Nejčastější dotazy k nasazení hybridních klíčů zabezpečení FIDO2 ve službě Azure AD

Tento článek se věnuje nejčastějším dotazům k nasazení zařízení připojených k hybridní službě Azure AD a přihlašování k prostředkům v cloudu bez hesla. Pomocí této funkce bez hesla můžete povolit ověřování Azure AD na Windows 10 zařízeních připojených k hybridní službě Azure AD pomocí klíčů zabezpečení FIDO2. Uživatelé se mohou ke službě Windows přihlásit na svých zařízeních pomocí moderních přihlašovacích údajů, jako jsou klíče FIDO2, a získat přístup k tradičním prostředkům založeným na službě Active Directory Domain Services (AD DS) s bezproblémovým jednotným přihlašováním (SSO) k prostředkům v místní síti.

Pro uživatele v hybridním prostředí se podporují následující scénáře:

  • Přihlaste se k hybridním zařízením připojeným k Azure AD pomocí klíčů zabezpečení FIDO2 a získejte přístup přes jednotné přihlašování k prostředkům v cloudu.
  • Přihlaste se k zařízením připojeným k Azure AD pomocí klíčů zabezpečení FIDO2 a získejte přístup přes jednotné přihlašování k prostředkům v cloudu.

Pokud chcete začít s klíči zabezpečení FIDO2 a hybridním přístupem k místním prostředkům, projděte si následující články:

Klíče zabezpečení

Moje organizace pro přístup k prostředkům vyžaduje vícefaktorové ověřování. Co můžu udělat pro podporu tohoto požadavku?

Klíče zabezpečení FIDO2 mají nejrůznější podobu. Obraťte se na výrobce zařízení, který vás zajímá, a proberte, jak je možné pro jejich zařízení jako druhý faktor použít PIN kód nebo biometrii. Seznam podporovaných poskytovatelů najdete v tématu Poskytovatelé klíčů zabezpečení FIDO2.

Kde najdu vyhovující klíče zabezpečení FIDO2?

Seznam podporovaných poskytovatelů najdete v tématu Poskytovatelé klíčů zabezpečení FIDO2.

Co když ztratím svůj klíč zabezpečení?

Klíče můžete odebrat v Azure Portal tak, že přejdete na stránku Bezpečnostní údaje a odeberete klíč zabezpečení FIDO2.

Jak jsou data chráněná pomocí klíče zabezpečení FIDO2?

Klíče zabezpečení FIDO2 mají zabezpečené enklávy, které chrání soukromé klíče, které jsou v nich uložené. Klíč zabezpečení FIDO2 má také předdefinované vlastnosti, jako je Windows Hello, kde privátní klíč nemůžete extrahovat.

Jak funguje registrace klíčů zabezpečení FIDO2?

Další informace o registraci a používání klíčů zabezpečení FIDO2 najdete v tématu Povolení přihlašování pomocí bezpečnostního klíčebez hesla.

Existuje způsob, jak zřídit klíče pro uživatele přímo?

Ne, v tuto chvíli ne.

Proč se při registraci klíčů FIDO2 v prohlížeči zobrazí chyba NotAllowedError?

Na stránce registrace klíče fido2 se zobrazí NotAllowedError. K tomu obvykle dochází v případě, že je uživatel v privátním okně (Anonymní) nebo když používá vzdálenou plochu, kde není možný přístup k privátnímu klíči FIDO2.

Požadavky

Funguje tato funkce, pokud neexistuje připojení k internetu?

K povolení této funkce je nutné připojení k internetu. Při prvním přihlášení uživatele pomocí klíčů zabezpečení FIDO2 musí mít připojení k internetu. U následných událostí přihlášení by přihlášení uložené v mezipaměti mělo fungovat a nechat uživatele, aby se ověřil bez připojení k internetu.

Pro zajištění konzistentního prostředí se ujistěte, že zařízení mají přístup k internetu a jsou v dohledu počítačů.

Jaké jsou konkrétní koncové body, které musí být otevřené pro Azure AD?

Pro registraci a ověřování jsou potřeba následující koncové body:

  • *.microsoftonline.com
  • *.microsoftonline-p.com
  • *.msauth.net
  • *.msauthimages.net
  • *.msecnd.net
  • *.msftauth.net
  • *.msftauthimages.net
  • *.phonefactor.net
  • enterpriseregistration.windows.net
  • management.azure.com
  • policykeyservice.dc.ad.msft.net
  • secure.aadcdn.microsoftonline-p.com

Úplný seznam koncových bodů potřebných k používání online produktů Microsoftu najdete v Office 365 adresy URL a rozsahy IP adres.

Návody vašeho zařízení můžete identifikovat typ připojení k doméně (připojené k Azure AD nebo k hybridní Windows 10 službě Azure AD)?

Pokud chcete zkontrolovat, Windows 10 klientské zařízení má správný typ připojení k doméně, použijte následující příkaz:

Dsregcmd/status

Následující ukázkový výstup ukazuje, že zařízení je připojené k Azure AD, protože azureADJoined je nastavené na ANO:

+---------------------+
| Device State        |
+---------------------+

AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: NO

Následující ukázkový výstup ukazuje, že zařízení je připojené k hybridní službě Azure AD, protože DomainedJoined je také nastavené na ANO. Zobrazí se také DomainName:

+---------------------+
| Device State        |
+---------------------+

AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: YES
DomainName: CONTOSO

Na řadiči Windows Server 2016 nebo 2019 zkontrolujte, že jsou použity následující opravy. V případě potřeby je Windows spuštěním aktualizace:

Z klientského zařízení spuštěním následujícího příkazu ověřte připojení k příslušnému řadiči domény s nainstalovanými opravami:

nltest /dsgetdc:<domain> /keylist /kdc

Jaké je doporučení k počtu počítačů, které by se měly opravovat?

Doporučujeme opravovat většinu řadičů domény Windows Server 2016 2019 nebo 2019, aby se zajistilo, že budou moci zvládnout zatížení žádosti o ověření ve vaší organizaci.

Na řadiči Windows Server 2016 nebo 2019 zkontrolujte, že jsou použity následující opravy. V případě potřeby je Windows spuštěním aktualizace:

Můžu poskytovatele přihlašovacích údajů FIDO2 nasadit jenom na místní zařízení?

Ne, tato funkce není podporovaná jenom pro místní zařízení. Poskytovatel přihlašovacích údajů FIDO2 se nez zobrazení.

Přihlášení pomocí klíče zabezpečení FIDO2 nefunguje pro mého správce domény nebo jiné účty s vysokými oprávněními. Proč?

Výchozí zásady zabezpečení neudělí službě Azure AD oprávnění k přihlašování účtů s vysokými oprávněními k místním prostředkům.

Pokud chcete účty odblokovat, pomocí Uživatelé a počítače služby Active Directory upravte vlastnost msDS-NeverRevealGroup objektu počítače Kerberos služby Azure AD (CN=AzureADKerberos,OU=Řadiče domény, <domain-DN> ).

Pod pokličkou

Jak je protokol Kerberos služby Azure AD propojený s prostředím místní Active Directory Domain Services?

Existují dvě části: místní prostředí AD DS a tenant Azure AD.

Služba Active Directory Domain Services (AD DS)

Server Kerberos služby Azure AD je reprezentovaný v místním prostředí SLUŽBY AD DS jako objekt řadiče domény (DC). Tento objekt řadiče domény je tvořený několika objekty:

  • CN=AzureADKerberos,OU=Řadiče domény,<domain-DN>

    Objekt počítače, který představuje Read-Only řadiče domény jen pro čtení (RODC) ve službě AD DS. K tomuto objektu není přidružený žádný počítač. Místo toho se jedná o logickou reprezentaci řadiče domény.

  • CN=krbtgt_AzureAD,CN=Users,<domain-DN>

    Objekt uživatele, který představuje šifrovací klíč lístku TGT (Kerberos Ticket Granting Ticket) řadiče domény jen pro čtení.

  • CN=900274c4-b7d2-43c8-90ee-00a9f650e335,CN=AzureAD,CN=System,<domain-DN>

    Objekt ServiceConnectionPoint, který ukládá metadata o objektech serveru Kerberos služby Azure AD. Nástroje pro správu používají tento objekt k identifikaci a vyhledání objektů serveru Kerberos služby Azure AD.

Azure Active Directory

Server Kerberos služby Azure AD je ve službě Azure AD reprezentovaný jako objekt KerberosDomain. Každé místní prostředí AD DS je reprezentované jako jeden objekt KerberosDomain v tenantovi Azure AD.

Můžete mít například doménovou strukturu služby AD DS se dvěma doménami, například contoso.com a fabrikam.com. Pokud službě Azure AD povolíte vydávat lístky TGA (Ticket Granting Tickets) protokolu Kerberos pro celou doménovou strukturu, jsou v Azure AD dva objekty KerberosDomain – jeden objekt pro contoso.com a jeden pro fabrikam.com.

Pokud máte více doménových struktur SLUŽBY AD DS, máte jeden objekt KerberosDomain pro každou doménu v každé doménové struktuře.

Kde můžu zobrazit tyto objekty serveru Kerberos vytvořené ve službě AD DS a publikované ve službě Azure AD?

Pokud chcete zobrazit všechny objekty, použijte rutiny PowerShellu pro Server Kerberos služby Azure AD, které jsou součástí nejnovější verze azure AD Připojení.

Další informace, včetně pokynů k zobrazení objektů, najdete v tématu vytvoření objektu serveru Kerberos.

Proč nemůžeme mít veřejný klíč zaregistrovaný v místní službě AD DS, takže na internetu není žádná závislost?

Dostali jsme zpětnou vazbu týkající se složitosti modelu nasazení pro Windows Hello for Business, proto jsme chtěli model nasazení zjednodušit, aniž bychom museli používat certifikáty a PKI (FIDO2 certifikáty nevyu používá).

Jak se klíče obměnají u objektu serveru Kerberos?

Stejně jako u jiných řadičů domény by se šifrovací klíče krbtgt serveru Kerberos služby Azure AD měly pravidelně obměnat. Doporučujeme postupovat podle stejného plánu jako při obměně všech ostatních klíčů krbtgt služby AD DS.

Poznámka

I když existují další nástroje pro obměně klíčů krbtgt, musíte k obměně klíčů krbtgt serveru Azure AD Kerberos použít rutiny PowerShellu. Tato metoda zajišťuje aktualizaci klíčů jak v místním prostředí AD DS, tak v Azure AD.

Proč potřebujeme Azure AD Připojení? Zapisuje nějaké informace zpět do AD DS z Azure AD?

Azure AD Připojení nezapisuje informace zpět z Azure AD do AD DS. Nástroj zahrnuje modul PowerShellu pro vytvoření objektu serveru Kerberos ve službě AD DS a jeho publikování v Azure AD.

Jak vypadá požadavek a odpověď HTTP při žádosti o částečný lístk TGT PRT+?

Požadavek HTTP je standardní požadavek PRT (Primary Refresh Token). Tento požadavek PRT zahrnuje deklaraci identity indikující, že je potřeba lístek TGT (Kerberos Ticket Granting Ticket).

Deklarovat Hodnota Popis
tgt (tgt) true Deklarace identity znamená, že klient potřebuje TGT.

Azure AD kombinuje šifrovaný klíč klienta a vyrovnávací paměť zpráv do odpovědi PRT jako další vlastnosti. Datová část se šifruje pomocí klíče relace zařízení Azure AD.

Pole Typ Popis
tgt_client_key řetězec Klíč klienta s kódováním Base64 (tajný kód). Tento klíč je tajný klíč klienta, který se používá k ochraně lístku TGT. V tomto scénáři bez hesla server vygeneruje tajný kód klienta jako součást každého požadavku TGT a pak se vrátí klientovi v odpovědi.
tgt_key_type int Typ klíče místní služby AD DS, který se používá pro klíč klienta i klíč relace Kerberos, který je součástí KERB_MESSAGE_BUFFER.
tgt_message_buffer řetězec Kódování Base64 KERB_MESSAGE_BUFFER.

Další kroky

Pokud chcete začít s klíči zabezpečení FIDO2 a hybridním přístupem k místním prostředkům, projděte si následující články: