Ich habe Smartcards immer belächelt und sie als "legacy" Technik bezeichnet. Doch kürzlich bin ich auf einen richtig guten Anwendungsfall gestossen. Hast du schon mal versucht, dein Passwort einzugeben oder deinen FIDO2-Schlüssel mit Handschuhen zu benutzen? Ja, nicht wirklich lustig.
Also habe ich Smartcards nochmal ausprobiert. Sie funktionieren nativ auf Windows-Geräten, aber das Konfigurieren von Interactive Logon Smart Card Removal Behavior erfordert zusätzliche Einstellungen. Heute habe ich Smartcards in Intune eingerichtet und dafür gesorgt, dass sich das Gerät automatisch sperrt, sobald die Karte entfernt wird. Dafür nutze ich ein Settings Catalog Profil in Intune und ein PowerShell Script um den entsprechenden Service für die Smartcard zu aktivieren.

Smartcard-Entfernungsverhalten in Intune konfigurieren

  1. Öffne Microsoft Intune und navigiere zu Geräte > Konfigurationsprofile.
  2. Klicke auf + Profil erstellen, wähle Windows 10 und später und dann Settings Catalog.
  3. Klicke auf Einstellungen hinzufügen und suche nach Smartcard.
  4. Wähle die folgenden Einstellungen aus und konfiguriere sie:
    • Administrative Vorlagen > Windows-Komponenten > Smartcard > Plug & Play-Dienst aktivieren: Aktiviert
    • Lokale Richtlinien Sicherheitsoptionen > Interaktives Anmelden Smartcard-Entfernungsverhalten: Arbeitsstation sperren
  5. Weise die Richtlinie der gewünschten Gruppe zu und klicke auf Erstellen.
Intune, Windows Smart Card Settings

Dadurch wird sichergestellt, dass sich das Gerät sofort sperrt, wenn die Smartcard entfernt wird.

Sicherstellen, dass der Smartcard-Dienst läuft

Damit die Smartcard-Authentifizierung funktioniert, muss der Smartcard-Dienst (SCardSvr) laufen. Intune bietet dafür keine direkte Einstellung, also setze ich eine PowerShell-Skript ein.

PowerShell-Skript erstellen

$ScriptName = "WIN-S-D-ServiceAutostart_SmartCardRemovalPolicy"
Start-Transcript -Path "$env:ProgramData\Microsoft\IntuneManagementExtension\Logs\$ScriptName.log" -Force

# Define service name
$ServiceName = "SCPolicySvc" 

# Check if the service exists before modifying it
if (Get-Service -Name $ServiceName -ErrorAction SilentlyContinue) {
    try {
        Set-Service -Name $ServiceName -StartupType Automatic -ErrorAction Stop
        Write-Output "Successfully set $ServiceName to Automatic startup."

        # Start service if not running
        if ($Service.Status -ne 'Running') {
            Start-Service -Name $ServiceName -ErrorAction Stop
            Write-Output "Successfully started $ServiceName."
        } else {
            Write-Output "$ServiceName is already running."
        }

    } catch {
        Write-Error "Error while configuring $ServiceName : $_"
    }
} else {
    Write-Warning "Service $ServiceName not found."
}

# Stop transcript
Stop-Transcript

Dieses Skript prüft, ob der Smartcard-Richtliniendienst (SCPolicySvc) vorhanden ist. Falls ja, wird der Starttyp auf Automatisch gesetzt und der Dienst gestartet. Alle Aktionen und möglichen Fehler werden in C:\ProgramData\Microsoft\IntuneManagementExtension\Logs protokolliert.

Skript über Intune bereitstellen

  1. Öffne Microsoft Intune und navigiere zu Geräte > Skripte.
  2. Klicke auf + Hinzufügen, wähle Windows 10 und später und dann PowerShell.
  3. Lade das Skript hoch und setze folgende Optionen:
    • Skript als Benutzer ausführen: Nein
    • Signaturprüfung erzwingen: Nein
    • Skript in 64-Bit PowerShell ausführen: Ja
  4. Weise es der gewünschten Gerätegruppe zu und klicke auf Erstellen.
Add Platform Script / PowerShell to Intune

Bereitstellung überprüfen

Nachdem beide Konfigurationen bereitgestellt wurden, kannst du überprüfen, ob alles funktioniert:

  1. Melde dich an einem Testgerät an.
  2. Stecke eine Smartcard ein und teste die Authentifizierung.
  3. Entferne die Smartcard und prüfe, ob sich das Gerät automatisch sperrt.
  4. Öffne services.msc und stelle sicher, dass der Smartcard-Dienst (SCardSvr) läuft.

Fazit

Durch die Konfiguration der Smartcard-Authentifizierung in Intune habe ich die Sicherheit verbessert und eine nahtlose Benutzererfahrung geschaffen. Der Settings Catalog ermöglichte eine einfache Umsetzung der automatischen Sperrfunktion, und das PowerShell-Skript sorgte dafür, dass der erforderliche Dienst läuft.

Die Bereitstellung von Smartcard-Authentifizierung über Intune stärkt die Gerätesicherheit und reduziert Risiken durch kennwortbasierte Anmeldungen. Falls du das auch implementierst, lass mich in den Kommentaren wissen, wie es bei dir funktioniert hat!