katja56
Goto Top

Mfa mit Bedingungen bei Windows Hello for Business?

Hi,

es kam die Frage auf, ob es möglich ist WHfB so zu konfigurieren, dass Mfa z.B. nur nötig ist, wenn man ausserhalb der Unternehmens ist, z.B. durch Abfrage der IP und ping an DC oder was auch immer sinnvoll sein kann. In den GPO habe ich keinen Hinweis gefunden. Könnte dies z.B. über Intune möglich sein? Mir scheint dort gibt es deutlich mehr Einstellungen.

Wie ist denn generell das Best practice, wenn Geräte in Intune hybrid joined sind? Soll man eher über Intune konfigurieren, z.B. conditional access, oder lieber GPO? Ist beides zusammen unproblematisch? Was passiert bei conlicting policies? Welche gewinnt?

Ciao, Katja.

Content-ID: 668274

Url: https://administrator.de/forum/mfa-mit-bedingungen-bei-windows-hello-for-business-668274.html

Ausgedruckt am: 24.12.2024 um 02:12 Uhr

pebcak7123
pebcak7123 20.09.2024 um 09:59:16 Uhr
Goto Top
Ja Conditional Access Policies in Entra erstellen.
Hybrid ist generell nicht best practice, aber wenn würde ich intune für die Clientkonfiguration bevorzugen, macht es leichter irgendwann auf entra joined umzustellen.
Bei intune vs gpo gewinnt standardmäßig die gpo
emeriks
emeriks 20.09.2024 aktualisiert um 15:09:06 Uhr
Goto Top
Conditional Access von Entra für Anmeldung am Desktop? Das wäre mir neu.
Meines Wissens gilt CA für die Online Ressourcen.

Ich verstehe die Frage von @katja56 so, dass bei Anmeldung über Win Hello innerhalb des Firmennetz kein zusätzliches MFA erfolgen soll. Wobei Hello ansich ja schon MFA ist ....

Oder?
katja56
katja56 25.09.2024 um 13:18:15 Uhr
Goto Top
Zitat von @emeriks:

Conditional Access von Entra für Anmeldung am Desktop? Das wäre mir neu.
Meines Wissens gilt CA für die Online Ressourcen.

Ich verstehe die Frage von @katja56 so, dass bei Anmeldung über Win Hello innerhalb des Firmennetz kein zusätzliches MFA erfolgen soll. Wobei Hello ansich ja schon MFA ist ....

Oder?

Genau, innerhalb des Firmennetzes soll nur 1 Faktor nötig sein, wie z.B. Gesichtserkennung oder Fingerabdruck. Ausserhalb dann immer zusätlich der PIN. Habe dazu in der GPO die "Signalregelerkennung" gefunden. MAcht die nicht das, was ich will, wenn ich diese Einstellung benutze:

<rule schemaVersion="1.0"><signal type="bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/></rule>,<rule schemaVersion="1.0"><signal type="ipConfig"><ipv4DnsServer>172.19.10.20</ipv4DnsServer><dnsSuffix>xxxx.local</dnsSuffix></signal></rule>  

Ich verstehe die Syntax so, dass entweder ein verbundenes Handy als Faktor gilt, oder die Kombination aus DNS-Server und DNS-Suffix. Ist das so richtig? Obwohl das mit dem Handy nicht wirklich Sinn ergibt, da man es ja auch unterwegs verbunden haben kann. Werde es rausnehmen
emeriks
emeriks 25.09.2024 um 13:42:53 Uhr
Goto Top
"Signalregelerkennung"
Ich glaube, das bezieht sich nur auf die automatische Sperrung und "Entsperrung", aber nicht auf die Anmeldung.
katja56
katja56 25.09.2024 um 15:19:45 Uhr
Goto Top
Zitat von @emeriks:

"Signalregelerkennung"
Ich glaube, das bezieht sich nur auf die automatische Sperrung und "Entsperrung", aber nicht auf die Anmeldung.

Dynamische Sperre ist was anderes