Mit dem "Hybrid Cloud Trust Deployment" ist es endlich möglich sich, ohne viel Aufwand, an lokalen / on-premises Ressourcen mit Windows Hello (Gesicht, PIN, Key) anzumelden. Dies war zuvor nur mit sehr mühsam und im Zusammenhang mit einer CA (Certificate Authority) möglich.
Table of Contents
- Voraussetzungen
- Azure AD Konfiguration - Kerberos
- Windows Hello for Business Richtline mit Intune
- Summary
Voraussetzungen
- Windows 10, version 21H2 oder Windows 11
- Multi-factor Authentication
- Fully patched Windows Server 2016 or later Domain Controllers
- Azure AD Kerberos PowerShell module
- MDM Verwaltetes Gerät
Azure AD Konfiguration - Kerberos
Als erstes installieren wir das Modul, beispielsweise auf dem Azure AD Connect Server. Die machst du am einfachsten mit PowerShell (als Admin):
# First, ensure TLS 1.2 for PowerShell gallery access.
[Net.ServicePointManager]::SecurityProtocol = [Net.ServicePointManager]::SecurityProtocol -bor [Net.SecurityProtocolType]::Tls12
# Install the Azure AD Kerberos PowerShell Module.
Install-Module -Name AzureADHybridAuthenticationManagement -AllowClobber
Code language: PowerShell (powershell)
Als zweites erstellen wir nun das Kerberos Server Objekt:
$Domain = $env:USERDNSDOMAIN
$CloudUPN = Read-Host "A Global Administrator in your Azure AD."
$DomainCred = Get-Credential -Message 'An Active Directory user who is a member of the Domain Admins group.' # local AD Admin
# Create and publish the new Azure AD Kerberos Server object
Set-AzureADKerberosServer -Domain $Domain -UserPrincipalName $CloudUPN -DomainCredential $DomainCred
# Verify Kerberos object
Get-AzureADKerberosServer -Domain $domain -UserPrincipalName $CloudUPN -DomainCredential $domainCred
Code language: PowerShell (powershell)
Windows Hello for Business Richtline mit Intune
Mit Intune lassen sich die Richtlinie sehr einfach konfigurieren.
Falls du eine lokale Infrastruktur hast und die Richline mit GPO's verteilen möchtest, musst die die ADMX Files auf dem neusten Stand haben. Microsoft hat dazu in den Docs einen Beitrag: Hybrid Cloud Trust Deployment (Windows Hello for Business) - Windows security | Microsoft Docs
Windows Hello for Business aktivieren
Um Windows Hello for Business zu aktivieren, kannst du das entweder Tenant-weit oder nur für eine Gruppe mit einer Richtlinie machen.
Aktivierung Tenant-weit
Die Aktivierung Tenant-weit kannst du unter "Devices > Windows > Windows enrollment" machen. Wenn du diese Option wählst, werden alle Geräte beim enrollment nach der Windows Hello Konfiguration rufen.
Aktivierung mit einer Richtlinie
Um nur einen die Aktivierung nur für einen gewissen Kreis durchzuführen, kannst du unter "Devices > Windows > Configuration profiles" ein neues "Identity Protection"-Profil erstellen
In den Einstellungen ist wichtig, dass "Use a Trusted Platform Module (TPM)" aktiv ist.
Cloud Trust Richtline erstellen
Um die Cloud Trust Policy zu konfigurieren, erstellen wir ein "Custom-Profile" mit einer OMA Uri. Diese OMA Uri weit dem Endgerät den Weg zum Richtigen Tenant für die Authentifizierung.
Die Richtline erstellt du unter "Devices > Windows > Configuration profiles +Create profile".
Hier fügst du einen Eintrag hinzu und gibts die untenstehende OMA-URI ein. Vergiss nicht, du musst in der OMA-URI "YourTenantID" durch deine Tenant ID ersetzten. (Die ID findest du hier)
Name | UseCloudTrustForOnPremAuth |
Beschreibung | Windows Hello for Business cloud trust |
ORA-Uri | ./Device/Vendor/MSFT/PassportForWork/YourTenantID/Policies/UseCloudTrustForOnPremAuth |
Data type | Boolean |
Value | True |
Summary
Dank Windows Hello for Business Cloud Trust ist es viel einfacher, eine von Windows Hello vertrauenswürdige Kerberos-Authentifizierung von einem reinen Cloud-Gerät (Azure AD joined) zu erhalten. Für mich gibt es dank diesem tollen Feature wenige bis gar keine Gründe, einen Hybrid-Join zu nutzen.
2 Responses
[…] If you need to authenticate against local resources such as network drives or printers, you can do so using "Cloud only" and "Cloud Kerberos Trust". […]
[…] Je nach den Anforderungen deines Unternehmens kannst du wählen, ob sich Geräte nur in der Cloud als Objekt bestehen (Entra Joined) oder aber zusätzlich auch in deinem lokalen Actice Direcotry verfügbar sind (Hybrid Azure AD Joined). Diese Auswahl hat Auswirkungen auf die Verwaltung, Administration und vor allem Benutzererfahrung deiner Geräte. Bei einem Entra Join verwaltest du das Gerät komplett via Intune, wobei du mit einem Hybrid Join auch die klassischen GPO's nutzen kannst. Der Enrollment-Prozess bei Hybridgeräten ist aber wesentlich komplexer, fehleranfälliger und dauert länger. Darum meine Empfehlung: Fahre Cloud Only. Wenn du dich an lokalen Ressourcen wie beispielsweise Netzlaufwerken oder Druckern authentifizieren musst, kannst du das auch via "Cloud only" und dem "Cloud Kerberos Trust". […]