Azure AD'de karma FIDO2 güvenlik anahtarları için sık sorulan dağıtım soruları (SSS)

Bu makale, hibrit Azure AD'ye katılmış cihazlar için dağıtımla ilgili sık sorulan soruları (SSS) ve uygulama kaynakları üzerinde parolasız oturum açmayı kapsar. Bu parolasız özellik sayesinde, FIDO2 güvenlik anahtarlarını kullanarak hibrit Azure AD'ye Windows 10 cihazlarda Azure AD kimlik doğrulamasını etkinleştirebilirsiniz. Kullanıcılar FIDO2 Windows gibi modern kimlik bilgileriyle cihazlarında oturum açma ve sorunsuz çoklu oturum açma (SSO) deneyimiyle geleneksel Active Directory Domain Services (AD DS) tabanlı kaynaklara erişebilirsiniz.

Karma bir ortamdaki kullanıcılar için aşağıdaki senaryolar de desteklemektedir:

  • FIDO2 güvenlik anahtarlarını kullanarak hibrit Azure AD'ye katılmış cihazlarda oturum açma ve sso erişimi elde edin.
  • FIDO2 güvenlik anahtarlarını kullanarak Azure AD'ye katılmış cihazlarda oturum açma ve sso erişimi elde edin.

FIDO2 güvenlik anahtarları ve şirket içi kaynaklara karma erişim ile çalışmaya başlamanız için aşağıdaki makalelere bakın:

Güvenlik anahtarları

Kuruluşum kaynaklara erişmek için çok faktörlü kimlik doğrulaması gerektiriyor. Bu gereksinimi desteklemek için ne yapabilirim?

FIDO2 Güvenlik anahtarları çeşitli form faktörleriyle birlikte gelir. cihazlarının ikinci bir faktör olarak PIN veya biyometrik ile nasıl etkinleştirileblirilmelerini tartışmak için ilgili cihaz üreticisine başvurun. Desteklenen sağlayıcıların listesi için bkz. FIDO2 güvenlik anahtarları sağlayıcıları.

Uyumlu FIDO2 güvenlik anahtarlarını nerede bulamıyorum?

Desteklenen sağlayıcıların listesi için bkz. FIDO2 güvenlik anahtarları sağlayıcıları.

Güvenlik anahtarımı kaybedersem ne olur?

Güvenlik bilgileri sayfasına Azure portal FIDO2 güvenlik anahtarını kaldırarak anahtarları kaldırmanız gerekir.

FIDO2 güvenlik anahtarında veriler nasıl korunur?

FIDO2 güvenlik anahtarları, üzerinde depolanan özel anahtarları koruyan güvenli kapsaymalara sahiptir. FIDO2 güvenlik anahtarının içinde yerleşik olarak bulunan koruma özellikleri de vardır. Windows Hello anahtarı ayıklayamayabilirsiniz.

FIDO2 güvenlik anahtarlarının kaydı nasıl çalışır?

FIDO2 güvenlik anahtarlarını kaydetme ve kullanma hakkında daha fazla bilgi için bkz. Parolasız güvenlik anahtarı oturum açmasını etkinleştirme.

Yöneticilerin anahtarları doğrudan kullanıcılara sağlamanın bir yolu var mı?

Hayır, şu anda değil.

FIDO2 anahtarlarını kaydederek tarayıcıda neden "NotAllowedError" alıyorum?

Fido2 anahtar kayıt sayfasından "NotAllowedError" alırsınız. Bu durum genellikle kullanıcı özel (Gizli) pencerede veya FIDO2 Özel anahtar erişiminin mümkün olmadığının uzak masaüstünü kullanırken gerçekleşir.

Önkoşullar

İnternet bağlantısı yoksa bu özellik çalışır mı?

İnternet bağlantısı, bu özelliği etkinleştirmenin önkullarıdır. Bir kullanıcı FIDO2 güvenlik anahtarlarını kullanarak ilk kez oturum aitirişte İnternet bağlantısına sahip olması gerekir. Sonraki oturum açma olayları için önbelleğe alınmış oturum açmanın çalışması ve kullanıcının İnternet bağlantısı olmadan kimlik doğrulamasına izin vermesi gerekir.

Tutarlı bir deneyim için cihazların İnternet erişimine ve PC'lere görüş hattına sahip olduğundan emin olun.

Azure AD'ye açık olması gereken belirli uç noktalar hangileridir?

Kayıt ve kimlik doğrulaması için aşağıdaki uç noktalar gereklidir:

  • *.microsoftonline.com
  • *.microsoftonline-p.com
  • *.msauth.net
  • *.msauthimages.net
  • *.msecnd.net
  • *.msftauth.net
  • *.msftauthimages.net
  • *.phonefactor.net
  • enterpriseregistration.windows.net
  • management.azure.com
  • policykeyservice.dc.ad.msft.net
  • secure.aadcdn.microsoftonline-p.com

Microsoft çevrimiçi ürünlerini kullanmak için gereken uç noktaların tam listesi için bkz. Office 365 IP adresi aralıkları.

Nasıl yaparım? cihazım için etki alanına katılma türünü (Azure AD'ye katılmış veya hibrit Azure AD'ye katılmış) Windows 10 misiniz?

İstemci cihazında Windows 10 etki alanına katılma türünün olup olduğunu kontrol etmek için aşağıdaki komutu kullanın:

Dsregcmd/status

Aşağıdaki örnek çıktı, Cihazın AzureADJoined olarak EVET olarak ayarlandı olarak Azure AD'ye katılmış olduğunu gösterir:

+---------------------+
| Device State        |
+---------------------+

AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: NO

Aşağıdaki örnek çıktı, cihazın DomainedJoined olarak da EVET olarak ayarlandı olarak hibrit Azure AD'ye katılmış olduğunu gösterir. DomainName de gösterilir:

+---------------------+
| Device State        |
+---------------------+

AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: YES
DomainName: CONTOSO

Bir Windows Server 2016 veya 2019 etki alanı denetleyicisinde, aşağıdaki düzeltme eklerini uygulandığını kontrol edin. Gerekirse, yüklemek Windows Update'i çalıştırın:

Bir istemci cihazdan aşağıdaki komutu çalıştırarak düzeltme ekleri yüklenmiş uygun bir etki alanı denetleyicisine bağlantı olduğunu doğrulayın:

nltest /dsgetdc:<domain> /keylist /kdc

Düzeltme eki uygulamanız gereken BILGISAYAR sayısıyla ilgili öneri nedir?

Windows Server 2016 veya 2019 etki alanı denetleyicilerinizin büyük bir çoğunluğuna düzeltme eki uygulamanızı ve bu denetleyicilerin, kuruluş kimlik doğrulama isteği yükünü işleyene kadar işlemelerini öneririz.

Bir Windows Server 2016 veya 2019 etki alanı denetleyicisinde, aşağıdaki düzeltme eklerini uygulandığını kontrol edin. Gerekirse, yüklemek Windows Update'i çalıştırın:

FIDO2 kimlik bilgisi sağlayıcısını yalnızca şirket içi bir cihazda dağıtabilirsiniz.

Hayır, bu özellik yalnızca şirket içi cihaz için desteklenmiyor. FIDO2 kimlik bilgisi sağlayıcısı gösterilebilir.

FIDO2 güvenlik anahtarı oturum açma, Etki Alanı Yöneticim veya diğer yüksek ayrıcalıklı hesaplar için çalışmıyor. Neden?

Varsayılan güvenlik ilkesi, Azure AD'ye şirket içi kaynaklarda yüksek ayrıcalıklı hesapları imzalama iznini verilmez.

Hesapların engelini kaldırmak için Active Directory Kullanıcıları ve Bilgisayarları kullanarak Azure AD Kerberos Bilgisayar nesnesinin msDS-NeverRevealGroup özelliğini (CN=AzureADKerberos,OU=Domain Controllers, <domain-DN> ) değiştirebilirsiniz.

Başlık altında

Azure AD Kerberos, Etki Alanı Hizmetleri ortamıma şirket içi Active Directory bağlı?

İki parça vardır: şirket içi ortam AD DS Azure AD kiracısı.

Active Directory Etki Alanı Hizmetleri (AD DS)

Azure AD Kerberos sunucusu, şirket içi ortamda AD DS denetleyicisi (DC) nesnesi olarak temsil eder. Bu DC nesnesi birden çok nesneden yapılır:

  • CN=AzureADKerberos,OU=Etki Alanı Denetleyicileri,<domain-DN>

    Bir Etki Alanı Denetleyicisi'Read-Only (RODC) temsil eden bir Bilgisayar AD DS. Bu nesneyle ilişkili bir bilgisayar yoktur. Bunun yerine, dc'nin mantıksal bir gösterimidir.

  • CN=krbtgt_AzureAD,CN=Users,<domain-DN>

    RODC Kerberos Anahtarı Anahtar (TGT) şifreleme anahtarını temsil eden bir User nesnesi.

  • CN=900274c4-b7d2-43c8-90ee-00a9f650e335,CN=AzureAD,CN=System,<domain-DN>

    Azure AD Kerberos Server nesneleriyle ilgili meta verileri depolar bir ServiceConnectionPoint nesnesi. Yönetim araçları, Azure AD Kerberos Server nesnelerini tanımlamak ve bulmak için bu nesneyi kullanır.

Azure Active Directory

Azure AD Kerberos Sunucusu, Azure AD'de bir KerberosDomain nesnesi olarak temsil eder. Her şirket içi AD DS ortamı, Azure AD kiracısı içinde tek bir KerberosDomain nesnesi olarak temsil edilir.

Örneğin, etki alanı ve AD DS gibi iki etki alanına sahip bir contoso.com fabrikam.com. Azure AD'nin ormanın tamamı için Kerberos Anahtar Verme Biletleri (TTS) vermesine izin verirsiniz, Azure AD'de iki KerberosDomain nesnesi vardır: contoso.com için bir nesne ve fabrikam.com.

Birden çok etki alanınız AD DS, her ormandaki her etki alanı için bir KerberosDomain nesnesine sahip olur.

Azure AD'de oluşturulan ve Azure AD'de yayımlanan bu AD DS Kerberos sunucu nesnelerini nerede görüntülebilirsiniz?

Tüm nesneleri görüntülemek için, Azure AD'nin en son sürümüne dahil edilen Azure AD Kerberos Server PowerShell cmdlet'lerini Bağlan.

Nesneleri görüntüleme yönergeleri de dahil olmak üzere daha fazla bilgi için bkz. Kerberos Server nesnesi oluşturma.

Ortak anahtarı neden şirket içi AD DS için kaydede AD DS İnternet bağımlılığı yok?

Windows Hello for Business için dağıtım modelinin karmaşıklığıyla ilgili geri bildirim aldık, bu nedenle sertifikalar ve PKI (FIDO2 sertifikaları kullanmaz) gerekmeden dağıtım modelini basitleştirmek istedi.

Kerberos sunucu nesnede anahtarlar nasıl döndürülür?

Diğer DC'lerde olduğu gibi Azure AD Kerberos Server şifreleme krbtgt anahtarları da düzenli olarak döndürülebilir. Diğer tüm krbtgt anahtarlarını döndürmek için kullanabileceğiniz zamanlamayı AD DS önerilir.

Not

Krbtgt anahtarlarını döndüren başka araçlar da olsa, Azure AD Kerberos Sunucusu'nizin krbtgt anahtarlarını döndürmek için PowerShell cmdlet'lerini kullanabilirsiniz. Bu yöntem, anahtarların hem şirket içi ortamda hem de Azure AD AD DS güncelleştirildiğinden emin olur.

Azure AD hizmetine neden Bağlan? Azure AD'den veri AD DS yazıyor mu?

Azure AD Bağlan, Azure AD'den AD DS. yardımcı programı, AD DS'de Kerberos Sunucu Nesnesi oluşturmak ve Azure AD'de yayımlamak için PowerShell modülünü içerir.

PRT+ kısmi TGT isteğinde HTTP isteği/yanıtı nasıl görünüyor?

HTTP isteği standart bir Birincil Yenileme Belirteci (PRT) isteğidir. Bu PRT isteği, Kerberos Anahtar Atama Bileti (TGT) gerektiğini belirten bir talep içerir.

İste Değer Açıklama
Tgt true Talep, istemcinin bir TGT'ye ihtiyacı olduğunu gösterir.

Azure AD, şifrelenmiş istemci anahtarını ve ileti arabelleğini ek özellikler olarak PRT yanıtıyla birleştirir. Yük, Azure AD Cihaz oturum anahtarı kullanılarak şifrelenir.

Alan Tür Açıklama
tgt_client_key string Base64 kodlanmış istemci anahtarı (gizli anahtar). Bu anahtar, TGT'yi korumak için kullanılan istemci gizli anahtarıdır. Bu parolasız senaryoda, istemci gizli parolası her TGT isteğinin bir parçası olarak sunucu tarafından oluşturulur ve ardından yanıtta istemciye döndürülür.
tgt_key_type int Şirket içi AD DS anahtar türü, hem istemci anahtarı hem de istemci anahtarında bulunan Kerberos oturum anahtarı için KERB_MESSAGE_BUFFER.
tgt_message_buffer string Base64 kodlanmış KERB_MESSAGE_BUFFER.

Sonraki adımlar

FIDO2 güvenlik anahtarları ve şirket içi kaynaklara karma erişim ile çalışmaya başlamanız için aşağıdaki makalelere bakın: