Preguntas más frecuentes sobre la implementación híbrida de claves de seguridad FIDO2 en Microsoft Entra ID

  • Artículo

En este artículo se describen las preguntas más frecuentes (P+F) de implementación sobre dispositivos unidos a Microsoft Entra híbrido y el inicio de sesión sin contraseña en recursos locales. Con esta característica sin contraseña, puede habilitar la autenticación de Microsoft Entra en dispositivos con Windows 10 unidos a Microsoft Entra híbrido mediante claves de seguridad FIDO2. Los usuarios pueden iniciar sesión en Windows en sus dispositivos mediante credenciales modernas como las claves FIDO2, y acceder a recursos tradicionales basados en Active Directory Domain Services (AD DS) con una experiencia de inicio de sesión único (SSO) a sus recursos locales.

Se admiten los siguientes escenarios para los usuarios de un entorno híbrido:

  • Inicie sesión en dispositivos unidos a Microsoft Entra híbrido mediante claves de seguridad FIDO2 y obtenga acceso SSO a los recursos locales.
  • Inicie sesión en dispositivos unidos a Microsoft Entra con claves de seguridad FIDO2 y obtenga acceso SSO a los recursos locales.

Para ver una introducción de las llaves de seguridad FIDO2 y del acceso híbrido a recursos locales, consulte los siguientes artículos:

Llaves de seguridad

Mi organización necesita autenticación multifactor para acceder a los recursos. ¿Qué puedo hacer para admitir este requisito?

Las llaves de seguridad FIDO2 tienen varios factores de forma. Póngase en contacto con el fabricante del dispositivo concreto para analizar cómo se pueden habilitar sus dispositivos con un PIN o reconocimiento biométrico como segundo factor. Para ver una lista de proveedores disponibles, vea esta sección sobre proveedores de llaves de seguridad FIDO2.

¿Dónde puedo encontrar llaves de seguridad de FIDO2 compatibles?

Para ver una lista de proveedores disponibles, vea esta sección sobre proveedores de llaves de seguridad FIDO2.

¿Qué ocurre si pierdo mi clave de seguridad?

Para quitar claves, vaya a la página Información de seguridad y quite la clave de seguridad FIDO2.

¿Cómo se protegen los datos de las llaves de seguridad FIDO2?

Las llaves de seguridad FIDO2 tienen enclaves seguros que protegen las claves privadas almacenadas en ellas. Una llave de seguridad FIDO2 también tiene protección contra ataques de repetición (hammering) integrada, como en Windows Hello, donde no se puede extraer la clave privada.

¿Cómo funciona el registro de las llaves de seguridad FIDO2?

Para obtener más información sobre cómo registrar y usar las llaves de seguridad FIDO2, consulte Habilitación del inicio de sesión sin contraseña con llaves de seguridad.

¿Hay alguna manera de que los administradores aprovisionen directamente las claves para los usuarios?

No, en este momento todavía no.

¿Por qué aparece el error "NotAllowedError" en el explorador al registrar claves FIDO2?

Recibirá "NotAllowedError" en la página de registro de claves FIDO2. Esto suele ocurrir cuando se produce un error mientras Windows intenta una operación authenticatorMakeCredential de CTAP2 en la clave de seguridad. Verá más detalles en el registro de eventos Microsoft-Windows-WebAuthN/Operational.

Requisitos previos

¿Funciona esta característica si no hay conectividad a Internet?

La conectividad a Internet es un requisito previo para poder habilitar esta característica. La primera vez que un usuario inicia sesión con llaves de seguridad FIDO2 debe tener conectividad a Internet. En el caso de los eventos de inicio de sesión posteriores, el inicio de sesión almacenado en caché debería funcionar y permitir que el usuario se autentique sin conectividad a Internet.

Para disfrutar de una experiencia coherente, asegúrese de que los dispositivos tengan acceso a Internet y una línea de visión a los controladores de dominio.

¿Cuáles son los puntos de conexión específicos que se deben abrir para Microsoft Entra ID?

Se necesitan los siguientes puntos de conexión para el registro y la autenticación:

  • *.microsoftonline.com
  • *.microsoftonline-p.com
  • *.msauth.net
  • *.msauthimages.net
  • *.msecnd.net
  • *.msftauth.net
  • *.msftauthimages.net
  • *.phonefactor.net
  • enterpriseregistration.windows.net
  • management.azure.com
  • policykeyservice.dc.ad.msft.net
  • secure.aadcdn.microsoftonline-p.com

Para ver una lista completa de los puntos de conexión necesarios para usar productos en línea de Microsoft, consulte Direcciones URL e intervalos de direcciones IP de Office 365.

¿Cómo puedo identificar el tipo de unión a un dominio (unido a Microsoft Entra o unido a Microsoft Entra híbrido) en mi dispositivo con Windows 10?

Para comprobar si el dispositivo cliente con Windows 10 tiene el tipo de unión a un dominio correcto, use el siguiente comando:

Dsregcmd /status

La siguiente salida de ejemplo muestra que el dispositivo está unido a Microsoft Entra, ya que el valor de AzureADJoined está establecido en YES:

+---------------------+
| Device State        |
+---------------------+

AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: NO

La siguiente salida de ejemplo muestra que el dispositivo está unido a Microsoft Entra híbrido, ya que el valor de DomainedJoined está establecido en YES. También se muestra DomainName:

+---------------------+
| Device State        |
+---------------------+

AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: YES
DomainName: CONTOSO

En un controlador de dominio de Windows Server 2016 o 2019, compruebe que se han aplicado las siguientes revisiones. Si es necesario, ejecute Windows Update para instalarlas:

Desde un dispositivo cliente, ejecute el siguiente comando para comprobar la conectividad a un controlador de dominio adecuado con las revisiones instaladas:

nltest /dsgetdc:<domain> /keylist /kdc

¿Cuál es la recomendación sobre el número de controladores de dominio que se deben revisar?

Se recomienda aplicar una revisión a la mayoría de los controladores de dominio de Windows Server 2016 o 2019 con la revisión para asegurarse de que puedan controlar la carga de solicitudes de autenticación de la organización.

En un controlador de dominio de Windows Server 2016 o 2019, compruebe que se han aplicado las siguientes revisiones. Si es necesario, ejecute Windows Update para instalarlas:

¿Puedo implementar el proveedor de credenciales FIDO2 en un dispositivo exclusivamente local?

No, esta característica no es compatible con el dispositivo exclusivamente local. El proveedor de credenciales FIDO2 no se mostraría.

El inicio de sesión con llaves de seguridad FIDO2 no funciona en mi administrador de dominio ni en otras cuentas con privilegios elevados. ¿Por qué?

La directiva de seguridad predeterminada no concede permiso a Microsoft Entra para que cuentas con privilegios elevados inicien sesión en recursos locales.

Para desbloquear las cuentas, use Usuarios y equipos de Active Directory para modificar la propiedad msDS-NeverRevealGroup del objeto Computer del servidor Kerberos de Microsoft Entra (CN=AzureADKerberos,OU=Domain Controllers<domain-DN>).

En segundo plano

¿Cómo se vincula el servidor Kerberos de Microsoft Entra a mi entorno de Active Directory Domain Services local?

Hay dos partes: el entorno de AD DS local y el inquilino de Microsoft Entra.

Active Directory Domain Services (AD DS)

El servidor Kerberos de Microsoft Entra se representa en un entorno de AD DS local como un objeto de controlador de dominio (DC). Este objeto de controlador de dominio se compone a su vez de varios objetos:

  • CN=AzureADKerberos,OU=Domain Controllers,<domain-DN>

    Un objeto Computer que representa un controlador de dominio de solo lectura (RODC) en AD DS. No hay ningún equipo asociado a este objeto. En su lugar, es una representación lógica de un controlador de dominio.

  • CN=krbtgt_AzureAD,CN=Users,<domain-DN>

    Un objeto User que representa una clave de cifrado del vale de concesión de vales (TGT) de Kerberos del controlador de dominio de solo lectura.

  • CN=900274c4-b7d2-43c8-90ee-00a9f650e335,CN=AzureAD,CN=System,<domain-DN>

    Un objeto ServiceConnectionPoint que almacena metadatos de los objetos de servidor Kerberos de Microsoft Entra. Las herramientas administrativas utilizan este objeto para identificar y ubicar los objetos del servidor Kerberos de Microsoft Entra.

Microsoft Entra ID

El servidor Kerberos de Microsoft Entra se representa en Microsoft Entra ID como un objeto KerberosDomain. Cada entorno de AD DS local se representa como un único objeto KerberosDomain en el inquilino de Microsoft Entra.

Por ejemplo, puede tener un bosque de AD DS con dos dominios, como contoso.com y fabrikam.com. Si permite que Microsoft Entra ID emita vales de concesión de vales (TGT) de Kerberos para todo el bosque, habrá dos objetos KerberosDomain en Microsoft Entra ID: un objeto para contoso.com y otro para fabrikam.com.

Si tiene varios bosques de AD DS, tendrá un objeto KerberosDomain para cada dominio de cada bosque.

¿Dónde puedo ver estos objetos de servidor Kerberos creados en AD DS y publicados en Microsoft Entra ID?

Para ver todos los objetos, use los cmdlets de PowerShell del servidor Kerberos de Microsoft Entra que se incluyen con la versión más reciente de Microsoft Entra Connect.

Para más información, e instrucciones sobre cómo ver los objetos, consulte Creación de objetos de servidor de Kerberos.

¿Por qué no puedo registrar la clave pública en la instancia de AD DS local para no tener que depender de Internet?

Hemos recibido comentarios sobre la complejidad del modelo de implementación de Windows Hello para empresas, por lo que queríamos simplificarlo sin tener que usar certificados ni PKI (FIDO2 no usa certificados).

¿Cómo se rotan las claves en el objeto de servidor Kerberos?

Al igual que con cualquier otro controlador de dominio, las claves krbtgt de cifrado del servidor Kerberos de Microsoft Entra se deben rotar periódicamente. Se recomienda seguir la misma programación que para girar las demás claves krbtgt de AD DS.

Nota:

Aunque hay otras herramientas para rotar las claves krbtgt, debe usar los cmdlets de PowerShell para rotar las claves krbtgt del servidor Kerberos de Microsoft Entra. Este método garantiza que las claves se actualicen en el entorno de AD DS local y en Microsoft Entra ID.

¿Por qué necesitamos Microsoft Entra Connect? ¿Se vuelve a escribir información en AD DS desde Microsoft Entra ID?

Microsoft Entra Connect no escribe información de Microsoft Entra ID en Active Directory DS. La utilidad incluye el módulo de PowerShell para crear el objeto del servidor Kerberos en AD DS y publicarlo en Microsoft Entra ID.

¿Qué aspecto tiene la solicitud/respuesta HTTP al solicitar el TGT parcial de PRT+?

La solicitud HTTP es una solicitud de token de actualización principal (PRT) estándar. Esta solicitud de PRT incluye una notificación que indica que se necesita un vale de concesión de vales (TGT) de Kerberos.

Notificación Value Descripción
tgt true La notificación indica que el cliente necesita un TGT.

Microsoft Entra ID combina la clave de cliente cifrada y el búfer de mensajes en la respuesta de PRT como propiedades adicionales. La carga útil se cifra mediante la clave de sesión de dispositivos de Microsoft Entra.

Campo Tipo Descripción
tgt_client_key string Clave de cliente codificada en Base64 (secreto). Esta clave es el secreto de cliente que se usa para proteger el TGT. En este escenario sin contraseña, el servidor genera el secreto de cliente como parte de cada solicitud TGT y, a continuación, se devuelve al cliente en la respuesta.
tgt_key_type int El tipo de clave de AD DS local utilizado para la clave de cliente y la clave de sesión de Kerberos incluidos en KERB_MESSAGE_BUFFER.
tgt_message_buffer string KERB_MESSAGE_BUFFER codificado en Base64.

¿Deben los usuarios ser miembros del grupo de usuarios de dominio de Active Directory?

Sí. Un usuario debe estar en el grupo de usuarios del dominio para poder iniciar sesión con Kerberos de Microsoft Entra.

Pasos siguientes

Para ver una introducción de las llaves de seguridad FIDO2 y del acceso híbrido a recursos locales, consulte los siguientes artículos: