Часто задаваемые вопросы о развертывании (часто задаваемые вопросы) для гибридных ключей безопасности FIDO2 в идентификаторе Microsoft Entra

В этой статье рассматриваются часто задаваемые вопросы о развертывании (часто задаваемые вопросы) для гибридных подключенных устройств Microsoft Entra и входа без пароля в локальные ресурсы. С помощью этой функции без пароля можно включить проверку подлинности Microsoft Entra на устройствах с Windows 10 для гибридных устройств, присоединенных к Microsoft Entra, с помощью ключей безопасности FIDO2. Пользователи могут входить в Windows на своих устройствах с помощью современных учетных данных, таких как ключи FIDO2, и получать доступ к традиционным ресурсам на основе служб домен Active Directory (AD DS) с простым единым входом в локальные ресурсы.

В гибридной среде для пользователей поддерживаются следующие сценарии:

  • Войдите на гибридные устройства Microsoft Entra с помощью ключей безопасности FIDO2 и получите доступ к локальным ресурсам единого входа.
  • Войдите на устройства, присоединенные к Microsoft Entra, с помощью ключей безопасности FIDO2 и получите единый вход к локальным ресурсам.

Чтобы приступить к использованию ключей безопасности FIDO2 и гибридного доступа к локальным ресурсам, ознакомьтесь со следующими статьями:

Ключи безопасности

Для доступа к ресурсам требуется многофакторная проверка подлинности. Что можно сделать, чтобы выполнить это требование?

Ключи безопасности FIDO2 предлагаются в разнообразных форм-факторах. Обратитесь к производителю интересующего вас устройства, чтобы узнать, как использовать ПИН-код или биометрические данные в качестве второго фактора при их включении. Список поддерживаемых поставщиков см. в разделе Поставщики ключей безопасности FIDO2.

Где можно найти совместимые ключи безопасности FIDO2?

Список поддерживаемых поставщиков см. в разделе Поставщики ключей безопасности FIDO2.

Что делать, если я потеряю свой ключ безопасности?

Вы можете удалить ключи, перейдя на страницу сведений о безопасности и удалив ключ безопасности FIDO2.

Как защищены данные на ключе безопасности FIDO2?

Ключи безопасности FIDO2 содержат защищенные анклавы, обеспечивающие безопасность закрытых ключей, которые в них хранятся. Ключ безопасности FIDO2 также содержит встроенные средства противодействия подбору паролей (как в Windows Hello), что делает невозможным извлечение закрытого ключа.

Как происходит регистрация ключей безопасности FIDO2?

Сведения о регистрации и использовании ключей безопасности FIDO2 см. в статье Включение входа без пароля с помощью ключа безопасности.

Могут ли администраторы самостоятельно подготовить ключи для пользователей?

Нет, в настоящее время эта возможность отсутствует.

Почему я получаю "NotAllowedError" в браузере при регистрации ключей FIDO2?

Вы получите "NotAllowedError" на странице регистрации ключей fido2. Обычно это происходит при возникновении ошибки при попытке Windows выполнить операцию CTAP2 authenticatorMakeCredential с ключом безопасности. Дополнительные сведения см. в журнале событий Microsoft-Windows-WebAuthN/Operations.

Необходимые компоненты

Доступна ли эта возможность при отсутствии подключения к Интернету?

Подключение к Интернету — обязательное предварительное условие для включения этой возможности. При первом входе пользователя с помощью ключей безопасности FIDO2 у него должно быть подключение к Интернету. При последующих входах в систему должен работать кэшированный вход, позволяющий пользователю пройти проверку подлинности без подключения к Интернету.

Чтобы исключить проблемы с входом, убедитесь, что устройства подключены к Интернету и находятся в прямой видимости контроллеров домена.

Каковы конкретные конечные точки, которые должны быть открыты для идентификатора Microsoft Entra?

Для регистрации и проверки подлинности требуются следующие конечные точки:

  • *.microsoftonline.com
  • *.microsoftonline-p.com
  • *.msauth.net
  • *.msauthimages.net
  • *.msecnd.net
  • *.msftauth.net
  • *.msftauthimages.net
  • *.phonefactor.net
  • enterpriseregistration.windows.net
  • management.azure.com
  • policykeyservice.dc.ad.msft.net
  • secure.aadcdn.microsoftonline-p.com

Полный список необходимых конечных точек для использования продуктов Майкрософт, доступных через Интернет, см. в статье URL-адреса и диапазоны IP-адресов Office 365.

Разделы справки определить тип присоединения к домену (присоединенные к Microsoft Entra или гибридное присоединение к Microsoft Entra) для моего устройства с Windows 10?

Чтобы проверить, настроен ли на клиентском устройстве с Windows 10 нужный тип присоединения к домену, воспользуйтесь такой командой:

Dsregcmd /status

В следующем примере выходных данных показано, что устройство присоединено к Microsoft Entra, так как AzureADJoined имеет значение YES:

+---------------------+
| Device State        |
+---------------------+

AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: NO

В следующем примере выходных данных показано, что устройство является гибридным присоединенным к Microsoft Entra как DomainedJoined , также имеет значение YES. Здесь также указано имя домена (параметр DomainName):

+---------------------+
| Device State        |
+---------------------+

AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: YES
DomainName: CONTOSO

Проверьте, установлены ли на вашем контроллере домена Windows Server 2016 или 2019 указанные ниже исправления. При необходимости запустите Центр обновления Windows, чтобы установить их.

Чтобы проверить возможность подключения к подходящему контроллеру домена с установленными исправлениями, выполните на клиентском устройстве следующую команду:

nltest /dsgetdc:<domain> /keylist /kdc

Каково рекомендуемое количество контроллеров домена, к которым нужно применить исправления?

Мы рекомендуем установить исправления на большинстве контроллеров домена Windows Server 2016 или 2019, чтобы они могли справляться с потоком запросов на проверку подлинности в организации.

Проверьте, установлены ли на вашем контроллере домена Windows Server 2016 или 2019 указанные ниже исправления. При необходимости запустите Центр обновления Windows, чтобы установить их.

Можно ли развернуть поставщик учетных данных FIDO2 на устройстве, которое работает только в локальной среде?

Нет, эта возможность не поддерживается для устройств, которые работают только в локальной среде. Поставщик учетных данных FIDO2 не будет отображаться.

Вход с ключом безопасности FIDO2 не работает для администратора домена или других учетных записей с высоким уровнем привилегий. Почему?

Политика безопасности по умолчанию не предоставляет microsoft Entra разрешение на регистрацию учетных записей с высоким уровнем привилегий в локальных ресурсах.

Чтобы разблокировать учетные записи, используйте Пользователи и компьютеры Active Directory для изменения свойства msDS-NeverRevealGroup объекта компьютера Microsoft Entra Kerberos (CN=AzureADKerberos,OU=Domain Controllers,domain-DN<>).

Внутренняя логика

Как Microsoft Entra Kerberos связана с моей средой доменных служб локальная служба Active Directory?

Существует две части: локальная среда AD DS и клиент Microsoft Entra.

Доменные службы Active Directory (AD DS)

Сервер Microsoft Entra Kerberos представлен в локальной среде AD DS в качестве объекта контроллера домена . Этот объект "Контроллер домена" состоит из нескольких объектов:

  • CN=AzureADKerberos,OU=Domain Controllers,<domain-DN>

    Объект Компьютер, который представляет в AD DS контроллер домена только для чтения (RODC). С этим объектом не связан конкретный компьютер, это просто логическое представление контроллера домена.

  • CN=krbtgt_AzureAD,CN=Users,<domain-DN>

    Объект Пользователь, представляющий ключ шифрования для ключа TGT (билета предоставления билета) Kerberos RODC.

  • CN=900274c4-b7d2-43c8-90ee-00a9f650e335,CN=AzureAD,CN=System,<domain-DN>

    Объект Service Подключение ionPoint, который хранит метаданные о объектах сервера Microsoft Entra Kerberos. Средства администрирования используют этот объект для идентификации и поиска объектов сервера Microsoft Entra Kerberos.

Microsoft Entra ID

Сервер Microsoft Entra Kerberos представлен в идентификаторе Microsoft Entra как объект KerberosDomain . Каждая локальная среда AD DS представлена как один объект KerberosDomain в клиенте Microsoft Entra.

Например, у вас может быть лес AD DS с двумя доменами, такими как contoso.com и fabrikam.com. Если вы разрешаете идентификатору Microsoft Entra выдавать билет Kerberos (TGTs) для всего леса, существует два KerberosDomain объекта в идентификаторе Microsoft Entra — один объект для contoso.com и один для fabrikam.com.

Если у вас несколько лесов AD DS, у вас есть один KerberosDomain объект для каждого домена в каждом лесу.

Где можно просмотреть эти объекты сервера Kerberos, созданные в AD DS и опубликованные в идентификаторе Microsoft Entra?

Чтобы просмотреть все объекты, используйте командлеты PowerShell сервера Microsoft Entra Kerberos, включенные в последнюю версию Microsoft Entra Подключение.

Дополнительные сведения, в том числе инструкции по просмотру объектов, см. в разделе Создание объекта сервера Kerberos.

Почему у нас нет открытого ключа, зарегистрированного в локальной службе AD DS, поэтому нет никакой зависимости от Интернета?

Мы получили отзывы, указывающие на сложность модели развертывания Windows Hello для бизнеса, поэтому решили упростить ее, исключив использование сертификатов и PKI (в FIDO2 сертификаты не используются).

Как выполняется ротация ключей на объекте "Сервер" Kerberos?

Как и любой другой контроллер домена, ключи шифрования сервера Microsoft Entra Kerberos krbtgt следует регулярно поворачивать. Рекомендуем следовать тому же расписанию, которое вы используете для ротации всех остальных ключей krbtgt в AD DS.

Примечание.

Хотя существуют другие средства для смены ключей krbtgt, необходимо использовать командлеты PowerShell для смены ключей krbtgt сервера Microsoft Entra Kerberos. Этот метод гарантирует, что ключи обновляются как в локальной среде AD DS, так и в идентификаторе Microsoft Entra.

Почему нам нужна Подключение Microsoft Entra? Записывает ли она какие-либо сведения обратно в AD DS из идентификатора Microsoft Entra?

Microsoft Entra Подключение не записывает сведения из идентификатора Microsoft Entra в Active Directory DS. Программа включает модуль PowerShell для создания объекта сервера Kerberos в AD DS и публикации его в идентификаторе Microsoft Entra.

Как выглядят HTTP-запрос и ответ на него при запросе PRT и TGT?

HTTP-запрос представляет собой стандартный запрос основного маркера обновления (PRT). Этот запрос PRT содержит утверждение, указывающее, что требуется билет на выдачу билета (TGT) Kerberos.

Утверждение значение Описание
tgt true Утверждение указывает на то, что клиенту требуется TGT.

Идентификатор Microsoft Entra объединяет зашифрованный ключ клиента и буфер сообщений в ответ PRT в качестве дополнительных свойств. Полезные данные шифруются с помощью ключа сеанса устройства Microsoft Entra.

Поле Тип Описание
tgt_client_key строка Ключ клиента (секрет) в кодировке Base64. Это секрет клиента, используемый для защиты TGT. В этом сценарии без использования пароля секрет клиента создается сервером как часть каждого запроса TGT, а затем возвращается клиенту в ответе.
tgt_key_type INT Тип ключа локальной среды AD DS, который используется как для ключа клиента, так и для сеансового ключа Kerberos, включенного в KERB_MESSAGE_BUFFER.
tgt_message_buffer строка KERB_MESSAGE_BUFFER в кодировке Base64.

Должны ли пользователи быть членом группы Active Directory пользователей домена?

Да. Пользователь должен находиться в группе "Пользователи домена", чтобы иметь возможность входа с помощью Microsoft Entra Kerberos.

Следующие шаги

Чтобы приступить к использованию ключей безопасности FIDO2 и гибридного доступа к локальным ресурсам, ознакомьтесь со следующими статьями: