Kerberos Cloud Trust ist ein hybrides Authentifizierungsprotokoll, das von Microsoft entwickelt wurde, um eine sichere und kennwortlose Anmeldung zu ermöglichen. Kerberos Cloud Trust kombiniert die Stärken von Kerberos und Windows Hello for Business, um eine moderne, sichere und benutzerfreundliche Authentifizierungslösung zu bieten. Es ist besonders nützlich in hybriden Umgebungen, in denen sowohl Cloud- als auch lokale Ressourcen genutzt werden. Benutzer authentifizieren sich lokal als auch in der Cloud sicher und nahtlos.

Einige wichtige Punkte zu Kerberos Cloud Trust:

Sichere Authentifizierung: Verwendet ein sicheres Ticketing-System, um Benutzern den Zugriff auf Ressourcen zu gewähren.

Integration mit Windows Hello for Business: Windows Hello for Business ermöglicht passwortloses Anmelden für den Zugriff auf lokale und Cloud-Ressourcen.

Einfache Bereitstellung: Die Implementierung ist einfach und erfordert keine umfangreichen Änderungen an bestehenden Kerberos- oder Active Directory-Konfigurationen.

In diesem Blogpost wird Schritt für Schritt erläutert, wie Kerberos Cloud Trust in einer hybriden Umgebung für Microsoft Entra Joined Geräte eingerichtet und Windows Hello for Business (WHfB) nahtlos integriert wird.

Voraussetzungen und Lizenzierung

Um Kerberos Cloud Trust mit Windows Hello for Business zu implementieren, müssen folgende Anforderungen erfüllt sein.

Betriebssystem

Geräte müssen mindestens Windows 10 21H2 mit KB5010415 und höher oder Windows 11 21H2 mit KB5010414 und höher verwenden.

Geräteregistrierung

Geräte sind Microsoft Entra Joined.
In dieser Anleitung sind die Geräte mit Microsoft Intune verwaltet.

Domänencontroller

Es werden vollständig gepatchte Windows Server 2016 oder neuere Domänencontroller benötigt.

Verzeichnissynchronisierung

Die Verzeichnissynchronisierung wurde mit Microsoft Entra Connect eingerichtet und sorgt für eine fehlerfreie Synchronisation der Benutzerobjekte.

Multi-Faktor-Authentifizierung (MFA)

Aktivierte Multi-Faktor-Authentifizierung (MFA), z.B. mit der folgenden Anleitung: Multi-Faktor Authentifizierung (MFA) erzwingen – cloudkaffee.ch

Lizenz

Für die Nutzung von Kerberos Cloud Trust und Windows Hello for Business ist keine kostenpflichtige Lizenz in Microsoft Azure erforderlich. Die kostenlose Lizenz Microsoft Entra ID Free ist ausreichend. Allerdings setzen zusätzliche Funktionen, wie die automatische MDM-Registrierung, eine kostenpflichtige Lizenz voraus.
Eine Übersicht der Microsoft 365 Lizenzpakete mit deren Features kann unter https://m365maps.com/ abgerufen werden.

Situation

Nach der erfolgreichen Anmeldung an einem Microsoft Entra Joined Windows-Gerät mit Windows Hello for Business (WHfB) erscheint beim Öffnen eines Netzwerkpfades in einer hybriden Umgebung eine Anmeldeaufforderung. Windows Hello for Business (WHfB) kann sich nicht erfolgreich für den Netzwerkzugriff authentifizieren.

Der Befehl klist in der Eingabeaufforderung zeigt keine gültigen Kerberos-Tickets an.

Microsoft Entra Kerberos aktivieren

Das folgende PowerShell-Skript, ausgeführt auf einem Windows Server mit installiertem Microsoft Entra Connect und angemeldet als Domänen-Administrator, erstellt ein Serverobjekt im Active Directory und aktiviert Microsoft Entra Kerberos.
Im Script muss $userPrincipalName durch einen Microsoft Entra ID Benutzer ersetzt werden, der die Rolle globaler Administrator zugewiesen hat.

Nach erfolgreicher Ausführung des PowerShell-Skripts wird das neu erstellte Objekt mit dem folgenden Cmdlet angezeigt:

In der OU Domain Controllers wird das Serverobjekt AzureADKerberos angezeigt. Dieses Objekt repräsentiert einen virtuellen schreibgeschützten Domänencontroller (Read-Only Domain Controller, RODC), der für die Kommunikation mit Microsoft Entra Kerberos zuständig ist.

Kerberos Cloud Trust aktivieren

Abruf von Kerberos-Tickets in der Cloud

Das Abrufen von Kerberos Cloud Tickets erlaubt es Benutzern, sich sicher bei verschiedenen Diensten zu authentifizieren, indem sie Kerberos-Tickets direkt aus der Cloud beziehen. Die Konfiguration erfolgt dabei im Microsoft Intune Admin Center (https://intune.microsoft.com).

Geräte > Geräte verwalten > Konfiguration > Erstellen > Neue Richtlinie

Plattform Windows 10 und höher (1), Profiltyp Vorlagen (2), Vorlage Benutzerdefiniert (3) auswählen und die Richtlinie mit Erstellen (4) erstellen.

Das Konfigurationsprofil benennen (z.B. WIN-Kerberos-Cloud-Trust) und auf Weiter klicken.

Hinzufügen (1) anklicken und folgende Einstellungen vornehmen:

Name (2): frei wählbar, z.B. Cloud Kerberos Ticket Retrieval
OMA-URI (3): ./Device/Vendor/MSFT/Policy/Config/Kerberos/CloudKerberosTicketRetrievalEnabled
Data type (4): Ganze Zahl
Value (5): 1

Konfiguration mit Speichern (6) abschliessen und danach auf Weiter (7) klicken.

Die Zuweisung an Geräte kann hier individuell den eigenen Bedürfnissen angepasst werden.

Die Anwendbarkeitsregeln können bei Bedarf erstellt werden.

Die gewählten Einstellungen werden zur Prüfung nochmals angezeigt und mit einem Klick auf Erstellen wird die Richtlinie erstellt.

Windows Hello Cloud Trust für die lokale Authentifizierung

Im nächsten Schritt wird Windows Hello for Business für die nahtlose Authentifizierung (SSO) in der hybriden Umgebung eingerichtet. Dazu ist ein zusätzlicher OMA-URI Eintrag in der Konfigurationsrichtlinie erforderlich.

Die gerade erstellte Konfigurationsrichtlinie aufrufen, die in dieser Anleitung als WIN-Kerberos-Cloud-Trust bezeichnet wird.

Konfigurationseinstellungen bearbeiten anklicken.

Hinzufügen (1) anklicken und folgende Einstellungen vornehmen:
Wichtig: TenantID in der OMA-URI durch die Mandanten ID ersetzen.

Name (2): frei wählbar, z.B. Windows Hello Cloud Trust
OMA-URI (3): ./Device/Vendor/MSFT/PassportForWork/TENANTID/Policies/UseCloudTrustForOnPremAuth
Data type (4): Boolescher Wert
Value (5): True

Konfiguration mit Speichern (6) abschliessen und danach auf Weiter (7) klicken.

Die gewählten Einstellungen werden zur Prüfung nochmals angezeigt und mit einem Klick auf Erstellen wird die Richtlinie erstellt.

Sobald das Konfigurationsprofil mit dem Gerät synchronisiert ist, das Gerät neu starten.

Funktionskontrolle

Nach dem Neustart des Geräts kann in der Eingabeaufforderung der Befehl klist eingegeben werden. Dieser Befehl listet alle aktiven Kerberos-Tickets auf dem Gerät auf.

Die Netzwerkverbindung zur lokalen Freigabe funktioniert jetzt nahtlos und ohne Benutzerabfrage (Single Sign-On, SSO).

Fehlersuche und Fehlerbehebung

Eingabeaufforderung

Bei der Fehlersuche von Kerberos Cloud Trust und Windows Hello for Business (WHfB) ist der Befehl klist cloud_debug äusserst hilfreich. Dieser Befehl wird auf dem Client in der Eingabeaufforderung ausgeführt und dient dazu, detaillierte Debugging-Informationen anzuzeigen. Diese Informationen können genutzt werden, um Probleme mit der Authentifizierung oder der Konfiguration von Windows Hello for Business (WHfB) zu identifizieren.

Ereignisanzeige

Die Ereignisanzeige auf dem Client zeigt unter Anwendungs- und Dienstprotokolle > Microsoft > Windows > User Device Registration weitere Möglichkeiten zu den Ursachen, weshalb Kerberos Cloud Trust mit Windows Hello for Business (WHfB) nicht funktioniert.
Die Event-ID 358 zeigt an, dass die Konfiguration für die Nutzung von Kerberos Cloud Trust erfolgreich angewendet wurde, einschliesslich aller relevanten Details.


Folge mir auf LinkedIn, um stets über meine neuesten Beiträge auf dem Laufenden zu bleiben.

Auf LinkedIn folgen

War dieser Beitrag hilfreich für dich? Zeige Deine Begeisterung mit dem herrlichen Aroma eines frisch gebrühten Kaffees für mich!

Buy me a coffee