Часто задаваемые вопросы о ключах безопасности FIDO2 для гибридного развертывания в Azure Active Directory

В этой статье содержатся часто задаваемые вопросы об устройствах с гибридным присоединением к Azure AD и о входе без пароля для доступа к локальным ресурсам. Благодаря возможности входа без пароля можно включить проверку подлинности Azure Active Directory с использованием ключей безопасности FIDO2 на устройствах с Windows 10 с гибридным присоединением к Azure AD. Пользователи могут входить в Windows на своих устройствах с помощью современных учетных данных, таких как ключи FIDO2, и обращаться к ресурсам на базе традиционных доменных служб Active Directory (AD DS) через простой интерфейс единого входа, тем самым получая доступ к своим локальным ресурсам.

В гибридной среде для пользователей поддерживаются следующие сценарии:

  • вход на устройства с гибридным присоединением к Azure AD с помощью ключей безопасности FIDO2 и использование единого входа для доступа к локальным ресурсам;
  • вход на устройства, присоединенные к Azure AD, с помощью ключей безопасности FIDO2 и использование единого входа для доступа к локальным ресурсам.

Чтобы приступить к использованию ключей безопасности FIDO2 и гибридного доступа к локальным ресурсам, ознакомьтесь со следующими статьями:

Ключи безопасности

В моей организации для доступа к ресурсам требуется многофакторная проверка подлинности. Что можно сделать, чтобы выполнить это требование?

Ключи безопасности FIDO2 предлагаются в разнообразных форм-факторах. Обратитесь к производителю ваших устройств, чтобы обсудить, как можно использовать для их включения ПИН-код или биометрические данные в качестве второго фактора. Список поддерживаемых поставщиков см. в разделе Поставщики ключей безопасности FIDO2.

Где можно найти совместимые ключи безопасности FIDO2?

Список поддерживаемых поставщиков см. в разделе Поставщики ключей безопасности FIDO2.

Что делать, если я потеряю свой ключ безопасности?

Ключи можно удалить на портале Azure. Откройте страницу Сведения для защиты и удалите ключ безопасности FIDO2.

Как защищены данные на ключе безопасности FIDO2?

Ключи безопасности FIDO2 содержат защищенные анклавы, обеспечивающие безопасность закрытых ключей, которые в них хранятся. Ключ безопасности FIDO2 также содержит встроенные средства противодействия подбору паролей (как в Windows Hello), что делает невозможным извлечение закрытого ключа.

Как происходит регистрация ключей безопасности FIDO2?

Сведения о регистрации и использовании ключей безопасности FIDO2 см. в статье Включение входа без пароля с помощью ключа безопасности.

Могут ли администраторы самостоятельно подготовить ключи для пользователей?

В настоящее время эта возможность недоступна.

Почему при регистрации ключей FIDO2 в браузере я получаю уведомление "NotAllowedError"?

Вы получите уведомление "NotAllowedError" со страницы регистрации ключа fido2. Как правило это происходит, когда пользователь находится в закрытом окне (инкогнито) или использует удаленный рабочий стол, когда доступ к закрытому ключу FIDO2 невозможен.

Предварительные требования

Доступна ли эта возможность при отсутствии подключения к Интернету?

Подключение к Интернету — обязательное предварительное условие для включения этой возможности. При первом входе пользователя с помощью ключей безопасности FIDO2 у него должно быть подключение к Интернету. При последующих входах в систему должен работать кэшированный вход, позволяющий пользователю пройти проверку подлинности без подключения к Интернету.

Чтобы исключить проблемы с входом, убедитесь, что устройства подключены к Интернету и находятся в прямой видимости контроллеров домена.

Каковы конкретные конечные точки, которые должны быть открыты для Azure Active Directory?

Для регистрации и проверки подлинности требуются следующие конечные точки:

    • .microsoftonline.com
    • .microsoftonline-p.com
    • .msauth.net
    • .msauthimages.net
    • .msecnd.net
    • .msftauth.net
    • .msftauthimages.net
    • .phonefactor.net
  • enterpriseregistration.windows.net
  • management.azure.com
  • policykeyservice.dc.ad.msft.net
  • secure.aadcdn.microsoftonline-p.com

Полный список необходимых конечных точек для использования продуктов Майкрософт, доступных через Интернет, см. в статье URL-адреса и диапазоны IP-адресов Office 365.

Как определить тип присоединения к домену (обычное или гибридное присоединение к Azure AD) для устройства с Windows 10?

Чтобы проверить, настроен ли на клиентском устройстве с Windows 10 нужный тип присоединения к домену, воспользуйтесь такой командой:

Dsregcmd/status

В этом примере выходных данных показано, что устройство присоединено к Azure AD, так как параметр AzureADJoined имеет значение Yes (Да):

+---------------------+
| Device State        |
+---------------------+

AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: NO

В следующем примере выходных данных показано, что это устройство с гибридным присоединением к Azure AD, так как параметр DomainedJoined также имеет значение Yes. Здесь также указано имя домена (параметр DomainName):

+---------------------+
| Device State        |
+---------------------+

AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: YES
DomainName: CONTOSO

Проверьте, установлены ли на вашем контроллере домена Windows Server 2016 или 2019 указанные ниже исправления. При необходимости запустите Центр обновления Windows, чтобы установить их.

Чтобы проверить возможность подключения к подходящему контроллеру домена с установленными исправлениями, выполните на клиентском устройстве следующую команду:

nltest /dsgetdc:<domain> /keylist /kdc

Каково рекомендуемое количество контроллеров домена, к которым нужно применить исправления?

Мы рекомендуем установить исправления на большинстве контроллеров домена Windows Server 2016 или 2019, чтобы они могли справляться с потоком запросов на проверку подлинности в организации.

Проверьте, установлены ли на вашем контроллере домена Windows Server 2016 или 2019 указанные ниже исправления. При необходимости запустите Центр обновления Windows, чтобы установить их.

Можно ли развернуть поставщик учетных данных FIDO2 на устройстве, которое работает только в локальной среде?

Нет, эта возможность не поддерживается для устройств, которые работают только в локальной среде. Поставщик учетных данных FIDO2 не будет отображаться.

Вход с ключом безопасности FIDO2 не работает для администратора домена или других учетных записей с высоким уровнем привилегий. Почему?

Политика безопасности по умолчанию не предоставляет службе Azure Active Directory разрешение на вход для учетных записей с высоким уровнем привилегий для доступа к локальным ресурсам.

Чтобы разблокировать эти учетные записи, воспользуйтесь инструментом Active Directory — пользователи и компьютеры и измените свойство msDS-NeverRevealGroup объекта "Компьютер" Kerberos Azure Active Directory (CN=AzureADKerberos,OU=Domain Controllers,<domain-DN>) .

Механизм

Как служба Kerberos в Azure Active Directory связана с локальной средой доменных служб Active Directory?

Существует два компонента: локальная среда AD DS и арендатор Azure AD.

Доменные службы Active Directory (AD DS)

Сервер Kerberos Azure Active Directory представлен в локальной среде AD DS в виде объекта "Контроллер домена". Этот объект "Контроллер домена" состоит из нескольких объектов:

  • CN=AzureADKerberos,OU=Domain Controllers,<domain-DN>

    Объект Компьютер, который представляет в AD DS контроллер домена только для чтения (RODC). С этим объектом не связан конкретный компьютер, это просто логическое представление контроллера домена.

  • CN=krbtgt_AzureAD,CN=Users,<domain-DN>

    Объект Пользователь, представляющий ключ шифрования для ключа TGT (билета предоставления билета) Kerberos RODC.

  • CN=900274c4-b7d2-43c8-90ee-00a9f650e335,CN=AzureAD,CN=System,<domain-DN>

    Объект ServiceConnectionPoint, в котором хранятся метаданные об объектах "Сервер" Kerberos Azure Active Directory. Средства администрирования используют этот объект для обнаружения и поиска объектов "Сервер" Kerberos Azure Active Directory.

Azure Active Directory

Сервер Kerberos Azure Active Directory представлен в Azure Active Directory в виде объекта KerberosDomain. Каждая локальная среда AD DS представлена в виде одного объекта KerberosDomain в клиенте Azure Active Directory.

Предположим, что у вас есть лес AD DS с двумя доменами: contoso.com и fabrikam.com. Если вы разрешаете Azure Active Directory выдавать ключи TGT (билеты предоставления билетов) Kerberos для всего леса, то в Azure Active Directory есть два объекта KerberosDomain, по одному для contoso.com и fabrikam.com.

Если есть несколько лесов AD DS, то для каждого домена в каждом лесу существует один объект KerberosDomain.

Где можно просмотреть объекты "Сервер" Kerberos, созданные в AD DS и опубликованные в Azure Active Directory?

Чтобы просмотреть все объекты, используйте командлеты PowerShell для сервера Kerberos Azure Active Directory, включенные в последнюю версию Azure AD Connect.

Дополнительные сведения, в том числе инструкции по просмотру объектов, см. в разделе Создание объекта сервера Kerberos.

Почему нельзя зарегистрировать открытый ключ в локальных доменных службах Active Directory, чтобы исключить зависимость от Интернета?

Мы получили отзывы, указывающие на сложность модели развертывания Windows Hello для бизнеса, поэтому решили упростить ее, исключив использование сертификатов и PKI (в FIDO2 сертификаты не используются).

Как выполняется ротация ключей на объекте "Сервер" Kerberos?

Как и для любого другого контроллера домена, ключи шифрования krbtgt сервера Kerberos Azure Active Directory необходимо регулярно сменять. Рекомендуем следовать тому же расписанию, которое вы используете для ротации всех остальных ключей krbtgt в AD DS.

Примечание

Ротацию ключей krbtgt можно выполнять с помощью различных средств, однако в случае сервера Kerberos Azure Active Directory для ротации ключей krbtgt необходимо использовать командлеты PowerShell. Этот способ гарантирует, что ключи будут обновлены как в локальной среде AD DS, так и в Azure Active Directory.

Зачем нужен инструмент Azure AD Connect? Записывает ли он какую-либо информацию из Azure Active Directory в доменные службы Active Directory?

Azure AD Connect не записывает информацию из Azure Active Directory в AD DS. Эта служебная программа включает в себя модуль PowerShell для создания объекта "Сервер" Kerberos в AD DS и его публикации в Azure Active Directory.

Как выглядят HTTP-запрос и ответ на него при запросе PRT и TGT?

HTTP-запрос представляет собой стандартный запрос основного маркера обновления (PRT). Этот запрос PRT содержит утверждение, указывающее, что требуется билет на выдачу билета (TGT) Kerberos.

Утверждение Значение Описание
tgt Да Утверждение указывает на то, что клиенту требуется TGT.

Azure Active Directory объединяет зашифрованный ключ клиента и буфер сообщения в ответе PRT в качестве дополнительных свойств. Полезные данные шифруются с помощью сеансового ключа устройства Azure Active Directory.

Поле Тип Описание
tgt_client_key строка Ключ клиента (секрет) в кодировке Base64. Это секрет клиента, используемый для защиты TGT. В этом сценарии без использования пароля секрет клиента создается сервером как часть каждого запроса TGT, а затем возвращается клиенту в ответе.
tgt_key_type INT Тип ключа локальной среды AD DS, который используется как для ключа клиента, так и для сеансового ключа Kerberos, включенного в KERB_MESSAGE_BUFFER.
tgt_message_buffer строка KERB_MESSAGE_BUFFER в кодировке Base64.

Дальнейшие действия

Чтобы приступить к использованию ключей безопасности FIDO2 и гибридного доступа к локальным ресурсам, ознакомьтесь со следующими статьями: