Windows Hello for Business - Cloud Trust - Hybrid
- Florian Salzmann
- Veröffentlicht am 15 Jul, 2022
- Aktualisiert am 18 Oct, 2023
- 02 Mins read
- Microsoft Intune,Sicherheit,Windows 10,Windows 11
Mit dem “Hybrid Cloud Trust Deployment” ist es endlich möglich sich, ohne viel Aufwand, an lokalen / on-premises Ressourcen mit Windows Hello (Gesicht, PIN, Key) anzumelden. Dies war zuvor nur mit sehr mühsam und im Zusammenhang mit einer CA (Certificate Authority) möglich.
Voraussetzungen
- Windows 10, version 21H2 oder Windows 11
- Multi-factor Authentication
- Fully patched Windows Server 2016 or later Domain Controllers
- Azure AD Kerberos PowerShell module
- MDM Verwaltetes Gerät
Azure AD Konfiguration - Kerberos
Als erstes installieren wir das Modul, beispielsweise auf dem Azure AD Connect Server. Die machst du am einfachsten mit PowerShell (als Admin):
# First, ensure TLS 1.2 for PowerShell gallery access.
[Net.ServicePointManager]::SecurityProtocol = [Net.ServicePointManager]::SecurityProtocol -bor [Net.SecurityProtocolType]::Tls12
# Install the Azure AD Kerberos PowerShell Module.
Install-Module -Name AzureADHybridAuthenticationManagement -AllowClobber
Als zweites erstellen wir nun das Kerberos Server Objekt:
$Domain = $env:USERDNSDOMAIN
$CloudUPN = Read-Host "A Global Administrator in your Azure AD."
$DomainCred = Get-Credential -Message 'An Active Directory user who is a member of the Domain Admins group.' # local AD Admin
# Create and publish the new Azure AD Kerberos Server object
Set-AzureADKerberosServer -Domain $Domain -UserPrincipalName $CloudUPN -DomainCredential $DomainCred
# Verify Kerberos object
Get-AzureADKerberosServer -Domain $domain -UserPrincipalName $CloudUPN -DomainCredential $domainCred
Windows Hello for Business Richtline mit Intune
Mit Intune lassen sich die Richtlinie sehr einfach konfigurieren.
Falls du eine lokale Infrastruktur hast und die Richline mit GPO’s verteilen möchtest, musst die die ADMX Files auf dem neusten Stand haben. Microsoft hat dazu in den Docs einen Beitrag: Hybrid Cloud Trust Deployment (Windows Hello for Business) - Windows security | Microsoft Docs
Windows Hello for Business aktivieren
Um Windows Hello for Business zu aktivieren, kannst du das entweder Tenant-weit oder nur für eine Gruppe mit einer Richtlinie machen.
Aktivierung Tenant-weit
Die Aktivierung Tenant-weit kannst du unter “Devices > Windows > Windows enrollment” machen. Wenn du diese Option wählst, werden alle Geräte beim enrollment nach der Windows Hello Konfiguration rufen.
Aktivierung mit einer Richtlinie
Um nur einen die Aktivierung nur für einen gewissen Kreis durchzuführen, kannst du unter “Devices > Windows > Configuration profiles” ein neues “Identity Protection”-Profil erstellen
In den Einstellungen ist wichtig, dass “Use a Trusted Platform Module (TPM)” aktiv ist.
Cloud Trust Richtline erstellen
Um die Cloud Trust Policy zu konfigurieren, erstellen wir ein “Custom-Profile” mit einer OMA Uri. Diese OMA Uri weit dem Endgerät den Weg zum Richtigen Tenant für die Authentifizierung.
Die Richtline erstellt du unter “Devices > Windows > Configuration profiles +Create profile”.
Hier fügst du einen Eintrag hinzu und gibts die untenstehende OMA-URI ein. Vergiss nicht, du musst in der OMA-URI “YourTenantID” durch deine Tenant ID ersetzten. (Die ID findest du hier)
| Name | UseCloudTrustForOnPremAuth |
| Beschreibung | Windows Hello for Business cloud trust |
| ORA-Uri | ./Device/Vendor/MSFT/PassportForWork/YourTenantID/Policies/UseCloudTrustForOnPremAuth |
| Data type | Boolean |
| Value | True |
Summary
Dank Windows Hello for Business Cloud Trust ist es viel einfacher, eine von Windows Hello vertrauenswürdige Kerberos-Authentifizierung von einem reinen Cloud-Gerät (Azure AD joined) zu erhalten. Für mich gibt es dank diesem tollen Feature wenige bis gar keine Gründe, einen Hybrid-Join zu nutzen.







