Nejčastější dotazy k nasazení hybridních klíčů zabezpečení FIDO2 v Microsoft Entra ID

  • Článek

Tento článek se věnuje nejčastějším dotazům k nasazení pro hybridní zařízení připojená k Microsoft Entra a přihlašování bez hesla k místním prostředkům. Pomocí této funkce bez hesla můžete povolit ověřování Microsoft Entra na zařízeních s Windows 10 pro hybridní zařízení připojená k Microsoft Entra pomocí klíčů zabezpečení FIDO2. Uživatelé se můžou na svých zařízeních přihlásit pomocí moderních přihlašovacích údajů, jako jsou klíče FIDO2, a přistupovat k tradičním prostředkům založeným na službě Doména služby Active Directory Services (AD DS) s bezproblémovým jednotným přihlašováním k místním prostředkům.

Podporují se následující scénáře pro uživatele v hybridním prostředí:

  • Přihlaste se k hybridním zařízením připojeným k Microsoft Entra pomocí klíčů zabezpečení FIDO2 a získejte přístup přes jednotné přihlašování k místním prostředkům.
  • Přihlaste se k zařízením připojeným k Microsoft Entra pomocí klíčů zabezpečení FIDO2 a získejte přístup přes jednotné přihlašování k místním prostředkům.

Pokud chcete začít používat klíče zabezpečení FIDO2 a hybridní přístup k místním prostředkům, přečtěte si následující články:

Klíče zabezpečení

Moje organizace vyžaduje vícefaktorové ověřování pro přístup k prostředkům. Co můžu udělat pro podporu tohoto požadavku?

Klíče zabezpečení FIDO2 mají různé faktory. Obraťte se na výrobce zařízení, který zajímá, a prodiskutujte, jak je možné jejich zařízení povolit pomocí PIN kódu nebo biometrického kódu jako druhého faktoru. Seznam podporovaných poskytovatelů najdete v tématu Zprostředkovatelé klíčů zabezpečení FIDO2.

Kde najdu kompatibilní klíče zabezpečení FIDO2?

Seznam podporovaných poskytovatelů najdete v tématu Zprostředkovatelé klíčů zabezpečení FIDO2.

Co když ztratím svůj bezpečnostní klíč?

Klíče můžete odebrat tak, že přejdete na stránku Bezpečnostní údaje a odeberete klíč zabezpečení FIDO2.

Jak jsou data chráněná v klíči zabezpečení FIDO2?

Klíče zabezpečení FIDO2 mají zabezpečené enklávy, které chrání privátní klíče uložené na nich. Klíč zabezpečení FIDO2 má také integrované vlastnosti proti kladivu, například ve Windows Hello, kde nemůžete extrahovat privátní klíč.

Jak funguje registrace klíčů zabezpečení FIDO2?

Další informace o registraci a používání klíčů zabezpečení FIDO2 najdete v tématu Povolení přihlašování pomocí hesla bez hesla.

Existuje způsob, jak správci zřídit klíče pro uživatele přímo?

Ne, v tuto chvíli ne.

Proč se mi při registraci klíčů FIDO2 zobrazuje chyba NotAllowedError v prohlížeči?

"NotAllowedError" obdržíte ze stránky registrace klíče fido2. K tomu obvykle dochází v případě, že Se systémem Windows dojde k chybě při pokusu o operaci CTAP2 authenticatorMakeCredential vůči klíči zabezpečení. Další podrobnosti najdete v protokolu událostí Microsoft-Windows-WebAuthN/Operational.

Požadavky

Funguje tato funkce, pokud neexistuje připojení k internetu?

Připojení k internetu je předpokladem pro povolení této funkce. Když se uživatel poprvé přihlásí pomocí klíčů zabezpečení FIDO2, musí mít připojení k internetu. U následných událostí přihlášení by mělo fungovat přihlášení uložené v mezipaměti a umožnit uživateli ověření bez připojení k internetu.

Pro konzistentní prostředí se ujistěte, že zařízení mají přístup k internetu a dohled na řadiče domény.

Jaké jsou konkrétní koncové body, které je potřeba otevřít pro Microsoft Entra ID?

K registraci a ověřování jsou potřeba následující koncové body:

  • *.microsoftonline.com
  • *.microsoftonline-p.com
  • *.msauth.net
  • *.msauthimages.net
  • *.msecnd.net
  • *.msftauth.net
  • *.msftauthimages.net
  • *.phonefactor.net
  • enterpriseregistration.windows.net
  • management.azure.com
  • policykeyservice.dc.ad.msft.net
  • secure.aadcdn.microsoftonline-p.com

Úplný seznam koncových bodů potřebných k používání online produktů Microsoftu najdete v tématu Adresy URL a rozsahy IP adres Office 365.

Návody identifikovat typ připojení k doméně (připojený k Microsoft Entra nebo Microsoft Entra hybrid join) pro moje zařízení s Windows 10?

Pokud chcete zkontrolovat, jestli má klientské zařízení s Windows 10 správný typ připojení k doméně, použijte následující příkaz:

Dsregcmd /status

Následující ukázkový výstup ukazuje, že zařízení je připojené k Microsoft Entra, protože AzureADJoined je nastaveno na ANO:

+---------------------+
| Device State        |
+---------------------+

AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: NO

Následující ukázkový výstup ukazuje, že zařízení je microsoft Entra hybrid join as DomainedJoined je také nastaven na ANO. Zobrazí se také název domény :

+---------------------+
| Device State        |
+---------------------+

AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: YES
DomainName: CONTOSO

Na řadiči domény s Windows Serverem 2016 nebo 2019 zkontrolujte, jestli jsou použity následující opravy. V případě potřeby je nainstalujte spuštěním služba Windows Update:

Spuštěním následujícího příkazu z klientského zařízení ověřte připojení k příslušnému řadiči domény s nainstalovanými opravami:

nltest /dsgetdc:<domain> /keylist /kdc

Jaké je doporučení týkající se počtu řadičů domény, které by se měly opravit?

Doporučujeme opravit většinu řadičů domény s Windows Serverem 2016 nebo 2019 pomocí opravy, aby se zajistilo, že budou moct zpracovávat zatížení žádosti o ověření ve vaší organizaci.

Na řadiči domény s Windows Serverem 2016 nebo 2019 zkontrolujte, jestli jsou použity následující opravy. V případě potřeby je nainstalujte spuštěním služba Windows Update:

Můžu nasadit poskytovatele přihlašovacích údajů FIDO2 jenom na místní zařízení?

Ne, tato funkce není podporovaná jenom pro místní zařízení. Zprostředkovatel přihlašovacích údajů FIDO2 se nezobrazí.

Přihlášení k klíči zabezpečení FIDO2 nefunguje u Správa domény ani u jiných účtů s vysokými oprávněními. Proč?

Výchozí zásady zabezpečení neudělují Microsoft Entra oprávnění k podepisování účtů s vysokými oprávněními k místním prostředkům.

Pokud chcete účty odblokovat, upravte pomocí Uživatelé a počítače služby Active Directory vlastnost msDS-NeverRevealGroup objektu počítače Microsoft Entra Kerberos (CN=AzureADKerberos,OU=Domain Controllers,domain-DN<>).

Pod pokličkou

Jak je Microsoft Entra Kerberos propojený s mým prostředím služby místní Active Directory Domain Services?

Existují dvě části: místní prostředí AD DS a tenant Microsoft Entra.

Doména služby Active Directory Services (AD DS)

Server Microsoft Entra Kerberos je reprezentován v místním prostředí SLUŽBY AD DS jako objekt řadiče domény (DC). Tento objekt DC se skládá z více objektů:

  • CN=AzureADKerberos,OU=Domain Controllers,<domain-DN>

    Objekt Počítače, který představuje řadič domény jen pro čtení (RODC) ve službě AD DS. K tomuto objektu není přidružený žádný počítač. Místo toho se jedná o logickou reprezentaci řadiče domény.

  • CN=krbtgt_AzureAD,CN=Users,<domain-DN>

    Objekt uživatele, který představuje šifrovací klíč lístku TGT (Kerberos pro udělení lístku protokolu KERBEROS řadiče domény jen pro čtení).

  • CN=900274c4-b7d2-43c8-90ee-00a9f650e335,CN=AzureAD,CN=System,<domain-DN>

    A Service Připojení ionPoint objekt, který ukládá metadata o objektech serveru Microsoft Entra Kerberos. Nástroje pro správu používají tento objekt k identifikaci a vyhledání objektů serveru Microsoft Entra Kerberos.

Microsoft Entra ID

Server Microsoft Entra Kerberos je reprezentován v Microsoft Entra ID jako kerberosDomain objekt. Každé místní prostředí SLUŽBY AD DS je reprezentováno jako jeden objekt KerberosDomain v tenantovi Microsoft Entra.

Můžete mít například doménovou strukturu SLUŽBY AD DS se dvěma doménami, například contoso.com a fabrikam.com. Pokud povolíte microsoft Entra ID vydávat lístky přidělování lístků Kerberos (TGT) pro celou doménovou strukturu, v Microsoft Entra ID existují dva KerberosDomain objekty – jeden objekt pro contoso.com a jeden pro fabrikam.com.

Pokud máte více doménových struktur služby AD DS, máte jeden KerberosDomain objekt pro každou doménu v každé doménové struktuře.

Kde se dají zobrazit tyto objekty serveru Kerberos vytvořené ve službě AD DS a publikované v Microsoft Entra ID?

Pokud chcete zobrazit všechny objekty, použijte rutiny PowerShellu serveru Microsoft Entra Kerberos, které jsou součástí nejnovější verze microsoft Entra Připojení.

Další informace, včetně pokynů k zobrazení objektů, naleznete v tématu vytvoření objektu serveru Kerberos.

Proč nemůžeme mít veřejný klíč zaregistrovaný v místní službě AD DS, takže není na internetu žádná závislost?

Obdrželi jsme zpětnou vazbu týkající se složitosti modelu nasazení pro Windows Hello pro firmy, proto jsme chtěli model nasazení zjednodušit, aniž bychom museli používat certifikáty a infrastruktura veřejných klíčů (FIDO2 nepoužívá certifikáty).

Jak se klíče obměňují v objektu serveru Kerberos?

Stejně jako u jiných řadičů domény by se šifrovací klíče serveru Microsoft Entra Kerberos měly pravidelně obměňovat. Doporučujeme postupovat podle stejného plánu jako při obměně všech ostatních klíčů krbtgt služby AD DS.

Poznámka:

I když existují další nástroje pro otáčení klíčů krbtgt, musíte pomocí rutin PowerShellu otočit klíče krbtgt serveru Microsoft Entra Kerberos. Tato metoda zajišťuje, aby se klíče aktualizovaly v místním prostředí služby AD DS i v Microsoft Entra ID.

Proč potřebujeme Microsoft Entra Připojení? Zapisuje ze služby Microsoft Entra ID nějaké informace zpět do služby AD DS?

Microsoft Entra Připojení nezapisuje informace z ID Microsoft Entra do služby Active Directory DS. Tento nástroj obsahuje modul PowerShellu pro vytvoření objektu serveru Kerberos ve službě AD DS a jeho publikování v Microsoft Entra ID.

Jak vypadá požadavek HTTP nebo odpověď při vyžádání žádosti OT+ částečného TGT?

Požadavek HTTP je standardní požadavek primárního obnovovacího tokenu (PRT). Tento požadavek PRT obsahuje deklaraci identity, která značí, že je potřeba lístek TGT (Kerberos Ticket Grant Ticket).

Deklarace identity Hodnota Popis
tgt true Deklarace identity označuje, že klient potřebuje TGT.

Microsoft Entra ID kombinuje šifrovaný klientský klíč a vyrovnávací paměť zpráv do odpovědi PRT jako další vlastnosti. Datová část se šifruje pomocí klíče relace zařízení Microsoft Entra.

Pole Typ Popis
tgt_client_key string Kódovaný klientský klíč base64 (tajný klíč). Tento klíč je tajný klíč klienta použitý k ochraně TGT. V tomto scénáři bez hesla se tajný klíč klienta vygeneruje serverem jako součást každého požadavku TGT a pak se vrátí klientovi v odpovědi.
tgt_key_type int Místní typ klíče služby AD DS používaný pro klientský klíč i klíč relace Kerberos, který je součástí KERB_MESSAGE_BUFFER.
tgt_message_buffer string Kódování Base64 KERB_MESSAGE_BUFFER

Musí být uživatelé členem skupiny Domain Users Active Directory?

Ano. Uživatel musí být ve skupině Domain Users, aby se mohl přihlásit pomocí protokolu Microsoft Entra Kerberos.

Další kroky

Pokud chcete začít používat klíče zabezpečení FIDO2 a hybridní přístup k místním prostředkům, přečtěte si následující články: