Tanya jawab umum (FAQ) penerapan mengenai kunci keamanan FIDO2 hibrid di Azure AD

Artikel ini membahas tanya jawab umum (FAQ) penerapan untuk perangkat gabungan Azure AD hibrid dan masuk tanpa kata sandi ke sumber daya lokal. Dengan fitur tanpa kata sandi ini, Anda dapat mengaktifkan autentikasi Azure AD di perangkat Windows 10 untuk perangkat gabungan Azure AD hibrid menggunakan kunci keamanan FIDO2. Pengguna dapat masuk ke Windows pada perangkatnya dengan info masuk modern seperti kunci FIDO2 dan mengakses sumber daya berbasis Direktori Aktif (AD DS) tradisional dengan pengalaman akses menyeluruh (SSO) tanpa hambatan ke sumber daya lokalnya.

Skenario berikut untuk pengguna di lingkungan hibrid didukung:

  • Masuk ke perangkat yang bergabung dengan Microsoft Azure Active Directory hibrid menggunakan kunci keamanan FIDO2 dan dapatkan akses SSO ke sumber daya lokal.
  • Masuk ke perangkat yang bergabung dengan Microsoft Azure Active Directory menggunakan kunci keamanan FIDO2 dan dapatkan akses SSO ke sumber daya lokal.

Untuk mulai menggunakan kunci keamanan FIDO2 dan akses hibrid ke sumber daya lokal, lihat artikel berikut ini:

Kunci keamanan

Organisasi saya memerlukan autentikasi multifaktor untuk mengakses sumber daya. Apa yang dapat saya lakukan untuk mendukung persyaratan ini?

Kunci keamanan FIDO2 hadir dalam berbagai faktor bentuk. Hubungi produsen perangkat yang berkepentingan untuk membahas bagaimana perangkatnya dapat diaktifkan dengan PIN atau biometrik sebagai faktor kedua. Untuk daftar penyedia yang didukung, lihat penyedia kunci keamanan FIDO2.

Di mana saya dapat menemukan kunci keamanan FIDO2 yang sesuai?

Untuk daftar penyedia yang didukung, lihat penyedia kunci keamanan FIDO2.

Bagaimana jika saya kehilangan kunci keamanan?

Anda dapat menghapus kunci di portal Azure dengan membuka halaman Info keamanan dan menghapus kunci keamanan FIDO2.

Bagaimana data dilindungi pada kunci keamanan FIDO2?

Kunci keamanan FIDO2 memiliki enklave aman yang melindungi kunci privat yang tersimpan di dalamnya. Kunci keamanan FIDO2 juga memiliki sifat anti-palu bawaan, seperti di Windows Hello, tempat Anda tidak dapat mengekstrak kunci privat.

Bagaimana cara mendaftar kunci keamanan FIDO2?

Untuk informasi selengkapnya tentang cara mendaftar dan menggunakan kunci keamanan FIDO2, lihat Mengaktifkan rincian masuk kunci keamanan tanpa kata sandi.

Apakah ada cara bagi admin untuk menyediakan kunci bagi pengguna secara langsung?

Tidak untuk saat ini.

Mengapa saya mendapatkan "NotAllowedError" di browser, ketika mendaftarkan kunci FIDO2?

Anda akan menerima "NotAllowedError" dari halaman pendaftaran kunci FIDO2. Hal ini biasanya terjadi ketika pengguna berada di jendela pribadi (Penyamaran) atau menggunakan desktop jarak jauh yang tidak memungkinkan akses kunci FIDO2 Private.

Prasyarat

Apakah fitur ini berfungsi jika tidak ada koneksi internet?

Koneksi internet adalah prasyarat untuk mengaktifkan fitur ini. Pertama kali pengguna masuk menggunakan kunci keamanan FIDO2, pengguna harus memiliki koneksi internet. Untuk upaya masuk berikutnya, rincian masuk yang di-cache seharusnya dapat berfungsi dan memungkinkan pengguna melakukan autentikasi tanpa koneksi internet.

Untuk pengalaman yang konsisten, pastikan perangkat memiliki akses internet dan garis pandang ke DC.

Apa saja endpoint yang diperlukan agar terbuka untuk Azure AD?

Endpoint berikut dibutuhkan untuk pendaftaran dan autentikasi:

    • .microsoftonline.com
    • .microsoftonline-p.com
    • .msauth.net
    • .msauthimages.net
    • .msecnd.net
    • .msftauth.net
    • .msftauthimages.net
    • .phonefactor.net
  • enterpriseregistration.windows.net
  • management.azure.com
  • policykeyservice.dc.ad.msft.net
  • secure.aadcdn.microsoftonline-p.com

Untuk daftar lengkap endpoint yang dibutuhkan dalam menggunakan produk online Microsoft, lihat URL dan rentang alamat IP Office 365.

Bagaimana cara mengidentifikasi jenis gabungan domain (gabungan Azure AD atau gabungan Azure AD hibrid) untuk perangkat Windows 10 saya?

Untuk memeriksa apakah perangkat klien Windows 10 memiliki jenis gabungan domain yang tepat, gunakan perintah berikut:

Dsregcmd/status

Contoh output berikut menunjukkan bahwa perangkat Azure AD yang bergabung sebagai AzureADJoined diatur ke YES:

+---------------------+
| Device State        |
+---------------------+

AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: NO

Contoh output berikut menunjukkan bahwa perangkat merupakan gabungan Azure AD hibrid sebagai DomainedJoined juga diatur ke YES. DomainName juga ditunjukkan:

+---------------------+
| Device State        |
+---------------------+

AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: YES
DomainName: CONTOSO

Pada pengendali domain Windows Server 2016 atau 2019, periksa apakah patch berikut ini diterapkan. Jika diperlukan, jalankan Windows Update untuk menginstalnya:

Dari perangkat klien, jalankan perintah berikut untuk memastikan konektivitas ke pengendali domain yang sesuai dengan patch yang diinstal:

nltest /dsgetdc:<domain> /keylist /kdc

Berapa jumlah DC yang direkomendasikan untuk di-patch?

Kami merekomendasikan membuat patch sebagian besar pengendali domain Windows Server 2016 atau 2019 Anda dengan patch untuk memastikan pengendali dapat menangani beban permintaan autentikasi organisasi Anda.

Pada pengendali domain Windows Server 2016 atau 2019, periksa apakah patch berikut ini diterapkan. Jika diperlukan, jalankan Windows Update untuk menginstalnya:

Dapatkah saya menerapkan penyedia kredensial FIDO2 di perangkat lokal saja?

Tidak, fitur ini tidak didukung untuk perangkat lokal saja. Penyedia kredensial FIDO2 tidak akan muncul.

Rincian masuk kunci keamanan FIDO2 tidak berfungsi untuk Admin Domain saya atau akun hak istimewa tinggi lainnya. Mengapa?

Kebijakan keamanan default tidak memberi Azure AD izin untuk mengakses akun hak istimewa tinggi ke sumber daya lokal.

Untuk membuka blokir akun, gunakan Komputer dan Pengguna Active Directory untuk memodifikasi properti msDS-NeverRevealGroup dari objek Komputer Kerberos Microsoft Azure AD (CN=AzureADKerberos,OU=Pengendali Domain, <domain-DN>) .

Di balik layanan

Bagaimana Kerberos Azure AD ditautkan ke lingkungan Active Directory Domain Services lokal saya?

Ada dua bagian: lingkungan AD DS lokal dan penyewa Azure AD.

Active Directory Domain Services (AD DS)

Server Kerberos Azure AD diwakili dalam lingkungan AD DS lokal sebagai objek pengendali domain (DC). Objek DC ini terdiri dari beberapa objek:

  • CN=AzureADKerberos,OU=Pengendali Domain,<domain-DN>

    Objek Komputer yang mewakili Pengendali Domain Baca-Saja (RODC) di AD DS. Tidak ada komputer yang terkait dengan objek ini. Sebagai gantinya, objek ini adalah perwakilan logis dari DC.

  • CN=krbtgt_AzureAD,CN=Pengguna,<domain-DN>

    Objek Pengguna yang mewakili kunci enkripsi Ticket Granting Ticket (TGT) Kerberos RODC.

  • CN=900274c4-b7d2-43c8-90ee-00a9f650e335,CN=AzureAD,CN=Sistem,<domain-DN>

    Objek ServiceConnectionPoint yang menyimpan metadata tentang objek Server Kerberos Azure AD. Alat administratif menggunakan objek ini untuk mengidentifikasi dan menemukan objek Server Kerberos Azure AD.

Azure Active Directory

Server Kerberos Azure AD diwakili dalam Azure AD sebagai objek KerberosDomain. Setiap lingkungan AD DS lokal diwakili sebagai satu objek KerberosDomain dalam penyewa Azure AD.

Contohnya, Anda memiliki forest AD DS dengan dua domain seperti contoso.com dan fabrikam.com. Jika Anda mengizinkan Azure AD menerbitkan Ticket Granting Ticket (TGT) Kerberos untuk seluruh forest, ada dua objek KerberosDomain dalam Azure AD - satu objek untuk contoso.com dan satu untuk fabrikam.com.

Jika Anda memiliki beberapa forest AD DS, Anda memiliki satu objek KerberosDomain untuk setiap domain di setiap forest.

Di mana saya dapat melihat objek server Kerberos yang dibuat di AD DS dan dipublikasikan di Azure AD?

Untuk melihat semua objek, gunakan cmdlet PowerShell Server Kerberos Azure AD yang disertakan dengan versi terbaru Azure AD Connect.

Untuk informasi selengkapnya, termasuk petunjuk cara melihat objek, lihat membuat objek Server Kerberos.

Mengapa kita tidak dapat mendaftarkan kunci publik ke AD DS lokal agar tidak perlu bergantung pada internet?

Kami menerima tanggapan seputar kompleksitas model penerapan untuk Windows Hello for Business, sehingga ingin mempermudah model penerapan tanpa harus menggunakan sertifikat dan PKI (FIDO2 tidak menggunakan sertifikat).

Bagaimana kunci berputar pada objek server Kerberos?

Seperti DC lainnya, kunci krbtgt enkripsi Server Kerberos Azure AD harus diputar secara rutin. Sebaiknya ikuti jadwal yang sama seperti yang Anda gunakan untuk memutar semua kunci krbtgt AD DS lainnya.

Catatan

Meskipun ada alat lain untuk memutar kunci krbtgt, , Anda harus menggunakan cmdlet PowerShell untuk memutar kunci krbtgt dari Server Kerberos Azure AD. Metode ini memastikan agar kunci diperbarui di lingkungan AD DS lokal dan di Azure AD.

Mengapa kita memerlukan Azure AD Connect? Apakah alat ini menuliskan kembali info apa pun ke AD DS dari Azure AD?

Azure AD Connect tidak menuliskan kembali info dari Azure AD ke AD DS. Utilitas ini mencakup modul PowerShell untuk membuat Objek Server Kerberos di AD DS dan memublikasikannya di Azure AD.

Seperti apa permintaan/respons HTTP saat meminta TGT parsial PRT+?

Permintaan HTTP adalah permintaan Primary Refresh Token (PRT) standar. Permintaan PRT ini mencakup klaim yang menunjukkan bahwa Ticket Granting Ticket (TGT) Kerberos diperlukan.

Klaim Nilai Deskripsi
tgt true Klaim menunjukkan klien membutuhkan TGT.

Azure AD menggabungkan kunci klien terenkripsi dan buffer pesan ke dalam respons PRT sebagai properti tambahan. Payload dienkripsi dengan kunci sesi Perangkat Azure AD.

Bidang Jenis Deskripsi
tgt_client_key string Kunci klien yang dikodekan Base64 (rahasia). Kunci ini adalah rahasia klien yang digunakan untuk melindungi TGT. Dalam skenario tanpa kata sandi ini, rahasia klien dihasilkan oleh server sebagai bagian dari setiap permintaan TGT, lalu dikembalikan ke klien dalam responsnya.
tgt_key_type int Jenis kunci AD DS lokal yang digunakan untuk kunci klien dan kunci sesi Kerberos disertakan dalam KERB_MESSAGE_BUFFER.
tgt_message_buffer string KERB_MESSAGE_BUFFER yang dikodekan Base64.

Langkah berikutnya

Untuk mulai menggunakan kunci keamanan FIDO2 dan akses hibrid ke sumber daya lokal, lihat artikel berikut ini: