Q: 是否支持 macOS？

是的，通过具有 Kerberos 单一登录配置文件的平台单点登录。 使用 Kerberos 扩展进行配置时，macOS 可以获取tgt_cloud（Entra）和tgt_ad（本地）票证。

Q: 必须在 Windows 客户端上启用哪些策略？

启用 Windows Hello 企业版，并启用“使用云信任”进行本地身份验证。 这通常通过 Intune 设置目录或组策略对象进行部署。

Q: Cloud Kerberos Trust 支持哪些用户登录方法？

仅限基于密钥的登录方法：Windows Hello 企业版（PIN 或 FIDO2）或无密码手机登录。 不支持密码登录。

Q: 如何检查设备是否已正确加入并具有单一登录状态？

运行 dsregcmd /status 并确认 AzureAdJoined = YES （或混合），AzureAdPrt = YES，CloudTgt = YES。

Q: 如何验证资源的服务票证？

使用 klist get cifs/<storage>.file.core.chinacloudapi.cn （Azure 文件示例），然后用 klist 查看已检索到的票据。

Q: 为什么“klist cloud_debug”显示云 Kerberos 因策略 0 而被启用？

未应用客户端策略。 通过 Intune 或组策略对象设置 CloudKerberosTicketRetrievalEnabled = 1，然后重新启动以应用。

Question 1

什么是云 Kerberos 信任？

Accepted Answer

允许 Windows Hello 企业版使用 Entra ID 作为 Kerberos 的信任定位点的部署模型，无需 Active Directory 联合服务器（ADFS）或颁发用户证书。设备从 Entra ID 获取云 TGT，并且（如果需要）将部分 TGT 与本地 DC 交换，以便进行本地访问。

Question 2

云票证授予票证（TGT）与部分（引荐）TGT 之间有何区别？

Accepted Answer

云 TGT：由 Entra ID 为 KERBEROS.MICROSOFTONLINE.COM 领域颁发，用于请求云集成资源的服务票据（例如 Azure 文件存储、Azure SQL）。
部分 TGT （引荐）：客户端与本地 DC 交换的 Entra ID 中的最小票证，以获取本地资源的完整 AD TGT。

Question 3

云 Kerberos 信任支持哪些设备？

Accepted Answer

Windows 10 版本 2004 及更高版本以及已加入 Azure AD 或已加入混合 Azure AD 的 Windows 11 设备。

Question 4

是否支持 macOS？

Accepted Answer

是的，通过具有 Kerberos 单一登录配置文件的平台单点登录。使用 Kerberos 扩展进行配置时，macOS 可以获取tgt_cloud（Entra）和tgt_ad（本地）票证。

Question 5

必须在 Windows 客户端上启用哪些策略？

Accepted Answer

启用 Windows Hello 企业版，并启用“使用云信任”进行本地身份验证。这通常通过 Intune 设置目录或组策略对象进行部署。

Question 6

Cloud Kerberos Trust 支持哪些用户登录方法？

Accepted Answer

仅限基于密钥的登录方法：Windows Hello 企业版（PIN 或 FIDO2）或无密码手机登录。不支持密码登录。

Question 7

客户端如何在登录时检索云 TGT？

Accepted Answer

配置设备策略 CloudKerberosTicketRetrievalEnabled = 1（Microsoft Intune 配置服务提供程序或组策略对象）。如果没有，客户端不会自动提取云 TGT。

Question 8

如何检查设备是否已正确加入并具有单一登录状态？

Accepted Answer

运行 dsregcmd /status 并确认 AzureAdJoined = YES （或混合），AzureAdPrt = YES，CloudTgt = YES。

Question 9

如何验证资源的服务票证？

Accepted Answer

使用 klist get cifs/.file.core.chinacloudapi.cn （Azure 文件示例），然后用 klist 查看已检索到的票据。

Question 10

为什么“klist cloud_debug”显示云 Kerberos 因策略 0 而被启用？

Accepted Answer

未应用客户端策略。通过 Intune 或组策略对象设置 CloudKerberosTicketRetrievalEnabled = 1，然后重新启动以应用。

Question 11

为何在启用策略后云 TGT 仍缺失？

Accepted Answer

确保用户使用基于密钥的方法（WHfB/FIDO2）登录，并且设备已加入 Entra 或混合联接。如果需要混合访问，请验证受信任的域对象是否存在和 DC 连接。

Question 12

为什么混合方案中缺少部分 TGT （引荐） ？

Accepted Answer

验证是否已创建 AzureADKerberos 对象（受信任的域对象）并保持正常运行。在第一次交互式登录期间，确认能够连接到域控制器。

Question 13

如何检查 Entra Kerberos 流量以获取深入诊断？

Accepted Answer

使用 Kerberos.NET Fiddler 扩展解密与 Entra ID 相关的密钥分发中心代理 HTTPS 流量，并调查身份验证服务器/票据颁发服务流和错误代码。

Question 14

是否可以通过 Entra Kerberos 为旧应用强制实施条件访问和 MFA？

Accepted Answer

是的，身份验证首先通过 Entra ID，因此可以实施条件访问策略，然后依靠 Kerberos 票证进行应用程序的访问。

Question 15

云 Kerberos 信任是否可以与 WHfB 证书信任共存？

Accepted Answer

否。如果存在证书信任策略，则它们优先于云信任。为每个设备选择一个信任模型

Question 16

对于仅限云的标识，我是否需要在 AD 中配置 AzureADKerberos 计算机对象？

Accepted Answer

否，AD 中的 AzureADKerberos 计算机对象仅适用于混合方案。

Question 17

Entra Kerberos 如何处理密码更改？

Accepted Answer

对于基于密钥的登录，密码更改不会影响 Kerberos 票证。用户将继续使用 WHfB/FIDO2 进行身份验证，而不会中断。

Question 18

如何查找仅限云用户的云安全标识符（SID） ？

Accepted Answer

GET https://microsoftgraph.chinacloudapi.cn/v1.0/users/{userid}?$select=securityIdentifier
ConsistencyLevel: eventual

Question 19

如何查找混合用户的本地 SID？

Accepted Answer

GET https://microsoftgraph.chinacloudapi.cn/v1.0/users/{userid}?$select=onPremisesSecurityIdentifier
ConsistencyLevel: eventual

Question 20

如何查找仅限云用户的云组 SID？

Accepted Answer

GET https://microsoftgraph.chinacloudapi.cn/v1.0/groups?$filter=securityEnabled eq true&$select=id,displayName,securityIdentifier
ConsistencyLevel: eventual

Question 21

如何查找混合用户的本地组 SID？

Accepted Answer

GET https://microsoftgraph.chinacloudapi.cn/v1.0/groups?$filter=securityEnabled eq true&$select=id,displayName,onPremisesSecurityIdentifier
ConsistencyLevel: eventual

通过

什么是云 Kerberos 信任？

云票证授予票证（TGT）与部分（引荐）TGT 之间有何区别？

云 Kerberos 信任支持哪些设备？

是否支持 macOS？

必须在 Windows 客户端上启用哪些策略？

Cloud Kerberos Trust 支持哪些用户登录方法？

客户端如何在登录时检索云 TGT？

如何检查设备是否已正确加入并具有单一登录状态？

如何验证资源的服务票证？

为什么“klist cloud_debug”显示云 Kerberos 因策略 0 而被启用？

为何在启用策略后云 TGT 仍缺失？

为什么混合方案中缺少部分 TGT （引荐）？

如何检查 Entra Kerberos 流量以获取深入诊断？

是否可以通过 Entra Kerberos 为旧应用强制实施条件访问和 MFA？

云 Kerberos 信任是否可以与 WHfB 证书信任共存？

对于仅限云的标识，我是否需要在 AD 中配置 AzureADKerberos 计算机对象？

Entra Kerberos 如何处理密码更改？

如何查找仅限云用户的云安全标识符（SID）？

如何查找混合用户的本地 SID？

如何查找仅限云用户的云组 SID？

如何查找混合用户的本地组 SID？

通过

Microsoft Entra Kerberos 常见问题解答

什么是云 Kerberos 信任？

云票证授予票证（TGT）与部分（引荐）TGT 之间有何区别？

云 Kerberos 信任支持哪些设备？

是否支持 macOS？

必须在 Windows 客户端上启用哪些策略？

Cloud Kerberos Trust 支持哪些用户登录方法？

客户端如何在登录时检索云 TGT？

如何检查设备是否已正确加入并具有单一登录状态？

如何验证资源的服务票证？

为什么“klist cloud_debug”显示云 Kerberos 因策略 0 而被启用？

为何在启用策略后云 TGT 仍缺失？

为什么混合方案中缺少部分 TGT （引荐） ？

如何检查 Entra Kerberos 流量以获取深入诊断？

是否可以通过 Entra Kerberos 为旧应用强制实施条件访问和 MFA？

云 Kerberos 信任是否可以与 WHfB 证书信任共存？

对于仅限云的标识，我是否需要在 AD 中配置 AzureADKerberos 计算机对象？

Entra Kerberos 如何处理密码更改？

如何查找仅限云用户的云安全标识符（SID） ？

如何查找混合用户的本地 SID？

如何查找仅限云用户的云组 SID？

如何查找混合用户的本地组 SID？

相关内容

其他资源

为什么混合方案中缺少部分 TGT （引荐）？

如何查找仅限云用户的云安全标识符（SID）？