Vanligt ställda frågor om hybrida FIDO2-säkerhetsnycklars distribution i Microsoft Entra ID
Den här artikeln beskriver vanliga frågor och svar om distribution för Hybrid-anslutna Microsoft Entra-enheter och lösenordslös inloggning till lokala resurser. Med den här lösenordslösa funktionen kan du aktivera Microsoft Entra-autentisering på Windows 10-enheter för Microsoft Entra Hybrid-anslutna enheter med hjälp av FIDO2-säkerhetsnycklar. Användare kan logga in på Windows på sina enheter med moderna autentiseringsuppgifter som FIDO2-nycklar och få åtkomst till traditionella Ad DS-baserade resurser (Active Directory Domain Services) med en sömlös enkel inloggning (SSO) för sina lokala resurser.
Följande scenarier för användare i en hybridmiljö stöds:
- Logga in på Microsoft Entra Hybrid-anslutna enheter med hjälp av FIDO2-säkerhetsnycklar och få SSO-åtkomst till lokala resurser.
- Logga in på Microsoft Entra-anslutna enheter med hjälp av FIDO2-säkerhetsnycklar och få åtkomst till lokala resurser med enkel inloggning.
Information om hur du kommer igång med FIDO2-säkerhetsnycklar och hybridåtkomst till lokala resurser finns i följande artiklar:
Säkerhetsnycklar
- Min organisation kräver tvåfaktorautentisering för att få åtkomst till resurser. Vad kan jag göra för att stödja detta krav?
- Var hittar jag kompatibla FIDO2-säkerhetsnycklar?
- Vad gör jag om jag förlorar min säkerhetsnyckel?
- Hur skyddas data på FIDO2-säkerhetsnyckeln?
- Hur fungerar registreringen av FIDO2-säkerhetsnycklar?
- Finns det något sätt för administratörer att etablera nycklarna direkt för användarna?
Min organisation kräver multifaktorautentisering för att få åtkomst till resurser. Vad kan jag göra för att stödja detta krav?
FIDO2 Säkerhetsnycklar finns i en mängd olika formfaktorer. Kontakta enhetstillverkaren av intresse för att diskutera hur deras enheter kan aktiveras med en PIN-kod eller biometrisk kod som en andra faktor. För en lista över stödda leverantörer, se FIDO2-säkerhetsnycklarnas leverantörer.
Var hittar jag kompatibla FIDO2-säkerhetsnycklar?
En lista över leverantörer som stöds finns under FIDO2-säkerhetsnyckelns leverantörer.
Vad händer om jag förlorar min säkerhetsnyckel?
Du kan ta bort nycklar genom att gå till sidan Säkerhetsinformation och ta bort FIDO2-säkerhetsnyckeln.
Hur skyddas data på FIDO2-säkerhetsnyckeln?
FIDO2-säkerhetsnycklar har säkra enklaver som skyddar de privata nycklar som lagras på dem. En FIDO2-säkerhetsnyckel har också inbyggda egenskaper för skydd mot hamring, till exempel i Windows Hello, där du inte kan extrahera den privata nyckeln.
Hur fungerar registreringen av FIDO2-säkerhetsnycklar?
Mer information om hur du registrerar och använder FIDO2-säkerhetsnycklar finns i Aktivera inloggning med lösenordslös säkerhetsnyckel.
Finns det något sätt för administratörer att etablera nycklarna direkt för användarna?
Nej, inte just nu.
Varför får jag "NotAllowedError" i webbläsaren när jag registrerar FIDO2-nycklar?
Du får "NotAllowedError" från fido2-nyckelregistreringssidan. Detta inträffar vanligtvis när ett fel inträffar när Windows försöker utföra en CTAP2-autentiseringMakeCredential-åtgärd mot säkerhetsnyckeln. Mer information finns i händelseloggen Microsoft-Windows-WebAuthN/Operational.
Förutsättningar
- Fungerar den här funktionen om det inte finns någon Internetanslutning?
- Vilka är de specifika slutpunkter som krävs för att vara öppna för Microsoft Entra-ID?
- Hur identifierar jag domänanslutningstypen (Microsoft Entra-ansluten eller Microsoft Entra-hybridansluten) för min Windows 10-enhet?
- Vad är rekommendationen för antalet domänkontrollanter som ska patchas?
- Kan jag distribuera FIDO2-autentiseringsprovidern på en lokal enhet?
- FIDO2-inloggning med säkerhetsnycklar fungerar inte för min domänadministratör eller andra konton med hög behörighet. Varför?
Fungerar den här funktionen om det inte finns någon Internetanslutning?
Internetanslutning är en förutsättning för att aktivera den här funktionen. Första gången en användare loggar in med FIDO2-säkerhetsnycklar måste de ha internetanslutning. För efterföljande inloggningshändelser bör cachelagrad inloggning fungera och låta användaren autentisera sig utan internetanslutning.
För en konsekvent upplevelse, se till att enheterna har internetåtkomst och fri sikt till DC:er.
Vilka är de specifika slutpunkter som krävs för att vara öppna för Microsoft Entra-ID?
Följande slutpunkter behövs för registrering och autentisering:
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
secure.aadcdn.microsoftonline-p.com
En fullständig lista över slutpunkter som behövs för att använda Microsofts onlineprodukter finns i Url:er och IP-adressintervall för Office 365.
Hur identifierar jag domänanslutningstypen (Microsoft Entra-ansluten eller Microsoft Entra-hybridansluten) för min Windows 10-enhet?
Om du vill kontrollera om Windows 10-klientenheten har rätt domänanslutningstyp använder du följande kommando:
Dsregcmd /status
Följande exempelutdata visar att enheten är ansluten till Microsoft Entra som AzureADJoined och är inställd på JA:
+---------------------+
| Device State |
+---------------------+
AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: NO
Följande exempelutdata visar att enheten är Microsoft Entra-hybridansluten som DomainedJoined är också inställd på JA. DomainName visas också:
+---------------------+
| Device State |
+---------------------+
AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: YES
DomainName: CONTOSO
På en Windows Server 2016- eller 2019-domänkontrollant kontrollerar du att följande korrigeringar tillämpas. Om det behövs kör du Windows Update för att installera dem:
Kör följande kommando från en klientenhet för att verifiera anslutningen till en lämplig domänkontrollant med korrigeringarna installerade:
nltest /dsgetdc:<domain> /keylist /kdc
Vad är rekommendationen för antalet domänkontrollanter som ska patchas?
Vi rekommenderar att du korrigerar en majoritet av dina Windows Server 2016- eller 2019-domänkontrollanter med korrigeringen för att säkerställa att de kan hantera belastningen på autentiseringsbegäran i din organisation.
På en Windows Server 2016- eller 2019-domänkontrollant kontrollerar du att följande korrigeringar tillämpas. Om det behövs kör du Windows Update för att installera dem:
Kan jag distribuera FIDO2-autentiseringsprovidern på en lokal enhet?
Nej, den här funktionen stöds inte endast för lokala enheter. FIDO2-autentiseringsprovider skulle inte visas.
FIDO2-inloggning med säkerhetsnycklar fungerar inte för min domänadministratör eller andra konton med hög behörighet. Varför?
Standardsäkerhetsprincipen ger inte Microsoft Entra behörighet att signera konton med hög behörighet på lokala resurser.
På grund av möjliga attackvektorer från Microsoft Entra-ID till Active Directory rekommenderas det inte att avblockera dessa konton genom att lätta på lösenordsreplikeringsprincipen för datorobjektet CN=AzureADKerberos,OU=Domänkontrollanter,<domän-DN->.
Under motorhuven
- Hur är Microsoft Entra Kerberos länkat till min lokala Active Directory Domain Services-miljö?
- Var kan jag visa dessa Kerberos-serverobjekt som skapas i AD och publiceras i Microsoft Entra-ID?
- Varför kan vi inte ha den offentliga nyckeln registrerad på lokal AD DS så att det inte finns något beroende på Internet?
- Hur roteras nycklarna på Kerberos-serverobjektet?
- Varför behöver vi Microsoft Entra Connect? Skriver den någon information tillbaka till AD DS från Microsoft Entra-ID?
- Hur ser HTTP-begäran/-svaret ut när du begär PRT+ partiell TGT?
Hur är Microsoft Entra Kerberos länkat till min lokala Active Directory Domain Services-miljö?
Det finns två delar: den lokala AD DS-miljön och Microsoft Entra-klientorganisationen.
Active Directory Domain Services (AD DS)
Microsoft Entra Kerberos-servern representeras i en lokal AD DS-miljö som ett domänkontrollantobjekt (DC). Det här DC-objektet består av flera objekt:
CN=AzureADKerberos,OU=Domain Controllers,<domain-DN>
Ett datorobjekt som representerar en Read-Only domänkontrollant (RODC) i AD DS. Det finns ingen dator som är associerad med det här objektet. Det är istället en logisk representation av en DC.
CN=krbtgt_AzureAD,CN=Users,<domain-DN>
Ett användar-objekt som representerar en krypteringsnyckel för RODC Kerberos Ticket Granting Ticket (TGT).
CN=900274c4-b7d2-43c8-90ee-00a9f650e335,CN=AzureAD,CN=System,<domain-DN>
Ett ServiceConnectionPoint- objekt som lagrar metadata om Microsoft Entra Kerberos-serverobjekt. De administrativa verktygen använder det här objektet för att identifiera och hitta Microsoft Entra Kerberos-serverobjekten.
Microsoft Entra ID
Microsoft Entra Kerberos-servern representeras i Microsoft Entra-ID som ett KerberosDomain--objekt. Varje lokal AD DS-miljö representeras som ett enda KerberosDomain-objekt i Microsoft Entra-klienten.
Du kan till exempel ha en AD DS-skog med två domäner som contoso.com
och fabrikam.com
. Om du tillåter att Microsoft Entra-ID utfärdar Kerberos Ticket Granting Tickets (TGT) för hela skogen finns det två KerberosDomain
objekt i Microsoft Entra ID – ett objekt för contoso.com
och ett för fabrikam.com
.
Om du har flera AD DS-skogar har du ett KerberosDomain
objekt för varje domän i varje skog.
Var kan jag visa dessa Kerberos-serverobjekt som skapas i AD DS och publiceras i Microsoft Entra-ID?
Om du vill visa alla objekt använder du Microsoft Entra Kerberos-serverns PowerShell-cmdletar som ingår i den senaste versionen av Microsoft Entra Connect.
Mer information, inklusive instruktioner om hur du visar objekten, finns i skapa ett Kerberos Server-objekt.
Varför kan vi inte ha den offentliga nyckeln registrerad på lokal AD DS så att det inte finns något beroende av Internet?
Vi fick feedback om komplexiteten i distributionsmodellen för Windows Hello för företag, så vi ville förenkla distributionsmodellen utan att behöva använda certifikat och PKI (FIDO2 använder inte certifikat).
Hur roteras nycklarna på Kerberos-serverobjektet?
Precis som andra domänkontrollanter bör krypteringsnycklarna för Microsoft Entra Kerberos-servern, krbtgt, roteras regelbundet. Vi rekommenderar att du följer samma schema som du använder för att rotera alla andra AD DS--krbtgt--nycklar.
Note
Även om det finns andra verktyg för att rotera krbtgt nycklar måste du använda PowerShell-cmdletarna för att rotera krbtgt nycklar på Microsoft Entra Kerberos-servern. Den här metoden ser till att nycklarna uppdateras både i den lokala AD DS-miljön och i Microsoft Entra-ID.
Varför behöver vi Microsoft Entra Connect? Skriver den någon information tillbaka till AD DS från Microsoft Entra-ID?
Microsoft Entra Connect skriver inte tillbaka information från Microsoft Entra-ID till Active Directory DS. Verktyget innehåller PowerShell-modulen för att skapa Kerberos Server-objektet i AD DS och publicera det i Microsoft Entra-ID.
Hur ser HTTP-begäran/-svaret ut när du begär PRT+ partiell TGT?
HTTP-begäran är en standardbegäran för primär uppdateringstoken (PRT). Den här PRT-begäran innehåller ett anspråk som anger att en Kerberos-biljettbeviljande biljett (TGT) behövs.
Anspråk | Värde | Beskrivning |
---|---|---|
Tgt | sann | Deklarationen anger att klienten behöver en TGT. |
Microsoft Entra ID kombinerar den krypterade klientnyckeln och meddelandebufferten till PRT-svaret som ytterligare egenskaper. Nyttolasten krypteras med sessionsnyckeln för Microsoft Entra-enhet.
Fält | Typ | Beskrivning |
---|---|---|
tgt_client_key | sträng | Base64-kodad klientnyckel (hemlighet). Den här nyckeln är den klienthemlighet som används för att skydda TGT. I det här lösenordslösa scenariot genereras klienthemligheten av servern som en del av varje TGT-begäran och returneras sedan till klienten i svaret. |
tgt_key_type | Int | Den lokala AD DS-nyckeltypen som används för både klientnyckeln och Kerberos-sessionsnyckeln som ingår i KERB_MESSAGE_BUFFER. |
tgt_message_buffer | sträng | Base64-kodad KERB_MESSAGE_BUFFER. |
Måste användarna vara medlemmar i active directory-gruppen Domänanvändare?
Ja. En användare måste vara i gruppen Domänanvändare för att kunna logga in med Microsoft Entra Kerberos.
Nästa steg
Information om hur du kommer igång med FIDO2-säkerhetsnycklar och hybridåtkomst till lokala resurser finns i följande artiklar: