Bereitstellungshandbuch zur Kerberos-Vertrauensstellung in der Cloud

• Gilt für::

  ✅ Windows 11, ✅ Windows 10

In diesem Artikel werden die Funktionen oder Szenarien von Windows Hello for Business beschrieben, die für Folgendes gelten:

• Bereitstellungstyp:
• Vertrauenstyp:Cloud-Kerberos-Vertrauensstellung benötigen
• Jointyp:Microsoft Entra join . Microsoft Entra Hybrid Join.

---

Anforderungen

Bevor Sie mit der Bereitstellung beginnen, lesen Sie die im Artikel Planen einer Windows Hello for Business-Bereitstellung beschriebenen Anforderungen.

Stellen Sie sicher, dass die folgenden Anforderungen erfüllt sind, bevor Sie beginnen:

• Authentication
• Gerätekonfiguration
• Windows-Anforderungen
• Windows Server-Anforderungen
• Vorbereiten von Benutzern für die Verwendung von Windows Hello

Wichtig

Bei der Implementierung des Cloud-Kerberos-Vertrauensstellungsmodells müssen Sie sicherstellen, dass an jedem Active Directory-Standort, an dem sich Benutzer bei Windows Hello for Business authentifizieren, über eine ausreichende Anzahl von Domänencontrollern mit Lese-/Schreibzugriff verfügen. Weitere Informationen finden Sie unter Kapazitätsplanung für Active Directory.

Bereitstellungsschritte

Sobald die Voraussetzungen erfüllt sind, umfasst die Bereitstellung von Windows Hello for Business die folgenden Schritte:

• Bereitstellen von Microsoft Entra Kerberos
• Konfigurieren der Richtlinieneinstellungen für Windows Hello for Business
• Registrieren bei Windows Hello for Business

Bereitstellen von Microsoft Entra Kerberos

Wenn Sie bereits lokales einmaliges Anmelden für die kennwortlose Anmeldung mit Sicherheitsschlüsseln bereitgestellt haben, ist Microsoft Entra Kerberos bereits in Ihrer Organisation bereitgestellt. Sie müssen Ihre vorhandene Microsoft Entra Kerberos-Bereitstellung nicht erneut bereitstellen oder ändern, um Windows Hello for Business zu unterstützen, und sie können mit dem Abschnitt Konfigurieren von Windows Hello for Business-Richtlinieneinstellungen fortfahren.

Wenn Sie Microsoft Entra Kerberos noch nicht bereitgestellt haben, befolgen Sie die Anweisungen in der Dokumentation Aktivieren der Kennwortlosen Anmeldung mit Sicherheitsschlüsseln . Diese Seite enthält Informationen zum Installieren und Verwenden des Microsoft Entra Kerberos PowerShell-Moduls. Verwenden Sie das Modul, um ein Microsoft Entra Kerberos-Serverobjekt für die Domänen zu erstellen, in denen Sie die Windows Hello for Business-Cloud-Kerberos-Vertrauensstellung verwenden möchten.

Microsoft Entra Kerberos- und Cloud-Kerberos-Vertrauensauthentifizierung

Wenn Microsoft Entra Kerberos in einer Active Directory-Domäne aktiviert ist, wird ein AzureADKerberos-Computerobjekt in der Domäne erstellt. Dieses Objekt:

• Wird als RODC-Objekt (Read Only Domänencontroller) angezeigt, ist aber keinem physischen Server zugeordnet.

• Wird nur von Microsoft Entra ID verwendet, um TGTs für die Active Directory-Domäne zu generieren.

  Hinweis

  Ähnliche Regeln und Einschränkungen, die für RODCs verwendet werden, gelten für das AzureADKerberos-Computerobjekt. Beispielsweise können Benutzer, die direkte oder indirekte Mitglieder privilegierter integrierter Sicherheitsgruppen sind, keine Kerberos-Cloudvertrauensstellung verwenden.

Weitere Informationen zur Funktionsweise von Microsoft Entra Kerberos mit der Windows Hello for Business-Cloud-Kerberos-Vertrauensstellung finden Sie unter Windows Hello for Business-Authentifizierung – Technische Details.

Hinweis

Die für das AzureADKerberos-Computerobjekt konfigurierte Standardkennwortreplikationsrichtlinie erlaubt nicht, Konten mit hohen Berechtigungen bei lokalen Ressourcen mit Cloud-Kerberos-Vertrauensstellung oder FIDO2-Sicherheitsschlüsseln zu signieren.

Aufgrund möglicher Angriffsvektoren von Microsoft Entra ID in Active Directory empfiehlt es sich nicht, die Blockierung dieser Konten zu entsperren, indem Sie die Kennwortreplikationsrichtlinie des Computerobjekts CN=AzureADKerberos,OU=Domain Controllers,<domain-DN>lockern.

Konfigurieren der Richtlinieneinstellungen für Windows Hello for Business

Nach dem Einrichten des Microsoft Entra Kerberos-Objekts muss Windows Hello for Business für die Verwendung der Cloud-Kerberos-Vertrauensstellung aktiviert und konfiguriert werden. Es sind zwei Richtlinieneinstellungen erforderlich, um Windows Hello for Business in einem Kerberos-Vertrauensstellungsmodell für die Cloud zu konfigurieren:

• Windows Hello for Business verwenden
• Verwenden der Cloudvertrauensstellung für die lokale Authentifizierung

Eine weitere optionale, aber empfohlene Richtlinieneinstellung ist:

• Gerät mit sicherer Hardware verwenden

Wichtig

Wenn die Richtlinie Zertifikat für lokale Authentifizierung verwenden aktiviert ist, hat die Zertifikatvertrauensstellung Vorrang vor der Kerberos-Cloudvertrauensstellung. Stellen Sie sicher, dass diese Richtlinie für die Computer, für die Sie die Kerberos-Cloudvertrauensstellung aktivieren möchten, nicht konfiguriert ist.

In den folgenden Anweisungen wird erläutert, wie Sie Ihre Geräte mithilfe von Microsoft Intune oder gruppenrichtlinien (GPO) konfigurieren.

Intune/CSP

Hinweis

Lesen Sie den Artikel Konfigurieren von Windows Hello for Business mit Microsoft Intune , um mehr über die verschiedenen Optionen zu erfahren, die Microsoft Intune zum Konfigurieren von Windows Hello for Business bietet.

Wenn die mandantenweite Intune-Richtlinie aktiviert und für Ihre Anforderungen konfiguriert ist, müssen Sie nur die Richtlinieneinstellung Cloud trust for On Prem Auth verwenden aktivieren. Andernfalls müssen beide Einstellungen konfiguriert werden.

Erstellen Sie zum Konfigurieren von Geräten mit Microsoft Intune eine Einstellungskatalogrichtlinie , und verwenden Sie die folgenden Einstellungen:

Kategorie	Einstellungsname	Wert
Windows Hello for Business	Verwenden von Passport for Work	true
Windows Hello for Business	Verwenden von Cloud Trust for On Prem Auth	Aktiviert
Windows Hello for Business	Sicherheitsgerät anfordern	true

Weisen Sie die Richtlinie einer Gruppe zu, die als Mitglieder die Geräte oder Benutzer enthält, die Sie konfigurieren möchten.

Alternativ können Sie Geräte mithilfe einer benutzerdefinierten Richtlinie mit dem PassportForWork-CSP konfigurieren.

Einstellung
- OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork - Datentyp:bool - Wert:True
- OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseCloudTrustForOnPremAuth - Datentyp:bool - Wert:True
- OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice - Datentyp:bool - Wert:True

GPO

Sie können die Richtlinieneinstellung Windows Hello for Business verwenden auf dem Computer- oder Benutzerknoten eines Gruppenrichtlinienobjekts konfigurieren:

• Die Bereitstellung der Richtlinieneinstellung für Computerknoten führt dazu, dass sich alle Benutzer, die sich bei den Zielgeräten anmelden, um eine Windows Hello for Business-Registrierung zu versuchen.
• Die Bereitstellung der Benutzerknotenrichtlinieneinstellung führt dazu, dass nur die Zielbenutzer versuchen, eine Windows Hello for Business-Registrierung zu versuchen.

Wenn Richtlinieneinstellungen sowohl für Benutzer als auch Computer bereitgestellt werden, hat die Einstellung für Benutzer Vorrang.

Hinweis

Für die Cloud-Kerberos-Vertrauensstellung muss eine dedizierte Richtlinie festgelegt werden, damit sie aktiviert wird. Diese Richtlinieneinstellung ist nur als Computerkonfiguration verfügbar.

Möglicherweise müssen Sie Ihre Gruppenrichtliniendefinitionen aktualisieren, um die Kerberos-Vertrauensstellungsrichtlinie für die Cloud konfigurieren zu können. Sie können die ADMX- und ADML-Dateien von einem Windows-Client, der die Kerberos-Cloudvertrauensstellung unterstützt, in den entsprechenden Sprachordner auf Ihrem Gruppenrichtlinien-Verwaltungsserver kopieren. Windows Hello for Business-Einstellungen befinden sich in den Dateien Passport.admx und Passport.adml .

Sie können auch einen zentralen Gruppenrichtlinienspeicher erstellen und sie in ihren jeweiligen Sprachordner kopieren. Weitere Informationen finden Sie unter Erstellen und Verwalten des zentralen Speichers für Administrative Vorlagen für Gruppenrichtlinien in Windows.

Verwenden Sie den Editor für lokale Gruppenrichtlinien, um ein Gerät mit Einer Gruppenrichtlinie zu konfigurieren. Um mehrere Geräte zu konfigurieren, die mit Active Directory verknüpft sind, erstellen oder bearbeiten Sie ein Gruppenrichtlinienobjekt (GPO), und verwenden Sie die folgenden Einstellungen:

Gruppenrichtlinienpfad	Gruppenrichtlinieneinstellung	Wert
Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Hello for Business or Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Hello for Business	Windows Hello for Business verwenden	Ermöglichte
Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Hello for Business	Verwenden der Kerberos-Cloudvertrauensstellung für die lokale Authentifizierung	Ermöglichte
Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Hello for Business	Gerät mit sicherer Hardware verwenden	Ermöglichte

Gruppenrichtlinien können mit Domänen oder Organisationseinheiten verknüpft , mithilfe von Sicherheitsgruppen gefiltert oder mithilfe von WMI-Filtern gefiltert werden.

Tipp

Die beste Möglichkeit zum Bereitstellen des Windows Hello for Business-Gruppenrichtlinienobjekts ist die Verwendung der Sicherheitsgruppenfilterung. Nur Mitglieder der Zielsicherheitsgruppe stellen Windows Hello for Business bereit, wodurch ein stufenweises Rollout ermöglicht wird. Diese Lösung ermöglicht das Verknüpfen des Gruppenrichtlinienobjekts mit der Domäne, um sicherzustellen, dass das Gruppenrichtlinienobjekt auf alle Sicherheitsprinzipale festgelegt ist. Die Sicherheitsgruppenfilterung stellt sicher, dass nur die Mitglieder der globalen Gruppe das Gruppenrichtlinienobjekt empfangen und anwenden, was zur Bereitstellung von Windows Hello for Business führt.

Wenn Sie die Windows Hello for Business-Konfiguration sowohl mithilfe von Gruppenrichtlinien als auch mit Intune bereitstellen, haben Gruppenrichtlinieneinstellungen Vorrang, und Intune-Einstellungen werden ignoriert. Weitere Informationen zu Richtlinienkonflikten finden Sie unter Richtlinienkonflikte aus mehreren Richtlinienquellen.

Weitere Richtlinieneinstellungen können konfiguriert werden, um das Verhalten von Windows Hello for Business zu steuern. Weitere Informationen finden Sie unter Windows Hello for Business-Richtlinieneinstellungen.

Registrieren bei Windows Hello for Business

Der Windows Hello for Business-Bereitstellungsprozess beginnt unmittelbar nach der Anmeldung eines Benutzers, wenn die Voraussetzungsprüfungen erfolgreich sind. Die Windows Hello for Business-Cloud-Kerberos-Vertrauensstellung fügt eine Voraussetzungsprüfung für hybrid eingebundene Microsoft Entra-Geräte hinzu, wenn die Kerberos-Cloudvertrauensstellung durch eine Richtlinie aktiviert ist.

Sie können den Status der Voraussetzungsprüfung ermitteln, indem Sie das Administratorprotokoll benutzergeräteregistrierung unter Anwendungs- und Dienstprotokolle>Microsoft>Windows anzeigen.
Diese Informationen sind auch über den dsregcmd.exe /status Befehl über eine Konsole verfügbar. Weitere Informationen finden Sie unter dsregcmd.

Die Überprüfung der Voraussetzungen für die Kerberos-Vertrauensstellung in der Cloud erkennt, ob der Benutzer über ein teilweises TGT verfügt, bevor die Bereitstellung gestartet werden kann. Mit dieser Überprüfung soll überprüft werden, ob Microsoft Entra Kerberos für die Domäne und den Mandanten des Benutzers eingerichtet ist. Wenn Microsoft Entra Kerberos eingerichtet ist, erhält der Benutzer während der Anmeldung mit einer seiner anderen Entsperrmethoden ein partielles TGT. Diese Überprüfung weist drei Zustände auf: Ja, Nein und Nicht getestet. Der Status Nicht getestet wird gemeldet, wenn die Kerberos-Cloudvertrauensstellung nicht durch eine Richtlinie erzwungen wird oder wenn das Gerät in Microsoft Entra eingebunden ist.

Hinweis

Die Überprüfung der Voraussetzungen für die Kerberos-Vertrauensstellung in der Cloud wird auf in Microsoft Entra eingebundenen Geräten nicht durchgeführt. Wenn Microsoft Entra Kerberos nicht bereitgestellt wird, kann sich ein Benutzer auf einem in Microsoft Entra eingebundenen Gerät weiterhin anmelden, verfügt aber nicht über SSO für lokale Ressourcen, die durch Active Directory gesichert sind.

Benutzerfreundlichkeit

Nachdem sich ein Benutzer angemeldet hat, beginnt der Windows Hello for Business-Registrierungsprozess:

1. Wenn das Gerät die biometrische Authentifizierung unterstützt, wird der Benutzer aufgefordert, eine biometrische Geste einzurichten. Diese Geste kann verwendet werden, um das Gerät zu entsperren und sich bei Ressourcen zu authentifizieren, die Windows Hello for Business erfordern. Der Benutzer kann diesen Schritt überspringen, wenn er keine biometrische Geste einrichten möchte.
2. Der Benutzer wird aufgefordert, Windows Hello mit dem Organisationskonto zu verwenden. Der Benutzer wählt OK aus.
3. Der Bereitstellungsablauf wird mit dem Mehrstufigen Authentifizierungsteil der Registrierung fortgesetzt. Die Bereitstellung informiert den Benutzer darüber, dass er aktiv versucht, den Benutzer über seine konfigurierte MFA-Form zu kontaktieren. Der Bereitstellungsprozess wird erst fortgesetzt, wenn die Authentifizierung erfolgreich war, ein Fehler auftritt oder ein Timeout auftritt. Ein MFA-Fehler oder Timeout führt zu einem Fehler und fordert den Benutzer auf, es erneut zu versuchen.
4. Nach einer erfolgreichen MFA wird der Benutzer von der Bereitstellung aufgefordert, eine PIN zu erstellen und zu validieren. Diese PIN muss alle auf dem Gerät konfigurierten PIN-Komplexitätsrichtlinien beachten.
5. Im verbleibenden Teil der Bereitstellung fordert Windows Hello for Business ein asymmetrisches Schlüsselpaar für den Benutzer an, vorzugsweise vom TPM (oder ausdrücklich, wenn dies durch Gruppenrichtlinien explizit festgelegt ist). Sobald das Schlüsselpaar abgerufen wurde, kommuniziert Windows mit dem IdP, um den öffentlichen Schlüssel zu registrieren. Wenn die Schlüsselregistrierung abgeschlossen ist, informiert die Windows Hello for Business-Bereitstellung den Benutzer darüber, dass er seine PIN für die Anmeldung verwenden kann. Der Benutzer kann die Bereitstellungsanwendung schließen und auf seinen Desktop zugreifen.

Nachdem ein Benutzer die Registrierung mit der Kerberos-Cloudvertrauensstellung abgeschlossen hat, kann die Windows Hello-Geste sofort für die Anmeldung verwendet werden. Auf einem hybrid eingebundenen Microsoft Entra-Gerät erfordert die erste Verwendung der PIN eine Sichtverbindung zu einem Domänencontroller. Sobald sich der Benutzer beim DC anmeldet oder entsperrt, kann die zwischengespeicherte Anmeldung für nachfolgende Entsperrungen ohne Sichtverbindung oder Netzwerkkonnektivität verwendet werden.

Nach der Registrierung synchronisiert Microsoft Entra Connect den Schlüssel des Benutzers aus der Microsoft Entra-ID mit Active Directory.

Sequenzdiagramme

Um die Bereitstellungsabläufe besser zu verstehen, überprüfen Sie die folgenden Sequenzdiagramme basierend auf dem Gerätejoin und dem Authentifizierungstyp:

• Bereitstellung für in Microsoft Entra eingebundene Geräte mit verwalteter Authentifizierung
• Bereitstellung für in Microsoft Entra eingebundene Geräte mit Verbundauthentifizierung
• Bereitstellung in einem Kerberos-vertrauenswürdigen Cloudbereitstellungsmodell mit verwalteter Authentifizierung

Um die Authentifizierungsflüsse besser zu verstehen, sehen Sie sich das folgende Sequenzdiagramm an:

• Microsoft Entra join authentication to Active Directory using cloud kerberos trust

Migrieren vom Schlüsselvertrauensstellungsmodell zur Kerberos-Cloud-Vertrauensstellung

Wenn Sie Windows Hello for Business mit dem Schlüsselvertrauensmodell bereitgestellt haben und zum Kerberos-Vertrauensmodell in der Cloud migrieren möchten, führen Sie die folgenden Schritte aus:

1. Einrichten von Microsoft Entra Kerberos in Ihrer Hybridumgebung
2. Aktivieren der Kerberos-Vertrauensstellung in der Cloud über Gruppenrichtlinie oder Intune
3. Melden Sie sich bei in Microsoft Entra eingebundenen Geräten mit Windows Hello for Business ab, und melden Sie sich beim Gerät an.

Hinweis

Bei hybrid eingebundenen Microsoft Entra-Geräten müssen Benutzer die erste Anmeldung mit neuen Anmeldeinformationen durchführen, während sie eine Sichtverbindung zu einem Domänencontroller haben.

Migrieren vom Zertifikatvertrauensstellungsmodell zur Kerberos-Cloud-Vertrauensstellung

Wichtig

Es gibt keinen direkten Migrationspfad von einer Zertifikatvertrauensstellungsbereitstellung zu einer Kerberos-Vertrauensstellungsbereitstellung in der Cloud. Der Windows Hello-Container muss gelöscht werden, bevor Sie zur Kerberos-Cloud-Vertrauensstellung migrieren können.

Wenn Sie Windows Hello for Business mithilfe des Zertifikatvertrauensmodells bereitgestellt haben und das Kerberos-Vertrauensmodell für die Cloud verwenden möchten, müssen Sie Windows Hello for Business wie folgt erneut bereitstellen:

1. Deaktivieren der Zertifikatvertrauensrichtlinie
2. Aktivieren der Kerberos-Vertrauensstellung in der Cloud über Gruppenrichtlinie oder Intune
3. Entfernen Sie die Zertifikatvertrauens-Anmeldeinformationen mithilfe des Befehls certutil.exe -deletehellocontainer aus dem Benutzerkontext.
4. Abmelden und erneutes Anmelden
5. Bereitstellen von Windows Hello for Business mithilfe einer Methode Ihrer Wahl

Hinweis

Bei hybrid eingebundenen Microsoft Entra-Geräten müssen Benutzer die erste Anmeldung mit neuen Anmeldeinformationen durchführen, während sie eine Sichtverbindung zu einem Domänencontroller haben.

Häufig gestellte Fragen

Eine Liste der häufig gestellten Fragen zur Kerberos-Vertrauensstellung in der Windows Hello for Business-Cloud finden Sie unter Häufig gestellte Fragen zu Windows Hello for Business.

Nicht unterstützte Szenarien

Die folgenden Szenarien werden bei Verwendung der Kerberos-Vertrauensstellung in der Windows Hello for Business-Cloud nicht unterstützt:

• RDP/VDI-Szenarien mit bereitgestellten Anmeldeinformationen (RDP/VDI kann mit Remote Credential Guard verwendet werden oder wenn ein Zertifikat im Windows Hello for Business-Container registriert ist)
• Verwenden der Kerberos-Cloudvertrauensstellung für Ausführen als
• Anmelden mit einer Cloud-Kerberos-Vertrauensstellung auf einem hybrid eingebundenen Microsoft Entra-Gerät ohne vorherige Anmeldung mit DC-Konnektivität