Поделиться через

Часто задаваемые вопросы (ЧЗВ) о развертывании гибридных ключей безопасности FIDO2 в Microsoft Entra ID

В этой статье рассматриваются часто задаваемые вопросы о развертывании (часто задаваемые вопросы) для гибридных подключенных устройств Microsoft Entra и входа без пароля в локальные ресурсы. С помощью этой функции без пароля можно включить проверку подлинности Microsoft Entra на устройствах с Windows 10 для гибридных устройств, присоединенных к Microsoft Entra, с помощью ключей безопасности FIDO2. Пользователи могут войти в Windows на своих устройствах с помощью современных учетных данных, таких как ключи FIDO2, и получить доступ к традиционным ресурсам на основе доменных служб Active Directory (AD DS) с помощью простого единого входа в локальные ресурсы.

Поддерживаются следующие сценарии для пользователей в гибридной среде:

  • Войдите в гибридные устройства, зарегистрированные в Microsoft Entra, с помощью ключей безопасности FIDO2 и получите SSO-доступ к локальным ресурсам.
  • Войдите на устройства, присоединенные к Microsoft Entra, с помощью ключей безопасности FIDO2 и получите единый вход к локальным ресурсам.

Сведения о начале работы с ключами безопасности FIDO2 и гибридным доступом к локальным ресурсам см. в следующих статьях:

Ключи безопасности

Для доступа к ресурсам требуется многофакторная проверка подлинности. Что можно сделать для поддержки этого требования?

Ключи безопасности FIDO2 входят в различные форм-факторы. Обратитесь к производителю устройств, чтобы обсудить, как их устройства могут использовать ПИН-код или биометрию в качестве второго фактора. Для получения списка поставщиков ключей безопасности FIDO2 см. раздел .

Где можно найти соответствующие ключи безопасности FIDO2?

Для получения списка поставщиков ключей безопасности FIDO2 см. раздел .

Что делать, если я потеряю ключ безопасности?

Вы можете удалить ключи, перейдя на страницу сведений о безопасности и удалив ключ безопасности FIDO2.

Как данные защищены в ключе безопасности FIDO2?

Ключи безопасности FIDO2 имеют безопасные анклавы, которые защищают приватные ключи, хранящиеся на них. Ключ безопасности FIDO2 также имеет встроенные свойства защиты от взлома, так же, как в Windows Hello, где невозможно извлечь закрытый ключ.

Как работает регистрация ключей безопасности FIDO2?

Дополнительные сведения о регистрации и использовании ключей безопасности FIDO2 см. в разделе Включение входа ключа безопасности без пароля.

Есть ли способ для администраторов непосредственно подготовить ключи для пользователей?

Нет, а не в это время.

Почему я получаю "NotAllowedError" в браузере при регистрации ключей FIDO2?

Вы получите "NotAllowedError" на странице регистрации ключей FIDO2. Обычно это происходит при возникновении ошибки при попытке Windows выполнить операцию CTAP2 authenticatorMakeCredential с ключом безопасности. Дополнительные сведения см. в журнале событий Microsoft-Windows-WebAuthN/Operations.

Необходимые условия

Работает ли эта функция, если нет подключения к Интернету?

Подключение к Интернету является необходимым условием для включения этой функции. При первом входе пользователя с помощью ключей безопасности FIDO2 они должны иметь подключение к Интернету. Для последующих событий входа кэшированный вход должен работать и позволить пользователю проходить проверку подлинности без подключения к Интернету.

Для обеспечения согласованного опыта убедитесь, что устройства имеют доступ к Интернету и прямую видимость к контроллерам домена.

Каковы конкретные конечные точки, которые должны быть открыты для идентификатора Microsoft Entra?

Для регистрации и проверки подлинности требуются следующие конечные точки:

  • *.microsoftonline.com
  • *.microsoftonline-p.com
  • *.msauth.net
  • *.msauthimages.net
  • *.msecnd.net
  • *.msftauth.net
  • *.msftauthimages.net
  • *.phonefactor.net
  • enterpriseregistration.windows.net
  • management.azure.com
  • policykeyservice.dc.ad.msft.net
  • secure.aadcdn.microsoftonline-p.com

Полный список конечных точек, необходимых для использования продуктов Microsoft онлайн, см. статью URL-адреса Office 365 и диапазоны IP-адресов.

Как определить тип присоединения к домену (присоединение к Microsoft Entra или гибридное присоединение Microsoft Entra) для устройства с Windows 10?

Чтобы проверить, имеет ли клиентское устройство Windows 10 правильный тип присоединения к домену, используйте следующую команду:

Dsregcmd /status

Следующий пример выходных данных показывает, что устройство присоединено к Microsoft Entra, так как AzureADJoined установлено значение ДА:

+---------------------+
| Device State        |
+---------------------+

AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: NO

В следующем примере вывода показано, что устройство подключено к гибридной среде Microsoft Entra, поскольку параметр DomainedJoined также установлен в значение YES. Также отображается имя домена:

+---------------------+
| Device State        |
+---------------------+

AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: YES
DomainName: CONTOSO

На контроллере домена Windows Server 2016 или 2019 убедитесь, что применяются следующие исправления. При необходимости запустите Центр обновления Windows, чтобы установить их:

На клиентском устройстве выполните следующую команду, чтобы проверить подключение к соответствующему контроллеру домена с установленными исправлениями:

nltest /dsgetdc:<domain> /keylist /kdc

Какова рекомендация по количеству контроллеров домена, которые должны быть исправлены?

Мы рекомендуем устанавливать исправления для большинства контроллеров домена Windows Server 2016 или 2019, чтобы гарантировать, что они могут обрабатывать нагрузку запросов аутентификации вашей организации.

На контроллере домена Windows Server 2016 или 2019 убедитесь, что применяются следующие исправления. При необходимости запустите Центр обновления Windows, чтобы установить их:

Можно ли развернуть поставщик средств проверки подлинности FIDO2 только на локальном устройстве?

Нет, эта функция не поддерживается только для локального устройства. Поставщик учетных данных для FIDO2 не отображался.

Вход ключа безопасности FIDO2 не работает для моего администратора домена или других учетных записей с высоким уровнем привилегий. Почему?

Политика безопасности по умолчанию не предоставляет Microsoft Entra разрешение на вход учетных записей с высоким уровнем привилегий на локальные ресурсы.

Из-за возможных векторов атак из Microsoft Entra ID в Active Directory не рекомендуется разблокировать эти учетные записи, ослабляя политику репликации паролей объекта компьютера CN=AzureADKerberos,OU=Domain Controllers,<domain-DN>.

Под капотом

Как Microsoft Entra Kerberos связана с локальной средой доменных служб Active Directory?

Существует две части: локальная среда AD DS и клиент Microsoft Entra.

Службы доменов Active Directory (AD DS)

Сервер Microsoft Entra Kerberos представлен в локальной среде AD DS в качестве объекта контроллера домена . Этот объект ЦОД состоит из нескольких объектов:

  • CN=AzureADKerberos,OU=Domain Controllers,<domain-DN>

    В AD DS объект Computer, представляющий контроллер домена только для чтения (RODC). Компьютер, связанный с этим объектом, отсутствует. Вместо этого это логическое представление DC.

  • CN=krbtgt_AzureAD,CN=Users,<domain-DN>

    Объект User, который представляет ключ шифрования Kerberos TGT (билета на получение билета) для RODC.

  • CN=900274c4-b7d2-43c8-90ee-00a9f650e335,CN=AzureAD,CN=System,<domain-DN>

    Объект ServiceConnectionPoint, который хранит метаданные о объектах сервера Microsoft Entra Kerberos. Средства администрирования используют этот объект для идентификации и поиска объектов сервера Microsoft Entra Kerberos.

Идентификатор Microsoft Entra

Сервер Microsoft Entra Kerberos представлен в идентификаторе Microsoft Entra как объект KerberosDomain. Каждая локальная среда AD DS представлена как один объект KerberosDomain в клиенте Microsoft Entra.

Например, у вас может быть лес AD DS с двумя доменами, такими как contoso.com и fabrikam.com. Если вы разрешаете идентификатору Microsoft Entra выдавать билет Kerberos (TGTs) для всего леса, в идентификаторе Microsoft Entra ID есть два объекта KerberosDomain — один объект для contoso.com и один для fabrikam.com.

Если у вас несколько лесов AD DS, у вас есть один объект KerberosDomain для каждого домена в каждом лесу.

Где можно просмотреть эти объекты сервера Kerberos, созданные в AD DS и опубликованные в идентификаторе Microsoft Entra?

Чтобы просмотреть все объекты, используйте командлеты PowerShell сервера Microsoft Entra Kerberos, включенные в последнюю версию Microsoft Entra Connect.

Для получения дополнительной информации, включая инструкции по просмотру объектов, см. раздел «Создание объекта Kerberos Server».

Почему мы не можем зарегистрировать открытый ключ в локальной службе AD DS, чтобы не было зависимости от Интернета?

Мы получили отзыв о сложности модели развертывания для Windows Hello для бизнеса, поэтому хотелось упростить модель развертывания без использования сертификатов и PKI (FIDO2 не использует сертификаты).

Как осуществляется ротация ключей на объекте сервера Kerberos?

Как и у любого другого контроллера домена, ключи шифрования сервера Microsoft Entra Kerberos krbtgt должны регулярно обновляться. Рекомендуется следовать тому же расписанию, используемому вами для смены всех остальных ключей AD DS krbtgt.

Заметка

Хотя существуют и другие инструменты для смены ключей krbtgt, необходимо использовать командлеты PowerShell для смены ключей krbtgt на сервере Microsoft Entra Kerberos. Этот метод гарантирует, что ключи обновляются как в локальной среде AD DS, так и в идентификаторе Microsoft Entra.

Почему нам нужен Microsoft Entra Connect? Записывает ли она какие-либо сведения обратно в AD DS из идентификатора Microsoft Entra?

Microsoft Entra Connect не записывает сведения из идентификатора Microsoft Entra в Active Directory DS. Программа включает модуль PowerShell для создания объекта сервера Kerberos в AD DS и публикации его в идентификаторе Microsoft Entra.

Как выглядят HTTP-запрос и ответ при запросе частичного TGT PRT+?

HTTP-запрос — это стандартный первичный маркер обновления (PRT). Этот запрос PRT включает требование, указывающее, что необходим Kerberos Ticket Granting Ticket (TGT).

Требование Ценность Описание
tgt истинный Заявление указывает, что клиенту нужен TGT.

Идентификатор Microsoft Entra объединяет зашифрованный ключ клиента и буфер сообщений в ответ PRT в качестве дополнительных свойств. Нагрузка шифруется с помощью ключа сеанса устройства Microsoft Entra.

Поле Тип Описание
ключ клиента tgt струна Ключ клиента в кодировке Base64 (секрет). Этот ключ — это секрет клиента, используемый для защиты TGT. В этом сценарии без пароля секрет клиента создается сервером в рамках каждого запроса TGT, а затем возвращается клиенту в ответе.
тип_целевого_ключа инт Локальный тип ключа AD DS, используемый как для ключа клиента, так и для ключа сеанса Kerberos, включенного в KERB_MESSAGE_BUFFER.
буфер сообщений tgt струна Закодированное в формате Base64 сообщение KERB_MESSAGE_BUFFER.

Должны ли пользователи быть членом группы Active Directory пользователей домена?

Да. Пользователь должен находиться в группе "Пользователи домена", чтобы иметь возможность входа с помощью Microsoft Entra Kerberos.

Дальнейшие действия

Сведения о начале работы с ключами безопасности FIDO2 и гибридным доступом к локальным ресурсам см. в следующих статьях: