Aktivera inloggning med lösenordslös säkerhetsnyckel till lokala resurser med hjälp av Microsoft Entra-ID

Det här avsnittet visar hur du aktiverar lösenordslös autentisering till lokala resurser för miljöer med enheter som kör Windows 10 version 2004 eller senare. Enheter kan vara Microsoft Entra-anslutna eller Microsoft Entra-hybridanslutningar. Den här funktionen för lösenordslös autentisering ger sömlös enkel inloggning (SSO) till lokala resurser när du använder Microsoft-kompatibla säkerhetsnycklar eller med Windows Hello za posao Cloud Trust.

Använd enkel inloggning för att logga in på lokala resurser med hjälp av FIDO2-nycklar

Microsoft Entra-ID kan utfärda Kerberos-biljettbeviljande biljetter (TGT) för en eller flera av dina Active Directory-domäner. Med den här funktionen kan användare logga in i Windows med moderna autentiseringsuppgifter, till exempel FIDO2-säkerhetsnycklar, och sedan komma åt traditionella Active Directory-baserade resurser. Kerberos Service Tickets och auktorisering fortsätter att kontrolleras av dina lokalni Active Directory domänkontrollanter (DCs).

Ett Microsoft Entra Kerberos-serverobjekt skapas i din lokalni Active Directory-instans och publiceras sedan på ett säkert sätt till Microsoft Entra-ID. Objektet är inte associerat med några fysiska servrar. Det är helt enkelt en resurs som kan användas av Microsoft Entra-ID för att generera Kerberos-TGT:er för din Active Directory-domän.

Diagram som visar hur du hämtar en TGT från Microsoft Entra ID och Usluge domena aktivnog direktorijuma.

  1. En användare loggar in på en Windows 10-enhet med en FIDO2-säkerhetsnyckel och autentiserar till Microsoft Entra-ID.

  2. Microsoft Entra-ID kontrollerar katalogen efter en Kerberos Server-nyckel som matchar användarens lokalni Active Directory domän.

    Microsoft Entra ID genererar en Kerberos TGT för användarens lokalni Active Directory domän. TGT innehåller endast användarens SID och inga auktoriseringsdata.

  3. TGT returneras till klienten tillsammans med användarens Microsoft Entra Primary Refresh Token (PRT).

  4. Klientdatorn kontaktar en lokalni Active Directory domänkontrollant och byter den partiella TGT:n mot en fullständigt utformad TGT.

  5. Klientdatorn har nu en Microsoft Entra PRT och en fullständig Active Directory TGT och kan komma åt både molnresurser och lokala resurser.

Förutsättningar

Innan du påbörjar procedurerna i den här artikeln måste din organisation slutföra anvisningarna i Aktivera nyckelnycklar (FIDO2) för din organisation.

Du måste också uppfylla följande systemkrav:

  • Enheter måste köra Windows 10 version 2004 eller senare.

  • Dina Windows Server-domänkontrollanter måste köra Windows Server 2016 eller senare och ha korrigeringar installerade för följande servrar:

  • AES256_HMAC_SHA1 måste aktiveras när Nätverkssäkerhet: Konfigurera krypteringstyper som tillåts för Kerberos-principen konfigureras på domänkontrollanter.

  • Ha de autentiseringsuppgifter som krävs för att slutföra stegen i scenariot:

    • En Active Directory-användare som är medlem i gruppen Domänadministratörer för en domän och medlem i gruppen Företagsadministratörer för en skog. Kallas $domainCred.
    • En Microsoft Entra-användare som är medlem i rollen Globala administratörer. Kallas $cloudCred.
  • Användarna måste ha följande Microsoft Entra-attribut ifyllda via Microsoft Entra Connect:

    • onPremisesSamAccountName (accountName i Microsoft Entra Connect)
    • onPremisesDomainName (domainFQDN i Microsoft Entra Connect)
    • onPremisesSecurityIdentifier (objectSID i Microsoft Entra Connect)

    Microsoft Entra Connect synkroniserar dessa attribut som standard. Om du ändrar vilka attribut som ska synkroniseras kontrollerar du att du väljer accountName, domainFQDNoch objectSID för synkronisering.

Stödda scenarier

Scenariot i den här artikeln stöder enkel inloggning i båda följande instanser:

  • Molnresurser som Microsoft 365 och andra SAML-aktiverade program (Security Assertion Markup Language).
  • Lokala resurser och Windows-integrerad autentisering till webbplatser. Resurserna kan innehålla webbplatser och SharePoint-webbplatser som kräver IIS-autentisering och/eller resurser som använder NTLM-autentisering.

Scenarier som inte stöds

Följande scenarier stöds inte:

  • Distribution av Windows Server Usluge domena aktivnog direktorijuma (AD DS)-ansluten (endast lokala enheter).
  • Rdp-scenarier (Remote Desktop Protocol), VDI (Virtual Desktop Infrastructure) och Citrix med hjälp av en säkerhetsnyckel.
  • S/MIME med hjälp av en säkerhetsnyckel.
  • Kör som med hjälp av en säkerhetsnyckel.
  • Logga in på en server med hjälp av en säkerhetsnyckel.

Installera modulen AzureADHybridAuthenticationManagement

Modulen AzureADHybridAuthenticationManagement innehåller FIDO2-hanteringsfunktioner för administratörer.

  1. Öppna en PowerShell-prompt med alternativet Kör som administratör.

  2. Installera modulen AzureADHybridAuthenticationManagement :

    # First, ensure TLS 1.2 for PowerShell gallery access.
    [Net.ServicePointManager]::SecurityProtocol = [Net.ServicePointManager]::SecurityProtocol -bor [Net.SecurityProtocolType]::Tls12
    
    # Install the AzureADHybridAuthenticationManagement PowerShell module.
    Install-Module -Name AzureADHybridAuthenticationManagement -AllowClobber
    

Kommentar

  • Modulen AzureADHybridAuthenticationManagement använder PowerShell-modulen AzureADPreview för att tillhandahålla avancerade Microsoft Entra-hanteringsfunktioner. Om Azure Active Directory PowerShell-modulen redan är installerad på den lokala datorn kan installationen som beskrivs här misslyckas på grund av konflikter. Om du vill förhindra konflikter under installationen måste du inkludera alternativflaggan "-AllowClobber".
  • Du kan installera modulen AzureADHybridAuthenticationManagement på alla datorer som du kan komma åt din lokalni Active Directory domänkontrollant från, utan att vara beroende av Microsoft Entra Connect-lösningen.
  • Modulen AzureADHybridAuthenticationManagement distribueras via PowerShell-galleriet. PowerShell-galleriet är den centrala lagringsplatsen för PowerShell-innehåll. I den hittar du användbara PowerShell-moduler som innehåller PowerShell-kommandon och DSC-resurser (Desired State Configuration).

Skapa ett Kerberos Server-objekt

Administratörer använder modulen AzureADHybridAuthenticationManagement för att skapa ett Microsoft Entra Kerberos-serverobjekt i sin lokala katalog.

Kör följande steg i varje domän och skog i din organisation som innehåller Microsoft Entra-användare:

  1. Öppna en PowerShell-prompt med alternativet Kör som administratör.
  2. Kör följande PowerShell-kommandon för att skapa ett nytt Microsoft Entra Kerberos-serverobjekt både i din lokalni Active Directory domän och i din Microsoft Entra-klientorganisation.

Välj Azure Cloud (standard är Azure Commercial)

Som standard Set-AzureADKerberosSever använder cmdleten slutpunkterna för det kommersiella molnet. Om du konfigurerar Kerberos i en annan molnmiljö måste du ange cmdleten så att den använder det angivna molnet.

Kör följande för att få en lista över tillgängliga moln och det numeriska värde som krävs för att ändra:
Get-AzureADKerberosServerEndpoint

Exempel på utdata:

Current Endpoint = 0(Public)
Supported Endpoints:
   0 :Public
   1 :China
   2 :Us Government

Observera det numeriska värdet bredvid din önskade molnmiljö.

Kör följande för att sedan ange önskad molnmiljö:

(Exempel: För US Government Cloud)

Set-AzureADKerberosServerEndpoint -TargetEndpoint 2

Exempel 1 fråga efter alla autentiseringsuppgifter

# Specify the on-premises Active Directory domain. A new Microsoft Entra ID
# Kerberos Server object will be created in this Active Directory domain.
$domain = $env:USERDNSDOMAIN

# Enter an Azure Active Directory Global Administrator username and password.
$cloudCred = Get-Credential -Message 'An Active Directory user who is a member of the Global Administrators group for Microsoft Entra ID.'

# Enter a Domain Administrator username and password.
$domainCred = Get-Credential -Message 'An Active Directory user who is a member of the Domain Admins group.'

# Create the new Microsoft Entra ID Kerberos Server object in Active Directory
# and then publish it to Azure Active Directory.
Set-AzureADKerberosServer -Domain $domain -CloudCredential $cloudCred -DomainCredential $domainCred

Exempel 2 fråga efter molnautentiseringsuppgifter

Kommentar

Om du arbetar på en domänansluten dator med ett konto som har domänadministratörsbehörighet kan du hoppa över parametern "-DomainCredential". Om parametern "-DomainCredential" inte anges används den aktuella Windows-inloggningsautentiseringsuppgiften för att komma åt din lokalni Active Directory domänkontrollant.

# Specify the on-premises Active Directory domain. A new Microsoft Entra ID
# Kerberos Server object will be created in this Active Directory domain.
$domain = $env:USERDNSDOMAIN

# Enter an Azure Active Directory Global Administrator username and password.
$cloudCred = Get-Credential

# Create the new Microsoft Entra ID Kerberos Server object in Active Directory
# and then publish it to Azure Active Directory.
# Use the current windows login credential to access the on-premises AD.
Set-AzureADKerberosServer -Domain $domain -CloudCredential $cloudCred

Exempel 3 fråga efter alla autentiseringsuppgifter med modern autentisering

Kommentar

Om din organisation skyddar lösenordsbaserad inloggning och tillämpar moderna autentiseringsmetoder som multifaktorautentisering, FIDO2 eller smartkortsteknik, måste du använda parametern -UserPrincipalName med UPN (User Principal Name) för en global administratör.

  • Ersätt contoso.corp.com i följande exempel med ditt lokalni Active Directory domännamn.
  • Ersätt administrator@contoso.onmicrosoft.com i följande exempel med UPN för en global administratör.
# Specify the on-premises Active Directory domain. A new Microsoft Entra ID
# Kerberos Server object will be created in this Active Directory domain.
$domain = $env:USERDNSDOMAIN

# Enter a UPN of a Global Administrator
$userPrincipalName = "administrator@contoso.onmicrosoft.com"

# Enter a Domain Administrator username and password.
$domainCred = Get-Credential

# Create the new Microsoft Entra ID Kerberos Server object in Active Directory
# and then publish it to Azure Active Directory.
# Open an interactive sign-in prompt with given username to access the Microsoft Entra ID.
Set-AzureADKerberosServer -Domain $domain -UserPrincipalName $userPrincipalName -DomainCredential $domainCred

Exempel 4 fråga efter molnautentiseringsuppgifter med modern autentisering

Kommentar

Om du arbetar på en domänansluten dator med ett konto som har domänadministratörsbehörighet och din organisation skyddar lösenordsbaserad inloggning och tillämpar moderna autentiseringsmetoder som multifaktorautentisering, FIDO2 eller smartkortsteknik, måste du använda parametern -UserPrincipalName med UPN (User Principal Name) för en global administratör. Och du kan hoppa över parametern "-DomainCredential". > – Ersätt administrator@contoso.onmicrosoft.com i följande exempel med UPN för en global administratör.

# Specify the on-premises Active Directory domain. A new Microsoft Entra ID
# Kerberos Server object will be created in this Active Directory domain.
$domain = $env:USERDNSDOMAIN

# Enter a UPN of a Global Administrator
$userPrincipalName = "administrator@contoso.onmicrosoft.com"

# Create the new Microsoft Entra ID Kerberos Server object in Active Directory
# and then publish it to Azure Active Directory.
# Open an interactive sign-in prompt with given username to access the Microsoft Entra ID.
Set-AzureADKerberosServer -Domain $domain -UserPrincipalName $userPrincipalName

Visa och verifiera Microsoft Entra Kerberos-servern

Du kan visa och verifiera den nyligen skapade Microsoft Entra Kerberos-servern med hjälp av följande kommando:

 # When prompted to provide domain credentials use the userprincipalname format for the username instead of domain\username
Get-AzureADKerberosServer -Domain $domain -UserPrincipalName $userPrincipalName -DomainCredential (get-credential)

Det här kommandot matar ut egenskaperna för Microsoft Entra Kerberos-servern. Du kan granska egenskaperna för att kontrollera att allt är i god ordning.

Kommentar

Om du kör mot en annan domän genom att ange autentiseringsuppgifterna i formatet domain\username ansluts NTLM och misslyckas. Om du använder formatet userprincipalname för domänadministratören ser du dock till att RPC-bindningen till domänkontrollanten försöker använda Kerberos korrekt. Om användarna finns i säkerhetsgruppen Skyddade användare i Active Directory utför du de här stegen för att lösa problemet: Logga in som en annan domänanvändare i ADConnect och ange inte "-domainCredential". Kerberos-biljetten för den användare som för närvarande är inloggad används. Du kan bekräfta genom att whoami /groups köra för att kontrollera om användaren har de behörigheter som krävs i Active Directory för att köra föregående kommando.

Property beskrivning
ID Det unika ID:t för AD DS DC-objektet. Det här ID:t kallas ibland för dess fack eller dess gren-ID.
DomainDnsName Active Directory-domänens DNS-domännamn.
ComputerAccount Datorkontoobjektet för Microsoft Entra Kerberos-serverobjektet (domänkontrollanten).
UserAccount Det inaktiverade användarkontoobjektet som innehåller Microsoft Entra Kerberos-serverns TGT-krypteringsnyckel. Domännamnet för det här kontot är CN=krbtgt_AzureAD,CN=Users,<Domain-DN>.
KeyVersion Nyckelversionen av Microsoft Entra Kerberos-serverns TGT-krypteringsnyckel. Versionen tilldelas när nyckeln skapas. Versionen ökas sedan varje gång nyckeln roteras. Ökningarna baseras på replikeringsmetadata och är sannolikt större än en. Till exempel kan den första KeyVersion vara 192272. Första gången nyckeln roteras kan versionen gå vidare till 212621. Det viktiga att kontrollera är att KeyVersion för det lokala objektet och CloudKeyVersion för molnobjektet är desamma.
KeyUpdatedOn Datum och tid då Microsoft Entra Kerberos-serverns TGT-krypteringsnyckel uppdaterades eller skapades.
KeyUpdatedFrom Domänkontrollanten där Microsoft Entra Kerberos-serverns TGT-krypteringsnyckel senast uppdaterades.
CloudId ID:t från Microsoft Entra-objektet. Måste matcha ID:t från den första raden i tabellen.
CloudDomainDnsName DomainDnsName från Microsoft Entra-objektet. Måste matcha DomainDnsName från den andra raden i tabellen.
CloudKeyVersion KeyVersion från Microsoft Entra-objektet. Måste matcha KeyVersion från den femte raden i tabellen.
CloudKeyUpdatedOn KeyUpdatedOn från Microsoft Entra-objektet. Måste matcha KeyUpdatedOn från den sjätte raden i tabellen.

Rotera Microsoft Entra Kerberos-servernyckeln

Microsoft Entra Kerberos-serverkrypteringsnycklarna för krbtgt bör roteras regelbundet. Vi rekommenderar att du följer samma schema som du använder för att rotera alla andra Active Directory DC krbtgt-nycklar .

Varning

Det finns andra verktyg som kan rotera krbtgt-nycklarna . Du måste dock använda de verktyg som nämns i det här dokumentet för att rotera krbtgt-nycklarna på Microsoft Entra Kerberos-servern. Detta säkerställer att nycklarna uppdateras i både lokalni Active Directory och Microsoft Entra-ID.

Set-AzureADKerberosServer -Domain $domain -CloudCredential $cloudCred -DomainCredential $domainCred -RotateServerKey

Ta bort Microsoft Entra Kerberos-servern

Om du vill återställa scenariot och ta bort Microsoft Entra Kerberos-servern från både lokalni Active Directory- och Microsoft Entra-ID:t kör du följande kommando:

Remove-AzureADKerberosServer -Domain $domain -CloudCredential $cloudCred -DomainCredential $domainCred

Scenarier för multiforest och multidomäner

Microsoft Entra Kerberos-serverobjektet representeras i Microsoft Entra-ID som ett KerberosDomain-objekt . Varje lokalni Active Directory domän representeras som ett enda KerberosDomain-objekt i Microsoft Entra-ID.

Anta till exempel att din organisation har en Active Directory-skog med två domäner contoso.com och fabrikam.com. Om du väljer att tillåta att Microsoft Entra-ID utfärdar Kerberos-TGT:er för hela skogen finns det två KerberosDomain-objekt i Microsoft Entra-ID, ett KerberosDomain-objekt för contoso.com och det andra för fabrikam.com. Om du har flera Active Directory-skogar finns det ett KerberosDomain-objekt för varje domän i varje skog.

Följ anvisningarna i Skapa ett Kerberos Server-objekt i varje domän och skog i din organisation som innehåller Microsoft Entra-användare.

Känt beteende

Om lösenordet har upphört att gälla blockeras inloggningen med FIDO. Förväntningen är att användarna återställer sina lösenord innan de kan logga in med hjälp av FIDO. Det här beteendet gäller även för hybridbaserad synkronisering av användarinloggning med Windows Hello za posao cloud kerberos-förtroende.

Felsökning och feedback

Om du stöter på problem eller vill dela feedback om den här lösenordslösa inloggningsfunktionen för säkerhetsnycklar kan du dela via Windows čvorište za povratne informacije-appen genom att göra följande:

  1. Öppna Feedback Hub och se till att du är inloggad.
  2. Skicka feedback genom att välja följande kategorier:
    • Kategori: Säkerhet och sekretess
    • Underkategori: FIDO
  3. Om du vill samla in loggar använder du alternativet Återskapa mitt problem .

Vanliga frågor och svar om inloggning med lösenordslös säkerhetsnyckel

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Här följer några svar på vanliga frågor om lösenordsfri inloggning:

Fungerar inloggning med lösenordslös säkerhetsnyckel i min lokala miljö?

Funktionen fungerar inte i en ren lokal AD DS-miljö.

Min organisation kräver tvåfaktorautentisering för att få åtkomst till resurser. Vad kan jag göra för att stödja detta krav?

Säkerhetsnycklar finns i en mängd olika formfaktorer. Kontakta enhetstillverkaren för arkivhandling för att diskutera hur deras enheter kan aktiveras med en PIN-kod eller biometrisk kod som en andra faktor.

Kan administratörer konfigurera säkerhetsnycklar?

Vi arbetar med den här funktionen för den allmänna tillgänglighetsversionen av den här funktionen.

Vart kan jag gå för att hitta kompatibla säkerhetsnycklar?

Information om kompatibla säkerhetsnycklar finns i FIDO2-säkerhetsnycklar.

Vad kan jag göra om jag förlorar min säkerhetsnyckel?

Om du vill ta bort en registrerad säkerhetsnyckel loggar du in på myaccount.microsoft.com och går sedan till sidan Säkerhetsinformation.

Vad kan jag göra om jag inte kan använda FIDO-säkerhetsnyckeln direkt efter att jag har skapat en Microsoft Entra-hybridanslutningsdator?

Om du reninstallerar en Microsoft Entra-hybridansluten dator måste du logga in med ett lösenord efter domänanslutnings- och omstartsprocessen och vänta tills principen synkroniseras innan du kan använda FIDO-säkerhetsnyckeln för att logga in.

  • Kontrollera din aktuella status genom att köra dsregcmd /status i ett kommandotolkfönster och kontrollera att både AzureAdJoined- och DomainJoined-statusarna visas som JA.
  • Den här fördröjningen vid synkronisering är en känd begränsning för domänanslutna enheter och är inte FIDO-specifik.

Vad händer om jag inte kan få enkel inloggning till min NTLM-nätverksresurs när jag har loggat in med FIDO och får en fråga om autentiseringsuppgifter?

Kontrollera att tillräckligt många domänkontrollanter har korrigerats för att svara i tid för att hantera din resursbegäran. Om du vill se om en domänkontrollant kör funktionen kör du nltest /dsgetdc:contoso /keylist /kdcoch granskar sedan utdata.

Kommentar

Växeln /keylist nltest i kommandot är tillgänglig i klienten Windows 10 v2004 och senare.

Fungerar FIDO2-säkerhetsnycklar i en Windows-inloggning med RODC i hybridmiljön?

En FIDO2 Windows-inloggning söker efter en skrivbar domänkontrollant för att utbyta användarens TGT. Så länge du har minst en skrivbar domänkontrollant per webbplats fungerar inloggningen bra.

Nästa steg

Läs mer om lösenordslös autentisering