このブラウザーはサポートされなくなりました。
Microsoft Edge にアップグレードすると、最新の機能、セキュリティ更新プログラム、およびテクニカル サポートを利用できます。
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(105.60000000000001, 71%, 20%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EA%3C/text%3E%3C/svg%3E)
Windows Hello for Businessの展開をクラウドKerberos認証で検討をしています。
公開情報によると「AzureADKerberos」というオブジェクトと「krbtgt_AzureAD」という2つのオブジェクトが作成されるらしいのですがこの2つがそれぞれWindows Hello for Businessで認証をする際にどういう役割を果たしているのか分からないです。
2つのオブジェクトの役割とクラウドKerberos信頼を使用したWindows Hello for Businessの認証方法についてご教示頂きたいです。
の記載を読む限り、AzureADKerberos Entra は Entra ID 側で必要となる Active Directory の TGT の発行対象となるコンピューター アカウント・krbtgt_AzureAD は Microsoft Entra Kerberos サーバーの TGT 暗号化キーの保持場所となるユーザー アカウントとして利用されるようですね。
さらに詳しい情報が必要であれば、英語版 Q&A への投稿をお勧めします。
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(128, 94%, 22%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EIX%3C/text%3E%3C/svg%3E)
こんにちは
AzureADKerberos は、ユーザーが Azure AD を認証し、オンプレミスの Active Directory ドメイン用の Kerberos チケット付与チケット (TGT) を取得できるようにする Kerberpos 構成です。
krbtgt_AzureAD は、Microsoft Entra Kerberos サーバー TGT 暗号化キーを保持するユーザーアカウントオブジェクトです。このアカウントは、FIDO2 セキュリティキーのような最新のクレデンシャルを使用して、パスワードレス認証とオンプレミスリソースへのシームレスなシングルサインオン (SSO) を可能にするために重要です。
https://learn.microsoft.com/en-us/entra/identity/authentication/howto-authentication-passwordless-security-key-on-premises*********************
回答が参考になった場合は、「回答を承認する」をクリックし、アップボートしてください。
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(304, 43%, 39%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EA%3C/text%3E%3C/svg%3E)
チャブーンです。
この件ですが、まず実際の認証方法(のシーケンス)は以下の資料を参考になさってください。(クラウド Kerberos 信頼を使用したハイブリッド参加認証のMicrosoft Entra)
対象の2つのオブジェクトですが、オンプレミスにおける(ローカルの)ドメインコントローラーと、trbtgtアカウントに相当します。オンプレミスでは、ドメインコントローラー上で動作するKDCからクライアントはTGTチケットを受け取ります。その際ktbtgtアカウントが必要になります。
Entra IDでKerberos認証を行う場合も、Entra IDのための同様のしくみを用意する必要があります。それがAzureADKerberosとkrbtgt_AzureADアカウントになります。オンプレミスのドメインコントローラーやkrbtgtがクラウド用のTGTを代わりに払い出したりすることは、セキュリティ上できません。そのため、クラウドKerberosの払い出し用のアカウントが、個別に必要となります。
AzureADKerberosはRODC(読み取り専用ドメインコントローラー)として、動作します。RODCは自分自身は資格情報(パスワード)を持たず、権威あるドメインコントローラーから情報を取得します。オンプレミスなら書き込み可能ドメインコントローラー(RWDC)が対象ですが、クラウドの場合はEntra IDテナントがその対象になります。