domain Services, è presente un oggetto KerberosDomain per ogni dominio in ogni foresta.

Dove è possibile visualizzare questi oggetti server Kerberos creati in Active Directory Domain Services e pubblicati in Microsoft Entra ID?

Per visualizzare tutti gli oggetti, usare i cmdlet powerShell del server Microsoft Entra Kerberos inclusi nella versione più recente di Microsoft Entra Connect.

Per altre informazioni, incluse le istruzioni su come visualizzare gli oggetti, vedere creare un oggetto Server Kerberos.

Perché non è possibile registrare la chiave pubblica in Active Directory Domain Services locale, quindi non esiste alcuna dipendenza da Internet?

Sono stati ricevuti commenti e suggerimenti sulla complessità del modello di distribuzione per Windows Hello for Business, quindi si è voluto semplificare il modello di distribuzione senza dover usare certificati e PKI (FIDO2 non usa certificati).

Come vengono ruotate le chiavi nell'oggetto server Kerberos?

Come per qualsiasi altro controller di dominio, le chiavi di crittografia del server Kerberos di Microsoft Entra krbtgt devono essere ruotate regolarmente. È consigliabile seguire la stessa pianificazione usata per ruotare tutte le altre chiavi di Active Directory Domain Services krbtgt.

Nota

Anche se sono disponibili altri strumenti per ruotare le chiavi krbtgt, è necessario usare i cmdlet di PowerShell per ruotare le chiavi krbtgt del server Kerberos di Microsoft Entra. Questo metodo assicura che le chiavi vengano aggiornate sia nell'ambiente di Active Directory Domain Services locale che in Microsoft Entra ID.

Perché è necessario Microsoft Entra Connect? Scrive informazioni in Servizi di dominio Active Directory da Microsoft Entra ID?

Microsoft Entra Connect non scrive le informazioni da Microsoft Entra ID nel Active Directory DS. L'utilità include il modulo PowerShell per creare l'oggetto server Kerberos in Active Directory Domain Services e pubblicarlo in Microsoft Entra ID.

Qual è l'aspetto della richiesta/risposta HTTP quando si richiede PRT+ parziale TGT?

La richiesta HTTP è una richiesta di token di aggiornamento primario (PRT) standard. Questa richiesta PRT include un'attestazione che indica che è necessario un Ticket Granting Ticket (TGT) Kerberos.

Richiesta Valore Descrizione
tgt vero L'attestazione indica che il client necessita di un TGT.

Microsoft Entra ID combina la chiave client crittografata e il buffer dei messaggi nella risposta PRT come proprietà aggiuntive. Il payload viene crittografato usando la chiave di sessione del dispositivo Microsoft Entra.

Campo Digitare Descrizione
tgt_client_key corda Una chiave client codificata in Base64 (chiave segreta). Questa chiave è il segreto del client usato per proteggere il TGT. In questo scenario senza password, il segreto client viene generato dal server come parte di ogni richiesta TGT e quindi restituito al client nella risposta.
tgt_key_type Int Tipo di chiave di Active Directory Domain Services locale usato sia per la chiave client che per la chiave di sessione Kerberos inclusa nella KERB_MESSAGE_BUFFER.
tgt_message_buffer corda KERB_MESSAGE_BUFFER con codifica Base64.

Gli utenti devono essere membri del gruppo Active Directory Domain Users?

Sì. Un utente deve trovarsi nel gruppo Domain Users per poter accedere tramite Microsoft Entra Kerberos.

Passaggi successivi

Per iniziare a usare le chiavi di sicurezza FIDO2 e l'accesso ibrido alle risorse locali, vedere gli articoli seguenti: