:

    Windows Hello for Business Cloud Kerberos Trust konfigurieren

    In diesem Video aus unserer Reihe zu Windows Hello for Business lernst du, wie du den Windows Hello for Business Cloud Kerberos Trust aktivierst.



    Mit dem Cloud Kerberos Trust bekommst du kennwortloses Single Sign-On gegen und Kerberos-Ressourcen über dein Entra ID konfiguriert.

    Brauchst du Unterstützung bei deinen Cloud-Projekten?

    Melde dich bei uns!



    Das Script installiert das nötige Powershell-Modul und konfiguriert den Kerberos Account im AD. ISE bzw. Powershell muss als Admin ausgeführt werden, da das Modul sonst nicht installiert. “-Scope CurrentUser” funktioniert für dieses Modul nicht.

    Configure-WindowsHelloKerberosAccount.ps1

    <#
    .SYNOPSIS
       Kerberos Account erstellen
     
    .DESCRIPTION
       Die Inhalte sind lediglich eine Zusammenfassung der Schritte um den Cloud Kerberos Trust zu aktivieren
       und das den Kerberos Server Verschlüsselungsschlüssel zu rotieren.
       Die Inhalte sind die sinnvollsten Befehle aus dem folgenden Artikel: https://learn.microsoft.com/en-us/entra/identity/authentication/howto-authentication-passwordless-security-key-on-premises
    
    .NOTES
      Version:        
      Author:         Thomas Thaler
      Creation Date:  2024-04-25
      Purpose/Change: 
    #>
    
    
    # First, ensure TLS 1.2 for PowerShell gallery access.
    [Net.ServicePointManager]::SecurityProtocol = [Net.ServicePointManager]::SecurityProtocol -bor [Net.SecurityProtocolType]::Tls12
    
    # Install the AzureADHybridAuthenticationManagement PowerShell module.
    Install-Module -Name AzureADHybridAuthenticationManagement -AllowClobber
    
    # Import Module
    Import-Module -Name AzureADHybridAuthenticationManagement
    
    
    # Specify the on-premises Active Directory domain. A new Azure AD
    # Kerberos Server object will be created in this Active Directory domain.
    $domain = $env:USERDNSDOMAIN
    
    # Enter a UPN of an Entra ID global administrator
    $userPrincipalName = "globaladmin@example.onmicrosoft.com"
    
    # Enter a domain administrator username and password.
    $domainCred = Get-Credential
    
    # Create the new Azure AD Kerberos Server object in Active Directory
    # and then publish it to Azure Active Directory.
    # Open an interactive sign-in prompt with given username to access the Azure AD.
    Set-AzureADKerberosServer -Domain $domain -UserPrincipalName $userPrincipalName -DomainCredential $domainCred
    
    
    # When prompted to provide domain credentials use the userprincipalname format for the username instead of domain\username
    Get-AzureADKerberosServer -Domain $domain -UserPrincipalName $userPrincipalName -DomainCredential $domainCred
    
    
    # Rotate the Entra Kerberos Server encryption key
    Set-AzureADKerberosServer -Domain $domain -CloudCredential $cloudCred -DomainCredential $domainCred -RotateServerKey