Intensivkurs WHFB - Level 4/5
Windows Hello for Business (WHfB)
Certificate Trust - Key Trust - PTA - ADFS - Azure AD Application Proxy + Connector - Intune Compliance + AAD Conditional Access - NDES
LIVE CLASS
Mit Microsoft TEAMS
Sehr geehrte Kunden!
Nach umfangreichen Tests bieten wir mit Microsoft TEAMS hochwertige interaktive Online Kurse während der CORONA Krisenzeit an.
Die Online Kurse werden gesondert als LIVE CLASS (LC) gekennzeichnet.
Die interaktiven LIVE CLASS Kurse befreien uns von den CORONA Schutzbestimmungen und können immer stattfinden!
LC Kategorie 2: On-Premises Kurse ohne Remote Desktop Gateway (RDG) werden als LC nur für BBK angeboten.
LC Kategorie 3: On-Premises Kurse mit Remote Desktop Gateway (RDG) werden als LC später auch zusätzlich für HOK angeboten.
HOK = Home Office Kursteilnehmer
BBK = Kursteilnehmer kommen zu uns nach Böblingen und sitzen verteilt in mehreren Schulungsräumen,
wenn die Landesbestimmung zu CORONA wieder einen Kursbesuch bei uns in Böblingen erlaubt!
RDG = Remote Desktop Gateway ermöglicht den Zugriff von Internet User (HOK) auf die Server in Böblingen
Erfahren Sie hier mehr zu LIVE CLASS und Teilnahmebedingungen.
Sobald die CORONA Beschränkung aufgehoben wird, unterrichten wir anstelle LIVE CLASS wieder in unseren Räumen.
Bitte beachten Sie, dass auch ein Super LIVE CLASS Kurs niemals eine Vor-Ort Schulung ersetzen kann!
LIVE CLASS Inhalt
LIVE CLASS
Mit Microsoft TEAMS
Erläuterungen und Teilnahmebedingungen
Drei Szenarien für LIVE CLASS Kurse (während der CORONA Zeit)
LC Kategorie 1: Einige Azure Kurse werden zuerst nur als LC für Home Office (HOK) und Kursteilnehmer in Böblingen (BBK) angeboten.
LC Kategorie 2: On-Premises Kurse ohne Remote Desktop Gateway (RDG) werden als LC nur für BBK angeboten.
LC Kategorie 3: On-Premises Kurse mit Remote Desktop Gateway (RDG) werden als LC später auch zusätzlich für HOK angeboten.
Keine LC Kurse: On-Premises Kurse wie ASAI, ASAI-2, Exchange Hybrid, Windows Hello for Business können nicht als LC angeboten werden.
HOK = Home Office Kursteilnehmer
BBK = Kursteilnehmer kommen zu uns nach Böblingen und sitzen verteilt in mehreren Schulungsräumen,
wenn die Landesbestimmung zu CORONA wieder einen Kursbesuch bei uns in Böblingen erlaubt!
RDG = Remote Desktop Gateway ermöglicht den Zugriff von Internet User (HOK) auf die Server in Böblingen
Wenn die Schutzbestimmung gelockert wird, können Sie gerne nach Böblingen kommen, auch wenn z.B. ein Azure Hybrid Kurs für HOK angeboten wird.
Eine Vor-Ort Schulung bietet auf jeden Fall einen direkten Kontakt mit den Trainern, was eine pure LIVE CLASS nicht kann.
Bitte beachten Sie, dass auch ein Super LIVE CLASS Kurs niemals eine Vor-Ort Schulung ersetzen kann!
LC Kategorie 1: LIVE CLASS via TEAMS ➔ für Azure Kurse
Zu Kategorie 1 gehören die Kurse: Azure für Administratoren, Azure Monitor, Azure SQL, Azure Hybrid, Azure Automation, TEAMS
2x Trainer (davon 1x TEAMS Unterstützer) sind im Schulungsraum in Böblingen.
Die Kursteilnehmer sind in Home Office (HOK) oder sie sitzen bei uns im Böblingen Office (BBK), aber verteilt in mehreren Räumen.
Wegen den CORONA Schutzbestimmungen und Mikrofon-Rückkopplung dürfen Kursteilnehmer nicht zusammen mit Trainern in einem Raum sitzen.
- Netzwerkverbindungen:
1x HTTPS Internetverbindung zu Microsoft Azure TEAMS
LC Kategorie 2: LIVE CLASS via TEAMS + lokale Netzwerkverbindung ➔ für On-Premises Kurse (ohne RD Gateway)
Zu Kategorie 2 gehören die Kurse: ADS, Exchange, SQL, Cluster, Exchange Hybrid, Advanced Exchange, Group Policy, PKI, INTUNE, Windows Hello for Business
Wenn die Landesbestimmung zu CORONA wieder einen Kursbesuch bei uns in Böblingen erlaubt!
2x Trainer (davon 1x TEAMS Unterstützer) sind im Schulungsraum in Böblingen.
Kursteilnehmer sitzen bei uns im Böblingen Office (BBK), aber verteilt in mehreren Räumen.
- Netzwerkverbindungen:
1x HTTPS Internetverbindung zu Microsoft Azure TEAMS
1x RPC Verbindung zum lokalen Servern in Böblingen
LC Kategorie 3: LIVE CLASS via TEAMS + lokale Netzwerkverbindung ➔ für On-Premises Kurse (mit RD Gateway noch im Test)
Zu Kategorie 3 gehören die Kurse: ADS, Exchange, SQL, Cluster, Exchange Hybrid, Advanced Exchange, Group Policy, PKI, INTUNE, Windows Hello for Business
Wenn die Landesbestimmung zu CORONA wieder einen Kursbesuch bei uns in Böblingen erlaubt!
2x Trainer (davon 1x TEAMS Unterstützer) sind im Schulungsraum in Böblingen.
Die Kursteilnehmer sind in Home Office (HOK) oder sie sitzen bei uns im Böblingen Office (BBK), aber verteilt in mehreren Räumen.
- Netzwerkverbindungen:
Trainer und Kursteilnehmer in Böblingen
1x HTTPS Internetverbindung zu Microsoft Azure TEAMS
1x RPC Verbindung zum lokalen Servern in Böblingen
Home Office Kursteilnehmer
1x HTTPS Internetverbindung zu Microsoft Azure TEAMS
1x HTTPS Internetverbindung zu Remote Desktop Gateway in Böblingen
Empfehlungen zur Teilnahme als HOK (Home Office Kursteilnehmer)
- Webcam
- Hochwertiges MONO Headset (z.B. Jabra Envolve2 65)
- Zwei Bildschirme (1x für TEAMS und 1x für Übungen)
- Kabelanschluss direkt an Router/Switch anstatt WLAN
- Windows 10 mit TEAMS App ➔
https://www.microsoft.com/de-de/microsoft-365/microsoft-teams/download-app
Die Audio und Video Qualität der hoch interaktiven LIVE CLASS Schulung ist stark abhängig von o.g. Komponenten.
Wir nutzen in Böblingen zwei Glasfaser Standleitungen mit je 512 Mbit/s (jeder Zeit erweiterbar auf 1 GB/s bzw. 10 GB/s) für Internet.
Unser LAN ist 1 GBit/s und in der Regel 10 Gbit/s.
Zusätzliche Access Points von Unitymedia (Vodafone)
Teilnahme an LIVE CLASS in Böblingen Schulungszentrum
Sie haben z.B. den Azure Hybrid Kurs als LIVE CLASS gebucht, möchten aber unbedingt zu uns nach Böblingen kommen.
Für eine begrenzte Teilnehmerzahl können wir dies anbieten, sodass Sie trotz LIVE CLASS einen direkten Kontakt mit den Trainern bekommen.
Wir müssen Plätze für Sie außerhalb des Schulraums (Rückkopplung, Geräusche etc.) einrichten.
Sie können somit den Kurs interaktiv via TEAMS parallel zu den Home Office Teilnehmer mitverfolgen.
Ein Kursbesuch bei uns in Böblingen ist nur möglich, wenn die CORONA Schutzbestimmung, hoffentlich nach dem 3. Mai 2020 gelockert wird.
- LIVE CLASS Teilnehmer bekommen die Kurs-Dokumentation in Digital-Form (PDF bzw. docx) und auf Wunsch gegen
Aufpreis von 350,- € zzgl. Mwst.
auch die gedruckte Version (A4-Ordner), die wir dann verschicken.
- Vor Ort Schulungsteilnehmer bekommen die Kurs-Dokumentation wie üblich in gedruckter Form (A4-Ordner) und
auf Wunsch gegen Aufpreis von 350,- €
zzgl. Mwst.auch digital (PDF bzw. docx) am ersten Kurstag.
- Die Kursdoku sind geschützt und personalisiert.
Voraussetzung ist Vorkasse
- Wir nutzen Ihre Email-Adresse für Ihr Gast-Konto bei uns.
- Erst nach Zahlungseingang können die Zugangsdaten übermittelt werden.
- Ohne Vorkasse ist ein Besuch eines LIVE CLASS Kurses nicht möglich!
- Ohne Vorkasse ist ein Besuch eines anderen Kurses bei uns ab Mai 2020 nicht möglich!
- Dokumentation für LIVE CLASS kann nach der Authentifizierung in TEAMS herunter geladen werden.
Schliessen X
Dieser Intensivkurs ist für alle Administratoren gedacht, die Windows Hello for Business (WHfB) in einer Enterprise Hybrid AD Umgebung realisieren möchten. Wir wollen WHfB Certificate Trust mit Authentifizierung über einen On-Premises ADFS und einem On-Premises PKI-Zertifikat realisieren. Auch ein Szenario mit PTA wird praktiziert. Das schwächere Szenario Key Trust ohne PKI wird im Kurs über die PTA in Verbindung mit Azure AD und Microsoft Intune ebenfalls behandelt.
In einer Hybrid Umgebung werden On-Premises AD und Azure AD mithilfe von AAD Connect verbunden. Dieses Tool ermöglicht hierbei die Synchronisation von AD
Benutzern, Geräte (Hybrid Azure AD Join) und Gruppen von On-Premises AD zu Azure AD. Standardmäßig ist On-Premises AD autoritativ, was bedeutet, dass sämtliche hier vorgenommenen Änderungen auch in Azure
angewendet werden. So kann beispielsweise eine von On-Premises zu Azure synchronisierte Gruppe in Azure nicht editiert werden. Zusätzlich ermöglicht AAD Connect ein Zurückschreiben (Writeback) von Geräten,
Gruppen und Passwörtern, ein generelles Writeback von Usern ist allerdings nicht möglich. Weiterhin wird über das Tool AAD Connect die Art der Authentifizierung, welche Geräte und Benutzer gegenüber Azure
verwenden, festgelegt.
In diesem Kurs werden sowohl Federated Authentication (ADFS) als auch Cloud Authentication (Pass-Through Authentication) praktiziert.
In Kombination mit Azure AAD Application Proxy (AADAP) und dem zugehörigen Connector ist für Enterprise Cloud Applications SSO (Single-Sign On) möglich. Die Authentifizierung an Azure AD wird über den PTA Agent (Connector) weitergeleitet (Pass-Through), der dann die Credentials des Benutzers mit einem On-Premises DC verifiziert und somit ein SSO ermöglicht.
WHfB ist eine Compound Authentication, weil Benutzer-Credential (Zertifikat) und Computer-Credential (Zertifikat) zusammen die gültige Authentifizierung bilden.
Nach einer erfolgreichen Anmeldung bekommt der Benutzer ein JSON PRT (Primary Refresh Token) wahlweise vom ADFS oder vom Azure AD Authentication Service ausgestellt. Dieses PRT ist vergleichbar mit
einem Kerberos TGT, mit dem weitere Access + Refresh Token (JSON OAuth2 Token) für den Zugriff auf Ressourcen beantragt werden können.
WHfB setzt Azure AD trotz On-Premises Authentifizierung (ADFS) voraus,
weil die Device Registration durch den Azure AD Registration Service (Azure DRS) eine Anforderung für die Ausstellung eines Azure PRT darstellt. Außerdem werden Azure MFA (Multi-Factor
Authentication) und eine Azure AD Premium P1 oder P2 Lizenz benötigt. Der Zugang zum Benutzer Private Key erfolgt durch die Gesichtserkennung und als Backup auch durch eine PIN. Mit Windows
10 ist es möglich, per Gesichtserkennung eine RDP Sitzung aufzubauen.
Wenn PTA anstelle von ADFS verwendet wird, kann Microsoft Intune und Intune Certificate Connector in Zusammenspiel mit NDES (Network Device Enrollment Service) genutzt werden, um WHFB Smart Card Zertifikate (Certificate Trust) für Benutzer von einer On-Premises PKI Certificate Authority auszurollen.
Wenn ADFS anstelle PTA eingesetzt wird, ist es möglich das Benutzerzertifikat (Smart Card) für WHfB mit SCAMA (Smart Card Authentication Mechanism Assurance) zu kombinieren um die Identität eines Administrators unsichtbar zu machen. Nach der Anmeldung ist die Gruppenidentität des Benutzers z.B. T0-DomAdmin nur auf dem Kerberos Ticket und nicht in der AD Gruppe selbst zu finden. Ein Admin ist somit "unsichtbar" und erst sichtbar nach der WHFB Anmeldung, aber nur auf dem Kerberos Ticket. Die SCAMA Technik setzen wir in unseren ASAI-Kursen ein um ein ESAE 3-Tier Modell in einer Enterprise Umgebung sehr sicher zu realisieren » Siehe unsere ASAI-Kurse.
Hier sind die wichtigsten Komponenten des Kurses:
- AAD Connect
- Federated Authentication via ADFS
- Cloud Authentication via PTA (Pass-Through Authentication) mit PTA Connector(en)
- Azure AD Device Registration & Intune Device Enrollment
- Konfiguration WHfB durch Group Policy
- Konfiguration WHfB durch Intune Device Configuration Profiles
- PKI Certificate Authority
- WHfB Dual Enrollment für Privilegierte und Non-Privilegierte Anmeldung
- WHfB RDP mit Gesichtserkennung
- WHfB mit SCAMA
- SSO mit WHfB und Intune Compliance mit Azure AD Conditional Access
- Azure Monitor zur Überwachung von Azure AD Sign-Ins
---------------------------
Optional:
- Intune Certificate Connector mit NDES für SCEP Enrollment
Wir arbeiten live mit einem unserer Azure Tenants.ZIELGRUPPE
Das Seminar richtet an Domain Administratoren und Support-Ingenieure sowie Desktop-Administratoren von Windows 10 und iOS Geräten (iPhone, iPAD)
Erfahrung mit Active Directory wird vorausgesetzt.
NIVEAU
Level 4-5 — ziemlich anspruchsvoll
DAUER
3 Tage
ORT
NT Systems Schulungszentrum Böblingen (Karte)
TERMINE
|
|
✓ noch Plätze frei |
|
|
✓ noch Plätze frei |
|
|
✓ noch Plätze frei |
PREIS
2.950,- € zzgl. Mwst. – inkl. Mittagessen 15,- € / Tag
MINDEST-TEILNEHMERZAHL
Das Seminar findet ab einer Mindestzahl von drei Teilnehmern garantiert statt.
SCHULUNGSZEITEN
Am ersten Tag 09:00 - 17:00 Uhr
Am zweiten Tag 08:30 - 17:00 Uhr
Am letzten Tag 08:30 - 16:00 Uhr
ZERTIFIKAT
Nach erfolgreicher Teilnahme erhalten die Kursteilnehmer ein Zertifikat von NT Systems.
Windows Hello für Business - Zertifikat Enrollment mit Intune und NDES
Ausschnitt der Kursmodule
- Active Directory Federation Services (AD FS)
- Einrichtung ADFS & WAP Farm
- Relying Party Trust zu Microsoft
- ADFS Authentication
Auszug der verschiedenen Zertifikate eines ADFS
- Azure Active Directory Connect (AAD Connect)
- Synchronization Service Manager
- Synchronization Rules Editor
- Staging Server
Synchronization Service Manager
Synchronization Rules Editor
AAD Connect Server (Aktiv & Staging)
- Azure AD Device Identity
- Azure AD Joined
- Hybrid Azure AD Joined
Azure AD Joined und Hybrid Azure AD Joined
- Windows Hello for Business (WHFB) - On-Premises
- Certificate Trust
- ADFS Certificate Enrollment
- Group Policy als Managed Tool
- Hybrid Azure AD Joined Device
WHfB Group Policy
Group Policy Einstellung
ADFS Certificate Authority für WHfB
Key Trust (selbstsigniertes Zertifikat)
Certificate Trust (von PKI ausgestelltes Zertifikat)
- Pass-Through Authentication
- Konfiguration
- Funktionsweise
PTA als Authentifizierungsmethode mit einem Agent
PTA Agent
- Windows Hello for Business - Cloud
- Azure AD Joined Device - Intune Enrolled
- Microsoft Intune als Managed Tool
- Intune Configuration - Identity Protection
- Key Trust
- Passwordless Deployment
MDM Tools in Azure AD
Intune Configuration Profile für WHfB - Key Trust
Microsoft Authenticator App Phone Sign-In
Key Trust (selbstsigniertes Zertifikat)
- WHfB Übung - Windows Admin Center
- Azure AD Enterprise Application
- Azure AD Conditional Access
- Azure MFA über WHfB
Conditional Access mit "Require MFA"
- WHfB Übung - Azure Bastion
- Azure Bastion Subnet
- RoleDefinition "Bastion User"
- Zugriff auf VM über eine Azure Bastion
Azure Bastion Subnet
Bastion User Role
Bastion VM Access
- Azure Monitor von Azure AD Sign-Ins
- Monitoring Azure AD Sign-Ins
- Log Analytics Workspace
- Kusto Query
Filtern nach Sign-Ins eines bestimmten benutzers
Detaillierte Anmeldeinformation an Azure AD eines Benutzers
- Vertrauen Sie unserer Kompetenz -