Kerberos Cloud Trust ist ein hybrides Authentifizierungsprotokoll, das von Microsoft entwickelt wurde, um eine sichere und kennwortlose Anmeldung zu ermöglichen. Kerberos Cloud Trust kombiniert die Stärken von Kerberos und Windows Hello for Business, um eine moderne, sichere und benutzerfreundliche Authentifizierungslösung zu bieten. Es ist besonders nützlich in hybriden Umgebungen, in denen sowohl Cloud- als auch lokale Ressourcen genutzt werden. Benutzer authentifizieren sich lokal als auch in der Cloud sicher und nahtlos.
Einige wichtige Punkte zu Kerberos Cloud Trust:
Sichere Authentifizierung: Verwendet ein sicheres Ticketing-System, um Benutzern den Zugriff auf Ressourcen zu gewähren.
Integration mit Windows Hello for Business: Windows Hello for Business ermöglicht passwortloses Anmelden für den Zugriff auf lokale und Cloud-Ressourcen.
Einfache Bereitstellung: Die Implementierung ist einfach und erfordert keine umfangreichen Änderungen an bestehenden Kerberos- oder Active Directory-Konfigurationen.
In diesem Blogpost wird Schritt für Schritt erläutert, wie Kerberos Cloud Trust in einer hybriden Umgebung für Microsoft Entra Joined Geräte eingerichtet und Windows Hello for Business (WHfB) nahtlos integriert wird.
Voraussetzungen und Lizenzierung
Um Kerberos Cloud Trust mit Windows Hello for Business zu implementieren, müssen folgende Anforderungen erfüllt sein.
Betriebssystem
Geräte müssen mindestens Windows 10 21H2 mit KB5010415 und höher oder Windows 11 21H2 mit KB5010414 und höher verwenden.
Geräteregistrierung
Geräte sind Microsoft Entra Joined.
In dieser Anleitung sind die Geräte mit Microsoft Intune verwaltet.
Domänencontroller
Es werden vollständig gepatchte Windows Server 2016 oder neuere Domänencontroller benötigt.
Verzeichnissynchronisierung
Die Verzeichnissynchronisierung wurde mit Microsoft Entra Connect eingerichtet und sorgt für eine fehlerfreie Synchronisation der Benutzerobjekte.
Multi-Faktor-Authentifizierung (MFA)
Aktivierte Multi-Faktor-Authentifizierung (MFA), z.B. mit der folgenden Anleitung: Multi-Faktor Authentifizierung (MFA) erzwingen – cloudkaffee.ch
Lizenz
Für die Nutzung von Kerberos Cloud Trust und Windows Hello for Business ist keine kostenpflichtige Lizenz in Microsoft Azure erforderlich. Die kostenlose Lizenz Microsoft Entra ID Free ist ausreichend. Allerdings setzen zusätzliche Funktionen, wie die automatische MDM-Registrierung, eine kostenpflichtige Lizenz voraus.
Eine Übersicht der Microsoft 365 Lizenzpakete mit deren Features kann unter https://m365maps.com/ abgerufen werden.
Situation
Nach der erfolgreichen Anmeldung an einem Microsoft Entra Joined Windows-Gerät mit Windows Hello for Business (WHfB) erscheint beim Öffnen eines Netzwerkpfades in einer hybriden Umgebung eine Anmeldeaufforderung. Windows Hello for Business (WHfB) kann sich nicht erfolgreich für den Netzwerkzugriff authentifizieren.
Der Befehl klist in der Eingabeaufforderung zeigt keine gültigen Kerberos-Tickets an.
Microsoft Entra Kerberos aktivieren
Das folgende PowerShell-Skript, ausgeführt auf einem Windows Server mit installiertem Microsoft Entra Connect und angemeldet als Domänen-Administrator, erstellt ein Serverobjekt im Active Directory und aktiviert Microsoft Entra Kerberos.
Im Script muss $userPrincipalName durch einen Microsoft Entra ID Benutzer ersetzt werden, der die Rolle globaler Administrator zugewiesen hat.
1 2 3 4 | Install-Module -Name AzureADHybridAuthenticationManagement -AllowClobber $domain = $env:USERDNSDOMAIN $userPrincipalName = "barista@cloudcoffee.ch" Set-AzureADKerberosServer -Domain $domain -UserPrincipalName $userPrincipalName -SetupCloudTrust |
Nach erfolgreicher Ausführung des PowerShell-Skripts wird das neu erstellte Objekt mit dem folgenden Cmdlet angezeigt:
1 | Get-AzureADKerberosServer -Domain $domain -UserPrincipalName $userPrincipalName |
In der OU Domain Controllers wird das Serverobjekt AzureADKerberos angezeigt. Dieses Objekt repräsentiert einen virtuellen schreibgeschützten Domänencontroller (Read-Only Domain Controller, RODC), der für die Kommunikation mit Microsoft Entra Kerberos zuständig ist.
Kerberos Cloud Trust aktivieren
Abruf von Kerberos-Tickets in der Cloud
Das Abrufen von Kerberos Cloud Tickets erlaubt es Benutzern, sich sicher bei verschiedenen Diensten zu authentifizieren, indem sie Kerberos-Tickets direkt aus der Cloud beziehen. Die Konfiguration erfolgt dabei im Microsoft Intune Admin Center (https://intune.microsoft.com).
Geräte > Geräte verwalten > Konfiguration > Erstellen > Neue Richtlinie
Plattform Windows 10 und höher (1), Profiltyp Vorlagen (2), Vorlage Benutzerdefiniert (3) auswählen und die Richtlinie mit Erstellen (4) erstellen.
Das Konfigurationsprofil benennen (z.B. WIN-Kerberos-Cloud-Trust) und auf Weiter klicken.
Hinzufügen (1) anklicken und folgende Einstellungen vornehmen:
Name (2): frei wählbar, z.B. Cloud Kerberos Ticket Retrieval
OMA-URI (3): ./Device/Vendor/MSFT/Policy/Config/Kerberos/CloudKerberosTicketRetrievalEnabled
Data type (4): Ganze Zahl
Value (5): 1
Konfiguration mit Speichern (6) abschliessen und danach auf Weiter (7) klicken.
Die Zuweisung an Geräte kann hier individuell den eigenen Bedürfnissen angepasst werden.
Die Anwendbarkeitsregeln können bei Bedarf erstellt werden.
Die gewählten Einstellungen werden zur Prüfung nochmals angezeigt und mit einem Klick auf Erstellen wird die Richtlinie erstellt.
Windows Hello Cloud Trust für die lokale Authentifizierung
Im nächsten Schritt wird Windows Hello for Business für die nahtlose Authentifizierung (SSO) in der hybriden Umgebung eingerichtet. Dazu ist ein zusätzlicher OMA-URI Eintrag in der Konfigurationsrichtlinie erforderlich.
Die gerade erstellte Konfigurationsrichtlinie aufrufen, die in dieser Anleitung als WIN-Kerberos-Cloud-Trust bezeichnet wird.
Konfigurationseinstellungen bearbeiten anklicken.
Hinzufügen (1) anklicken und folgende Einstellungen vornehmen:
Wichtig: TenantID in der OMA-URI durch die Mandanten ID ersetzen.
Name (2): frei wählbar, z.B. Windows Hello Cloud Trust
OMA-URI (3): ./Device/Vendor/MSFT/PassportForWork/TENANTID/Policies/UseCloudTrustForOnPremAuth
Data type (4): Boolescher Wert
Value (5): True
Konfiguration mit Speichern (6) abschliessen und danach auf Weiter (7) klicken.
Die gewählten Einstellungen werden zur Prüfung nochmals angezeigt und mit einem Klick auf Erstellen wird die Richtlinie erstellt.
Sobald das Konfigurationsprofil mit dem Gerät synchronisiert ist, das Gerät neu starten.
Funktionskontrolle
Nach dem Neustart des Geräts kann in der Eingabeaufforderung der Befehl klist eingegeben werden. Dieser Befehl listet alle aktiven Kerberos-Tickets auf dem Gerät auf.
Die Netzwerkverbindung zur lokalen Freigabe funktioniert jetzt nahtlos und ohne Benutzerabfrage (Single Sign-On, SSO).
Fehlersuche und Fehlerbehebung
Eingabeaufforderung
Bei der Fehlersuche von Kerberos Cloud Trust und Windows Hello for Business (WHfB) ist der Befehl klist cloud_debug äusserst hilfreich. Dieser Befehl wird auf dem Client in der Eingabeaufforderung ausgeführt und dient dazu, detaillierte Debugging-Informationen anzuzeigen. Diese Informationen können genutzt werden, um Probleme mit der Authentifizierung oder der Konfiguration von Windows Hello for Business (WHfB) zu identifizieren.
1 | klist cloud_debug |
Ereignisanzeige
Die Ereignisanzeige auf dem Client zeigt unter Anwendungs- und Dienstprotokolle > Microsoft > Windows > User Device Registration weitere Möglichkeiten zu den Ursachen, weshalb Kerberos Cloud Trust mit Windows Hello for Business (WHfB) nicht funktioniert.
Die Event-ID 358 zeigt an, dass die Konfiguration für die Nutzung von Kerberos Cloud Trust erfolgreich angewendet wurde, einschliesslich aller relevanten Details.
Folge mir auf LinkedIn, um stets über meine neuesten Beiträge auf dem Laufenden zu bleiben.
War dieser Beitrag hilfreich für dich? Zeige Deine Begeisterung mit dem herrlichen Aroma eines frisch gebrühten Kaffees für mich!