Vanliga frågor och svar om distribution för FIDO2-hybridsäkerhetsnycklar i Azure AD

Den här artikeln beskriver vanliga frågor och svar om distribution för Azure AD-anslutna hybridenheter och lösenordslös inloggning till lokala resurser. Med den här lösenordslösa funktionen kan du aktivera Azure AD-autentisering på Windows 10 för Azure AD-anslutna hybridenheter med FIDO2-säkerhetsnycklar. Användare kan logga in på Windows på sina enheter med moderna autentiseringsuppgifter som FIDO2-nycklar och få åtkomst till traditionella Active Directory Domain Services-baserade resurser (AD DS) med sömlös enkel inloggning (SSO) till sina lokala resurser.

Följande scenarier för användare i en hybridmiljö stöds:

  • Logga in på Azure AD-anslutna hybridenheter med FIDO2-säkerhetsnycklar och få åtkomst med enkel inloggning till lokala resurser.
  • Logga in på Azure AD-anslutna enheter med FIDO2-säkerhetsnycklar och få åtkomst med enkel inloggning till lokala resurser.

Information om hur du kommer igång med FIDO2-säkerhetsnycklar och hybridåtkomst till lokala resurser finns i följande artiklar:

Säkerhetsnycklar

Min organisation kräver multifaktorautentisering för att få åtkomst till resurser. Vad kan jag göra för att stödja det här kravet?

FIDO2-säkerhetsnycklar finns i olika formfaktorer. Kontakta enhetstillverkaren av intresse för att diskutera hur deras enheter kan aktiveras med en PIN-kod eller biometrik som en andra faktor. En lista över leverantörer som stöds finns i FIDO2-säkerhetsnyckelproviders.

Var hittar jag kompatibla FIDO2-säkerhetsnycklar?

En lista över leverantörer som stöds finns i FIDO2-säkerhetsnyckelproviders.

Vad händer om jag förlorar min säkerhetsnyckel?

Du kan ta bort nycklar i Azure Portal genom att gå till sidan Säkerhetsinformation och ta bort FIDO2-säkerhetsnyckeln.

Hur skyddas data på FIDO2-säkerhetsnyckeln?

FIDO2-säkerhetsnycklar har säkra enklaver som skyddar de privata nycklar som lagras på dem. En FIDO2-säkerhetsnyckel har också inbyggda anti-begränsande egenskaper, som i Windows Hello, där du inte kan extrahera den privata nyckeln.

Hur fungerar registreringen av FIDO2-säkerhetsnycklar?

Mer information om hur du registrerar och använder FIDO2-säkerhetsnycklar finns i Aktivera inloggning med lösenordslös säkerhetsnyckel.

Finns det något sätt för administratörer att etablera nycklar för användarna direkt?

Nej, inte just nu.

Varför får jag "NotAllowedError" i webbläsaren när jag registrerar FIDO2-nycklar?

Du får "NotAllowedError" från fido2-nyckelregistreringssidan. Detta inträffar vanligtvis när användaren är i ett privat fönster (Incognito) eller använder fjärrskrivbordet där åtkomst till privat FIDO2-nyckel inte är möjligt.

Förutsättningar

Fungerar den här funktionen om det inte finns någon Internetanslutning?

Internetanslutning är ett krav för att aktivera den här funktionen. Första gången en användare loggar in med FIDO2-säkerhetsnycklar måste de ha internetanslutning. För efterföljande inloggningshändelser bör cachelagrad inloggning fungera och låta användaren autentiseras utan Internetanslutning.

För en konsekvent upplevelse bör du se till att enheterna har Internetåtkomst och åtkomst till nic:erna.

Vilka är de specifika slutpunkter som måste vara öppna för Azure AD?

Följande slutpunkter krävs för registrering och autentisering:

  • *.microsoftonline.com
  • *.microsoftonline-p.com
  • *.msauth.net
  • *.msauthimages.net
  • *.msecnd.net
  • *.msftauth.net
  • *.msftauthimages.net
  • *.phonefactor.net
  • enterpriseregistration.windows.net
  • management.azure.com
  • policykeyservice.dc.ad.msft.net
  • secure.aadcdn.microsoftonline-p.com

En fullständig lista över slutpunkter som behövs för att använda Microsofts onlineprodukter finns Office 365 URL:er och IP-adressintervall.

Hur gör jag för att du typen av domänkoppling (Azure AD-ansluten eller Hybrid Azure AD-ansluten) för Windows 10 enhet?

Om du vill kontrollera Windows 10 klientenhet har rätt domänkopplingstyp använder du följande kommando:

Dsregcmd/status

Följande exempelutdata visar att enheten är Azure AD-ansluten eftersom AzureADJoined är inställd på JA:

+---------------------+
| Device State        |
+---------------------+

AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: NO

Följande exempelutdata visar att enheten är Hybrid Azure AD-ansluten som DomainedJoined har också angetts till YES ( JA). Domännamnet visas också:

+---------------------+
| Device State        |
+---------------------+

AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: YES
DomainName: CONTOSO

På en Windows Server 2016 eller 2019-domänkontrollant kontrollerar du att följande korrigeringar tillämpas. Om det behövs kör du Windows Update för att installera dem:

Kör följande kommando från en klientenhet för att verifiera anslutningen till en lämplig domänkontrollant med korrigeringarna installerade:

nltest /dsgetdc:<domain> /keylist /kdc

Vad är rekommendationen för antalet nic:ar som ska korrigeras?

Vi rekommenderar att du korrigerar korrigeringen för Windows Server 2016 eller 2019 med korrigeringen så att de kan hantera belastningen på autentiseringsbegäran i din organisation.

På en Windows Server 2016 eller 2019-domänkontrollant kontrollerar du att följande korrigeringar tillämpas. Om det behövs kör du Windows Update för att installera dem:

Kan jag distribuera FIDO2-autentiseringsprovidern på en lokal enhet?

Nej, den här funktionen stöds inte för endast lokala enheter. FIDO2-autentiseringsprovidern skulle inte visas.

INLOGGNING MED FIDO2-säkerhetsnyckel fungerar inte för min domänadministratör eller andra konton med hög behörighet. Varför?

Standardsäkerhetsprincipen ger inte Azure AD behörighet att logga in konton med hög behörighet på lokala resurser.

Om du vill avblockera kontona använder du Active Directory - användare och datorer för att ändra egenskapen msDS-NeverRevealGroup för Azure AD Kerberos-datorobjektet (CN=AzureADKerberos,OU=domänkontrollanter, <domain-DN> ).

Under huven

Hur är Azure AD Kerberos länkat till min lokal Active Directory Domain Services-miljö?

Det finns två delar: den lokala AD DS-miljön och Azure AD-klientorganisationen.

Active Directory Domain Services (AD DS)

Azure AD Kerberos-servern representeras i en lokal AD DS-miljö som ett domänkontrollantobjekt (DC). Det här DC-objektet består av flera objekt:

  • CN=AzureADKerberos,OU=Domain Controllers,<domain-DN>

    Ett datorobjekt som representerar en Read-Only domänkontrollant (RODC) i AD DS. Det finns ingen dator som är associerad med det här objektet. I stället är det en logisk representation av en domänkontrollant.

  • CN=krbtgt_AzureAD,CN=Users,<domain-DN>

    Ett användarobjekt som representerar en TGT-krypteringsnyckel (Ticket Granting Ticket) för RODC Kerberos.

  • CN=900274c4-b7d2-43c8-90ee-00a9f650e335,CN=AzureAD,CN=System,<domain-DN>

    Ett ServiceConnectionPoint-objekt som lagrar metadata om Azure AD Kerberos Server-objekt. De administrativa verktygen använder det här objektet för att identifiera och hitta Azure AD Kerberos Server-objekt.

Azure Active Directory

Azure AD Kerberos-servern representeras i Azure AD som ett KerberosDomain-objekt. Varje lokal AD DS-miljö representeras som ett enda KerberosDomain-objekt i Azure AD-klientorganisationen.

Du kan till exempel ha en AD DS-skog med två domäner, till exempel contoso.com och fabrikam.com. Om du tillåter att Azure AD utfärdar Biljettbeviljande Kerberos-biljetter (TGT) för hela skogen finns det två KerberosDomain-objekt i Azure AD – ett objekt för contoso.com och ett för fabrikam.com.

Om du har flera AD DS-skogar har du ett KerberosDomain-objekt för varje domän i varje skog.

Var kan jag visa dessa Kerberos-serverobjekt som skapas i AD DS och publiceras i Azure AD?

Om du vill visa alla objekt använder du PowerShell-cmdletarna för Azure AD Kerberos Server som ingår i den senaste versionen av Azure AD Anslut.

Mer information, inklusive instruktioner om hur du visar objekten, finns i Skapa ett Kerberos Server-objekt.

Varför kan vi inte ha den offentliga nyckeln registrerad i lokal AD DS så att det inte finns något beroende på Internet?

Vi har fått feedback om komplexiteten i distributionsmodellen för Windows Hello for Business, så vi ville förenkla distributionsmodellen utan att behöva använda certifikat och PKI (FIDO2 använder inte certifikat).

Hur roteras nycklarna på Kerberos-serverobjektet?

Precis som med andra domänkontrollanter bör Azure AD Kerberos Server-krypteringen för krbtgt-nycklar roteras regelbundet. Vi rekommenderar att du följer samma schema som du använder för att rotera alla andra AD DS krbtgt-nycklar.

Anteckning

Även om det finns andra verktyg för att rotera krbtgt-nycklarna måste du använda PowerShell-cmdletarna för att rotera krbtgt-nycklarna för din Azure AD Kerberos-server. Den här metoden ser till att nycklarna uppdateras både i den lokala AD DS-miljön och i Azure AD.

Varför behöver vi Azure AD-Anslut? Skriver den någon information tillbaka till AD DS från Azure AD?

Azure AD Anslut skriver inte tillbaka information från Azure AD till AD DS. Verktyget innehåller PowerShell-modulen för att skapa Kerberos-serverobjektet i AD DS och publicera det i Azure AD.

Hur ser HTTP-begäran/-svaret ut när PRT+ delvis TGT begärs?

HTTP-begäran är en standardbegäran för primär uppdateringstoken (PRT). Denna PRT-begäran innehåller ett anspråk som anger att en biljettbeviljande biljett (TGT) för Kerberos krävs.

Begär Värde Beskrivning
Tgt true Anspråk anger att klienten behöver en TGT.

Azure AD kombinerar den krypterade klientnyckeln och meddelandebufferten i PRT-svaret som ytterligare egenskaper. Nyttolasten krypteras med sessionsnyckeln för Azure AD-enheten.

Fält Typ Beskrivning
tgt_client_key sträng Base64-kodad klientnyckel (hemlighet). Den här nyckeln är den klienthemlighet som används för att skydda TGT. I det här lösenordslösa scenariot genereras klienthemligheten av servern som en del av varje TGT-begäran och returneras sedan till klienten i svaret.
tgt_key_type int Den lokala AD DS-nyckeltypen som används för både klientnyckeln och Kerberos-sessionsnyckeln som ingår i KERB_MESSAGE_BUFFER.
tgt_message_buffer sträng Base64-kodad KERB_MESSAGE_BUFFER.

Nästa steg

Information om hur du kommer igång med FIDO2-säkerhetsnycklar och hybridåtkomst till lokala resurser finns i följande artiklar: