Zum Inhalt
Hybrid Cloud Trust Deployment
Home » Windows Hello for Business - Cloud Trust - Hybrid

Windows Hello for Business - Cloud Trust - Hybrid

Mit dem "Hybrid Cloud Trust Deployment" ist es endlich möglich sich, ohne viel Aufwand, an lokalen / on-premises Ressourcen mit Windows Hello (Gesicht, PIN, Key) anzumelden. Dies war zuvor nur mit sehr mühsam und im Zusammenhang mit einer CA (Certificate Authority) möglich.

Table of Contents

Voraussetzungen

  • Windows 10, version 21H2 oder Windows 11
  • Multi-factor Authentication
  • Fully patched Windows Server 2016 or later Domain Controllers
  • Azure AD Kerberos PowerShell module
  • MDM Verwaltetes Gerät

Azure AD Konfiguration - Kerberos

Als erstes installieren wir das Modul, beispielsweise auf dem Azure AD Connect Server. Die machst du am einfachsten mit PowerShell (als Admin):

# First, ensure TLS 1.2 for PowerShell gallery access.
[Net.ServicePointManager]::SecurityProtocol = [Net.ServicePointManager]::SecurityProtocol -bor [Net.SecurityProtocolType]::Tls12

# Install the Azure AD Kerberos PowerShell Module.
Install-Module -Name AzureADHybridAuthenticationManagement -AllowClobberCodesprache: Power Shell (powershell)

Als zweites erstellen wir nun das Kerberos Server Objekt:

$Domain = Read-Host "Your local AD Domain name"
$CloudUPN = Read-Host "A Global Administrator in your Azure AD."
$DomainCred = Get-Credential # local AD Admin

# Create and publish the new Azure AD Kerberos Server object
Set-AzureADKerberosServer -Domain $Domain -UserPrincipalName $CloudUPN -DomainCredential $DomainCred

# Verify Kerberos object
Get-AzureADKerberosServer -Domain $domain -UserPrincipalName $CloudUPN -DomainCredential $domainCred
Codesprache: Power Shell (powershell)

Windows Hello for Business Richtline mit Intune

Mit Intune lassen sich die Richtlinie sehr einfach konfigurieren.
Falls du eine lokale Infrastruktur hast und die Richline mit GPO's verteilen möchtest, musst die die ADMX Files auf dem neusten Stand haben. Microsoft hat dazu in den Docs einen Beitrag: Hybrid Cloud Trust Deployment (Windows Hello for Business) - Windows security | Microsoft Docs

Windows Hello for Business aktivieren

Um Windows Hello for Business zu aktivieren, kannst du das entweder Tenant-weit oder nur für eine Gruppe mit einer Richtlinie machen.

Aktivierung Tenant-weit

Die Aktivierung Tenant-weit kannst du unter "Devices > Windows > Windows enrollment" machen. Wenn du diese Option wählst, werden alle Geräte beim enrollment nach der Windows Hello Konfiguration rufen.

Enable Windows Hello for Business, Tenant-wide

Aktivierung mit einer Richtlinie

Um nur einen die Aktivierung nur für einen gewissen Kreis durchzuführen, kannst du unter "Devices > Windows > Configuration profiles" ein neues "Identity Protection"-Profil erstellen

Intune - Identity protection profile
Intune - Identity protection profile - name

In den Einstellungen ist wichtig, dass "Use a Trusted Platform Module (TPM)" aktiv ist.

Intune - Identity protection profile - settings

Cloud Trust Richtline erstellen

Um die Cloud Trust Policy zu konfigurieren, erstellen wir ein "Custom-Profile" mit einer OMA Uri. Diese OMA Uri weit dem Endgerät den Weg zum Richtigen Tenant für die Authentifizierung.

Die Richtline erstellt du unter "Devices > Windows > Configuration profiles +Create profile".

Intune - custom configuration profile
Intune - custom configuration profile - name and description

Hier fügst du einen Eintrag hinzu und gibts die untenstehende OMA-URI ein. Vergiss nicht, du musst in der OMA-URI "YourTenantID" durch deine Tenant ID ersetzten. (Die ID findest du hier)

NameUseCloudTrustForOnPremAuth
BeschreibungWindows Hello for Business cloud trust
ORA-Uri./Device/Vendor/MSFT/PassportForWork/YourTenantID/Policies/UseCloudTrustForOnPremAuth
Data typeBoolean
ValueTrue
Intune profile WH4B cloud trust

2 Gedanken zu „Windows Hello for Business - Cloud Trust - Hybrid“

  1. Hallo, vielen Dank für das Tutorial. Mir ist aufgefallen, dass in hybriden Systemen dann die Anmeldung am Terminalserver oder anderen RDP Systemen nicht mit Hello möglich ist

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.