Microsoft Entra Id kullanarak şirket içi kaynaklarda parolasız güvenlik anahtarı oturum açma özelliğini etkinleştirme

  • Makale

Bu konu başlığında, Windows 10 sürüm 2004 veya üzerini çalıştıran cihazlarla ortamlar için şirket içi kaynaklarda parolasız kimlik doğrulamasının nasıl etkinleştirileceği gösterilmektedir. Cihazlar Microsoft Entra'ya katılmış veya Microsoft Entra karma katılmış olabilir. Bu parolasız kimlik doğrulama işlevi, Microsoft uyumlu güvenlik anahtarlarını kullandığınızda veya İş İçin Windows Hello Bulut güveniyle şirket içi kaynaklara sorunsuz çoklu oturum açma (SSO) sağlar.

FIDO2 anahtarlarını kullanarak şirket içi kaynaklarda oturum açmak için SSO kullanma

Microsoft Entra Id, bir veya daha fazla Active Directory etki alanınız için Kerberos bilet verme biletleri (TGT) verebilir. Bu işlevsellikle, kullanıcılar FIDO2 güvenlik anahtarları gibi modern kimlik bilgileriyle Windows'ta oturum açabilir ve ardından geleneksel Active Directory tabanlı kaynaklara erişebilir. Kerberos Hizmet Biletleri ve yetkilendirme, şirket içi Active Directory etki alanı denetleyicileriniz (DC) tarafından denetlenmeye devam eder.

şirket içi Active Directory örneğinizde bir Microsoft Entra Kerberos sunucu nesnesi oluşturulur ve ardından Microsoft Entra Id'de güvenli bir şekilde yayımlanır. Nesne hiçbir fiziksel sunucuyla ilişkili değil. Yalnızca, Active Directory etki alanınız için Kerberos TGT'leri oluşturmak üzere Microsoft Entra Id tarafından kullanılabilecek bir kaynaktır.

Microsoft Entra Id ve Active Directory Etki Alanı Services'dan TGT alma işlemini gösteren diyagram.

  1. Bir kullanıcı, FIDO2 güvenlik anahtarıyla Windows 10 cihazında oturum açar ve Microsoft Entra Kimliği'nde kimlik doğrulaması yapar.

  2. Microsoft Entra Id, kullanıcının şirket içi Active Directory etki alanıyla eşleşen bir Kerberos Server anahtarının dizinini denetler.

    Microsoft Entra Id, kullanıcının şirket içi Active Directory etki alanı için bir Kerberos TGT oluşturur. TGT yalnızca kullanıcının SID'sini içerir ve yetkilendirme verileri yoktur.

  3. TGT, kullanıcının Microsoft Entra Birincil Yenileme Belirteci (PRT) ile birlikte istemciye döndürülür.

  4. İstemci makine bir şirket içi Active Directory Etki Alanı Denetleyicisi ile iletişim kurar ve kısmi TGT'yi tam biçimlendirilmiş bir TGT ile takas eder.

  5. İstemci makinesi artık bir Microsoft Entra PRT'sine ve tam bir Active Directory TGT'sine sahiptir ve hem bulut hem de şirket içi kaynaklara erişebilir.

Önkoşullar

Bu makaledeki yordamlara başlamadan önce, kuruluşunuzun Kuruluşunuz için geçiş anahtarlarını etkinleştirme (FIDO2) başlığı altında yer alan yönergeleri tamamlaması gerekir.

Aşağıdaki sistem gereksinimlerini de karşılamanız gerekir:

  • Cihazların Windows 10 sürüm 2004 veya üzerini çalıştırıyor olması gerekir.

  • Windows Server etki alanı denetleyicilerinizin Windows Server 2016 veya üzerini çalıştırması ve aşağıdaki sunucular için düzeltme eklerinin yüklü olması gerekir:

  • Ağ güvenliği: Kerberos ilkesi için izin verilen şifreleme türlerini yapılandırma etki alanı denetleyicilerinde yapılandırıldığındaAES256_HMAC_SHA1 etkinleştirilmelidir.

  • Senaryodaki adımları tamamlamak için gereken kimlik bilgilerini sağlayın:

    • Bir etki alanı için Etki Alanı Yönetici grubunun ve bir orman için Enterprise Yönetici s grubunun üyesi olan bir Active Directory kullanıcısı. $domainCred olarak adlandırılır.
    • Genel Yönetici strators rolünün üyesi olan bir Microsoft Entra kullanıcısı. $cloudCred olarak adlandırılır.

  • Kullanıcıların Microsoft Entra Bağlan aracılığıyla doldurulan aşağıdaki Microsoft Entra ID özniteliklerine sahip olması gerekir:

    • onPremisesSamAccountName (Entra Bağlan'da accountName)
    • onPremisesDomainName (Entra Bağlan'da domainFQDN)
    • onPremisesSecurityIdentifier (Entra Bağlan'de objectSID)

    Entra Bağlan bu öznitelikleri varsayılan olarak eşitler. Eşitlenecek öznitelikleri değiştirirseniz, eşitleme için accountName, domainFQDN ve objectSID'yi seçmenizi sağlar.

Desteklenen senaryolar

Bu makaledeki senaryo, aşağıdaki örneklerin her ikisinde de SSO'yi destekler:

  • Microsoft 365 ve diğer Güvenlik Onaylama İşaretleme Dili (SAML) özellikli uygulamalar gibi bulut kaynakları.
  • Şirket içi kaynaklar ve Web siteleri için Windows ile tümleşik kimlik doğrulaması. Kaynaklar, IIS kimlik doğrulaması gerektiren web sitelerini ve SharePoint sitelerini ve/veya NTLM kimlik doğrulamasını kullanan kaynakları içerebilir.

Desteklenmeyen senaryolar

Aşağıdaki senaryolar desteklenmez:

  • Windows Server Active Directory Etki Alanı Services (AD DS) ile katılmış (yalnızca şirket içi cihazlar) dağıtımı.
  • Bir güvenlik anahtarı kullanarak Uzak Masaüstü Protokolü (RDP), sanal masaüstü altyapısı (VDI) ve Citrix senaryoları.
  • Güvenlik anahtarı kullanarak S/MIME.
  • Bir güvenlik anahtarı kullanarak farklı çalıştırın.
  • Güvenlik anahtarı kullanarak bir sunucuda oturum açın.

AzureADHybridAuthenticationManagement Modülü yükleme

Modül, AzureADHybridAuthenticationManagement yöneticiler için FIDO2 yönetim özellikleri sağlar.

  1. Yönetici olarak çalıştır seçeneğini kullanarak bir PowerShell istemi açın.

  2. AzureADHybridAuthenticationManagement Modülü yükleyin:

    # First, ensure TLS 1.2 for PowerShell gallery access.
[Net.ServicePointManager]::SecurityProtocol = [Net.ServicePointManager]::SecurityProtocol -bor [Net.SecurityProtocolType]::Tls12

# Install the AzureADHybridAuthenticationManagement PowerShell module.
Install-Module -Name AzureADHybridAuthenticationManagement -AllowClobber

Not

  • Modül, AzureADHybridAuthenticationManagement gelişmiş Microsoft Entra yönetim özellikleri sağlamak için AzureADPreview PowerShell modülünü kullanır. Azure Active Directory PowerShell modülü yerel bilgisayarınızda zaten yüklüyse, burada açıklanan yükleme çakışma nedeniyle başarısız olabilir. Yükleme sırasında çakışmaları önlemek için "-AllowClobber" seçenek bayrağını eklediğinizden emin olun.
  • Modülü, Microsoft Entra Bağlan çözümüne bağımlılık olmadan şirket içi Active Directory Etki Alanı Denetleyicinize erişebileceğiniz herhangi bir bilgisayara yükleyebilirsinizAzureADHybridAuthenticationManagement.
  • Modül AzureADHybridAuthenticationManagement PowerShell Galerisi aracılığıyla dağıtılır. PowerShell Galerisi, PowerShell içeriğinin merkezi deposudur. Bu modülde, PowerShell komutları ve İstenen Durum Yapılandırması (DSC) kaynaklarını içeren kullanışlı PowerShell modülleri bulabilirsiniz.

Kerberos Server nesnesi oluşturma

Yönetici istrator'lar, şirket içi dizinlerinde bir Microsoft Entra Kerberos sunucu nesnesi oluşturmak için modülünü kullanırAzureADHybridAuthenticationManagement.

Kuruluşunuzdaki Microsoft Entra kullanıcılarını içeren her etki alanında ve ormanda aşağıdaki adımları çalıştırın:

  1. Yönetici olarak çalıştır seçeneğini kullanarak bir PowerShell istemi açın.
  2. Hem şirket içi Active Directory etki alanınızda hem de Microsoft Entra kiracınızda yeni bir Microsoft Entra Kerberos sunucu nesnesi oluşturmak için aşağıdaki PowerShell komutlarını çalıştırın.

Azure Bulutu(Varsayılan olarak Azure Ticari) seçeneğini belirleyin

Cmdlet varsayılan olarak Set-AzureADKerberosSever Ticari bulut uç noktalarını kullanır. Kerberos'ı başka bir bulut ortamında yapılandırıyorsanız, cmdlet'ini belirtilen bulutu kullanacak şekilde ayarlamanız gerekir.

Kullanılabilir bulutların listesini ve değiştirilmesi gereken sayısal değeri almak için aşağıdakileri çalıştırın:
Get-AzureADKerberosServerEndpoint

Örnek Çıkış:

Current Endpoint = 0(Public)
Supported Endpoints:
   0 :Public
   1 :China
   2 :Us Government

İstediğiniz bulut ortamının yanındaki sayısal değeri not edin.

Ardından istenen bulut ortamını ayarlamak için aşağıdakileri çalıştırın:
(Örnek: ABD Kamu Bulutu için)
Set-AzureADKerberosServerEndpoint -TargetEndpoint 2

Tüm kimlik bilgileri için örnek 1 istemi

# Specify the on-premises Active Directory domain. A new Azure AD
# Kerberos Server object will be created in this Active Directory domain.
$domain = $env:USERDNSDOMAIN

# Enter an Azure Active Directory global administrator username and password.
$cloudCred = Get-Credential -Message 'An Active Directory user who is a member of the Global Administrators group for Azure AD.'

# Enter a domain administrator username and password.
$domainCred = Get-Credential -Message 'An Active Directory user who is a member of the Domain Admins group.'

# Create the new Azure AD Kerberos Server object in Active Directory
# and then publish it to Azure Active Directory.
Set-AzureADKerberosServer -Domain $domain -CloudCredential $cloudCred -DomainCredential $domainCred

Örnek 2 bulut kimlik bilgisi istemi

Not

Etki alanına katılmış bir makinede, etki alanı yöneticisi ayrıcalıklarına sahip bir hesapla çalışıyorsanız, "-DomainCredential" parametresini atlayabilirsiniz. "-DomainCredential" parametresi sağlanmadıysa, şirket içi Active Directory Etki Alanı Denetleyicinize erişmek için geçerli Windows oturum açma bilgileri kullanılır.

# Specify the on-premises Active Directory domain. A new Azure AD
# Kerberos Server object will be created in this Active Directory domain.
$domain = $env:USERDNSDOMAIN

# Enter an Azure Active Directory global administrator username and password.
$cloudCred = Get-Credential

# Create the new Azure AD Kerberos Server object in Active Directory
# and then publish it to Azure Active Directory.
# Use the current windows login credential to access the on-premises AD.
Set-AzureADKerberosServer -Domain $domain -CloudCredential $cloudCred

Örnek 3 modern kimlik doğrulaması kullanan tüm kimlik bilgileri istemi

Not

Kuruluşunuz parola tabanlı oturum açmayı koruyorsa ve çok faktörlü kimlik doğrulaması, FIDO2 veya akıllı kart teknolojisi gibi modern kimlik doğrulama yöntemlerini zorunlu kılıyorsa, parametresini genel yöneticinin Kullanıcı Asıl Adı (UPN) ile kullanmanız -UserPrincipalName gerekir.

  • Aşağıdaki örnekte değerini şirket içi Active Directory etki alanı adınız ile değiştirincontoso.corp.com.
  • Aşağıdaki örnekteki değerini genel yöneticinin UPN'siyle değiştirin administrator@contoso.onmicrosoft.com .
# Specify the on-premises Active Directory domain. A new Azure AD
# Kerberos Server object will be created in this Active Directory domain.
$domain = $env:USERDNSDOMAIN

# Enter a UPN of an Azure Active Directory global administrator
$userPrincipalName = "administrator@contoso.onmicrosoft.com"

# Enter a domain administrator username and password.
$domainCred = Get-Credential

# Create the new Azure AD Kerberos Server object in Active Directory
# and then publish it to Azure Active Directory.
# Open an interactive sign-in prompt with given username to access the Azure AD.
Set-AzureADKerberosServer -Domain $domain -UserPrincipalName $userPrincipalName -DomainCredential $domainCred

Örnek 4 modern kimlik doğrulaması kullanan bulut kimlik bilgileri istemi

Not

Etki alanına katılmış bir makinede etki alanı yöneticisi ayrıcalıklarına sahip bir hesapla çalışıyorsanız ve kuruluşunuz parola tabanlı oturum açmayı koruyorsa ve çok faktörlü kimlik doğrulaması, FIDO2 veya akıllı kart teknolojisi gibi modern kimlik doğrulama yöntemlerini zorunlu kılıyorsa, parametresini genel yöneticinin Kullanıcı Asıl Adı (UPN) ile kullanmanız -UserPrincipalName gerekir. Ayrıca "-DomainCredential" parametresini atlayabilirsiniz. > - Aşağıdaki örnekteki değerini genel yöneticinin UPN'siyle değiştirin administrator@contoso.onmicrosoft.com .

# Specify the on-premises Active Directory domain. A new Azure AD
# Kerberos Server object will be created in this Active Directory domain.
$domain = $env:USERDNSDOMAIN

# Enter a UPN of an Azure Active Directory global administrator
$userPrincipalName = "administrator@contoso.onmicrosoft.com"

# Create the new Azure AD Kerberos Server object in Active Directory
# and then publish it to Azure Active Directory.
# Open an interactive sign-in prompt with given username to access the Azure AD.
Set-AzureADKerberosServer -Domain $domain -UserPrincipalName $userPrincipalName

Microsoft Entra Kerberos sunucusunu görüntüleme ve doğrulama

Aşağıdaki komutu kullanarak yeni oluşturulan Microsoft Entra Kerberos sunucusunu görüntüleyebilir ve doğrulayabilirsiniz:

 # When prompted to provide domain credentials use the userprincipalname format for the username instead of domain\username
Get-AzureADKerberosServer -Domain $domain -UserPrincipalName $userPrincipalName -DomainCredential (get-credential)

Bu komut, Microsoft Entra Kerberos sunucusunun özelliklerini oluşturur. Her şeyin düzgün olduğunu doğrulamak için özellikleri gözden geçirebilirsiniz.

Not

Kimlik bilgilerini etki alanı\kullanıcı adı biçiminde sağlayarak başka bir etki alanında çalıştırmak NTLM üzerinden bağlanır ve sonra başarısız olur. Ancak, etki alanı yöneticisi için userprincipalname biçiminin kullanılması, DC'ye RPC bağlamanın Kerberos kullanılarak doğru şekilde denenmesini sağlar. Kullanıcılar Active Directory'deki Korumalı Kullanıcılar güvenlik grubundaysa, sorunu çözmek için şu adımları tamamlayın: AD'de başka bir etki alanı kullanıcısı olarak oturum açın Bağlan ve "-domainCredential" sağlamayın. Şu anda oturum açmış olan kullanıcının Kerberos anahtarı kullanılır. Kullanıcının önceki komutu yürütmek için Active Directory'de gerekli izinlere sahip olup olmadığını doğrulamak için komutunu yürüterek whoami /groups onaylayabilirsiniz.

Özellik Açıklama
Kimlik AD DS DC nesnesinin benzersiz kimliği. Bu kimlik bazen yuva veya dal kimliği olarak adlandırılır.
DomainDnsName Active Directory etki alanının DNS etki alanı adı.
ComputerAccount Microsoft Entra Kerberos sunucu nesnesinin (DC) bilgisayar hesabı nesnesi.
UserAccount Microsoft Entra Kerberos sunucusu TGT şifreleme anahtarını tutan devre dışı bırakılmış kullanıcı hesabı nesnesi. Bu hesabın etki alanı adı şeklindedir CN=krbtgt_AzureAD,CN=Users,<Domain-DN>.
KeyVersion Microsoft Entra Kerberos sunucusu TGT şifreleme anahtarının anahtar sürümü. Sürüm, anahtar oluşturulduğunda atanır. Ardından anahtar her döndürüldüğünde sürüm artırılır. Artışlar çoğaltma meta verilerini temel alır ve büyük olasılıkla birden büyüktür. Örneğin, ilk KeyVersion 192272 olabilir. Anahtar ilk kez döndürüldüğünde sürüm 212621 ilerleyebilir. Doğrulanması gereken önemli nokta, şirket içi nesne için KeyVersion ile bulut nesnesi için CloudKeyVersion'ın aynı olmasıdır.
KeyUpdatedOn Microsoft Entra Kerberos sunucusu TGT şifreleme anahtarının güncelleştirilmiş veya oluşturulmuş olduğu tarih ve saat.
KeyUpdatedFrom Microsoft Entra Kerberos sunucusu TGT şifreleme anahtarının son güncelleştirildiği DC.
CloudId Microsoft Entra nesnesinden gelen kimlik. Tablonun ilk satırındaki kimlikle eşleşmelidir.
CloudDomainDnsName Microsoft Entra nesnesinden DomainDnsName. Tablonun ikinci satırındaki DomainDnsName ile eşleşmelidir.
CloudKeyVersion Microsoft Entra nesnesinden KeyVersion. Tablonun beşinci satırından KeyVersion ile eşleşmelidir.
CloudKeyUpdatedOn Microsoft Entra nesnesinden KeyUpdatedOn. Tablonun altıncı satırındaki KeyUpdatedOn ile eşleşmelidir.

Microsoft Entra Kerberos sunucu anahtarını döndürme

Microsoft Entra Kerberos sunucu şifreleme krbtgt anahtarları düzenli olarak döndürülmelidir. Diğer tüm Active Directory DC krbtgt anahtarlarını döndürmek için kullandığınız zamanlamanın aynısını izlemenizi öneririz.

Uyarı

Krbtgt tuşlarını döndürebilecek başka araçlar da vardır. Ancak, Microsoft Entra Kerberos sunucunuzun krbtgt anahtarlarını döndürmek için bu belgede belirtilen araçları kullanmanız gerekir. Bu, anahtarların hem şirket içi Active Directory hem de Microsoft Entra Kimliği'nde güncelleştirilmesini sağlar.

Set-AzureADKerberosServer -Domain $domain -CloudCredential $cloudCred -DomainCredential $domainCred -RotateServerKey

Microsoft Entra Kerberos sunucusunu kaldırma

Senaryoyu geri almak ve Microsoft Entra Kerberos sunucusunu hem şirket içi Active Directory hem de Microsoft Entra Kimliği'nden kaldırmak istiyorsanız aşağıdaki komutu çalıştırın:

Remove-AzureADKerberosServer -Domain $domain -CloudCredential $cloudCred -DomainCredential $domainCred

Çok ormanlı ve çok etki alanılı senaryolar

Microsoft Entra Kerberos sunucu nesnesi, Microsoft Entra ID'de KerberosDomain nesnesi olarak temsil edilir. Her şirket içi Active Directory etki alanı, Microsoft Entra Id'de tek bir KerberosDomain nesnesi olarak temsil edilir.

Örneğin, kuruluşunuzun ve olmak üzere iki etki alanı contoso.comfabrikam.comiçeren bir Active Directory ormanı olduğunu varsayalım. Microsoft Entra Id'nin tüm orman için Kerberos TGT'leri vermesine izin vermeyi seçerseniz, Microsoft Entra Id'de iki KerberosDomain nesnesi vardır; biri için contoso.com KerberosDomain nesnesi ve diğeri içinfabrikam.com. Birden çok Active Directory ormanınız varsa, her ormandaki her etki alanı için bir KerberosDomain nesnesi vardır.

Microsoft Entra kullanıcılarını içeren kuruluşunuzdaki her etki alanında ve ormanda Kerberos Server nesnesi oluşturma başlığındaki yönergeleri izleyin.

Bilinen davranış

Parolanızın süresi dolduysa FIDO ile oturum açma engellenir. Beklenti, kullanıcıların FIDO kullanarak oturum açabilmesi için parolalarını sıfırlamalarıdır. Bu davranış, İş İçin Windows Hello bulut kerberos güveniyle eşitlenmiş karma şirket içi kullanıcı oturum açma işlemleri için de geçerlidir.

Sorun giderme ve geri bildirim

Sorunlarla karşılaşırsanız veya bu parolasız güvenlik anahtarı oturum açma özelliği hakkında geri bildirim paylaşmak istiyorsanız, aşağıdakileri yaparak Windows Geri Bildirim Merkezi uygulaması aracılığıyla paylaşın:

  1. Geri Bildirim Merkezi'ne gidin ve oturum açtığınızdan emin olun.
  2. Aşağıdaki kategorileri seçerek geri bildirim gönderin:
    • Kategori: Güvenlik ve Gizlilik
    • Alt kategori: FIDO
  3. Günlükleri yakalamak için Sorunumu yeniden oluştur seçeneğini kullanın.

Parolasız güvenlik anahtarıyla oturum açma hakkında SSS

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

Parolasız oturum açma hakkında sık sorulan soruların bazı yanıtları aşağıdadır:

Parolasız güvenlik anahtarı oturum açma işlemi şirket içi ortamımda çalışıyor mu?

Özellik, saf bir şirket içi AD DS ortamında çalışmaz.

Kuruluşum kaynaklara erişmek için iki öğeli kimlik doğrulaması gerektiriyor. Bu gereksinimi desteklemek için ne yapabilirim?

Güvenlik anahtarları çeşitli form faktörleriyle birlikte gelir. Cihazlarının ikinci bir faktör olarak PIN veya biyometrik olarak nasıl etkinleştirilebileceğini tartışmak için kayıt cihazı üreticisine başvurun.

Yöneticiler güvenlik anahtarlarını ayarlayabilir mi?

Bu özelliğin genel kullanılabilirlik (GA) sürümü için bu özellik üzerinde çalışıyoruz.

Uyumlu güvenlik anahtarlarını bulmak için nereye gidebilirim?

Uyumlu güvenlik anahtarları hakkında bilgi için bkz . FIDO2 güvenlik anahtarları.

Güvenlik anahtarımı kaybedersem ne yapabilirim?

Kayıtlı bir güvenlik anahtarını silmek için myaccount.microsoft.com oturum açın ve güvenlik bilgileri sayfasına gidin.

Microsoft Entra karma katılmış bir makine oluşturduktan hemen sonra FIDO güvenlik anahtarını kullanamıyorsam ne yapabilirim?

Microsoft Entra karma katılmış bir makineyi temiz yüklüyorsanız, etki alanına katılma ve yeniden başlatma işleminden sonra, fido güvenlik anahtarını kullanarak oturum açabilmeniz için önce parolayla oturum açmanız ve ilkenin eşitlenmesini beklemeniz gerekir.

  • Komut İstemi penceresinde çalıştırarak dsregcmd /status geçerli durumunuzu denetleyin ve hem AzureAdJoined hem de DomainJoined durumlarının EVET olarak gösterildiğinden emin olun.
  • Eşitlemedeki bu gecikme, etki alanına katılmış cihazların bilinen bir sınırlaması olup FIDO'ya özgü değildir.

FIDO ile oturum açıp kimlik bilgisi istemi aldıktan sonra NTLM ağ kaynağımda çoklu oturum açamıyorsam ne olur?

Kaynak isteğinize zamanında yanıt vermek için yeterli DC'nin düzeltme eki uygulamadığından emin olun. Bir DC'nin özelliği çalıştırıp çalıştırmadığını görmek için komutunu çalıştırın nltest /dsgetdc:contoso /keylist /kdcve çıkışı gözden geçirin.

Not

/keylist Komuttaki nltest anahtar, Windows 10 v2004 ve sonraki istemcilerde kullanılabilir.

FIDO2 güvenlik anahtarları, karma ortamda mevcut RODC ile Windows oturumu açmada çalışıyor mu?

FIDO2 Windows oturum açma bilgileri, kullanıcı TGT'sini değiştirmek için yazılabilir bir DC arar. Site başına en az bir yazılabilir DC'niz olduğu sürece oturum açma işlemi düzgün çalışır.

Sonraki adımlar

Parolasız kimlik doğrulaması hakkında daha fazla bilgi edinin