Windows Hello for Business - Cloud Trust - Hybrid

Mit dem "Hybrid Cloud Trust Deployment" ist es endlich möglich sich, ohne viel Aufwand, an lokalen / on-premises Ressourcen mit Windows Hello (Gesicht, PIN, Key) anzumelden. Dies war zuvor nur mit sehr mühsam und im Zusammenhang mit einer CA (Certificate Authority) möglich.

Table of Contents

• Voraussetzungen
• Azure AD Konfiguration - Kerberos
• Windows Hello for Business Richtline mit Intune
  • Windows Hello for Business aktivieren
    • Aktivierung Tenant-weit
    • Aktivierung mit einer Richtlinie
  • Cloud Trust Richtline erstellen
• Summary

Voraussetzungen

• Windows 10, version 21H2 oder Windows 11
• Multi-factor Authentication
• Fully patched Windows Server 2016 or later Domain Controllers
• Azure AD Kerberos PowerShell module
• MDM Verwaltetes Gerät

Azure AD Konfiguration - Kerberos

Als erstes installieren wir das Modul, beispielsweise auf dem Azure AD Connect Server. Die machst du am einfachsten mit PowerShell (als Admin):

# First, ensure TLS 1.2 for PowerShell gallery access.
[Net.ServicePointManager]::SecurityProtocol = [Net.ServicePointManager]::SecurityProtocol -bor [Net.SecurityProtocolType]::Tls12

# Install the Azure AD Kerberos PowerShell Module.
Install-Module -Name AzureADHybridAuthenticationManagement -AllowClobberCode language: PowerShell (powershell)

Als zweites erstellen wir nun das Kerberos Server Objekt:

$Domain = $env:USERDNSDOMAIN
$CloudUPN = Read-Host "A Global Administrator in your Azure AD."
$DomainCred = Get-Credential -Message 'An Active Directory user who is a member of the Domain Admins group.' # local AD Admin

# Create and publish the new Azure AD Kerberos Server object
Set-AzureADKerberosServer -Domain $Domain -UserPrincipalName $CloudUPN -DomainCredential $DomainCred

# Verify Kerberos object
Get-AzureADKerberosServer -Domain $domain -UserPrincipalName $CloudUPN -DomainCredential $domainCred
Code language: PowerShell (powershell)

Windows Hello for Business Richtline mit Intune

Mit Intune lassen sich die Richtlinie sehr einfach konfigurieren.
Falls du eine lokale Infrastruktur hast und die Richline mit GPO's verteilen möchtest, musst die die ADMX Files auf dem neusten Stand haben. Microsoft hat dazu in den Docs einen Beitrag: Hybrid Cloud Trust Deployment (Windows Hello for Business) - Windows security | Microsoft Docs

Windows Hello for Business aktivieren

Um Windows Hello for Business zu aktivieren, kannst du das entweder Tenant-weit oder nur für eine Gruppe mit einer Richtlinie machen.

Aktivierung Tenant-weit

Die Aktivierung Tenant-weit kannst du unter "Devices > Windows > Windows enrollment" machen. Wenn du diese Option wählst, werden alle Geräte beim enrollment nach der Windows Hello Konfiguration rufen.

Aktivierung mit einer Richtlinie

Um nur einen die Aktivierung nur für einen gewissen Kreis durchzuführen, kannst du unter "Devices > Windows > Configuration profiles" ein neues "Identity Protection"-Profil erstellen

In den Einstellungen ist wichtig, dass "Use a Trusted Platform Module (TPM)" aktiv ist.

Cloud Trust Richtline erstellen

Um die Cloud Trust Policy zu konfigurieren, erstellen wir ein "Custom-Profile" mit einer OMA Uri. Diese OMA Uri weit dem Endgerät den Weg zum Richtigen Tenant für die Authentifizierung.

Die Richtline erstellt du unter "Devices > Windows > Configuration profiles +Create profile".

Hier fügst du einen Eintrag hinzu und gibts die untenstehende OMA-URI ein. Vergiss nicht, du musst in der OMA-URI "YourTenantID" durch deine Tenant ID ersetzten. (Die ID findest du hier)

Summary

Dank Windows Hello for Business Cloud Trust ist es viel einfacher, eine von Windows Hello vertrauenswürdige Kerberos-Authentifizierung von einem reinen Cloud-Gerät (Azure AD joined) zu erhalten. Für mich gibt es dank diesem tollen Feature wenige bis gar keine Gründe, einen Hybrid-Join zu nutzen.