Mit dem "Hybrid Cloud Trust Deployment" ist es endlich möglich sich, ohne viel Aufwand, an lokalen / on-premises Ressourcen mit Windows Hello (Gesicht, PIN, Key) anzumelden. Dies war zuvor nur mit sehr mühsam und im Zusammenhang mit einer CA (Certificate Authority) möglich.
Table of Contents
Voraussetzungen
- Windows 10, version 21H2 oder Windows 11
- Multi-factor Authentication
- Fully patched Windows Server 2016 or later Domain Controllers
- Azure AD Kerberos PowerShell module
- MDM Verwaltetes Gerät
Azure AD Konfiguration - Kerberos
Als erstes installieren wir das Modul, beispielsweise auf dem Azure AD Connect Server. Die machst du am einfachsten mit PowerShell (als Admin):
# First, ensure TLS 1.2 for PowerShell gallery access.
[Net.ServicePointManager]::SecurityProtocol = [Net.ServicePointManager]::SecurityProtocol -bor [Net.SecurityProtocolType]::Tls12
# Install the Azure AD Kerberos PowerShell Module.
Install-Module -Name AzureADHybridAuthenticationManagement -AllowClobber
Codesprache: Power Shell (powershell)
Als zweites erstellen wir nun das Kerberos Server Objekt:
$Domain = Read-Host "Your local AD Domain name"
$CloudUPN = Read-Host "A Global Administrator in your Azure AD."
$DomainCred = Get-Credential # local AD Admin
# Create and publish the new Azure AD Kerberos Server object
Set-AzureADKerberosServer -Domain $Domain -UserPrincipalName $CloudUPN -DomainCredential $DomainCred
# Verify Kerberos object
Get-AzureADKerberosServer -Domain $domain -UserPrincipalName $CloudUPN -DomainCredential $domainCred
Codesprache: Power Shell (powershell)
Windows Hello for Business Richtline mit Intune
Mit Intune lassen sich die Richtlinie sehr einfach konfigurieren.
Falls du eine lokale Infrastruktur hast und die Richline mit GPO's verteilen möchtest, musst die die ADMX Files auf dem neusten Stand haben. Microsoft hat dazu in den Docs einen Beitrag: Hybrid Cloud Trust Deployment (Windows Hello for Business) - Windows security | Microsoft Docs
Windows Hello for Business aktivieren
Um Windows Hello for Business zu aktivieren, kannst du das entweder Tenant-weit oder nur für eine Gruppe mit einer Richtlinie machen.
Aktivierung Tenant-weit
Die Aktivierung Tenant-weit kannst du unter "Devices > Windows > Windows enrollment" machen. Wenn du diese Option wählst, werden alle Geräte beim enrollment nach der Windows Hello Konfiguration rufen.

Aktivierung mit einer Richtlinie
Um nur einen die Aktivierung nur für einen gewissen Kreis durchzuführen, kannst du unter "Devices > Windows > Configuration profiles" ein neues "Identity Protection"-Profil erstellen
In den Einstellungen ist wichtig, dass "Use a Trusted Platform Module (TPM)" aktiv ist.

Cloud Trust Richtline erstellen
Um die Cloud Trust Policy zu konfigurieren, erstellen wir ein "Custom-Profile" mit einer OMA Uri. Diese OMA Uri weit dem Endgerät den Weg zum Richtigen Tenant für die Authentifizierung.
Die Richtline erstellt du unter "Devices > Windows > Configuration profiles +Create profile".
Hier fügst du einen Eintrag hinzu und gibts die untenstehende OMA-URI ein. Vergiss nicht, du musst in der OMA-URI "YourTenantID" durch deine Tenant ID ersetzten. (Die ID findest du hier)
Name | UseCloudTrustForOnPremAuth |
Beschreibung | Windows Hello for Business cloud trust |
ORA-Uri | ./Device/Vendor/MSFT/PassportForWork/YourTenantID/Policies/UseCloudTrustForOnPremAuth |
Data type | Boolean |
Value | True |

Hallo, vielen Dank für das Tutorial. Mir ist aufgefallen, dass in hybriden Systemen dann die Anmeldung am Terminalserver oder anderen RDP Systemen nicht mit Hello möglich ist
Hallo Peter
Ja, leider unterstützt RDP die Windows Hello Anmeldung aktuell noch nicht.