Windows Hello for Business (WHfB)
+ Fido2 Security Keys

Certificate Trust – Key Trust – PTA – PHS – ADFS – Azure AD Application Proxy + Connector – Endpoint Manager (Intune) + NDES AAD Conditional Access

  • 3 Tage
  • Online-Live-Class oder Präsenzkurs
  • 3–7 Teilnehmer (bei Präsenzkursen)
  • 3.250,– € zzgl. MwSt.

Zielgruppe:
Das Seminar richtet an Domain Administratoren und Desktop-Administratoren von Windows 10 und iOS Geräten (iPhone, iPAD)

Voraussetzungen:
Erfahrung mit Active Directory, Azure AD und Endpoint Manager (Intune) wird vorausgesetzt.

Zertifikat:
Nach erfolgreicher Teilnahme erhalten die Kursteilnehmer ein Zertifikat von NT Systems.

Kursdokumentation:
Die digitale Kursdokumentation erhalten die Teilnehmer einen Werktag vor Kursbeginn. Diese ist im Kurspreis inbegriffen. Auf Wunsch kann gegen einen Aufpreis von 300,– € zzgl. MwSt. zusätzlich eine Printversion dazugebucht werden.

Schulungszeiten:
Tag 1: 09:00–17:00 Uhr / Tag 2: 08:30–17:00 Uhr / Tag 3: 08:30–13:00 Uhr

Windows Hello for Business Intensivkurs im Detail

Dieser Intensivkurs ist für alle Administratoren gedacht, die Windows Hello for Business (WHfB) in einer Enterprise Hybrid AD Umgebung realisieren möchten. Wir wollen WHfB Certificate Trust mit Authentifizierung über einen On-Premises ADFS und einem On-Premises PKI-Zertifikat realisieren. Auch ein Szenario mit PTA oder PHS wird praktiziert. Das schwächere Szenario Key Trust ohne PKI wird im Kurs über die PTA in Verbindung mit Azure AD und Microsoft Intune ebenfalls behandelt.

In einer Hybrid Umgebung werden On-Premises AD und Azure AD mithilfe von AAD Connect verbunden. Dieses Tool ermöglicht hierbei die Synchronisation von AD Benutzern, Geräte (Hybrid Azure AD Join) und Gruppen von On-Premises AD zu Azure AD. Standardmäßig ist On-Premises AD autoritativ, was bedeutet, dass sämtliche hier vorgenommenen Änderungen auch in Azure angewendet werden. So kann beispielsweise eine von On-Premises zu Azure synchronisierte Gruppe in Azure nicht editiert werden. Zusätzlich ermöglicht AAD Connect ein Zurückschreiben (Writeback) von Geräten, Gruppen und Passwörtern, ein generelles Writeback von Usern ist allerdings nicht möglich. Weiterhin wird über das Tool AAD Connect die Art der Authentifizierung, welche Geräte und Benutzer gegenüber Azure verwenden, festgelegt.
In diesem Kurs werden sowohl Federated Authentication (ADFS) als auch Cloud Authentication (Pass-Through Authentication) praktiziert.

In Kombination mit Azure AAD Application Proxy (AADAP) und dem zugehörigen Connector ist für Enterprise Cloud Applications SSO (Single-Sign On) möglich. Die Authentifizierung an Azure AD wird über den PTA Agent (Connector) weitergeleitet (Pass-Through), der dann die Credentials des Benutzers mit einem On-Premises DC verifiziert und somit ein SSO ermöglicht.

WHfB ist eine Compound Authentication, weil Benutzer-Credential (Zertifikat) und Computer-Credential (Zertifikat) zusammen die gültige Authentifizierung bilden. Nach einer erfolgreichen Anmeldung bekommt der Benutzer ein JSON PRT (Primary Refresh Token) wahlweise vom ADFS oder vom Azure AD Authentication Service ausgestellt. Dieses PRT ist vergleichbar mit einem Kerberos TGT, mit dem weitere Access + Refresh Token (JSON OAuth2 Token) für den Zugriff auf Ressourcen beantragt werden können.
WHfB setzt Azure AD trotz On-Premises Authentifizierung (ADFS) voraus, weil die Device Registration durch den Azure AD Registration Service (Azure DRS) eine Anforderung für die Ausstellung eines Azure PRT darstellt. Außerdem werden Azure MFA (Multi-Factor Authentication) und eine Azure AD Premium P1 oder P2 Lizenz benötigt. Der Zugang zum Benutzer Private Key erfolgt durch die Gesichtserkennung und als Backup auch durch eine PIN. Mit Windows 10 ist es möglich, per Gesichtserkennung eine RDP Sitzung aufzubauen.

Wenn PTA anstelle von ADFS verwendet wird, kann Microsoft Intune und Intune Certificate Connector in Zusammenspiel mit NDES (Network Device Enrollment Service) genutzt werden, um WHFB Smart Card Zertifikate (Certificate Trust) für Benutzer von einer On-Premises PKI Certificate Authority auszurollen.

Wenn ADFS anstelle PTA eingesetzt wird, ist es möglich das Benutzerzertifikat (Smart Card) für WHfB mit SCAMA (Smart Card Authentication Mechanism Assurance) zu kombinieren um die Identität eines Administrators unsichtbar zu machen. Nach der Anmeldung ist die Gruppenidentität des Benutzers z.B. T0-DomAdmin nur auf dem Kerberos Ticket und nicht in der AD Gruppe selbst zu finden. Ein Admin ist somit „unsichtbar“ und erst sichtbar nach der WHFB Anmeldung, aber nur auf dem Kerberos Ticket.

Active Directory Federation Services (AD FS)

  • Einrichtung ADFS & WAP Farm
  • Relying Party Trust zu Microsoft
  • ADFS Authentication

Azure Active Directory Connect (AAD Connect)

  • Synchronization Service Manager
  • Synchronization Rules Editor
  • Staging Server

Azure AD Device Identity

  • Azure AD Joined
  • Hybrid Azure AD Joined

Windows Hello for Business (WHFB) – On-Premises

  • Certificate Trust
  • ADFS Certificate Enrollment
  • Group Policy als Managed Tool
  • Hybrid Azure AD Joined Device

Pass-Through Authentication oder Password Hash Synchronization

  • Konfiguration
  • Funktionsweise

Windows Hello for Business – Cloud

  • Azure AD Joined Device – Intune Enrolled
  • Microsoft Intune als Managed Tool
  • Intune Configuration – Identity Protection
  • Key Trust
  • Passwordless Deployment

WHfB Übung – Windows Admin Center

  • Azure AD Enterprise Application
  • Azure AD Conditional Access
  • Azure MFA über WHfB

Azure Monitor von Azure AD Sign-Ins

  • Monitoring Azure AD Sign-Ins
  • Log Analytics Workspace (Optional)
  • Kusto Query (Optional)

Unsere Kursformen

Mit Microsoft TEAMS bieten wir hochwertige interaktive Online Kurse an, deren Qualität Präsenzkursen in nichts nachsteht.

Trainer:
Ein bis zwei Trainer plus ein TEAMS-Organisator

Zugangsdaten:
Die Zugangsdaten erhalten Sie Donnerstag bzw. Freitag in der Woche vor Kursbeginn.


Hardwarevoraussetzungen

Zwingend notwendig:

  • 2x Bildschirme (1x für TEAMS und 1x für Übungen) 
  • Stabile Internetverbindung – am besten LAN

Empfehlenswert:

  • Webcam
  • Dritter Bildschirm oder iPAD für die PDF-Dokumentation
  • Headset

Teilnehmer an den Präsenzkursen erwartet ein vollausgestatteter, moderner Arbeitsplatz inklusive eigener Hardware und selbstverständlich WLAN. Die zentrale Lage in Böblingen ermöglicht eine entspannte Anreise mit dem Auto, Bus, der Bahn oder dem Flugzeug (Flughafen Stuttgart).


Parken:
Sie können kostenlos unsere 10 Parkplätze im Telekom-Gelände direkt bei uns nutzen. Beim Empfang im 4. OG erhalten Sie von uns einen Parkschein für die gesamte Kursdauer.

Mittagessen & Pausenverpflegung:
Im Preis ist das Mittagessen 15,– €/Tag enthalten. Dabei können Sie zwischen vier tollen Restaurants wählen. Darüber hinaus stehen Ihnen Kalt- und Warmgetränke sowie frisches Obst und Gebäck über die gesamte Kursdauer hin zur Verfügung.


Corona-Maßnahmen

Unsere aktuellen Corona-Maßnahmen finden Sie hier.

Termine

08.06.2022 – 10.06.2022
Präsenzkurs
3.250,– € zzgl. MwSt.
 
 
 
 
22.11.2022 – 24.11.2022
Präsenzkurs
3.250,– € zzgl. MwSt.
 
 
 
 
Scroll to Top