Windows Hello for Business

Dieser Intensivkurs ist für alle Administratoren gedacht, die Windows Hello For Business (WHFB) in einer Enterprise Hybrid AD Umgebung realisieren möchten.
Wir wollen WHFB mit Hybrid Certificate Trust und PKI-Zertifikat realisieren. Das schwächere Szenario Key Trust ohne PKI wird im Kurs erläutert.
In einer Hybrid Umgebung werden On-Premises AD mit Azure AD durch Federation Trust via Public Zertifikat verbunden, wobei wir in diesem Kurs nicht ADFS, sondern die aus der Sicht von Microsoft "zukunfsorientierte" PTA (Pass-Through Authentication) praktizieren. AD Benutzer und Gruppen-Objekte werden über AADConnect mit Azure AD synchronisiert, sodass ein SSO (Single-Sign On) möglich ist. Benutzer kann sich sowohl an On-Premises als auch an Azure AD authentifizieren, wobei Azure AD die Authentifizierung an einen On-Premises PTA-Connector weiterleitet (also Pass-Through).

WHFB ist eine Compound Authentication, weil Benutzer-Credential (Zertifikat) und Computer-Credential (Zertifikat) zusammen die gültige Authentifizierung bilden. WHFB setzt Azure AD voraus, weil die Device Registrierung in der Azure Cloud erfolgt. Außerdem werden Azure MFA (Multi-Factor Authentication) und eine Azure AD Premium Lizenz benötigt. Der Zugang zum Benutzer Private Key erfolgt durch die Gesichtserkennung und als Backup auch durch PIN. Nach einer erfolgreichen Anmeldung bekommt der Benutzer den Zugrang zu den On-Premises Ressourcen. Mit Windows 10 (1803) ist es möglich, per Gesichtserkennung eine RDP Sitzung aufzubauen.

Weil PTA und nicht ADFS in diesem Kurs eingesetzt wird, werden Azure Intune und Intune Certificate Connector in Zusammenspiel mit NDES (Network Device Enrollment Service) benötigt um WHFB Smart Card Zertifikat für Benutzer von einer On-Premises PKI Certificate Authority auszurollen.

Eine Besonderheit "unseres" Windows Hello For Business ist die Kombination von WHFB mit SCAMA (Smart Card Authentication Mechanism Assurance) um die Identität eines Administrators unsichtbar zu machen. Nach der Anmeldung ist die Gruppenidentität des Benutzers z.B. T0-DomAdmin nur auf dem Kerberos Ticket und nicht in der AD Gruppe selbst zu finden. Ein Admin ist somit "unsichtbar" und erst sichtbar nach der WHFB Anmeldung, aber nur auf dem Kerberos Ticket. Die SCAMA Technik setzen wir in unseren ASAI-Kursen ein um ein ESAE 3-Tier Modell in einer Enterprise Umgebung sehr sicher zu realisieren » Siehe unsere ASAI-Kurse.

Hier sind die wichtigsten Komponenten des Kurses:
- Azure Tenant und Subscriptions - MS365 E3 vs. E5
- Azure Portal
- Azure AD
- AAD Connect
- PTA (Pass-Through Authentication) mit PTA Connector(en)
- Intune Device Registration & Device Enrollment
- Konfiguration WBFH durch Group Policy
- Konfiguration WBFH durch Intune Device Configuration Profiles
- Intune Certificate Connector
- NDES
- PKI Certificate Authority
- WHFB Dual Enrollment für Privilegierte und Non-Privilegierte Anmeldung
- WHFB RDP mit Gesichtserkennung
- WHFB mit SCAMA
- Azure Monitor

Detaillierte Beschreibung folgt.

Wir arbeiten live mit einem unserer Azure Tenants.