5
Mfa mit Bedingungen bei Windows Hello for Business?
Hi,
es kam die Frage auf, ob es möglich ist WHfB so zu konfigurieren, dass Mfa z.B. nur nötig ist, wenn man ausserhalb der Unternehmens ist, z.B. durch Abfrage der IP und ping an DC oder was auch immer sinnvoll sein kann. In den GPO habe ich keinen Hinweis gefunden. Könnte dies z.B. über Intune möglich sein? Mir scheint dort gibt es deutlich mehr Einstellungen.
Wie ist denn generell das Best practice, wenn Geräte in Intune hybrid joined sind? Soll man eher über Intune konfigurieren, z.B. conditional access, oder lieber GPO? Ist beides zusammen unproblematisch? Was passiert bei conlicting policies? Welche gewinnt?
Ciao, Katja.
es kam die Frage auf, ob es möglich ist WHfB so zu konfigurieren, dass Mfa z.B. nur nötig ist, wenn man ausserhalb der Unternehmens ist, z.B. durch Abfrage der IP und ping an DC oder was auch immer sinnvoll sein kann. In den GPO habe ich keinen Hinweis gefunden. Könnte dies z.B. über Intune möglich sein? Mir scheint dort gibt es deutlich mehr Einstellungen.
Wie ist denn generell das Best practice, wenn Geräte in Intune hybrid joined sind? Soll man eher über Intune konfigurieren, z.B. conditional access, oder lieber GPO? Ist beides zusammen unproblematisch? Was passiert bei conlicting policies? Welche gewinnt?
Ciao, Katja.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 668274
Url: https://administrator.de/contentid/668274
Ausgedruckt am: 26.09.2024 um 23:09 Uhr
5 Kommentare
Neuester Kommentar
Ja Conditional Access Policies in Entra erstellen.
Hybrid ist generell nicht best practice, aber wenn würde ich intune für die Clientkonfiguration bevorzugen, macht es leichter irgendwann auf entra joined umzustellen.
Bei intune vs gpo gewinnt standardmäßig die gpo
Hybrid ist generell nicht best practice, aber wenn würde ich intune für die Clientkonfiguration bevorzugen, macht es leichter irgendwann auf entra joined umzustellen.
Bei intune vs gpo gewinnt standardmäßig die gpo
Conditional Access von Entra für Anmeldung am Desktop? Das wäre mir neu.
Meines Wissens gilt CA für die Online Ressourcen.
Ich verstehe die Frage von @katja56 so, dass bei Anmeldung über Win Hello innerhalb des Firmennetz kein zusätzliches MFA erfolgen soll. Wobei Hello ansich ja schon MFA ist ....
Oder?
Meines Wissens gilt CA für die Online Ressourcen.
Ich verstehe die Frage von @katja56 so, dass bei Anmeldung über Win Hello innerhalb des Firmennetz kein zusätzliches MFA erfolgen soll. Wobei Hello ansich ja schon MFA ist ....
Oder?
Zitat von @emeriks:
Conditional Access von Entra für Anmeldung am Desktop? Das wäre mir neu.
Meines Wissens gilt CA für die Online Ressourcen.
Ich verstehe die Frage von @katja56 so, dass bei Anmeldung über Win Hello innerhalb des Firmennetz kein zusätzliches MFA erfolgen soll. Wobei Hello ansich ja schon MFA ist ....
Oder?
Conditional Access von Entra für Anmeldung am Desktop? Das wäre mir neu.
Meines Wissens gilt CA für die Online Ressourcen.
Ich verstehe die Frage von @katja56 so, dass bei Anmeldung über Win Hello innerhalb des Firmennetz kein zusätzliches MFA erfolgen soll. Wobei Hello ansich ja schon MFA ist ....
Oder?
Genau, innerhalb des Firmennetzes soll nur 1 Faktor nötig sein, wie z.B. Gesichtserkennung oder Fingerabdruck. Ausserhalb dann immer zusätlich der PIN. Habe dazu in der GPO die "Signalregelerkennung" gefunden. MAcht die nicht das, was ich will, wenn ich diese Einstellung benutze:
<rule schemaVersion="1.0"><signal type="bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/></rule>,<rule schemaVersion="1.0"><signal type="ipConfig"><ipv4DnsServer>172.19.10.20</ipv4DnsServer><dnsSuffix>xxxx.local</dnsSuffix></signal></rule> Ich verstehe die Syntax so, dass entweder ein verbundenes Handy als Faktor gilt, oder die Kombination aus DNS-Server und DNS-Suffix. Ist das so richtig? Obwohl das mit dem Handy nicht wirklich Sinn ergibt, da man es ja auch unterwegs verbunden haben kann. Werde es rausnehmen
"Signalregelerkennung"
Ich glaube, das bezieht sich nur auf die automatische Sperrung und "Entsperrung", aber nicht auf die Anmeldung.Zitat von @emeriks:
"Signalregelerkennung"
Ich glaube, das bezieht sich nur auf die automatische Sperrung und "Entsperrung", aber nicht auf die Anmeldung.Dynamische Sperre ist was anderes
