Często zadawane pytania dotyczące wdrażania kluczy hybrydowych FIDO2 w usłudze Microsoft Entra ID.

W tym artykule omówiono często zadawane pytania dotyczące wdrażania urządzeń hybrydowo dołączonych do Microsoft Entra oraz uwierzytelniania bez haseł do zasobów lokalnych. Dzięki tej funkcji bezhasłowej można włączyć uwierzytelnianie Microsoft Entra na urządzeniach z systemem Windows 10 przy użyciu kluczy zabezpieczeń FIDO2, dla urządzeń hybrydowo dołączonych do Microsoft Entra. Użytkownicy mogą logować się do systemu Windows na swoich urządzeniach przy użyciu nowoczesnych poświadczeń, takich jak klucze FIDO2 i uzyskiwać dostęp do tradycyjnych zasobów opartych na usługach Active Directory Domain Services (AD DS) przy użyciu bezproblemowego środowiska logowania jednokrotnego do zasobów lokalnych.

Obsługiwane są następujące scenariusze dla użytkowników w środowisku hybrydowym:

• Zaloguj się do urządzeń Microsoft Entra o połączeniu hybrydowym przy użyciu kluczy zabezpieczeń FIDO2 i uzyskaj jednokrotne logowanie (SSO) do zasobów lokalnych.
• Zaloguj się do urządzeń połączonych z Microsoft Entra, przy użyciu kluczy zabezpieczeń FIDO2 i uzyskaj dostęp jednokrotnego logowania (SSO) do zasobów lokalnych.

Aby rozpocząć pracę z kluczami zabezpieczeń FIDO2 i dostępem hybrydowym do zasobów lokalnych, zobacz następujące artykuły:

• Bezhasłowe klucze zabezpieczeń FIDO2
• Bezhasłowy Windows 10
• Rozwiązanie bezhasłowe na miejscu

Klucze zabezpieczeń

• Moja organizacja wymaga uwierzytelniania dwuskładnikowego w celu uzyskania dostępu do zasobów. Co mogę zrobić, aby spełnić to wymaganie?
• Gdzie mogę znaleźć zgodne klucze zabezpieczeń FIDO2?
• Co zrobić, jeśli utracę klucz zabezpieczeń?
• W jaki sposób dane są chronione na kluczu zabezpieczeń FIDO2?
• Jak działa rejestrowanie kluczy zabezpieczeń FIDO2?
• Czy administratorzy mogą bezpośrednio aprowizować klucze dla użytkowników?

Moja organizacja wymaga uwierzytelniania wieloskładnikowego w celu uzyskania dostępu do zasobów. Co mogę zrobić, aby spełnić to wymaganie?

Klucze zabezpieczeń FIDO2 są dostępne w różnych formach. Skontaktuj się z producentem urządzenia, aby omówić sposób włączania ich urządzeń przy użyciu numeru PIN lub biometrycznego jako drugiego czynnika. Aby uzyskać listę obsługiwanych dostawców, zobacz dostawcy kluczy zabezpieczeń FIDO2.

Gdzie można znaleźć zgodne klucze zabezpieczeń FIDO2?

Aby uzyskać listę obsługiwanych dostawców, zobacz dostawcy kluczy zabezpieczeń FIDO2.

Co zrobić, jeśli utracę klucz zabezpieczeń?

Klucze można usunąć, przechodząc do strony Informacje o zabezpieczeniach i usuwając klucz zabezpieczeń FIDO2.

W jaki sposób dane są chronione na kluczu zabezpieczeń FIDO2?

Klucze zabezpieczeń FIDO2 mają bezpieczne enklawy, które chronią przechowywane na nich klucze prywatne. Klucz zabezpieczeń FIDO2 ma również wbudowaną odporność na wymuszenia, tak jak w przypadku usługi Windows Hello, z którego nie można wyodrębnić klucza prywatnego.

Jak działa rejestrowanie kluczy zabezpieczeń FIDO2?

Aby uzyskać więcej informacji na temat rejestrowania i używania kluczy zabezpieczeń FIDO2, zobacz Włącz logowanie przy użyciu klucza zabezpieczeń bez hasła.

Czy administratorzy mogą aprowizować klucze bezpośrednio dla użytkowników?

Nie, nie w tej chwili.

Dlaczego otrzymuję komunikat "NotAllowedError" w przeglądarce podczas rejestrowania kluczy FIDO2?

Otrzymasz komunikat "NotAllowedError" na stronie rejestracji klucza fido2. Zazwyczaj dzieje się tak, gdy wystąpi błąd podczas próby wykonania operacji authenticatorMakeCredential CTAP2 przez system Windows względem klucza zabezpieczeń. Więcej szczegółów znajdziesz w dzienniku zdarzeń Microsoft-Windows-WebAuthN/Operational.

Warunki wstępne

• Czy ta funkcja działa, jeśli nie ma łączności z Internetem?
• Jakie są konkretne punkty końcowe wymagane do otwarcia identyfikatora Entra firmy Microsoft?
• Jak mogę zidentyfikować typ przyłączenia do domeny (przyłączony do usługi Microsoft Entra lub przyłączony hybrydowo do usługi Microsoft Entra) mojego urządzenia z systemem Windows 10?
• Jaka jest rekomendacja dotycząca liczby kontrolerów domeny, które powinny zostać poprawione?
• Czy mogę wdrożyć dostawcę poświadczeń FIDO2 na urządzeniu lokalnym?
• Logowanie klucza zabezpieczeń FIDO2 nie działa dla mojego administratora domeny ani innych kont z wysokimi uprawnieniami. Dlaczego?

Czy ta funkcja działa, jeśli nie ma łączności z Internetem?

Łączność z Internetem jest warunkiem wstępnym włączenia tej funkcji. Gdy użytkownik po raz pierwszy loguje się przy użyciu kluczy zabezpieczeń FIDO2, musi mieć łączność z Internetem. W przypadku kolejnych zdarzeń logowania buforowane logowanie powinno działać i umożliwić użytkownikowi uwierzytelnianie bez łączności z Internetem.

Aby zapewnić spójne środowisko, upewnij się, że urządzenia mają dostęp do Internetu i zasięg wzroku do kontrolerów domeny.

Jakie są konkretne punkty końcowe, które muszą być otwarte dla identyfikatora Entra firmy Microsoft?

Do rejestracji i uwierzytelniania potrzebne są następujące punkty końcowe:

• *.microsoftonline.com
• *.microsoftonline-p.com
• *.msauth.net
• *.msauthimages.net
• *.msecnd.net
• *.msftauth.net
• *.msftauthimages.net
• *.phonefactor.net
• enterpriseregistration.windows.net
• management.azure.com
• policykeyservice.dc.ad.msft.net
• secure.aadcdn.microsoftonline-p.com

Aby uzyskać pełną listę punktów końcowych potrzebnych do korzystania z produktów online firmy Microsoft, zobacz adresy URL usługi Office 365 i zakresy adresów IP.

Jak mogę zidentyfikować typ przyłączenia do domeny (przyłączony do Microsoft Entra lub przyłączony hybrydowo do Microsoft Entra) dla mojego urządzenia z systemem Windows 10?

Aby sprawdzić, czy urządzenie klienckie z systemem Windows 10 ma odpowiedni typ przyłączania do domeny, użyj następującego polecenia:

Dsregcmd /status

Następujące przykładowe dane wyjściowe pokazują, że urządzenie jest przyłączone do Microsoft Entra jako AzureADJoined jest ustawione na TAK:

+---------------------+
| Device State        |
+---------------------+

AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: NO

Następujące przykładowe dane wyjściowe pokazują, że urządzenie jest hybrydowo połączone z Microsoft Entra jako DomainedJoined, ustawienie to jest również włączone na TAK. DomainName jest również wyświetlany:

+---------------------+
| Device State        |
+---------------------+

AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: YES
DomainName: CONTOSO

Na kontrolerze domeny systemu Windows Server 2016 lub 2019 sprawdź, czy są stosowane następujące poprawki. W razie potrzeby uruchom usługę Windows Update, aby je zainstalować:

• Windows Server 2016 — KB4534307
• Windows Server 2019 — KB4534321

Na urządzeniu klienckim uruchom następujące polecenie, aby zweryfikować łączność z odpowiednim kontrolerem domeny z zainstalowanymi poprawkami:

nltest /dsgetdc:<domain> /keylist /kdc

Jaka jest rekomendacja dotycząca liczby kontrolerów domeny, które powinny zostać zaktualizowane?

Zalecamy nakładanie poprawek na większość kontrolerów domeny systemów Windows Server 2016 lub 2019, aby upewnić się, że mogą obsługiwać obciążenie związane z żądaniami uwierzytelniania w organizacji.

Na kontrolerze domeny systemu Windows Server 2016 lub 2019 sprawdź, czy są stosowane następujące poprawki. W razie potrzeby uruchom usługę Windows Update, aby je zainstalować:

• Windows Server 2016 — KB4534307
• Windows Server 2019 — KB4534321

Czy mogę wdrożyć dostawcę poświadczeń FIDO2 na urządzeniu lokalnym?

Nie, ta funkcja nie jest obsługiwana w przypadku tylko urządzeń lokalnych. Dostawca poświadczeń FIDO2 nie pojawiał się.

Logowanie klucza zabezpieczeń FIDO2 nie działa dla mojego administratora domeny ani innych kont z wysokimi uprawnieniami. Dlaczego?

Domyślne zasady zabezpieczeń nie zezwalają firmie Microsoft Entra na podpisywanie kont z wysokimi uprawnieniami do zasobów lokalnych.

Ze względu na możliwe wektory ataków z identyfikatora Entra firmy Microsoft do usługi Active Directory nie zaleca się odblokowania tych kont przez złagodzenie zasad replikacji haseł obiektu komputera CN=AzureADKerberos,OU=Kontrolery domeny,<domena-DN>.

Pod kapturem

• Jak usługa Microsoft Entra Kerberos jest powiązana z lokalnym środowiskiem Active Directory Domain Services?
• Gdzie można wyświetlić te obiekty serwera Kerberos utworzone w usłudze AD i opublikowane w identyfikatorze Entra firmy Microsoft?
• Dlaczego nie możemy zarejestrować klucza publicznego w lokalnych usługach domenowych AD DS, aby nie było zależności od Internetu?
• Jak klucze są obracane w obiekcie serwera Kerberos?
• Dlaczego potrzebujemy programu Microsoft Entra Connect? Czy wpisuje on jakieś informacje z powrotem do AD DS z Microsoft Entra ID?
• Jak wygląda żądanie HTTP/odpowiedź przy żądaniu częściowego TGT w PRT+?

W jaki sposób firma Microsoft Entra Kerberos jest połączona z lokalnym środowiskiem usług Active Directory Domain Services?

Istnieją dwie części: lokalne środowisko usług AD DS i dzierżawa Microsoft Entra.

usługi domenowe Active Directory

Serwer Microsoft Entra Kerberos jest reprezentowany w lokalnym środowisku usług AD DS jako obiekt kontrolera domeny (DC). Obiekt DC składa się z wielu różnych obiektów.

• CN=AzureADKerberos,OU=Domain Controllers,<domain-DN>

  Obiekt komputera reprezentujący kontroler domeny Read-Only (RODC) w usługach AD DS (Active Directory Domain Services). Brak komputera skojarzonego z tym obiektem. Jest to logiczna reprezentacja DC.

• CN=krbtgt_AzureAD,CN=Users,<domain-DN>

  Obiekt użytkownika , który reprezentuje klucz szyfrowania biletu udzielającego Kerberos (TGT) w kontrolerze RODC.

• CN=900274c4-b7d2-43c8-90ee-00a9f650e335,CN=AzureAD,CN=System,<domain-DN>

  Obiekt ServiceConnectionPoint, który przechowuje metadane dotyczące obiektów serwera Microsoft Entra Kerberos. Narzędzia administracyjne używają tego obiektu do identyfikowania i lokalizowania obiektów serwera Microsoft Entra Kerberos.

Microsoft Entra ID

Serwer Microsoft Entra Kerberos jest reprezentowany w elemencie Microsoft Entra ID jako obiekt KerberosDomain. Każde lokalne środowisko usług AD DS jest reprezentowane jako pojedynczy obiekt KerberosDomain w dzierżawie Microsoft Entra.

Na przykład las AD DS może mieć dwie domeny, takie jak contoso.com i fabrikam.com. Jeśli zezwolisz usłudze Microsoft Entra ID na wystawianie biletów przyznawczych Kerberos (TGTs) dla całego lasu, istnieją dwa obiekty KerberosDomain w Microsoft Entra ID — jeden obiekt dla contoso.com i jeden dla fabrikam.com.

Jeśli masz wiele lasów AD DS, masz jeden obiekt KerberosDomain dla każdej domeny w każdym lesie.

Gdzie można wyświetlić te obiekty serwera Kerberos utworzone w usługach AD DS i opublikowane w usłudze Microsoft Entra ID?

Aby wyświetlić wszystkie obiekty, użyj poleceń cmdlet programu PowerShell serwera Microsoft Entra Kerberos dołączonych do najnowszej wersji programu Microsoft Entra Connect.

Aby uzyskać więcej informacji, w tym instrukcje dotyczące wyświetlania obiektów, zobacz utwórz obiekt serwera Kerberos.

Dlaczego nie można zarejestrować klucza publicznego w lokalnych usługach AD DS, aby nie było zależności od Internetu?

Otrzymaliśmy opinię na temat złożoności modelu wdrażania usługi Windows Hello dla firm, dlatego chcieliśmy uprościć model wdrażania bez konieczności używania certyfikatów i infrastruktury kluczy publicznych (FIDO2 nie używa certyfikatów).

W jaki sposób klucze są obracane w obiekcie serwera Kerberos?

Podobnie jak w przypadku każdego innego kontrolera domeny, klucze szyfrowania serwera Microsoft Entra Kerberos krbtgt powinny być regularnie zmieniane. Zaleca się przestrzegać tego samego harmonogramu, który stosuje się do rotacji wszystkich innych kluczy AD DS krbtgt.

Notatka

Mimo że istnieją inne narzędzia do obracania kluczy krbtgt, należy użyć poleceń cmdlet programu PowerShell, aby obrócić klucze krbtgt serwera Microsoft Entra Kerberos. Ta metoda zapewnia, że klucze są aktualizowane zarówno w lokalnym środowisku usług AD DS, jak i w identyfikatorze Entra firmy Microsoft.

Dlaczego potrzebujemy programu Microsoft Entra Connect? Czy zapisuje jakiekolwiek informacje z powrotem do AD DS z Microsoft Entra ID?

Program Microsoft Entra Connect nie zapisuje informacji zwrotnych z identyfikatora Entra firmy Microsoft do usługi Active Directory DS. Narzędzie zawiera moduł programu PowerShell umożliwiający utworzenie obiektu serwera Kerberos w usługach AD DS i opublikowanie go w usłudze Microsoft Entra ID.

Jak wygląda żądanie HTTP/odpowiedź podczas żądania częściowego biletu PRT+ TGT?

Żądanie HTTP to standardowe żądanie podstawowego tokenu odświeżania (PRT). To żądanie PRT zawiera oświadczenie wskazujące, że wymagany jest bilet przyznania biletu protokołu Kerberos (TGT).

Roszczenie	Wartość	Opis
Tgt	prawdziwy	Oświadczenie wskazuje, że klient potrzebuje biletu TGT.

Microsoft Entra ID łączy zaszyfrowany klucz klienta i bufor wiadomości w odpowiedzi PRT jako dodatkowe właściwości. Ładunek jest szyfrowany przy użyciu klucza sesji urządzenia Entra firmy Microsoft.

Pole	Typ	Opis
tgt_client_key	struna	Klucz klienta zakodowany w formacie Base64 (klucz tajny). Ten klucz jest kluczem tajnym klienta używanym do ochrony biletu TGT. W tym scenariuszu bez hasła klucz tajny klienta jest generowany przez serwer w ramach każdego żądania TGT, a następnie zwracany do klienta w odpowiedzi.
typ_klucza_docelowego	Int	Lokalny typ klucza AD DS używany zarówno dla klucza klienta, jak i klucza sesji Kerberos zawartego w KERB_MESSAGE_BUFFER.
tgt_message_buffer	struna	KERB_MESSAGE_BUFFER zakodowane w formacie Base64.

Czy użytkownicy muszą być członkami grupy Użytkownicy domeny usługi Active Directory?

Tak. Aby móc zalogować się przy użyciu protokołu Kerberos firmy Microsoft, użytkownik musi należeć do grupy Użytkownicy domeny.

Następne kroki

Aby rozpocząć pracę z kluczami zabezpieczeń FIDO2 i dostępem hybrydowym do zasobów lokalnych, zobacz następujące artykuły:

• Klucze zabezpieczeń FIDO2 bezhasłowe
• bez hasła w systemie Windows 10
• Bez hasła na miejscu