Включение входа без пароля в локальные ресурсы с помощью идентификатора Microsoft Entra
В этом разделе показано, как включить проверку подлинности без пароля в локальные ресурсы для сред с устройствами под управлением Windows 10 версии 2004 или более поздней. Устройства могут быть присоединены к Microsoft Entra или гибридным присоединением к Microsoft Entra. Эта функция проверки подлинности без пароля обеспечивает простой единый вход для локальных ресурсов при использовании ключей безопасности, совместимых с Майкрософт, или с Windows Hello для бизнеса облачным доверием.
Использование единого входа для входа в локальные ресурсы с помощью ключей FIDO2
Идентификатор Microsoft Entra может выдавать билеты на предоставление билетов Kerberos (TGTs) для одного или нескольких доменов Active Directory. Эта функция дает пользователям возможность входить в Windows с помощью современных учетных данных, таких как ключи безопасности FIDO2, и получать доступ к традиционным ресурсам на основе Active Directory. Управление билетами службы Kerberos и авторизацией по-прежнему осуществляется с помощью локальных контроллеров доменов Active Directory.
Объект сервера Microsoft Entra Kerberos создается в вашем локальная служба Active Directory экземпляре, а затем безопасно опубликован в идентификаторе Microsoft Entra. Объект не связан ни с одним физическим сервером. Это просто ресурс, который можно использовать идентификатором Microsoft Entra для создания TGT Kerberos для домена Active Directory.
Пользователь входит на устройство с Windows 10 с помощью ключа безопасности FIDO2 и проходит проверку подлинности в идентификаторе Microsoft Entra.
Идентификатор Microsoft Entra проверяет каталог для ключа сервера Kerberos, соответствующего домену локальная служба Active Directory пользователя.
Идентификатор Microsoft Entra создает TGT Kerberos для домена локальная служба Active Directory пользователя. TGT включает в себя только идентификатор SID пользователя и не содержит данных авторизации.
TGT возвращается клиенту вместе с основным маркером обновления Microsoft Entra (PRT).
Клиентский компьютер обращается к локальному контроллеру домена Active Directory и обменивает частичный TGT на полностью сформированный TGT.
Клиентский компьютер теперь имеет Microsoft Entra PRT и полный TGT Active Directory и может получить доступ как к облачным, так и к локальным ресурсам.
Необходимые компоненты
Перед началом процедур, описанных в этой статье, ваша организация должна выполнить инструкции, описанные в разделе "Включить ключи доступа" (FIDO2) для вашей организации.
Необходимо также выполнить приведенные ниже требования к системе.
Устройства должны работать под управлением Windows 10 версии 2004 или более поздней версии.
Контроллеры домена Windows Server должны запускать Windows Server 2016 или более поздней версии и устанавливать исправления для следующих серверов:
AES256_HMAC_SHA1 необходимо включить, если политика Сетевая безопасность: настройка типов шифрования, разрешенных для политики Kerberos настраивается на контроллерах домена.
Требуются учетные данные, необходимые для выполнения действий, описанных в этом сценарии:
- Пользователь Active Directory, который является членом группы администраторов домена для домена и членом группы администраторов предприятия для леса. Называется $domainCred.
- Пользователь Microsoft Entra с ролью "Администраторы гибридных удостоверений". Называется $cloudCred.
У пользователей должны быть следующие атрибуты Microsoft Entra Connect:
onPremisesSamAccountName
(accountName
в Microsoft Entra Connect)onPremisesDomainName
(domainFQDN
в Microsoft Entra Connect)onPremisesSecurityIdentifier
(objectSID
в Microsoft Entra Connect)
Microsoft Entra Connect синхронизирует эти атрибуты по умолчанию. Если изменить атрибуты для синхронизации, убедитесь, что выбраны
accountName
иobjectSID
domainFQDN
для синхронизации.
Поддерживаемые сценарии
Сценарий, описанный в этой статье, поддерживает единый вход в двух конфигурациях:
- облачные ресурсы, такие как приложения Microsoft 365 и другие приложения с поддержкой SAML;
- локальные ресурсы и встроенная проверка подлинности Windows для веб-сайтов. В число ресурсов могут входить веб-сайты и сайты SharePoint, для которых требуется проверка подлинности IIS, и (или) ресурсы, использующие встроенную проверку подлинности Windows.
Неподдерживаемые сценарии
Не поддерживаются следующие сценарии:
- развертывание доменных служб Active Directory (AD DS) в Windows Server с присоединением к домену (только для локальных устройств);
- протокол удаленного рабочего стола (RDP), инфраструктура виртуальных рабочих столов (VDI) и сценарии Citrix с использованием ключа безопасности;
- использование протокола S/MIME с ключом безопасности;
- использование функции запуска от имени с ключом безопасности;
- вход на сервер с ключом безопасности.
Установка модуля AzureADHybridAuthenticationManagement
Модуль AzureADHybridAuthenticationManagement
предоставляет функции управления FIDO2 для администраторов.
Откройте командную строку PowerShell с помощью функции "Запуск от имени администратора".
AzureADHybridAuthenticationManagement
Установите модуль:# First, ensure TLS 1.2 for PowerShell gallery access. [Net.ServicePointManager]::SecurityProtocol = [Net.ServicePointManager]::SecurityProtocol -bor [Net.SecurityProtocolType]::Tls12 # Install the AzureADHybridAuthenticationManagement PowerShell module. Install-Module -Name AzureADHybridAuthenticationManagement -AllowClobber
Примечание.
- По состоянию на обновление 2.3.331.0 модуль AzureADHybridAuthenticationManagement не устанавливает модуль AzureADPreview.
- Модуль можно установить
AzureADHybridAuthenticationManagement
на любом компьютере, с которого можно получить доступ к локальная служба Active Directory контроллеру домена без зависимости от решения Microsoft Entra Connect. - Модуль
AzureADHybridAuthenticationManagement
распространяется через коллекция PowerShell. Коллекция PowerShell — это центральный репозиторий для хранения содержимого PowerShell. В ней можно найти полезные модули PowerShell с командами и ресурсы настройки требуемого состояния (DSC).
Создание объекта сервера Kerberos
Администраторы используют AzureADHybridAuthenticationManagement
модуль для создания объекта сервера Microsoft Entra Kerberos в локальном каталоге. Объект должен быть создан на сервере Microsoft Entra Connect или на сервере с установленной Microsoft.Online.PasswordSynchronization.Rpc.dll зависимостью.
Выполните следующие действия в каждом домене и лесу в организации, которые содержат пользователей Microsoft Entra:
- Откройте командную строку PowerShell с помощью функции "Запуск от имени администратора".
- Выполните следующие команды PowerShell, чтобы создать новый объект сервера Microsoft Entra Kerberos как в вашем локальная служба Active Directory домене, так и в клиенте Microsoft Entra.
Выберите облако Azure (по умолчанию — коммерческая служба Azure)
По умолчанию Set-AzureADKerberosSever
командлет будет использовать конечные точки коммерческого облака. Если вы настраиваете Kerberos в другой облачной среде, необходимо задать командлет для использования указанного облака.
Чтобы получить список доступных облаков и числовое значение, необходимое для изменения, выполните следующее:
Get-AzureADKerberosServerEndpoint
Пример результата:
Current Endpoint = 0(Public)
Supported Endpoints:
0 :Public
1 :China
2 :Us Government
Обратите внимание на числовое значение рядом с требуемой облачной средой.
Чтобы затем задать нужную облачную среду, выполните следующую команду:
(Пример: для облака для государственных организаций США)
Set-AzureADKerberosServerEndpoint -TargetEndpoint 2
Пример 1. Запрос всех учетных данных
# Specify the on-premises Active Directory domain. A new Microsoft Entra ID
# Kerberos Server object will be created in this Active Directory domain.
$domain = $env:USERDNSDOMAIN
# Enter an Azure Active Directory Hybrid Identity Administrator username and password.
$cloudCred = Get-Credential -Message 'An Active Directory user who is a member of the Hybrid Identity Administrators group for Microsoft Entra ID.'
# Enter a Domain Administrator username and password.
$domainCred = Get-Credential -Message 'An Active Directory user who is a member of the Domain Admins group.'
# Create the new Microsoft Entra ID Kerberos Server object in Active Directory
# and then publish it to Azure Active Directory.
Set-AzureADKerberosServer -Domain $domain -CloudCredential $cloudCred -DomainCredential $domainCred
Пример 2. Запрос облачных учетных данных
Примечание.
Если вы работаете на компьютере, присоединенном к домену, с учетной записью, имеющей права администратора домена, то можно пропустить параметр "-DomainCredential". Если параметр "-DomainCredential" не указан, для доступа к локальному контроллеру домена Active Directory используются текущие учетные данные для входа Windows.
# Specify the on-premises Active Directory domain. A new Microsoft Entra ID
# Kerberos Server object will be created in this Active Directory domain.
$domain = $env:USERDNSDOMAIN
# Enter an Azure Active Directory Hybrid Identity Administrator username and password.
$cloudCred = Get-Credential
# Create the new Microsoft Entra ID Kerberos Server object in Active Directory
# and then publish it to Azure Active Directory.
# Use the current windows login credential to access the on-premises AD.
Set-AzureADKerberosServer -Domain $domain -CloudCredential $cloudCred
Пример 3. Запрос всех учетных данных с использованием современной проверки подлинности
Примечание.
Если ваша организация защищает вход на основе паролей и применяет современные методы проверки подлинности, такие как многофакторная проверка подлинности, FIDO2 или технология смарт-карты, необходимо использовать -UserPrincipalName
параметр с именем участника-пользователя (UPN) гибридного администратора удостоверений.
- Замените
contoso.corp.com
в следующем примере доменным именем своей локальной службы Active Directory. - Замените
administrator@contoso.onmicrosoft.com
в следующем примере имя участника-пользователя гибридного администратора удостоверений.
# Specify the on-premises Active Directory domain. A new Microsoft Entra ID
# Kerberos Server object will be created in this Active Directory domain.
$domain = $env:USERDNSDOMAIN
# Enter a UPN of a Hybrid Identity Administrator
$userPrincipalName = "administrator@contoso.onmicrosoft.com"
# Enter a Domain Administrator username and password.
$domainCred = Get-Credential
# Create the new Microsoft Entra ID Kerberos Server object in Active Directory
# and then publish it to Azure Active Directory.
# Open an interactive sign-in prompt with given username to access the Microsoft Entra ID.
Set-AzureADKerberosServer -Domain $domain -UserPrincipalName $userPrincipalName -DomainCredential $domainCred
Пример 4. Запрос облачных учетных данных с использованием современной проверки подлинности
Примечание.
Если вы работаете на компьютере, присоединенном к домену, с учетной записью с правами администратора домена и организацией защищает вход на основе паролей и применяет современные методы проверки подлинности, такие как многофакторная проверка подлинности, FIDO2 или технология смарт-карты, необходимо использовать -UserPrincipalName
параметр с именем участника-пользователя (UPN) администратора гибридного удостоверения. Кроме того, можно опустить параметр "-DomainCredential".
> — Замените administrator@contoso.onmicrosoft.com
в следующем примере имя участника-пользователя гибридным администратором удостоверений.
# Specify the on-premises Active Directory domain. A new Microsoft Entra ID
# Kerberos Server object will be created in this Active Directory domain.
$domain = $env:USERDNSDOMAIN
# Enter a UPN of a Hybrid Identity Administrator
$userPrincipalName = "administrator@contoso.onmicrosoft.com"
# Create the new Microsoft Entra ID Kerberos Server object in Active Directory
# and then publish it to Azure Active Directory.
# Open an interactive sign-in prompt with given username to access the Microsoft Entra ID.
Set-AzureADKerberosServer -Domain $domain -UserPrincipalName $userPrincipalName
Просмотр и проверка сервера Microsoft Entra Kerberos
Вы можете просмотреть и проверить только что созданный сервер Microsoft Entra Kerberos с помощью следующей команды:
# When prompted to provide domain credentials use the userprincipalname format for the username instead of domain\username
Get-AzureADKerberosServer -Domain $domain -UserPrincipalName $userPrincipalName -DomainCredential (get-credential)
Эта команда выводит свойства сервера Microsoft Entra Kerberos. Можно проверить свойства, чтобы убедиться, что все в порядке.
Примечание.
Выполнение в другом домене путем предоставления учетных данных в формате domain\username будет подключаться через NTLM, а затем завершается сбоем. Однако использование формата userprincipalname для администратора домена гарантирует, что RPC привязывается к контроллеру домена и пытается правильно использовать Kerberos. Если пользователи находятся в группе безопасности "Защищенные пользователи" в Active Directory, выполните приведенные ниже действия, чтобы устранить проблему. Войдите в систему как другой пользователь домена в ADConnect и не указывайте параметр "-domainCredential". Используется билет Kereberos пользователя, выполнившего вход в данный момент. Чтобы проверить, имеет ли пользователь необходимые разрешения в Active Directory для выполнения предыдущей команды, можно выполнить команду whoami /groups
.
Свойство | Description |
---|---|
Идентификатор | Уникальный идентификатор объекта контроллера домена AD DS. Этот идентификатор иногда называют слотом или ИД ветви. |
DomainDnsName | Доменное имя DNS для домена Active Directory. |
ComputerAccount | Объект учетной записи компьютера объекта сервера Microsoft Entra Kerberos (контроллер домена). |
UserAccount | Отключенный объект учетной записи пользователя, содержащий ключ шифрования TGT сервера Microsoft Entra Kerberos. Доменное имя этой учетной записи — CN=krbtgt_AzureAD,CN=Users,<Domain-DN> . |
KeyVersion | Ключевая версия ключа шифрования TGT сервера Microsoft Entra Kerberos. Эта версия назначается при создании ключа. Затем версия увеличивается при каждой смене ключа. Подобное увеличение основано на метаданных репликации, и, скорее всего, оно выполнялось не единожды. Например, начальным значением KeyVersion может быть 192272. После первой смены ключа версия может смениться версией 212621. Важно убедиться, что одинаковы значения параметра KeyVersion для локального объекта и параметра CloudKeyVersion для облачного объекта. |
KeyUpdatedOn | Дата и время обновления или создания ключа шифрования TGT сервера Microsoft Entra Kerberos. |
KeyUpdatedFrom | Контроллер домена, в котором был обновлен ключ шифрования TGT сервера Microsoft Entra Kerberos. |
CloudId | Идентификатор объекта Microsoft Entra. Должно соответствовать идентификатору в первой строке таблицы. |
CloudDomainDnsName | DomainDnsName из объекта Microsoft Entra. Должно соответствовать значению DomainDnsName во второй строке таблицы. |
CloudKeyVersion | KeyVersion из объекта Microsoft Entra. Должно соответствовать значению KeyVersion в пятой строке таблицы. |
CloudKeyUpdatedOn | KeyUpdatedOn из объекта Microsoft Entra. Должно соответствовать значению KeyUpdatedOn в шестой строке таблицы. |
Смена ключа сервера Microsoft Entra Kerberos
Ключи шифрования сервера Krbtgt в Microsoft Entra Kerberos следует регулярно поворачивать. Рекомендуется придерживаться того же расписания, которое используется при смене всех остальных ключей krbtgt для контроллера домена Active Directory.
Предупреждение
Существуют и другие средства смены ключей krbtgt. Однако для смены ключей krbtgt сервера Microsoft Entra Kerberos необходимо использовать средства, упомянутые в этом документе. Это гарантирует, что ключи обновляются как в локальная служба Active Directory, так и в идентификаторе Microsoft Entra.
Set-AzureADKerberosServer -Domain $domain -CloudCredential $cloudCred -DomainCredential $domainCred -RotateServerKey
Удаление сервера Microsoft Entra Kerberos
Если вы хотите вернуть сценарий и удалить сервер Microsoft Entra Kerberos из локальная служба Active Directory и идентификатора Microsoft Entra, выполните следующую команду:
Remove-AzureADKerberosServer -Domain $domain -CloudCredential $cloudCred -DomainCredential $domainCred
Сценарии с несколькими лесами и доменами
Объект сервера Microsoft Entra Kerberos представлен в идентификаторе Microsoft Entra как объект KerberosDomain . Каждый локальная служба Active Directory домен представлен как один объект KerberosDomain в идентификаторе Microsoft Entra.
Например, в вашей организации есть лес Active Directory с двумя доменами: contoso.com
и fabrikam.com
. Если вы решили разрешить идентификатору Microsoft Entra выдавать TGTs Kerberos для всего леса, в идентификаторе Microsoft Entra ID есть два объекта KerberosDomain, один объект KerberosDomain для contoso.com
и другого для fabrikam.com
. Если у вас есть несколько лесов Active Directory, на каждый домен в каждом из лесов приходится по одному объекту KerberosDomain.
Следуйте инструкциям по созданию объекта Kerberos Server в каждом домене и лесу в организации, содержащей пользователей Microsoft Entra.
Известное поведение
Если срок действия пароля истек, вход с помощью FIDO блокируется. Ожидается, что пользователи будут сбрасывать свои пароли, прежде чем смогут войти с помощью FIDO. Это поведение также относится к гибридному входу локального пользователя с Windows Hello для бизнеса доверием к облачным kerberos.
Устранение неполадок и отзывов
Если у вас возникли проблемы или вы хотите поделиться отзывом об этой функции входа с ключом безопасности без пароля, воспользуйтесь приложением Центра отзывов Windows, выполнив следующие действия.
- Откройте Центр отзывов и войдите в него.
- Отправьте отзыв, выбрав следующие категории:
- Категория: безопасность и конфиденциальность данных
- Подкатегория: FIDO
- Чтобы записать журналы, используйте функцию Recreate my Problem (Воспроизвести мою проблему).
Вопросы и ответы о входе с ключом безопасности без пароля
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Ниже приведены ответы на часто задаваемые вопросы о входе без пароля.
Работает ли вход с ключом безопасности без пароля в локальной среде?
Эта функция не работает в полностью локальной среде AD DS.
В моей организации для доступа к ресурсам требуется двухфакторная проверка подлинности. Что можно сделать, чтобы выполнить это требование?
Ключи безопасности предлагаются в разных форм-факторах. Обратитесь к производителю интересующего вас устройства, чтобы узнать, как использовать PIN-код или биометрические данные в качестве второго фактора при их включении.
Могут ли администраторы настраивать ключи безопасности?
Мы работаем над предоставлением этой возможности в общедоступном выпуске данной функции.
Где найти соответствующие ключи безопасности?
Сведения о соответствующих ключах безопасности см. в разделе Ключи безопасности FIDO2.
Что делать, если я потеряю свой ключ безопасности?
Чтобы удалить зарегистрированный ключ безопасности, войдите в myaccount.microsoft.com, а затем перейдите на страницу сведений о безопасности.
Что делать, если не удается использовать ключ безопасности FIDO сразу после создания гибридного компьютера, присоединенного к Microsoft Entra?
Если вы чистите установку гибридного компьютера, присоединенного к Microsoft Entra, после процесса присоединения к домену и перезапуска необходимо выполнить вход с помощью пароля и дождаться синхронизации политики, прежде чем использовать ключ безопасности FIDO для входа.
- Проверьте текущее состояние, введя в окне командной строки
dsregcmd /status
и убедившись, что для обоих параметров AzureAdJoined и DomainJoined отображается значение YES (Да). - Эта задержка синхронизации является известным ограничением для присоединенных к домену устройств и не относится только к FIDO.
Что делать, если я не могу использовать единый вход в сетевой ресурс NTLM после входа с помощью FIDO и получения запроса учетных данных?
Убедитесь, что установлены исправления для достаточного количества контроллеров домена, чтобы реакция на запрос ресурсов была своевременной. Чтобы узнать, выполняется ли эта функция на контроллере домена, выполните nltest /dsgetdc:contoso /keylist /kdc
и просмотрите выходные данные.
Примечание.
Параметр /keylist
в команде nltest
доступен в клиенте Windows 10 версии 2004 и более поздних версий.
Подходят ли ключи безопасности FIDO2 для службы входа Windows с контроллером домена только для чтения (RODC) в гибридной среде?
Служба входа Windows с FIDO2 ищет контроллер домена с возможностью записи для обмена TGT пользователя. Если у вас есть по крайней мере один доступный для записи контроллер домена на каждом сайте, служба входа будет работать правильно.