雲端 Kerberos 信任部署指南
本文說明適用於下列專案的 Windows Hello 企業版功能或案例:
需求
開始部署之前,請檢閱 規劃 Windows Hello 企業版部署一 文中所述的需求。
開始之前,請確定符合下列需求:
重要
實作雲端 Kerberos 信任部署模型時,您 必須 確定每個 Active Directory 網站中有足夠的 讀寫域控制器 數目,使用者將在其中向 Windows Hello 企業版進行驗證。 如需詳細資訊,請參閱 Active Directory 的容量規劃。
部署步驟
一旦符合必要條件,部署 Windows Hello 企業版包含下列步驟:
部署 Microsoft Entra Kerberos
如果您已部署內部部署 SSO 以進行無密碼安全性密鑰登入,則Microsoft已在您的組織中部署 Entra Kerberos。 您不需要重新部署或變更現有的 Microsoft Entra Kerberos 部署來支援 Windows Hello 企業版,而且可以跳至 [ 設定 Windows Hello 企業版原則設定 ] 區段。
如果您尚未部署 Microsoft Entra Kerberos,請遵循 啟用無密碼安全性密鑰登 入檔中的指示。 此頁面包含如何安裝和使用 Microsoft Entra Kerberos PowerShell 模組的資訊。 使用 模組來為您想要使用 Windows Hello 企業版雲端 Kerberos 信任的網域建立 Microsoft Entra Kerberos 伺服器物件。
Microsoft Entra Kerberos 和雲端 Kerberos 信任驗證
在 Active Directory 網域中啟用 Microsoft Entra Kerberos 時,會在網域中建立 AzureADKerberos 計算機物件。 此物件:
顯示為 RODC) 物件 (只讀域控制器,但未與任何實體伺服器相關聯
僅供 Microsoft Entra ID 用來產生 Active Directory 網域的 TGT
注意
適用於 RODC 的類似規則和限制適用於 AzureADKerberos 計算機物件。 例如,身為許可權內建安全組直接或間接成員的使用者將無法使用雲端 Kerberos 信任。
如需 Microsoft Entra Kerberos 如何與 Windows Hello 企業版雲端 Kerberos 信任搭配運作的詳細資訊,請參閱 Windows Hello 企業版驗證技術深入探討。
注意
在 AzureADKerberos 計算機物件上設定的預設 密碼複製原則 不允許使用雲端 Kerberos 信任或 FIDO2 安全性密鑰,將高許可權帳戶登入內部部署資源。
由於從 Microsoft Entra ID 到 Active Directory 的可能攻擊媒介,不建議您放寬計算機對象 CN=AzureADKerberos,OU=Domain Controllers,<domain-DN>的密碼複製原則來解除封鎖這些帳戶。
設定 Windows Hello 企業版原則設定
設定 Microsoft Entra Kerberos 對象之後,必須啟用 Windows Hello 企業版並設定為使用雲端 Kerberos 信任。 在雲端 Kerberos 信任模型中設定 Windows Hello 企業版需要兩個原則設定:
另一個選擇性但建議的原則設定如下:
重要
如果已啟用 使用憑證進行內部部署驗證 原則,憑證信任會優先於雲端 Kerberos 信任。 請確定您想要啟用雲端 Kerberos 信任的機器 未設定此原則。
下列指示說明如何使用 Microsoft Intune 或組策略 (GPO) 來設定您的裝置。
Intune/CSP
GPO注意
檢閱 使用 Microsoft Intune 設定 Windows Hello 企業 版一文,以瞭解 Microsoft Intune 為設定 Windows Hello 企業版所提供的不同選項。
如果 Intune 全租使用者原則已啟用並設定為您的需求,您只需要啟用原則設定 [ 使用雲端信任進行內部部署驗證]。否則,必須設定這兩個設定。
若要使用 Microsoft Intune 設定裝置, 請建立 [設定] 目錄原則 ,並使用下列設定:
| 類別 | 設定名稱 | 值 |
|---|---|---|
| Windows Hello 企業版 | 使用 Passport for Work | true |
| Windows Hello 企業版 | 使用雲端信任進行內部部署驗證 | 啟用 |
| Windows Hello 企業版 | 需要安全性裝置 | true |
將原則指派給包含 為您要設定之裝置或用戶成員的群組。
或者,您可以使用 自定義 原則搭配 PassportForWork CSP 來設定裝置。
| 設定 |
|---|
-
OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork- 資料類型: bool- 價值: True |
-
OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseCloudTrustForOnPremAuth- 資料類型: bool- 價值: True |
-
OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice- 資料類型: bool- 價值: True |
如果您同時使用組策略和 Intune 部署 Windows Hello 企業版設定,則組策略設定會優先,並忽略 Intune 設定。 如需原則衝突的詳細資訊,請參閱 來自多個原則來源的原則衝突。
您可以設定更多原則設定來控制 Windows Hello 企業版的行為。 如需詳細資訊,請參閱 Windows Hello 企業版原則設定。
在 Windows Hello 企業版中註冊
如果必要條件檢查通過,Windows Hello 企業版布建程式會在使用者登入之後立即開始。 當原則啟用雲端 Kerberos 信任時,Windows Hello 企業 版雲端 Kerberos 信任 會新增Microsoft加入混合式裝置的必要條件檢查。
您可以檢視 Windows 中 [應用程式和服務>記錄] 底下的 [用戶裝置註冊管理員記錄],以判斷必要條件檢查的狀態Microsoft>。
您也可以從主控台使用 dsregcmd.exe /status 命令來取得這項資訊。 如需詳細資訊,請參閱 dsregcmd。
雲端 Kerberos 信任必要條件檢查會先偵測使用者是否具有部分 TGT,然後才允許開始布建。 這項檢查的目的是要驗證是否已針對使用者的網域和租用戶設定 Microsoft Entra Kerberos。 如果已設定 Microsoft Entra Kerberos,使用者會在登入期間收到部分 TGT 及其其他解除鎖定方法之一。 此檢查有三種狀態:[是]、[否] 和 [未測試]。 如果未由原則強制執行雲端 Kerberos 信任,或裝置已Microsoft加入 Entra,則會報告未 測試 狀態。
注意
雲端 Kerberos 信任必要條件檢查不會在已加入 Entra 的Microsoft裝置上完成。 如果未布建 Microsoft Entra Kerberos,Microsoft加入 Entra 的裝置上的使用者仍然可以登入,但不會對 Active Directory 保護的內部部署資源使用 SSO。
使用者體驗
使用者登入之後,Windows Hello 企業版註冊程式就會開始:
- 如果裝置支援生物特徵辨識驗證,系統會提示使用者設定生物特徵辨識手勢。 此手勢可用來解除鎖定裝置,並驗證需要 Windows Hello 企業版的資源。 如果使用者不想設定生物特徵辨識手勢,則可以略過此步驟
- 系統會提示使用者搭配組織帳戶使用 Windows Hello。 用戶選取 [確定]
- 布建流程會繼續進行註冊的多重要素驗證部分。 布建會通知使用者,其正透過其設定的 MFA 形式主動嘗試連絡使用者。 在驗證成功、失敗或逾時之前,布建程式不會繼續。MFA 失敗或逾時會導致錯誤,並要求使用者重試
- MFA 成功後,佈建流程會要求使用者建立並驗證 PIN 碼。 此 PIN 必須觀察在裝置上設定的任何 PIN 複雜性原則
- 佈建餘下的工作包括 Windows Hello 企業版要求使用者的非對稱金鑰組,最好是向 TPM 要求 (如果已透過原則明確設定,則必須如此)。 取得金鑰組之後,Windows 會與 IdP 通訊以註冊公鑰。 密鑰註冊完成時,Windows Hello 企業版佈建會通知用戶他們可以使用 PIN 登入。 用戶可以關閉布建應用程式並存取其桌面
一旦使用者完成雲端 Kerberos 信任的註冊,就可以 立即 使用 Windows Hello 手勢進行登入。 在Microsoft已加入 Entra 混合式裝置上,第一次使用 PIN 需要 DC 的視線。 一旦使用者使用DC登入或解除鎖定,快取登入就可以用於後續解除鎖定,而不需要視線或網路連線。
註冊之後,Microsoft Entra Connect 會將使用者的密鑰從 Microsoft Entra ID 同步至 Active Directory。
時序圖
若要進一步瞭解布建流程,請根據裝置加入和驗證類型檢閱下列循序圖:
若要進一步了解驗證流程,請檢閱下列循序圖:
從金鑰信任部署模型移轉至雲端 Kerberos 信任
如果您使用密鑰信任模型部署 Windows Hello 企業版,並想要移轉至雲端 Kerberos 信任模型,請遵循下列步驟:
- 在混合式環境中設定 Microsoft Entra Kerberos
- 透過組策略或 Intune 啟用雲端 Kerberos 信任
- 針對Microsoft加入 Entra 的裝置,請使用 Windows Hello 企業版註銷並登入裝置
注意
針對Microsoft已加入 Entra 的裝置,用戶必須使用新的認證執行第一次登入,同時才能看到 DC。
從憑證信任部署模型移轉至雲端 Kerberos 信任
重要
沒有從憑證信任部署到雲端 Kerberos 信任部署的 直接 移轉路徑。 您必須先刪除 Windows Hello 容器,才能移轉至雲端 Kerberos 信任。
如果您使用憑證信任模型部署 Windows Hello 企業版,並想要使用雲端 Kerberos 信任模型,您必須依照下列步驟重新部署 Windows Hello 企業版:
- 停用憑證信任原則
- 透過組策略或 Intune 啟用雲端 Kerberos 信任
- 從用戶內容中使用 命令
certutil.exe -deletehellocontainer移除憑證信任認證 - 註銷並重新登入
- 使用您選擇的方法布建 Windows Hello 企業版
注意
針對Microsoft已加入 Entra 的裝置,用戶必須使用新的認證執行第一次登入,同時才能看到 DC。
常見問題集
如需 Windows Hello 企業版雲端 Kerberos 信任的常見問題清單,請參閱 Windows Hello 企業版常見問題。
不支援的案例
下列案例不支援使用 Windows Hello 企業版雲端 Kerberos 信任:
- 使用提供的認證 (RDP/VDI 的 RDP/VDI 案例可以與遠端 Credential Guard 搭配使用,或是憑證已註冊到 Windows Hello 企業版容器)
- 使用雲端 Kerberos 信任執行 身分
- 在Microsoft已加入 Entra 混合式的裝置上使用雲端 Kerberos 信任登入,但先前未使用 DC 連線能力登入