Windows Hello for Business (WHfB) + Fido2 Security Keys

LIVE CLASS
Mit Microsoft TEAMS

Sehr geehrte Kunden!

Mit Microsoft TEAMS bieten wir hochwertige interaktive Online Kurse an, die gesondert als LIVE CLASS (LC) gekennzeichnet werden.
Die interaktiven LIVE CLASS Kurse befreien uns von den CORONA Schutzbestimmungen und können immer stattfinden!
Die sehr gute Erfahrungen mit den ersten LIVE CLASS Kursen verleiten uns dazu beide Arten von Schulungen auch in Zukunft anzubieten:

• LIVE CLASS via Microsoft TEAMS
• PRÄSENT vor Ort in Böblingen

Nach und nach stellen wir weitere Kurse in LIVE CLASS um, besonders alle AZURE Kurse, die per Internet leicht zu erreichen sind.
Besonders Themenorientierte Trainings werden demnächst als kurze LIVE CLASS Trainings (1 oder 2 Tage) angeboten.
Erfahren Sie hier mehr zu LIVE CLASS und Teilnahmebedingungen.

Schliessen  X

LIVE CLASS Inhalt

LIVE CLASS
Mit Microsoft TEAMS
Erläuterungen und Teilnahmebedingungen

Welche Kurse werden als LIVE CLASS (LC) angeboten?
Zuerst bieten wir folgende Kurse, Workshops & Consulting sowohl PRÄSENT Kurse (vor Ort) als auch LIVE CLASS (LC) an:
1. Azure für Administratoren (4 Tage)
2. Azure Hybrid (4 Tage)
3. Azure Monitor (4 Tage)
4. Azure SQL (4 Tage)
5. Aufbau & Management von Windows 2019 Active Directory (5 Tage)
6. ESAE ASAI Competence Center (EAC) - Workshops & Consulting (1 Tag)
7. AD Health & Security Check (2 Tage)
8. Microsoft Endpoint Configuration Manager - Deployment OS & Update Management (2 Tage)

Weitere Azure Kurse werden folgen: Azure Automation, Exchange Hybrid, TEAMS und noch mehr AZURE!

Welche Kurse werden nicht als LIVE CLASS angeboten?
On-Premises Kurse wie ASAI, ASAI-2, Windows Hello for Business können nicht als LC angeboten werden.
Diese Kurse nutzen Smart Card und haben auch sehr umfangreiche Installation.

Hardware Voraussetzungen für LIVE CLASS
Empfehlungen zur Teilnahme als HOK (Home Office Kursteilnehmer)
- Webcam » Pflicht!
- 2x Bildschirme (1x für TEAMS und 1x für Azure Übungen) » Pflicht!
- Dritter Bildschirm oder iPAD für die PDF-Dokumentation » zu empfehlen.
- Kabelanschluss direkt an Router/Switch anstatt WLAN » zu empfehlen.
- Hochwertiges MONO Headset (z.B. Jabra Envolve2 65) » zu empfehlen.

Die Audio und Video Qualität der hoch interaktiven LIVE CLASS Schulung ist stark abhängig von o.g. Komponenten.
Wir nutzen in Böblingen zwei Glasfaser Standleitungen mit je 512 Mbit/s (jeder Zeit erweiterbar auf 1 GB/s bzw. 10 GB/s) für Internet.
Unser LAN ist in der Regel 10 Gbit/s.

Trainer im LIVE CLASS
Zwei Trainer plus ein TEAMS Organisator

Dokumentation für LIVE CLASS und PRÄSENT Kurse
1. LIVE CLASS Teilnehmer bekommen die Kurs-Dokumentation in PDF.
Die personalisierte Doku kann ein paar Tage vorher nach Erhalt der Zugangsdaten heruntergeladen werden.
Gegen einen Aufpreis von 450,- € zzgl. Mwst. erhalten Sie auch die Print-Version (A4-Ordner), die wir Ihnen zuschicken.
2. PRÄSENT Kursteilnehmer bekommen die gedruckte Kurs-Dokumentation in einem A4-Ordner.
Gegen einen Aufpreis von 450,- € zzgl. Mwst. erhalten Sie auch die Digital-Version (in PDF) am ersten Kurstag.

Voraussetzung ist Vorkasse
- Erst nach Zahlungseingang können die Zugangsdaten für TEAMS übermittelt werden.
- Ohne Vorkasse ist ein Besuch eines LIVE CLASS Kurses nicht möglich!
- Ohne Vorkasse ist ein Besuch eines anderen Kurses bei uns ab Mai 2020 nicht möglich!
- Dokumentation für LIVE CLASS kann nach der Authentifizierung in TEAMS heruntergeladen werden.

Schliessen  X

Dieser Intensivkurs ist für alle Administratoren gedacht, die Windows Hello for Business (WHfB) in einer Enterprise Hybrid AD Umgebung realisieren möchten. Wir wollen WHfB Certificate Trust mit Authentifizierung über einen On-Premises ADFS und einem On-Premises PKI-Zertifikat realisieren. Auch ein Szenario mit PTA wird praktiziert. Das schwächere Szenario Key Trust ohne PKI wird im Kurs über die PTA in Verbindung mit Azure AD und Microsoft Intune ebenfalls behandelt.

In einer Hybrid Umgebung werden On-Premises AD und Azure AD mithilfe von AAD Connect verbunden. Dieses Tool ermöglicht hierbei die Synchronisation von AD Benutzern, Geräte (Hybrid Azure AD Join) und Gruppen von On-Premises AD zu Azure AD. Standardmäßig ist On-Premises AD autoritativ, was bedeutet, dass sämtliche hier vorgenommenen Änderungen auch in Azure angewendet werden. So kann beispielsweise eine von On-Premises zu Azure synchronisierte Gruppe in Azure nicht editiert werden. Zusätzlich ermöglicht AAD Connect ein Zurückschreiben (Writeback) von Geräten, Gruppen und Passwörtern, ein generelles Writeback von Usern ist allerdings nicht möglich. Weiterhin wird über das Tool AAD Connect die Art der Authentifizierung, welche Geräte und Benutzer gegenüber Azure verwenden, festgelegt.
In diesem Kurs werden sowohl Federated Authentication (ADFS) als auch Cloud Authentication (Pass-Through Authentication) praktiziert.

In Kombination mit Azure AAD Application Proxy (AADAP) und dem zugehörigen Connector ist für Enterprise Cloud Applications SSO (Single-Sign On) möglich. Die Authentifizierung an Azure AD wird über den PTA Agent (Connector) weitergeleitet (Pass-Through), der dann die Credentials des Benutzers mit einem On-Premises DC verifiziert und somit ein SSO ermöglicht.

WHfB ist eine Compound Authentication, weil Benutzer-Credential (Zertifikat) und Computer-Credential (Zertifikat) zusammen die gültige Authentifizierung bilden. Nach einer erfolgreichen Anmeldung bekommt der Benutzer ein JSON PRT (Primary Refresh Token) wahlweise vom ADFS oder vom Azure AD Authentication Service ausgestellt. Dieses PRT ist vergleichbar mit einem Kerberos TGT, mit dem weitere Access + Refresh Token (JSON OAuth2 Token) für den Zugriff auf Ressourcen beantragt werden können.
WHfB setzt Azure AD trotz On-Premises Authentifizierung (ADFS) voraus, weil die Device Registration durch den Azure AD Registration Service (Azure DRS) eine Anforderung für die Ausstellung eines Azure PRT darstellt. Außerdem werden Azure MFA (Multi-Factor Authentication) und eine Azure AD Premium P1 oder P2 Lizenz benötigt. Der Zugang zum Benutzer Private Key erfolgt durch die Gesichtserkennung und als Backup auch durch eine PIN. Mit Windows 10 ist es möglich, per Gesichtserkennung eine RDP Sitzung aufzubauen.

Wenn PTA anstelle von ADFS verwendet wird, kann Microsoft Intune und Intune Certificate Connector in Zusammenspiel mit NDES (Network Device Enrollment Service) genutzt werden, um WHFB Smart Card Zertifikate (Certificate Trust) für Benutzer von einer On-Premises PKI Certificate Authority auszurollen.

Wenn ADFS anstelle PTA eingesetzt wird, ist es möglich das Benutzerzertifikat (Smart Card) für WHfB mit SCAMA (Smart Card Authentication Mechanism Assurance) zu kombinieren um die Identität eines Administrators unsichtbar zu machen. Nach der Anmeldung ist die Gruppenidentität des Benutzers z.B. T0-DomAdmin nur auf dem Kerberos Ticket und nicht in der AD Gruppe selbst zu finden. Ein Admin ist somit "unsichtbar" und erst sichtbar nach der WHFB Anmeldung, aber nur auf dem Kerberos Ticket. Die SCAMA Technik setzen wir in unseren ASAI-Kursen ein um ein ESAE 3-Tier Modell in einer Enterprise Umgebung sehr sicher zu realisieren » Siehe unsere ASAI-Kurse.

Hier sind die wichtigsten Komponenten des Kurses:
- AAD Connect
- Federated Authentication via ADFS
- Cloud Authentication via PTA (Pass-Through Authentication) mit PTA Connector(en)
- Azure AD Device Registration & Intune Device Enrollment
- Konfiguration WHfB durch Group Policy
- Konfiguration WHfB durch Intune Device Configuration Profiles
- PKI Certificate Authority
- WHfB Dual Enrollment für Privilegierte und Non-Privilegierte Anmeldung
- WHfB RDP mit Gesichtserkennung
- WHfB mit SCAMA
- SSO mit WHfB und Intune Compliance mit Azure AD Conditional Access
- Azure Monitor zur Überwachung von Azure AD Sign-Ins
---------------------------
Optional:

- Intune Certificate Connector mit NDES für SCEP Enrollment

Windows Hello für Business - Zertifikat Enrollment mit Intune und NDES

Device Registration - Hybrid Azure AD Joined in Managed Environment (PTA)

Azure AD Joined Authetication to Azure AD