Klasse, danke dir für den Beitrag. So weit kann ich mich nun per Biometriescan oder PIN einloggen und auch an allen Microsoft Diensten anmelden. Für RDP funktioniert es allerdings nicht, hier konnte ich mich stets direkt per SSO anmelden, nun gibt es eine Fehlermeldung und es werden Anmeldedaten abgefragt. Wir verwenden einen RD Broker mit mehreren RDSH dafür. Vielleicht wäre das noch ein ergänzendes Thema, wie man das geradeziehen kann. Denke die Konstellation gibt es in vielen Unternehmen...
Eine sehr gute Anleitung im Gegensatz zu den ganzen anderen im Netz. Weiter so! Ich stehe bloß vor einem Problem was ich irgendwie nicht gelöst bekomme. Wir haben eine Domäne in Hybrid Stellung zu Azure. Hier sind Geräte sowohl Entra registered als auch Hybrid joined. Ich habe den Kerberos Trust so weit erfolgreich konfiguriert und über die GPOs den Rechnern Windows Hello erlaubt. Ich kann auf den Computern auch den PIN eingeben und muss mit Zwei Faktor diese Einrichtung bestätigen. Beim anmelden mit PIN oder Gesichtserkennung kommt immer "Diese Option ist vorübergehend nicht verfügbar. Nutzen Sie in der Zwischenzeit eine andere Anmeldemethode." Ich verstehe absolut nicht mehr wo das Problem sein sollte.
Hi ChiLeTiMex3, danke für dein Feedback :) Zu deinem Problem habe ich spontan zwei Ideen: 1. du bist Hybrid Joined und hast bei der Anmeldung keine Sichtverbindung zum DC 2. es war vorher auf dem Client schon "normales" Windows Hello eingerichtet. Da hilft es meistens, den Hello Container einmal über die CMD mit "certutil.exe -deleteHelloContainer" im Userkontext zu löschen Grüße, Thomas
Mal ne etwas komplexere Frage zum Thema, vielleicht habt ihr ne Idee dazu... Aktuell testen wir sowohl Hello for Business als auch Global Secure Access. Im Unternehmen funktioniert die Anmeldung mit Hello for Business an Fileshares bzw. RDPs einwandfrei. Nutzt man nun aber remote eine Verbindung über Global Secure Access bekommt man eine Fehlermeldung, dass die Anmeldung auf Netzwerkebene NLA (bei RDP) fehlgeschlagen ist. Dass das an der Sichtverbindung zum DC liegt, darauf sind wir auch schon gekommen. Aber wie könnte ich das lösen? Im Moment haben wir die etwas unschöne Lösung, ein Always On IKEv2 VPN ausschließlich zu den DCs bereitzustellen, um die Sichtverbindung zu gewährleisten. Das funktioniert zwar, aber wirklich nur seeeeeeehr unzuverlässig und bricht immer wieder ab bzw. funktioniert in einigen Hotel und ICE WLANs einfach gar nicht. Habt ihr nen Tipp?
Hallo, danke für die Info, hat alles gut funktioniert. Nur jetzt läuft bei mir SSO Richtung unserer OnPrem TS-Umgebung nicht mehr 😞. Habt ihr damit Erfahrung? Könnt ihr das auch was zeigen? Beste Grüße und vielen Dank
Klasse, danke dir für den Beitrag. So weit kann ich mich nun per Biometriescan oder PIN einloggen und auch an allen Microsoft Diensten anmelden. Für RDP funktioniert es allerdings nicht, hier konnte ich mich stets direkt per SSO anmelden, nun gibt es eine Fehlermeldung und es werden Anmeldedaten abgefragt. Wir verwenden einen RD Broker mit mehreren RDSH dafür. Vielleicht wäre das noch ein ergänzendes Thema, wie man das geradeziehen kann. Denke die Konstellation gibt es in vielen Unternehmen...
Eine sehr gute Anleitung im Gegensatz zu den ganzen anderen im Netz. Weiter so!
Ich stehe bloß vor einem Problem was ich irgendwie nicht gelöst bekomme.
Wir haben eine Domäne in Hybrid Stellung zu Azure. Hier sind Geräte sowohl Entra registered als auch Hybrid joined.
Ich habe den Kerberos Trust so weit erfolgreich konfiguriert und über die GPOs den Rechnern Windows Hello erlaubt.
Ich kann auf den Computern auch den PIN eingeben und muss mit Zwei Faktor diese Einrichtung bestätigen. Beim anmelden mit PIN oder Gesichtserkennung kommt immer "Diese Option ist vorübergehend nicht verfügbar. Nutzen Sie in der Zwischenzeit eine andere Anmeldemethode."
Ich verstehe absolut nicht mehr wo das Problem sein sollte.
Hi ChiLeTiMex3,
danke für dein Feedback :)
Zu deinem Problem habe ich spontan zwei Ideen:
1. du bist Hybrid Joined und hast bei der Anmeldung keine Sichtverbindung zum DC
2. es war vorher auf dem Client schon "normales" Windows Hello eingerichtet. Da hilft es meistens, den Hello Container einmal über die CMD mit "certutil.exe -deleteHelloContainer" im Userkontext zu löschen
Grüße, Thomas
Mal ne etwas komplexere Frage zum Thema, vielleicht habt ihr ne Idee dazu...
Aktuell testen wir sowohl Hello for Business als auch Global Secure Access. Im Unternehmen funktioniert die Anmeldung mit Hello for Business an Fileshares bzw. RDPs einwandfrei.
Nutzt man nun aber remote eine Verbindung über Global Secure Access bekommt man eine Fehlermeldung, dass die Anmeldung auf Netzwerkebene NLA (bei RDP) fehlgeschlagen ist. Dass das an der Sichtverbindung zum DC liegt, darauf sind wir auch schon gekommen. Aber wie könnte ich das lösen?
Im Moment haben wir die etwas unschöne Lösung, ein Always On IKEv2 VPN ausschließlich zu den DCs bereitzustellen, um die Sichtverbindung zu gewährleisten. Das funktioniert zwar, aber wirklich nur seeeeeeehr unzuverlässig und bricht immer wieder ab bzw. funktioniert in einigen Hotel und ICE WLANs einfach gar nicht.
Habt ihr nen Tipp?
Hallo,
danke für die Info, hat alles gut funktioniert.
Nur jetzt läuft bei mir SSO Richtung unserer OnPrem TS-Umgebung nicht mehr 😞. Habt ihr damit Erfahrung? Könnt ihr das auch was zeigen?
Beste Grüße und vielen Dank