Perguntas frequentes sobre a implantação de chaves de segurança FIDO2 híbridas no Microsoft Entra ID
Este artigo aborda as perguntas frequentes sobre implantação de dispositivos ingressados no Microsoft Entra híbrido e entrada sem senha em recursos locais. Com esse recurso sem senha, você pode habilitar a autenticação do Microsoft Entra em dispositivos Windows 10 para dispositivos ingressados no Microsoft Entra híbrido usando chaves de segurança FIDO2. Os usuários podem entrar no Windows nos dispositivos com credenciais modernas, como chaves FIDO2, e acessar recursos baseados no AD DS (Active Directory Domain Services) tradicional com uma experiência de SSO (logon único) contínuo para seus recursos locais.
Os usuários em um ambiente híbrido têm suporte aos seguintes cenários:
- Entre em dispositivos ingressados no Microsoft Entra híbrido usando chaves de segurança FIDO2 e obtenha acesso SSO aos recursos locais.
- Entre em dispositivos ingressados no Microsoft Entra usando chaves de segurança FIDO2 e obtenha acesso SSO aos recursos locais.
Para começar a usar as chaves de segurança FIDO2 e o acesso híbrido a recursos locais, confira os seguintes artigos:
Chaves de segurança
- Minha organização requer autenticação de dois fatores para acessar recursos. O que posso fazer para dar suporte a esse requisito?
- Onde posso encontrar chaves de segurança FIDO2 em conformidade?
- O que devo fazer se perder minha chave de segurança?
- Como os dados são protegidos na chave de segurança FIDO2?
- Como funciona o registro das chaves de segurança FIDO2?
- Há uma maneira de os administradores provisionarem as chaves para os usuários diretamente?
Minha organização requer autenticação multifator para acessar recursos. O que posso fazer para dar suporte a esse requisito?
As chaves de segurança FIDO2 vêm em vários fatores forma. Entre em contato com o fabricante do dispositivo de interesse para discutir como seus dispositivos podem ser habilitados com um PIN ou biométrica como um segundo fator. Para obter uma lista de provedores com suporte, confira Provedores de chaves de segurança FIDO2.
Onde posso encontrar chaves de segurança FIDO2 em conformidade?
Para obter uma lista de provedores com suporte, confira Provedores de chaves de segurança FIDO2.
E se eu perder minha chave de segurança?
Você pode remover as chaves navegando até a página Informações de segurança e removendo a chave de segurança FIDO2.
Como os dados são protegidos na chave de segurança FIDO2?
As chaves de segurança FIDO2 têm enclaves seguros que protegem as chaves privadas armazenadas nelas. Uma chave de segurança FIDO2 também tem propriedades antifalsificação incorporadas, como no Windows Hello, onde não é possível extrair a chave privada.
Como funciona o registro das chaves de segurança FIDO2?
Para obter mais informações sobre como registrar e usar as chaves de segurança FIDO2, confira Habilitar entrada com chave de segurança sem senha.
Há uma maneira de os administradores provisionarem as chaves para os usuários diretamente?
Não no momento.
Por que estou recebendo "NotAllowedError" no navegador ao registrar chaves FIDO2?
Você receberá "NotAllowedError" da página de registro da chave fido2. Normalmente, isso acontece quando ocorre um erro enquanto o Windows tenta fazer uma operação CTAP2 authenticatorMakeCredential na chave de segurança. Você verá mais detalhes no log de eventos Microsoft-Windows-WebAuthN/Operational.
Pré-requisitos
- Esse recurso funcionará se não houver conectividade com a Internet?
- Quais são os pontos de extremidade específicos que precisam ser abertos para o Microsoft Entra ID?
- Como fazer para identificar o tipo de ingresso no domínio (ingressado no Microsoft Entra ou no Microsoft Entra híbrido) para meu dispositivo Windows 10?
- Qual é a recomendação sobre o número de controladores de domínio que devem ser corrigidos?
- Posso implantar o provedor de credenciais FIDO2 em um dispositivo somente local?
- A entrada com chave de segurança FIDO2 não está funcionando para meu Administrador de Domínio ou outras contas com privilégios altos. Por quê?
Esse recurso funcionará se não houver conectividade com a Internet?
A conectividade com a Internet é um pré-requisito para habilitar esse recurso. Na primeira vez em que um usuário faz logon usando chaves de segurança FIDO2, ele deve estar conectado à Internet. Para eventos de entrada subsequentes, as credenciais armazenadas em cache devem funcionar e permitir que o usuário se autentique sem conectividade com a Internet.
Para uma experiência consistente, verifique se os dispositivos têm acesso à Internet e linha de visão para os controladores de domínio.
Quais são os pontos de extremidade específicos que precisam ser abertos no Microsoft Entra ID?
Os pontos de extremidade abaixo são necessários para o registro e a autenticação:
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
secure.aadcdn.microsoftonline-p.com
Para obter uma lista completa de pontos de extremidade necessários para usar os produtos online da Microsoft, confira URLs e intervalos de endereços IP do Office 365.
Como fazer para identificar o tipo de ingresso no domínio (ingressado no Microsoft Entra ou no Microsoft Entra híbrido) para meu dispositivo Windows 10?
Para verificar se o dispositivo cliente com Windows 10 tem o tipo de ingresso no domínio correto, use o seguinte comando:
Dsregcmd /status
A saída de exemplo a seguir mostra que o dispositivo está associado ao Microsoft Entra, pois AzureADJoined está definido como SIM:
+---------------------+
| Device State |
+---------------------+
AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: NO
A saída de exemplo a seguir mostra que o dispositivo ingressado é um Microsoft Entra híbrido, pois DomainedJoined também está definido como SIM. O DomainName também é mostrado:
+---------------------+
| Device State |
+---------------------+
AzureADJoined: YES
EnterpriseJoined: NO
DomainedJoined: YES
DomainName: CONTOSO
Em um controlador de domínio do Windows Server 2016 ou 2019, verifique se os patches a seguir foram aplicados. Se necessário, execute o Windows Update para instalá-los:
Em um dispositivo cliente, execute o seguinte comando para verificar a conectividade com um controlador de domínio apropriado com os patches instalados:
nltest /dsgetdc:<domain> /keylist /kdc
Qual é a recomendação sobre o número de controladores de domínio que devem ser corrigidos?
Recomendamos aplicar o patch à maioria dos seus controladores de domínio do Windows Server 2016 ou 2019 para garantir que eles possam lidar com a carga de solicitação de autenticações da sua organização.
Em um controlador de domínio do Windows Server 2016 ou 2019, verifique se os patches a seguir foram aplicados. Se necessário, execute o Windows Update para instalá-los:
Posso implantar o provedor de credenciais FIDO2 em um dispositivo somente local?
Não, esse recurso não é compatível com um dispositivo somente local. O provedor de credenciais FIDO2 não aparecerá.
A entrada com chave de segurança FIDO2 não está funcionando para meu Administrador de Domínio ou outras contas com privilégios altos. Por quê?
A política de segurança padrão não concede permissão ao Microsoft Entra para assinar contas com privilégios elevados em recursos locais.
Para desbloquear as contas, use Usuários e Computadores do Active Directory para modificar a propriedade msDS-NeverRevealGroup do objeto de Computador Kerberos do Microsoft Entra (CN=AzureADKerberos,OU=Domain Controllers, <domain-DN>).
Nos bastidores
- Como o Kerberos do Microsoft Entra está vinculado ao meu ambiente local do Active Directory Domain Services?
- Onde posso exibir esses objetos do servidor Kerberos que são criados no AD e publicados no Microsoft Entra ID?
- Por que não podemos ter a chave pública registrada no AD DS local para que não haja nenhuma dependência na Internet?
- Como as chaves são giradas no objeto do servidor Kerberos?
- Por que precisamos do Microsoft Entra Connect? Ele grava alguma informação do Microsoft Entra ID no AD DS?
- Qual é a aparência da solicitação/resposta HTTP na solicitação de PRT + TGT parcial?
Como o Kerberos do Microsoft Entra está vinculado ao meu ambiente local do Active Directory Domain Services?
Há duas partes: o ambiente local do AD DS e o locatário do Microsoft Entra.
Active Directory Domain Services (AD DS)
O servidor Kerberos do Microsoft Entra é representado em um ambiente AD DS local como um objeto DC (controlador de domínio). Este objeto de controlador de domínio é composto de vários objetos:
CN=AzureADKerberos,OU=Domain Controllers,<domain-DN>
Um objeto de Computador que representa um RODC (controlador de domínio somente leitura) no AD DS. Não há nenhum computador associado a esse objeto. O que há é uma representação lógica de um controlador de domínio.
CN=krbtgt_AzureAD,CN=Users,<domain-DN>
Um objeto de Usuário que representa uma chave de criptografia TGT (tíquete de concessão de tíquete) do Kerberos do RODC.
CN=900274c4-b7d2-43c8-90ee-00a9f650e335,CN=AzureAD,CN=System,<domain-DN>
Um objeto ServiceConnectionPoint que armazena metadados sobre os objetos do servidor Kerberos do Microsoft Entra. As ferramentas administrativas usam esse objeto para identificar e localizar os objetos do servidor Kerberos do Microsoft Entra.
Microsoft Entra ID
O servidor Kerberos do Microsoft Entra é representado no Microsoft Entra ID como um objeto KerberosDomain. Cada ambiente local do AD DS é representado como um único objeto KerberosDomain no locatário do Microsoft Entra.
Por exemplo, você pode ter uma floresta do AD DS com dois domínios, como contoso.com
e fabrikam.com
. Se você permitir que o Microsoft Entra ID emita Tíquetes de Concessão de Tíquete do Kerberos (TGTs) para a floresta, haverá dois KerberosDomain
objetos no Microsoft Entra ID - um objeto para contoso.com
e um para fabrikam.com
.
Se você tiver várias florestas do AD DS, terá um objeto KerberosDomain
para cada domínio em cada floresta.
Onde posso exibir esses objetos do servidor Kerberos criados no AD DS e publicados no Microsoft Entra ID?
Para exibir todos os objetos, use os cmdlets do PowerShell do servidor Kerberos do Microsoft Entra incluídos na versão mais recente do Microsoft Entra Connect.
Para obter mais informações, incluindo instruções sobre como exibir os objetos, confira Criar um objeto do Servidor Kerberos.
Por que não podemos ter a chave pública registrada no AD DS local para que não haja nenhuma dependência na Internet?
Recebemos comentários sobre a complexidade do modelo de implantação do Windows Hello para Empresas, ou seja, resolvemos simplificar o modelo de implantação sem precisar usar certificados e PKI (o FIDO2 não usa certificados).
Como as chaves são giradas no objeto do servidor Kerberos?
Como qualquer outro DC, as chaves de criptografia krbtgt do servidor Kerberos do Microsoft Entra devem ser giradas regularmente. É recomendável seguir o mesmo agendamento que você usa para girar todas as outras chaves krbtgt do AD DS.
Observação
Embora existam outras ferramentas para girar as chaves krbtgt, você deve usar os cmdlets do PowerShell para girar as chaves krbtgt do servidor Kerberos do Microsoft Entra. Esse método garante que as chaves sejam atualizadas tanto no ambiente do AD DS local quanto no Microsoft Entra ID.
Por que precisamos do Microsoft Entra Connect? Ele grava alguma informação do Microsoft Entra ID no AD DS?
O Microsoft Entra Connect não grava informações do Microsoft Entra ID no Active Directory DS. O utilitário inclui o módulo do PowerShell para criar o Objeto do Servidor Kerberos no AD DS e publicá-lo no Microsoft Entra ID.
Qual é a aparência da solicitação/resposta HTTP na solicitação de PRT + TGT parcial?
A solicitação HTTP é uma solicitação de PRT (token de atualização primária) padrão. Essa solicitação de PRT inclui uma declaração que indica que um TGT (tíquete de concessão de tíquete) Kerberos é necessário.
Declaração | Valor | Descrição |
---|---|---|
tgt | true | Declaração que indica que o cliente precisa de um TGT. |
O Microsoft Entra ID combina a chave do cliente criptografada e o buffer de mensagens na resposta do PRT como propriedades adicionais. O conteúdo é criptografado usando a chave da sessão do Dispositivo do Microsoft Entra.
Campo | Type | Descrição |
---|---|---|
tgt_client_key | string | Chave de cliente codificada em Base64 (segredo). Essa chave é o segredo do cliente usado para proteger o TGT. Nesse cenário sem senha, o segredo do cliente é gerado pelo servidor como parte de cada solicitação de TGT e, em seguida, retornado ao cliente na resposta. |
tgt_key_type | INT | O tipo de chave AD DS local usado para a chave do cliente e para a chave de sessão do Kerberos incluída no KERB_MESSAGE_BUFFER. |
tgt_message_buffer | string | KERB_MESSAGE_BUFFER codificado em Base64. |
Os usuários precisam ser membros do grupo Usuários do Domínio do Active Directory?
Sim. Um usuário deve estar no grupo Usuários do Domínio para poder entrar usando o Kerberos do Microsoft Entra.
Próximas etapas
Para começar a usar as chaves de segurança FIDO2 e o acesso híbrido a recursos locais, confira os seguintes artigos: