共用方式為

Microsoft Entra ID 中混合式 FIDO2 安全性密鑰的部署常見問題

  • 發行項

本文涵蓋有關 Microsoft Entra 混合式聯結裝置及無密碼登入內部部署資源的部署常見問題 (FAQs)。 透過這項無密碼功能,您可以在 Windows 10 裝置上,使用 FIDO2 安全性金鑰,啟用對 Microsoft Entra 混合式聯結裝置的 Microsoft Entra 驗證。 使用者可以使用 FIDO2 金鑰等新式認證登入其裝置上的 Windows,並使用順暢的單一登錄 (SSO) 體驗存取其內部部署資源的傳統 Active Directory Domain Services (AD DS) 型資源。

支援混合式環境中使用者的下列情境:

  • 使用 FIDO2 安全性金鑰登入 Microsoft Entra 混合式聯結裝置,並取得內部部署資源的 SSO 存取權。
  • 使用 FIDO2 安全性金鑰登入Microsoft已加入 Entra 的裝置,並取得內部部署資源的 SSO 存取權。

若要開始使用 FIDO2 安全性金鑰和內部部署資源的混合式存取,請參閱下列文章:

安全性金鑰

我的組織需要多重要素驗證才能存取資源。 我該怎麼做才能支援這項需求?

FIDO2 安全性金鑰具有各種尺寸。 請連絡感興趣的裝置製造商,討論其裝置如何以 PIN 或生物特徵辨識作為第二個因素來啟用。 如需支援的提供者清單,請參閱 FIDO2 安全性金鑰提供者

哪裡可以找到符合規範的 FIDO2 安全性金鑰?

如需支援的提供者清單,請參閱 FIDO2 安全性金鑰提供者

如果我遺失安全性密鑰,該怎麼辦?

您可以前往[安全性資訊] 頁面並移除 FIDO2 安全性金鑰。

FIDO2 安全性金鑰上的數據如何受到保護?

FIDO2 安全性金鑰具有安全記憶體保護區,可保護儲存在它們上的私鑰。 FIDO2 安全性金鑰也有內建的反鎚擊屬性,例如在 Windows Hello 中,您無法擷取私鑰。

FIDO2 安全性金鑰的註冊如何運作?

如需如何註冊和使用 FIDO2 安全性金鑰的詳細資訊,請參閱 啟用無密碼安全性密鑰登入

系統管理員有辦法直接為使用者佈建密鑰嗎?

否,目前不是。

註冊 FIDO2 金鑰時,為什麼我在瀏覽器中收到 “NotAllowedError” ?

您會從 fido2 金鑰註冊頁面收到 「NotAllowedError」。。 當 Windows 針對安全性金鑰嘗試 CTAP2 驗證器MakeCredential 作業時發生錯誤時,通常會發生這種情況。 您會在 Microsoft-Windows-WebAuthN/Operational 事件記錄檔中看到更多詳細數據。

先決條件

如果沒有因特網連線,此功能是否正常運作?

因特網連線是啟用此功能的必要條件。 使用者第一次使用 FIDO2 安全性金鑰登入時,必須具有因特網連線能力。 針對後續的登入事件,快取的登入應該能夠運作,並讓用戶在沒有因特網連線的情況下進行驗證。

為了獲得一致的體驗,請確保裝置已連接到互聯網,並且與資料中心有視線連接。

Microsoft Entra ID 需要開啟的特定端點是什麼?

註冊和驗證需要下列端點:

  • *.microsoftonline.com
  • *.microsoftonline-p.com
  • *.msauth.net
  • *.msauthimages.net
  • *.msecnd.net
  • *.msftauth.net
  • *.msftauthimages.net
  • *.phonefactor.net
  • enterpriseregistration.windows.net
  • management.azure.com
  • policykeyservice.dc.ad.msft.net
  • secure.aadcdn.microsoftonline-p.com

如需使用Microsoft在線產品所需的端點完整清單,請參閱 Office 365 URL 和 IP 位址範圍。

如何確認 Windows 10 裝置的網域加入類型(Microsoft Entra joined 或 Microsoft Entra hybrid joined)?

若要檢查 Windows 10 用戶端裝置是否有正確的網域加入類型,請使用下列命令:

Dsregcmd /status

下列範例輸出顯示裝置已加入 Microsoft Entra,AzureADJoined 設定為 

+---------------------+
| Device State        |
+---------------------+

AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: NO

下列範例輸出顯示裝置已Microsoft Entra 混合式聯結為 DomainedJoined 也會設定為 [是] 。 也會顯示 DomainName

+---------------------+
| Device State        |
+---------------------+

AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: YES
DomainName: CONTOSO

在 Windows Server 2016 或 2019 域控制器上,檢查是否已套用下列修補程式。 如有需要,請執行 Windows Update 以安裝它們:

從用戶端裝置執行下列命令,以驗證已安裝修補程式的適當域控制器連線:

nltest /dsgetdc:<domain> /keylist /kdc

應修補的 DC 數目建議為何?

建議您使用修補程式來修補大部分的 Windows Server 2016 或 2019 域控制器,以確保它們可以處理組織的驗證要求負載。

在 Windows Server 2016 或 2019 域控制器上,檢查是否已套用下列修補程式。 如有需要,請執行 Windows Update 以安裝它們:

我可以在僅限內部部署裝置上部署 FIDO2 認證提供者嗎?

否,僅限內部部署裝置不支援此功能。 FIDO2 認證提供者不會顯示。

FIDO2 安全性密鑰登入不適用於我的網域管理員或其他高許可權帳戶。 為什麼?

默認安全策略不會授與 Microsoft Entra 許可權,將高許可權帳戶登入內部部署資源。

由於從 Microsoft Entra ID 到 Active Directory 可能存在的攻擊向量風險,因此不建議通過放寬電腦物件 CN=AzureADKerberos 及 OU=Domain Controllers 的密碼重複策略來解除封鎖這些帳戶,<domain-DN>。

在頭罩下

Microsoft Entra Kerberos 如何連結到我的內部部署 Active Directory Domain Services 環境?

有兩個部分:內部部署 Active Directory 環境和 Microsoft Entra 租戶。

Active Directory Domain Services (AD DS)

Microsoft Entra Kerberos 伺服器在內部部署的 AD DS 環境中被表示為一個域控制器(DC)物件。 這個 DC 物件是由多個物件所組成:

  • CN=AzureADKerberos,OU=Domain Controllers,<domain-DN>

    Computer 物件,代表 AD DS 中的 Read-Only 域控制器 (RODC)。 沒有與此對象相關聯的計算機。 相反地,它是 DC 的邏輯表示法。

  • CN=krbtgt_AzureAD,CN=Users,<domain-DN>

    User 物件,代表 RODC Kerberos 票證授與票證 (TGT) 加密金鑰。

  • CN=900274c4-b7d2-43c8-90ee-00a9f650e335,CN=AzureAD,CN=System,<domain-DN>

    ServiceConnectionPoint 物件,可儲存Microsoft Entra Kerberos 伺服器物件的元數據。 系統管理工具會使用此對象來識別並找出 Microsoft Entra Kerberos 伺服器物件。

Microsoft Entra ID

Microsoft Entra Kerberos 伺服器在 Microsoft Entra ID 中表示為 KerberosDomain 物件。 每個內部部署 AD DS 環境都會以 Microsoft Entra 租用戶中的單一 KerberosDomain 物件來表示。

例如,您可能有具有兩個網域的 AD DS 樹系,例如 contoso.comfabrikam.com。 如果您允許 Microsoft Entra ID 為整個樹系簽發 Kerberos 票證授與票證(TGT),那麼在 Microsoft Entra ID 中有兩個 KerberosDomain 物件 - 一個物件用於 contoso.com,另一個物件用於 fabrikam.com

如果您有多個 AD DS 樹系,則每個樹系中的每個網域都有一個 KerberosDomain 物件。

我在哪裡可以查看在 AD DS 中建立並發佈於 Microsoft Entra 身分識別中的 Kerberos 伺服器物件?

若要檢視所有物件,請使用隨附於最新版 Microsoft Entra Connect 的 Microsoft Entra Kerberos 伺服器 PowerShell Cmdlets。

如需詳細資訊,包括如何檢視物件的指示,請參閱 建立 Kerberos Server 物件

為什麼我們無法將公鑰註冊到內部部署的 AD DS,從而避免對網際網路的依賴?

我們已收到 Windows Hello 企業版部署模型複雜度的意見反應,因此想要簡化部署模型,而不需要使用憑證和 PKI(FIDO2 不使用憑證)。

密鑰在 Kerberos 伺服器物件上如何輪替?

如同任何其他 DC,Microsoft Entra Kerberos 伺服器加密 krbtgt 金鑰應該定期輪替。 建議您遵循與您用來更換所有其他 Active Directory Domain Services (AD DS) krbtgt 金鑰相同的排程。

注意

雖然還有其他工具可以輪替 krbtgt 密鑰,但您必須 使用 PowerShell Cmdlet 來輪替 Microsoft Entra Kerberos 伺服器的 krbtgt 密鑰。 此方法可確保金鑰會在內部部署 AD DS 環境和 Microsoft Entra ID 中更新。

為什麼我們需要Microsoft Entra Connect? 它會從 Microsoft Entra 識別碼將任何資訊寫回 AD DS 嗎?

Microsoft Entra Connect 不會將資訊從 Microsoft Entra ID 寫回 Active Directory DS。 公用程式包括 PowerShell 模組,用於在 AD DS 中創建 Kerberos 伺服器對象,並將其發佈在 Microsoft Entra ID 中。

要求 PRT+ 部分 TGT 時,HTTP 要求/回應的外觀為何?

HTTP 請求是標準的主要更新令牌(PRT)請求。 此 PRT 要求中包含一個聲明,表明需要 Kerberos 票證授權票證(TGT)。

索賠 價值 描述
tgt 正確 聲明表示客戶端需要 TGT。

Microsoft Entra ID 會將加密的用戶端密鑰和訊息緩衝區合併為 PRT 回應作為其他屬性。 承載會使用 Microsoft Entra Device 會話密鑰進行加密。

領域 類型 描述
tgt_client_key 字串 Base64 編碼的用戶端密鑰(秘密)。 此金鑰是用來保護 TGT 的客戶端密碼。 在此無密碼案例中,伺服器會在每個 TGT 要求中產生用戶端密碼,然後在回應中傳回給用戶端。
tgt_key_type int 用於用戶端金鑰及KERB_MESSAGE_BUFFER中包含的Kerberos會話金鑰的內部部署 AD DS 金鑰類型。
tgt_message_buffer 字串 Base64 編碼 KERB_MESSAGE_BUFFER。

使用者是否必須是 Domain Users Active Directory 群組的成員?

是的。 用戶必須位於 Domain Users 群組中,才能使用 Microsoft Entra Kerberos 登入。

後續步驟

若要開始使用 FIDO2 安全性金鑰和內部部署資源的混合式存取,請參閱下列文章: