Freigeben über

Verwenden von Kerberos für einmaliges Anmelden (Single Sign-On, SSO) für Ihre Ressourcen mit Microsoft Entra-Privatzugriff

  • Artikel

Stellen Sie einmaliges Anmelden für lokale Ressourcen bereit, die über Microsoft Entra-Privatzugriff veröffentlicht wurden. Microsoft Entra--Privatzugriff verwendet Kerberos, um diese Ressourcen zu unterstützen. Optional können Sie die Windows Hello for Business-Cloud Kerberos-Vertrauensstellung verwenden, um einmaliges Anmelden für Benutzerinnen und Benutzer zuzulassen.

Voraussetzungen

Bevor Sie mit dem einmaligen Anmelden beginnen, müssen Sie sicherstellen, dass Ihre Umgebung bereit ist.

  • Eine Active Directory-Gesamtstruktur Der Leitfaden verwendet einen Gesamtstrukturdomänennamen, der öffentlich aufgelöst werden kann. Eine öffentlich aufgelöste Domäne ist jedoch keine Anforderung.
  • Sie haben das Microsoft Entra-Privatzugriff-Weiterleitungsprofil aktiviert.
  • Die neueste Version des Microsoft Entra-Privatzugriff-Connectors wird auf einem Windows-Server installiert, der Zugriff auf Ihre Domänencontroller hat.
  • Die neueste Version des Clients für globalen sicheren Zugriff Weitere Informationen zu dem Client finden Sie unter Globaler sicherer Zugriff – Clients.

Veröffentlichen von Ressourcen für die Verwendung mit einmaligem Anmelden

Um einmaliges Anmelden zu testen, erstellen Sie eine neue Unternehmensanwendung, die eine Dateifreigabe veröffentlicht. Wenn Sie eine Unternehmensanwendung zur Veröffentlichung Ihrer Dateifreigabe verwenden, können Sie der Ressource eine Richtlinie für den bedingten Zugriff zuweisen und zusätzliche Sicherheitskontrollen wie die Multi-Faktor-Authentifizierung erzwingen.

  1. Melden Sie sich als Anwendungsadministrator bei Microsoft Entra an.
  2. Wechseln Sie zu Globaler sicherer Zugriff>Anwendungen>Unternehmensanwendungen.
  3. Wählen Sie Neue Anwendung aus.
  4. Fügen Sie ein neues App-Segment mit der IP Ihres Dateiservers über Port 445/TCP hinzu und wählen Sie dann Speichern aus. Das Server Message Block (SMB)-Protokoll verwendet diesen Port.
  5. Öffnen Sie die von Ihnen erstellte Unternehmensanwendung und wählen Sie Benutzer und Gruppen, um den Zugriff auf die Ressource zuzuweisen.

In Microsoft Entra ID eingebundene Geräte – Passwort-basiertes SSO

Eine zusätzliche Konfiguration über diesen Leitfaden hinaus ist nicht erforderlich, wenn Benutzerinnen und Benutzer Kennwörter für die Anmeldung bei Windows verwenden.

In Microsoft Entra ID eingebundene Geräte beruhen auf der Active Directory-Domäne und den Benutzerinformationen, die von Microsoft Entra ID Connect synchronisiert werden. Der Windows-Domänencontroller-Locator findet die Domänencontroller aufgrund der Synchronisierung. Der User Principal Name (UPN) und das Benutzerkennwort werden verwendet, um ein Kerberos Ticket-Granting Ticket (TGT) anzufordern. Weitere Informationen zu diesem Flow finden Sie unter So funktioniert das einmalige Anmelden (SSO) bei lokalen Ressourcen auf in Microsoft Entra eingebundenen Geräten.

In Microsoft Entra ID eingebundene und in Microsoft Entra ID hybrid eingebundene Geräte – Windows Hello for Business Single Sign-On

Für Windows Hello for Business ist eine zusätzliche Konfiguration erforderlich, die über diese Anleitung hinausgeht.

Die Bereitstellung der Hybrid Cloud Kerberos Trust mit Microsoft Entra ID wird empfohlen. Geräte mit Cloud Kerberos Trust erhalten ein TGT-Ticket, das für einmaliges Anmelden verwendet wird. Weitere Informationen über die Cloud Kerberos-Vertrauensstellung finden Sie unter Aktivieren der kennwortlosen Anmeldung bei lokalen Ressourcen mithilfe von Microsoft Entra ID.

So stellen Sie die Windows Hello for Business-Cloud Kerberos-Vertrauensstellung mit lokalem Active Directory bereit.

  1. Erstellen Sie das Microsoft Entra ID Kerberos-Serverobjekt. Informationen zum Erstellen des Objekts finden Sie unter Installieren des AzureADHybridAuthenticationManagement-Moduls.
  2. Aktivieren Sie WHfB Cloud Trust auf Ihren Geräten mithilfe von Intune oder Gruppenrichtlinien. Informationen zum Aktivieren von WHfB finden Sie im der Bereitstellungsanleitung zur Cloud Kerberos-Vertrauensstellung.

Veröffentlichen von Domänencontrollern

Domänencontroller müssen für Clients veröffentlicht werden, um Kerberos-Tickets zu erhalten. Die Tickets sind für einmaliges Anmelden bei lokalen Ressourcen erforderlich.

Veröffentlichen Sie mindestens alle Domänencontroller, die am Active Directory-Standort konfiguriert sind, an dem Ihre Private Access-Connectors installiert sind. Wenn sich Ihre Private Access-Connectors beispielsweise in Ihrem Rechenzentrum in Brisbane befinden, veröffentlichen Sie alle Domänencontroller im Rechenzentrum in Brisbane.

Die Domänencontrollerports sind erforderlich, um SSO für lokale Ressourcen zu aktivieren.

Port Protokoll Zweck
88 User Datagram-Protokoll (UDP) / Transmission Control-Protokoll (TCP) Kerberos
389 UDP Domänencontroller-Locator
464 UDP/TCP Anforderung der Kennwortänderung
123 UDP Zeitsynchronisierung

Hinweis

Die Anleitung konzentriert sich auf die Aktivierung von SSO für lokale Ressourcen und schließt die Konfiguration aus, die für Windows-Domänen-Clients erforderlich ist, um Vorgänge in der Domäne durchzuführen (Kennwortänderung, Gruppenrichtlinie usw.).

  1. Melden Sie sich als Anwendungsadministrator bei Microsoft Entra an.
  2. Wechseln Sie zu Globaler sicherer Zugriff>Anwendungen>Unternehmensanwendungen.
  3. Wählen Sie Neue Anwendung aus, um eine neue Anwendung zum Veröffentlichen Ihrer Domänencontroller zu erstellen.
  4. Wählen Sie Anwendungssegment hinzufügen aus, und fügen Sie dann alle Domänencontroller-IP-Adressen oder vollqualifizierte Domänennamen (Fully Qualified Domain Names, FQDNs) und Ports gemäß der Tabelle hinzu. Es sollten nur die Domänencontroller auf der Active Directory-Site veröffentlicht werden, auf der sich die privaten Zugriffsconnectors befinden.

Hinweis

Stellen Sie sicher, dass Sie keine Platzhalter-FQDNs verwenden, um Ihre Domänencontroller zu veröffentlichen, sondern fügen Sie stattdessen deren spezifische IPs oder FQDNs hinzu.

Sobald die Unternehmensanwendung erstellt ist, gehen Sie zurück zur Anwendung und wählen Sie Benutzer und Gruppen aus. Fügen Sie alle aus Active Directory synchronisierten Benutzerkonten hinzu.

Veröffentlichen der DNS-Suffixe

Konfigurieren Sie den privaten DNS, damit die Clients von Global Secure Access private DNS-Namen auflösen können. Private DNS-Namen sind für Single Sign-On erforderlich. Die Clients verwenden sie, um auf veröffentlichte lokale Ressourcen zuzugreifen. Weitere Informationen zu Privates DNS mit Quick Access finden Sie unter how-to-configure-quick-access.md#add-private-dns-suffixes.

  1. Navigieren Sie zu Globaler sicherer Zugriff>Anwendungen>Schnellzugriff.
  2. Wählen Sie die Registerkarte Privates DNS und dann die Option Privates DNS aktivieren aus.
  3. Wählen Sie DNS-Suffix hinzufügen aus. Fügen Sie mindestens die Suffixe der obersten Ebene Ihrer Active Directory-Gesamtstrukturen hinzu, in denen die mit Microsoft Entra ID synchronisierten Benutzerkonten gespeichert sind.
  4. Wählen Sie Speichern.

Verwenden von Kerberos-SSO für den Zugriff auf eine SMB-Dateifreigabe

Dieses Diagramm veranschaulicht, wie Microsoft Entra Private Access funktioniert, wenn Sie versuchen, von einem Windows-Gerät aus auf eine SMB-Dateifreigabe zuzugreifen, die mit Windows Hello for Business + Cloud Trust konfiguriert ist. In diesem Beispiel hat der Administrator privates DNS mit Schnellzugriff und zwei Unternehmens-Apps für den Schnellzugriff konfiguriert – eine für die Domänencontroller und eine für die SMB-Dateifreigabe.

Diagramm von Microsoft Entra Private Access mit Kerberos-SSO für die SMB-Dateifreigabe.

Schritt BESCHREIBUNG
A Der Benutzer versucht, mithilfe von FQDN auf die SMB-Dateifreigabe zuzugreifen. Der GSA-Client fängt den Datenverkehr ab und tunnelt ihn an den SSE. Autorisierungsrichtlinien in Microsoft Entra ID werden ausgewertet und durchgesetzt, z. B. ob der Benutzer der Anwendung und den Richtlinien für bedingten Zugriff zugewiesen ist. Nachdem der Benutzer autorisiert wurde, gibt Microsoft Entra ID ein Token für die SMB Enterprise-Anwendung aus. Der Datenverkehr wird freigegeben, um den Private Access-Dienst zusammen mit dem Zugriffstoken der Anwendung fortzusetzen. Der Private Access-Dienst überprüft das Zugriffstoken, und die Verbindung wird mit dem Back-End-Dienst für Private Access vermittelt. Die Verbindung wird dann an den privaten Netzwerkconnector vermittelt.
b Der private Netzwerkconnector führt eine DNS-Abfrage aus, um die IP-Adresse des Zielservers zu identifizieren. Der DNS-Dienst im privaten Netzwerk sendet die Antwort. Der private Netzwerkconnector versucht, auf die SMB-Zieldateifreigabe zuzugreifen, die dann die Kerberos-Authentifizierung anfordert.
K Der Client generiert eine SRV-DNS-Abfrage, um Domänencontroller zu finden. Phase A wird wiederholt, um die DNS-Abfrage abzufangen und den Benutzer für die Schnellzugriffsanwendung zu autorisieren. Der private Netzwerkconnector sendet die SRV-DNS-Abfrage an das private Netzwerk. Der DNS-Dienst sendet die DNS-Antwort über den privaten Netzwerkconnector an den Client.
D Das Windows-Gerät fordert ein partielles TGT (auch Als Cloud TGT bezeichnet) von Microsoft Entra ID an (sofern noch nicht vorhanden). Microsoft Entra ID stellt ein partielles TGT aus.
E Windows initiiert eine DC Locator-Verbindung über UDP-Port 389 mit jedem Domänencontroller, der in der DNS-Antwort von Phase C aufgeführt ist. Phase A wird wiederholt, um den DC-Locator-Datenverkehr abzufangen und den Benutzer für die Enterprise-Anwendung zu autorisieren, die die lokalen Domänencontroller veröffentlicht. Der private Netzwerkconnector sendet den DC-Locator-Datenverkehr an jeden Domänencontroller. Die Antworten werden zurück an den Client weitergeleitet. Windows wählt den Domänencontroller aus und speichert den Domänencontroller mit der schnellsten Antwort.
Fr Der Kunde tauscht das partielle TGT gegen ein vollständiges TGT aus. Das vollständige TGT wird dann verwendet, um ein TGS-Ticket für die SMB-Dateifreigabe anzufordern und zu erhalten.
G Der Client präsentiert das TGS-Ticket der SMB-Dateifreigabe. Die SMB-Dateifreigabe überprüft das TGS-Ticket. Der Zugriff auf die Dateifreigabe wird gewährt.

Problembehandlung

Mit Microsoft Entra ID verbundene Geräte mit Kennwort-Authentifizierung beruhen auf Attributen, die von Microsoft Entra ID Connect synchronisiert werden. Stellen Sie sicher, dass die Attribute onPremisesDomainName, onPremisesUserPrincipalName und onPremisesSamAccountName die richtigen Werte aufweisen. Verwenden Sie Graph-Explorer und PowerShell, um die Werte zu überprüfen.

Wenn diese Werte nicht vorhanden sind, überprüfen Sie die Synchronisierungseinstellungen von Microsoft Entra ID Connect und stellen Sie sicher, dass diese Attribute synchronisiert werden. Weitere Informationen über die Synchronisierung von Attributen finden Sie unter Microsoft Entra Connect Sync: Attribute, die mit Microsoft Entra ID synchronisiert werden.

Wenn Sie sich mit Windows Hello for Business anmelden, führen Sie die Befehle von einer nicht erweiterten Eingabeaufforderung aus. dsregcmd /status

Überprüfen Sie, ob die Attribute als Werte YES haben.

PRT sollte angezeigt werden. Weitere Informationen über PRT finden Sie unter Behandeln von Problemen mit primären Aktualisierungstoken auf Windows-Geräten.

OnPremTgt : JA gibt an, dass Entra Kerberos ordnungsgemäß konfiguriert ist und der Benutzer ein partielles TGT für SSO für lokale Ressourcen ausgestellt wurde. Weitere Informationen zur Konfiguration der Cloud-Kerberos-Vertrauensstellung finden Sie unter Kennwortlose Sicherheitsschlüssel-Anmeldung bei lokalen Ressourcen.

Führen Sie den Befehl klist aus.

klist cloud_debug

Stellen Sie sicher, dass das Feld Cloud Primary (Hybrid logon) TGT available: den Wert 1 aufweist.

Führen Sie den Befehl nltest aus.

nltest /dsgetdc:contoso /keylist /kdc

Vergewissern Sie sich, dass der DC Locator einen Domänencontroller zurückgibt, der an Cloud Kerberos-Vertrauensvorgängen teilnimmt. Der zurückgegebene DC sollte das Flag klist aufweisen.

So vermeiden Sie negatives Kerberos-Zwischenspeichern auf Windows-Computern

Kerberos ist die bevorzugte Authentifizierungsmethode für Dienste in Windows, zum Verifizieren von Benutzer- oder Host-Identitäten. Das negative Kerberos-Zwischenspeichern verursacht eine Verzögerung bei Kerberos-Tickets.

Das negative Kerberos-Zwischenspeichern geschieht auf Windows-Geräten, auf denen der Client für globalen sicheren Zugriff (GSA-Client) installiert ist. Der GSA-Client versucht, für das Kerberos-Ticket eine Verbindung zum nächstgelegenen Domänencontroller herzustellen, aber die Anforderung schlägt fehl, weil der GSA-Client noch nicht verbunden ist oder der Domänencontroller in diesem Moment nicht erreichbar ist. Wenn die Anforderung fehlschlägt, versucht der Client nicht sofort wieder, eine Verbindung zum Domänencontroller herzustellen, da die Standardzeit für FarKdcTimeout in der Registrierung auf 10 Minuten eingestellt ist. Auch wenn der GSA-Client vor dieser Standardzeit von 10 Minuten verbunden wird, behält der GSA-Client den negativen Cache-Eintrag bei und glaubt, dass die Suche nach dem Domänencontroller fehlgeschlagen ist. Sobald die Standardzeit von 10 Minuten abgelaufen ist, fragt der GSA-Client den Domänencontroller mit dem Kerberos-Ticket ab und die Verbindung ist erfolgreich.

Um dieses Problem abzuschwächen, können Sie entweder die Standardzeit für FarKdcTimeout in der Registrierung ändern oder den Kerberos-Cache bei jedem Neustart des GSA-Clients manuell leeren.

Option 1: Ändern der Standardzeit für FarKdcTimeout in der Registrierung

Wenn Sie mit Windows arbeiten, können Sie die Kerberos-Parameter ändern, um Probleme mit der Kerberos-Authentifizierung zu beheben oder das Kerberos-Protokoll zu testen.

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher müssen Sie sicherstellen, dass Sie diese Schritte sorgfältig ausführen. Für weiteren Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter: Sichern und Wiederherstellen der Registrierung Windows.

Registrierungseinträge und -werte unter dem Parameter-Schlüssel

Die Registrierungseinträge, die in diesem Abschnitt aufgeführt sind, müssen dem folgenden Registrierungsunterschlüssel hinzugefügt werden:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

Hinweis

Wenn der Parameters-Schlüssel nicht unter Kerberos aufgeführt ist, müssen Sie ihn erstellen.

Ändern Sie den folgenden FarKdcTimeoutRegistrierungsschlüssel

  • Eingabe: FarKdcTimeout
  • Typ: REG_DWORD
  • Standardwert: 0 (minutes)

Es ist der Timeoutwert, der verwendet wird, um einen Domänencontroller von einem anderen Standort im Domänencontrollercache ungültig zu machen.

Option 2: Manuelles Bereinigen des Kerberos-Caches

Wenn Sie sich dafür entscheiden, den Kerberos-Cache manuell zu bereinigen, muss dieser Schritt bei jedem Neustart des GSA-Clients durchgeführt werden.

Öffnen Sie eine Eingabeaufforderung als Administrator, und führen Sie den folgenden Befehl aus: KLIST PURGE_BIND

Nächste Schritte