Delen via

Veelgestelde vragen over implementatie voor hybride FIDO2-beveiligingssleutels in Microsoft Entra-id

  • Artikel

In dit artikel vindt u antwoorden op veelgestelde vragen (FAQs) over de implementatie van hybride apparaten die zijn toegevoegd aan Microsoft Entra en het aanmelden zonder wachtwoord bij on-premises resources. Met deze functie zonder wachtwoord kunt u Microsoft Entra-verificatie inschakelen op Windows 10-apparaten voor hybride apparaten van Microsoft Entra met behulp van FIDO2-beveiligingssleutels. Gebruikers kunnen zich aanmelden bij Windows op hun apparaten met moderne referenties, zoals FIDO2-sleutels en toegang krijgen tot traditionele AD DS-resources (Active Directory Domain Services) met een naadloze ervaring voor eenmalige aanmelding (SSO) voor hun on-premises resources.

De volgende scenario's voor gebruikers in een hybride omgeving worden ondersteund:

  • Meld u aan bij hybride apparaten van Microsoft Entra met behulp van FIDO2-beveiligingssleutels en krijg SSO-toegang tot on-premises resources.
  • Meld u aan bij apparaten die zijn toegevoegd aan Microsoft Entra met behulp van FIDO2-beveiligingssleutels en krijg SSO-toegang tot on-premises resources.

Raadpleeg de volgende artikelen om aan de slag te gaan met FIDO2-beveiligingssleutels en hybride toegang tot on-premises resources:

Beveiligingssleutels

Voor mijn organisatie is meervoudige verificatie vereist voor toegang tot resources. Wat kan ik doen om deze vereiste te ondersteunen?

FIDO2-beveiligingssleutels worden geleverd in verschillende vormfactoren. Neem contact op met de fabrikant van het apparaat om te bespreken hoe hun apparaten kunnen worden ingeschakeld met een pincode of biometrie als tweede factor. Zie FIDO2-beveiligingssleutelprovidersvoor een lijst met ondersteunde providers.

Waar vind ik compatibele FIDO2-beveiligingssleutels?

Zie FIDO2-beveiligingssleutelprovidersvoor een lijst met ondersteunde providers.

Wat gebeurt er als ik mijn beveiligingssleutel kwijtraakt?

U kunt sleutels verwijderen door naar de pagina Beveiligingsgegevens te gaan en de FIDO2-beveiligingssleutel te verwijderen.

Hoe worden de gegevens beveiligd op de FIDO2-beveiligingssleutel?

FIDO2-beveiligingssleutels hebben beveiligde enclaves die de persoonlijke sleutels beveiligen die erop zijn opgeslagen. Een FIDO2-beveiligingssleutel heeft ook ingebouwde anti-hamereigenschappen, zoals in Windows Hello, waar u de persoonlijke sleutel niet kunt extraheren.

Hoe werkt het registreren van FIDO2-beveiligingssleutels?

Zie voor meer informatie over het registreren en gebruiken van FIDO2-beveiligingssleutels aanmelden zonder wachtwoord inschakelen.

Is er een manier voor beheerders om de sleutels rechtstreeks voor de gebruikers in te richten?

Nee, niet op dit moment.

Waarom krijg ik 'NotAllowedError' in de browser, bij het registreren van FIDO2-sleutels?

U ontvangt 'NotAllowedError' op de pagina voor fido2-sleutelregistratie. Dit gebeurt meestal wanneer er een fout optreedt tijdens een CTAP2 authenticator MakeCredential-bewerking met de beveiligingssleutel. U ziet meer informatie in het gebeurtenislogboek Microsoft-Windows-WebAuthN/Operational.

Voorwaarden

Werkt deze functie als er geen internetverbinding is?

Internetverbinding is een vereiste om deze functie in te schakelen. De eerste keer dat een gebruiker zich aanmeldt met FIDO2-beveiligingssleutels, moet deze een internetverbinding hebben. Voor volgende aanmeldingsgebeurtenissen moet aanmelding in de cache werken en kan de gebruiker zich verifiëren zonder internetverbinding.

Zorg ervoor dat apparaten toegang hebben tot internet en direct zicht hebben op DC's voor een consistente ervaring.

Wat zijn de specifieke eindpunten die open moeten staan voor Microsoft Entra ID?

De volgende eindpunten zijn nodig voor registratie en verificatie:

  • *.microsoftonline.com
  • *.microsoftonline-p.com
  • *.msauth.net
  • *.msauthimages.net
  • *.msecnd.net
  • *.msftauth.net
  • *.msftauthimages.net
  • *.phonefactor.net
  • enterpriseregistration.windows.net
  • management.azure.com
  • policykeyservice.dc.ad.msft.net
  • secure.aadcdn.microsoftonline-p.com

Zie Office 365-URL's en IP-adresbereikenvoor een volledige lijst met eindpunten die nodig zijn voor het gebruik van Microsoft Online-producten.

Hoe kan ik het domeinkoppelingstype (Microsoft Entra gekoppeld of Microsoft Entra hybride gekoppeld) identificeren voor mijn Windows 10-apparaat?

Gebruik de volgende opdracht om te controleren of het Windows 10-clientapparaat het juiste domeindeelnametype heeft:

Dsregcmd /status

In de volgende voorbeelduitvoer ziet u dat het apparaat is toegevoegd aan Microsoft Entra als AzureADJoined- is ingesteld op JA-:

+---------------------+
| Device State        |
+---------------------+

AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: NO

In de volgende voorbeelduitvoer ziet u dat het apparaat is toegevoegd aan Microsoft Entra hybrid als DomainedJoined ook is ingesteld op JA-. De DomainName wordt ook weergegeven:

+---------------------+
| Device State        |
+---------------------+

AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: YES
DomainName: CONTOSO

Controleer op een domeincontroller van Windows Server 2016 of 2019 of de volgende patches zijn toegepast. Voer Indien nodig Windows Update uit om ze te installeren:

Voer vanaf een clientapparaat de volgende opdracht uit om de verbinding met een geschikte domeincontroller te controleren waarop de patches zijn geïnstalleerd:

nltest /dsgetdc:<domain> /keylist /kdc

Wat is de aanbeveling voor het aantal DC's dat moet worden gepatcht?

Het is raadzaam om een groot deel van uw Windows Server 2016- of 2019-domeincontrollers te patchen om ervoor te zorgen dat ze de belasting van de verificatieaanvragen van uw organisatie kunnen verwerken.

Controleer op een domeincontroller van Windows Server 2016 of 2019 of de volgende patches zijn toegepast. Voer Indien nodig Windows Update uit om ze te installeren:

Kan ik de FIDO2-referentieprovider implementeren op een on-premises apparaat?

Nee, deze functie wordt niet ondersteund voor alleen on-premises apparaten. De FIDO2-referentieprovider zou niet worden weergegeven.

Aanmelden met FIDO2-beveiligingssleutel werkt niet voor mijn domeinbeheerder of andere accounts met hoge bevoegdheden. Waarom?

Het standaardbeveiligingsbeleid verleent Microsoft Entra geen toestemming om accounts met hoge bevoegdheden aan te melden bij on-premises resources.

Vanwege mogelijke aanvalsvectoren van Microsoft Entra ID naar Active Directory wordt het niet aanbevolen om deze accounts te deblokkeren door het Wachtwoordreplicatiebeleid van het computerobject CN=AzureADKerberos,OU=Domeincontrollers,<domein-DN->te versoepelen.

Onder de motorkap

Hoe is Microsoft Entra Kerberos gekoppeld aan mijn on-premises Active Directory Domain Services-omgeving?

Er zijn twee onderdelen: de on-premises AD DS-omgeving en de Microsoft Entra-tenant.

AD DS (Active Directory Domain Services)

De Microsoft Entra Kerberos-server wordt weergegeven in een on-premises AD DS-omgeving als een DC-object (domeincontroller). Dit DC-object bestaat uit meerdere objecten:

  • CN=AzureADKerberos,OU=Domain Controllers,<domain-DN>

    Een Computer-object dat een Read-Only domeincontroller (RODC) in AD DS vertegenwoordigt. Er is geen computer gekoppeld aan dit object. In plaats daarvan is het een logische weergave van een DC.

  • CN=krbtgt_AzureAD,CN=Users,<domain-DN>

    Een User-object dat een RODC Kerberos Ticket Granting Ticket-versleutelingssleutel (TGT) vertegenwoordigt.

  • CN=900274c4-b7d2-43c8-90ee-00a9f650e335,CN=AzureAD,CN=System,<domain-DN>

    Een ServiceConnectionPoint-object waarin metagegevens over de Microsoft Entra Kerberos-serverobjecten worden opgeslagen. De beheerhulpprogramma's gebruiken dit object om de Microsoft Entra Kerberos-serverobjecten te identificeren en te vinden.

Microsoft Entra ID

De Microsoft Entra Kerberos-server wordt weergegeven in Microsoft Entra ID als een KerberosDomain-object. Elke on-premises AD DS-omgeving wordt weergegeven als één KerberosDomain-object in de Microsoft Entra-tenant.

U hebt bijvoorbeeld een AD DS-forest met twee domeinen, zoals contoso.com en fabrikam.com. Als u Microsoft Entra ID toestaat Kerberos Ticket Granting Tickets (TGT's) uit te geven voor het hele forest, zijn er twee KerberosDomain objecten in Microsoft Entra ID: één object voor contoso.com en één voor fabrikam.com.

Als u meerdere AD DS-forests hebt, hebt u één KerberosDomain object voor elk domein in elk forest.

Waar kan ik deze Kerberos-serverobjecten bekijken die zijn gemaakt in AD DS en gepubliceerd in Microsoft Entra ID?

Als u alle objecten wilt weergeven, gebruikt u de PowerShell-cmdlets van de Microsoft Entra Kerberos-server die zijn opgenomen in de nieuwste versie van Microsoft Entra Connect.

Zie een Kerberos Server-object makenvoor meer informatie, inclusief instructies voor het weergeven van de objecten.

Waarom kunnen we de openbare sleutel niet registreren bij on-premises AD DS, zodat er geen afhankelijkheid van internet is?

We hebben feedback ontvangen over de complexiteit van het implementatiemodel voor Windows Hello voor Bedrijven, dus wilde het implementatiemodel vereenvoudigen zonder certificaten en PKI (FIDO2 gebruikt geen certificaten).

Hoe worden de sleutels gedraaid op het Kerberos-serverobject?

Net als bij andere domeincontrollers moeten de encryptiesleutels van de Microsoft Entra Kerberos-server krbtgt regelmatig worden geroteerd. Het is raadzaam om hetzelfde schema te volgen als u gebruikt om alle andere AD DS krbtgt-sleutels te roteren.

Notitie

Hoewel er andere hulpprogramma's zijn om de krbtgt sleutels te draaien, moet u de PowerShell-cmdlets gebruiken om de krbtgt sleutels van uw Microsoft Entra Kerberos-server te draaien. Deze methode zorgt ervoor dat de sleutels worden bijgewerkt in zowel de on-premises AD DS-omgeving als in de Microsoft Entra-id.

Waarom hebben we Microsoft Entra Connect nodig? Schrijft het informatie terug naar AD DS vanuit Microsoft Entra ID?

Microsoft Entra Connect schrijft geen gegevens terug van Microsoft Entra ID naar Active Directory DS. Het hulpprogramma bevat de PowerShell-module voor het maken van het Kerberos Server-object in AD DS en het publiceren ervan in Microsoft Entra-id.

Hoe ziet de HTTP-aanvraag/-reactie eruit wanneer u PRT+ gedeeltelijke TGT aanvraagt?

De HTTP-aanvraag is een standaard PRT-aanvraag (Primary Refresh Token). Deze PRT-aanvraag bevat een claim die aangeeft dat er een Kerberos Ticket Granting Ticket (TGT) nodig is.

Aanspraak maken op Waarde Beschrijving
Tgt waar Claim geeft aan dat de cliënt een TGT nodig heeft.

Microsoft Entra ID combineert de versleutelde clientsleutel en berichtbuffer als aanvullende eigenschappen in het PRT-antwoord. De payload wordt versleuteld met de sessiesleutel van het Microsoft Entra-apparaat.

Veld Type Beschrijving
tgt_client_key string Clientsleutel (geheim) gecodeerd met Base64. Deze sleutel is het clientgeheim dat wordt gebruikt om de TGT te beveiligen. In dit scenario zonder wachtwoord wordt het clientgeheim gegenereerd door de server als onderdeel van elke TGT-aanvraag en vervolgens geretourneerd naar de client in het antwoord.
tgt_key_type Int Het on-premises AD DS-sleuteltype dat wordt gebruikt voor zowel de sleutel van de cliënt als de Kerberos-sessiesleutel die in de KERB_MESSAGE_BUFFER is opgenomen.
tgt_message_buffer string Met Base64 gecodeerde KERB_MESSAGE_BUFFER.

Moeten gebruikers lid zijn van de Active Directory-groep Domeingebruikers?

Ja. Een gebruiker moet zich in de groep Domeingebruikers bevinden om aan te melden met Microsoft Entra Kerberos.

Volgende stappen

Raadpleeg de volgende artikelen om aan de slag te gaan met FIDO2-beveiligingssleutels en hybride toegang tot on-premises resources: