Anleitung – Windows Hello for Business für Hybride-Umgebungen einrichten

In der heutigen Geschäftswelt, die von hybriden Arbeitsumgebungen und zunehmendem Sicherheitsbewusstsein geprägt ist, ist es entscheidend, innovative Lösungen zu finden, die sowohl die Anmeldeprozesse als auch die Sicherheitsstandards auf höchstem Niveau halten. Windows Hello for Business mit Cloud Trust ist eine fortschrittliche Methode zur Authentifizierung, die speziell für hybride Umgebungen entwickelt wurde und das Beste aus der Cloud-Technologie und der lokalen Sicherheit vereint. In diesem Artikel werden wir Ihnen Schritt für Schritt zeigen, wie Sie Windows Hello for Business mit Cloud Trust einrichten können, um eine nahtlose, sichere Anmeldung in Ihrer hybriden Arbeitsumgebung zu gewährleisten.

Die Einrichtung besteht Grundsätzlich aus zwei Schritten.

1. Cloud Trust mit Microsoft Entra Connect und SSO konfigurieren
2. Intune-Richtlinien erstellen

Zunächst richten wir SSO zw. klassischem AD und Entra ID ein. Dazu führen wir folgende PowerShell Scripte auf dem Microsoft Entra Connect Server aus. Vorbereitung:

# First, ensure TLS 1.2 for PowerShell gallery access.
[Net.ServicePointManager]::SecurityProtocol = [Net.ServicePointManager]::SecurityProtocol -bor [Net.SecurityProtocolType]::Tls12

# # Install the AzureADHybridAuthenticationManagement PowerShell module.
Install-Module -Name AzureADHybridAuthenticationManagement -AllowClobber

Konfiguration: (<user>@<company>.onmicrosoft.com bitte entsprechend ersetzen)

# Specify the on-premises Active Directory domain. A new Azure AD
# Kerberos Server object will be created in this Active Directory domain.
$domain = $env:USERDNSDOMAIN

# Enter a UPN of an Azure Active Directory global administrator
$userPrincipalName = "<user>@<company>.onmicrosoft.com"

# Enter a domain administrator username and password.
$domainCred = Get-Credential

# Create the new Azure AD Kerberos Server object in Active Directory
# and then publish it to Azure Active Directory.
# Open an interactive sign-in prompt with given username to access the Azure AD.
Set-AzureADKerberosServer -Domain $domain -UserPrincipalName $userPrincipalName -DomainCredential $domainCred

Kontrolle:

# When prompted to provide domain credentials use the userprincipalname format for the username instead of domain\username
Get-AzureADKerberosServer -Domain $domain -UserPrincipalName $userPrincipalName -DomainCredential $domainCred

Es werden zwei Richtlinien benötigt. Eine um Windows Hello for Business zu aktivieren und eine weitere um Cloud Trust zu aktivieren. Diese Richtlinien sollten dann auf eine Geräte-Gruppe zugewiesen werden.

Globale Richtlinie prüfen

Devices -> Windows -> Windows enrollment -> Windows Hello for Business

Sollte auf nicht konfiguriert stehen:

Windows Hello for Business aktivieren

Endpoint Security -> Account Protection -> Create Policy -> Windows 10 and later -> Account Protection

Cloud Trust via OMA-URI aktivieren

Devices -> Windows -> Configuration Profiles -> Create Profile -> Windows 10 and later -> Templates -> Custom

./Device/Vendor/MSFT/PassportForWork/<tenаnt ID>/Policies/UseCloudTrustForOnPremAuth

Mit diesen beiden Schritten kann nun Windows Hello for Business eine sichere Authentifizierung in hybriden Umgebungen gewährleisten.