7
FIDO 2 - 4 lokale Benutzer auf 3 PCs
Guten Tag allerseits!
Frage: Wir haben 4 Benutzer, die alle auf 3 PCs einen eigenen lokalen Benutzer bekommen. (Workgroup)
Diese Benutzer würden dann die MS 365 Office Apps über den Status "Registered" beziehen.
Ist es möglich, auf allen 3 PCs Konten für diese 4 Benutzer anzulegen und das so, das jeder der 4 Benutzer an jedem der 3 PCs sich mit seinem FIDO2 Stick anmelden kann?
Bei Azure AD ist die Antwort ja klar. Die FIDO2 Sticks sind mit dem Azure AD Konto verbunden und können sich somit an allen 3 PCs anmelden.
Wie ist dies bei lokalen Usern? Gibt es da eine Möglichkeit?
Ich vermute sehr stark dass die Antwort nein ist, aber ich dachte, ich frage hier mal nach!
Außerdem wünsche ich eine schöne Woche!
mfG
Goodfred
Frage: Wir haben 4 Benutzer, die alle auf 3 PCs einen eigenen lokalen Benutzer bekommen. (Workgroup)
Diese Benutzer würden dann die MS 365 Office Apps über den Status "Registered" beziehen.
Ist es möglich, auf allen 3 PCs Konten für diese 4 Benutzer anzulegen und das so, das jeder der 4 Benutzer an jedem der 3 PCs sich mit seinem FIDO2 Stick anmelden kann?
Bei Azure AD ist die Antwort ja klar. Die FIDO2 Sticks sind mit dem Azure AD Konto verbunden und können sich somit an allen 3 PCs anmelden.
Wie ist dies bei lokalen Usern? Gibt es da eine Möglichkeit?
Ich vermute sehr stark dass die Antwort nein ist, aber ich dachte, ich frage hier mal nach!
Außerdem wünsche ich eine schöne Woche!
mfG
Goodfred
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 13068645736
Url: https://administrator.de/contentid/13068645736
Printed on: June 25, 2024 at 22:06 o'clock
7 Comments
Latest comment
Ich habe bisher nur von GhatGPT eine verwertbare Antwort bekommen.
1. FIDO2 kann für mehrere lokale Benutzerkonten am gleichen PC genutzt werden
2. FIDO2 kann für ein lokales Benutzerkonto an mehreren PCs eingesetzt werden
Da ich ChatGPT in diesem Fall nicht 100% vertraue, würde ich mich über eine Antwort von euch sehr freuen!
Meine bedenken:
1. + 2. Soweit ich weiß: Wenn man mehrere Konten von MS 365 einsetzt, bleibt das zuletzt registrierte Konto aktiv und die anderen sind nicht mehr nutzbar
(hier wird MS 365 nur als Registered benutzt, aber vielleicht trifft das auch auf lokale Benutzer zu? Kann es im Moment nicht testen)
2. Reicht es wenn das lokale Benutzerkonto die gleiche Workgroup und den gleichen Anmeldenamen sowie PW hat, damit man mehrere lokale Benutzer an mehreren PCs mit einem FIDO2 Stick verwenden kann?
(ich hoffe es! :D)
Vielen Dank schonmal für Antworten!
Grüße!
Goodfred
P.S.: Ich war schon am Zweifeln ob FIDO2 ohne Domäne (Entra, lokal oder Hybrid) funktioniert - bis ich die Antwort von ChatGPT hatte
1. FIDO2 kann für mehrere lokale Benutzerkonten am gleichen PC genutzt werden
2. FIDO2 kann für ein lokales Benutzerkonto an mehreren PCs eingesetzt werden
Da ich ChatGPT in diesem Fall nicht 100% vertraue, würde ich mich über eine Antwort von euch sehr freuen!
Meine bedenken:
1. + 2. Soweit ich weiß: Wenn man mehrere Konten von MS 365 einsetzt, bleibt das zuletzt registrierte Konto aktiv und die anderen sind nicht mehr nutzbar
(hier wird MS 365 nur als Registered benutzt, aber vielleicht trifft das auch auf lokale Benutzer zu? Kann es im Moment nicht testen)
2. Reicht es wenn das lokale Benutzerkonto die gleiche Workgroup und den gleichen Anmeldenamen sowie PW hat, damit man mehrere lokale Benutzer an mehreren PCs mit einem FIDO2 Stick verwenden kann?
(ich hoffe es! :D)
Vielen Dank schonmal für Antworten!
Grüße!
Goodfred
P.S.: Ich war schon am Zweifeln ob FIDO2 ohne Domäne (Entra, lokal oder Hybrid) funktioniert - bis ich die Antwort von ChatGPT hatte
Jetzt habe ich Testgeräte.
Leider kann ich mich nicht mit einem lokalen User über FIDO2 an Windows 10 Pro (22H2) anmelden.
Diese Richtlinie " Computerkonfiguration -> Administrative Vorlagen -> System -> Anmelden(/Logon) -> "Anmeldung mit Sicherheitsschlüssel aktivieren" " führte auch nicht zum Erfolg.
Kann es sein, dass FIDO2 nur mit Domänen-Accounts klappt? Eventuell habe ich die Möglichkeit für einen Azure AD Join
Leider kann ich mich nicht mit einem lokalen User über FIDO2 an Windows 10 Pro (22H2) anmelden.
Diese Richtlinie " Computerkonfiguration -> Administrative Vorlagen -> System -> Anmelden(/Logon) -> "Anmeldung mit Sicherheitsschlüssel aktivieren" " führte auch nicht zum Erfolg.
Kann es sein, dass FIDO2 nur mit Domänen-Accounts klappt? Eventuell habe ich die Möglichkeit für einen Azure AD Join
Scheinen hier nicht so viele zu nutzen...
Google ist, wie so oft Dein Freund
Du gibst den Stick ja nicht an. Ich nutze den Yubikey und er ist mein Schweizer Taschenmesser, was Logins angeht. Aber nicht für Windows.
Viele Grüße, commodity
Google ist, wie so oft Dein Freund
Du gibst den Stick ja nicht an. Ich nutze den Yubikey und er ist mein Schweizer Taschenmesser, was Logins angeht. Aber nicht für Windows.
Wie ist dies bei lokalen Usern? Gibt es da eine Möglichkeit
m.W. nein, wenn es um den User-Login geht. Yubico hat oder hatte eine Software für Win10, da konnte man Fido2 als zusätzlichenFaktor einsetzen.Kann es sein, dass FIDO2 nur mit Domänen-Accounts klappt?
IMO klappt es sogar nur in AAD-Domains. Mit einer klassischen Domäne sollte die Anmeldung mit dem Yubikey als Smartcard möglich sein, wohl nicht aber mit FIDO2.Viele Grüße, commodity
1
Moin @Goodfred,
nein, das geht auch mit lokalen Accounts, du benötigst dafür jedoch Zusatzsoftware.
Das folgenden Beispiel zeigt wie das z.B. mit Yubico's funktioniert.
https://support.yubico.com/hc/en-us/articles/360013708460-Yubico-Login-f ...
Gruss Alex
Kann es sein, dass FIDO2 nur mit Domänen-Accounts klappt?
nein, das geht auch mit lokalen Accounts, du benötigst dafür jedoch Zusatzsoftware.
Das folgenden Beispiel zeigt wie das z.B. mit Yubico's funktioniert.
https://support.yubico.com/hc/en-us/articles/360013708460-Yubico-Login-f ...
Gruss Alex
1
Meist liege ich falsch, wenn ich dem Kollegen @MysticFoxDE widerspreche 
Ich hatte das in dem Link oben beschriebene Procedere vor längerer Zeit schon umgesetzt und es ist nach meinem Verständnis nicht das, was der TO begehrt.
Denn es ist kein Fido2-Login (ausschließlich) mit Yubikey. Vielmehr wird weiterhin das Passwort des Users abgefragt. Der Yubikey ist in diesem Fall ein zusätzliches Sicherheitsmedium.
Wenn das dem TO aber genügt (der Sicherheit dient es definitiv), ist dies der Weg.
Viele Grüße, commodity
Ich hatte das in dem Link oben beschriebene Procedere vor längerer Zeit schon umgesetzt und es ist nach meinem Verständnis nicht das, was der TO begehrt.
Denn es ist kein Fido2-Login (ausschließlich) mit Yubikey. Vielmehr wird weiterhin das Passwort des Users abgefragt. Der Yubikey ist in diesem Fall ein zusätzliches Sicherheitsmedium.
When the local user account has been configured to require a YubiKey, the user is authenticated by the Yubico Credential Provider instead of the default Windows Credential Provider. The user is prompted to insert their YubiKey. Then the Yubico Login screen is presented. The user enters their username and password.
Wenn das dem TO aber genügt (der Sicherheit dient es definitiv), ist dies der Weg.
Viele Grüße, commodity
Moin @commodity,
wir haben beide nicht unrecht. 🤪
Du kannst mit dem Yubikey, soweit ich weiss beides machen. 😁
Wir haben das bei uns z.B. über die AD als zusätzliche Authentifizierungsmethode schor vor längerem implementiert.
Sprich, wenn ich den Yubikey zur Hand habe, dann schiebe ich diesen in den Rechner rein, gebe die PIN ein und schon bin ich drin. 🤪
Bei uns ist jedoch auch noch alternativ die Anmeldung mit Benutzername und Passwort weiterhin möglich.
Wie das mit dem Yubikey als 2FA Login funktioniert, habe ich noch gar nicht ausprobiert.
Mir ist ehrlich gesagt schon die Funktion, dass sich die User nur noch mit dem Yubikey und PIN anmelden, vollkommen ausreichend.
Denn in dem Fall, muss der Benutzer überhaupt nicht sein Account Passwort wissen und kann dieses demzufolge auch gar nicht bei irgendwelchen externen Accounts mitverwenden, wo es dann geklaut werden kann. 😁
Und wenn der Yubikey doch verloren geht, so kann der Finder ohne die PIN damit auch nichts wirklich anfangen.
Denn nach meine ich drei Fehlversuchen, wird der Yubikey wie auch eine SIM gesperrt und man muss zum freischalten den PUK eingeben.
Und wird auch der PUK x Mal falsch eingegeben, dann "killt" sich der Yubikey von alleine. 🤪
Damit das mit dem Yubikey als einzige Loginvariante sauber läuft, müssen jedoch alle Programme/Dienste die auf der AD Authentifizierung beruhen, SSO unterstützen und genau das ist leider bei vielen nicht der Fall. 😭
Gruss Alex
wir haben beide nicht unrecht. 🤪
Ich hatte das in dem Link oben beschriebene Procedere vor längerer Zeit schon umgesetzt und es ist nach meinem Verständnis nicht das, was der TO begehrt.
Denn es ist kein Fido2-Login (ausschließlich) mit Yubikey. Vielmehr wird weiterhin das Passwort des Users abgefragt. Der Yubikey ist in diesem Fall ein zusätzliches Sicherheitsmedium.
Denn es ist kein Fido2-Login (ausschließlich) mit Yubikey. Vielmehr wird weiterhin das Passwort des Users abgefragt. Der Yubikey ist in diesem Fall ein zusätzliches Sicherheitsmedium.
Du kannst mit dem Yubikey, soweit ich weiss beides machen. 😁
Wir haben das bei uns z.B. über die AD als zusätzliche Authentifizierungsmethode schor vor längerem implementiert.
Sprich, wenn ich den Yubikey zur Hand habe, dann schiebe ich diesen in den Rechner rein, gebe die PIN ein und schon bin ich drin. 🤪
Bei uns ist jedoch auch noch alternativ die Anmeldung mit Benutzername und Passwort weiterhin möglich.
Wie das mit dem Yubikey als 2FA Login funktioniert, habe ich noch gar nicht ausprobiert.
Mir ist ehrlich gesagt schon die Funktion, dass sich die User nur noch mit dem Yubikey und PIN anmelden, vollkommen ausreichend.
Denn in dem Fall, muss der Benutzer überhaupt nicht sein Account Passwort wissen und kann dieses demzufolge auch gar nicht bei irgendwelchen externen Accounts mitverwenden, wo es dann geklaut werden kann. 😁
Und wenn der Yubikey doch verloren geht, so kann der Finder ohne die PIN damit auch nichts wirklich anfangen.
Denn nach meine ich drei Fehlversuchen, wird der Yubikey wie auch eine SIM gesperrt und man muss zum freischalten den PUK eingeben.
Und wird auch der PUK x Mal falsch eingegeben, dann "killt" sich der Yubikey von alleine. 🤪
Damit das mit dem Yubikey als einzige Loginvariante sauber läuft, müssen jedoch alle Programme/Dienste die auf der AD Authentifizierung beruhen, SSO unterstützen und genau das ist leider bei vielen nicht der Fall. 😭
Gruss Alex
Hallo Alex,
die Kombi PIN und Yubikey ist natürlich ein sehr guter Mittelweg. Absolut machbar und schützt das Passwort. Werde ich mich mal ran machen.
Wenn ich das recht verstehe, funktioniert dieser Weg aber nur für Geräte im AD und nicht mit der Yubikey-Software "Yubikey-Login for Windows", die Du oben verlinkt hattest. Die ist ja nur für Arbeitsgruppencomputer vorgesehen und erwartet die Eingabe Username und Passwort (was ich nachteilig finde).
Ich glaube, ich hatte die Software seinerzeit (damals noch ohne AD) als nicht zielführend verworfen, weil parallele Anmeldewege (PIN) danach noch gingen und ich die PIN-Anmeldung nicht abschalten wollte. Bin aber nicht ganz sicher, ob das der Grund war. In der Beschreibung steht:
Am Rande noch ein Link, der im Kontext vielleicht für den einen oder anderen auch interessant sein könnte:
Yubikey for RDP Login
Viele Grüße, commodity
Viele Grüße, commodity
die Kombi PIN und Yubikey ist natürlich ein sehr guter Mittelweg. Absolut machbar und schützt das Passwort. Werde ich mich mal ran machen.
Wenn ich das recht verstehe, funktioniert dieser Weg aber nur für Geräte im AD und nicht mit der Yubikey-Software "Yubikey-Login for Windows", die Du oben verlinkt hattest. Die ist ja nur für Arbeitsgruppencomputer vorgesehen und erwartet die Eingabe Username und Passwort (was ich nachteilig finde).
Ich glaube, ich hatte die Software seinerzeit (damals noch ohne AD) als nicht zielführend verworfen, weil parallele Anmeldewege (PIN) danach noch gingen und ich die PIN-Anmeldung nicht abschalten wollte. Bin aber nicht ganz sicher, ob das der Grund war. In der Beschreibung steht:
Alternative sign-in methods supported by Windows will not be affected.
Am Rande noch ein Link, der im Kontext vielleicht für den einen oder anderen auch interessant sein könnte:
Yubikey for RDP Login
Viele Grüße, commodity
Viele Grüße, commodity
