2FA Windows 10 Login Unternehmen

[k0ntr]

Guten Tag

Wir möchten neu eine 2FA für unser Unternehmen von 50 Mitarbeitern. Wir besitzen normale Domain Accounts und O365 Lizenzen.

Was braucht es hierzu genau damit man sowas aktivieren kann? z.B. wenn man sich an der Domain anmeldet, dass es da nochmal nach einem PIN fragt (Google Authenticator o.ä.).

Geht sowas nur mit Microsoft Intune?

 

[Rubbiator]

Leider nein, im Moment ist es außerhalb von Windows Virtual Desktop nicht möglich den reinen Windows 10 Login mit einem zweiten Faktor abzusichern. Es gibt 3rd Party Lösungen, aber diese simulieren im Endeffekt auch nur die PIN.

Lasse mich gerne eines besseren belehren, da ich hier nach auch schonmal geschaut hatte und nichts gefunden habe.
Vorzugsweise mit dem Microsoft Authenticator, da er eh schon für den VPN benutzt wird.

 

[FranzvonAssisi]

@Rubbiator Doch, funktioniert. Nennt sich "Windows Hello for Business" und hat gigantische Konfigurationsmöglichkeiten: https://www.microsoft.com/en/security/business/identity/mfa
(z.b. auch: https://docs.microsoft.com/en-us/wi...hello-for-business/feature-multifactor-unlock )

(Gigantisch, weil man mmn schon einen eigenen Kurs belegen kann um die Möglichkeiten damit abzudecken)

Lg

 

[cloudman]

Das ist nicht ganz so trivial und ohne Azure AD Anbindung nicht mehr wirklich praktikabel. Intune ist nicht unbedingt notwendig

Wie @FranzvonAssisi schon angemerkt hat gibt es da einiges zu konfigurieren und vorher zu lernen.

Hier noch ein paar Links :

https://docs.microsoft.com/de-de/wi...o-for-business/hello-hybrid-key-trust-prereqs

https://docs.microsoft.com/de-de/wi...tection/hello-for-business/hello-how-it-works

https://docs.microsoft.com/de-de/wi...ction/hello-for-business/hello-planning-guide
https://www.microsoft.com/en-us/its...uthentication-with-windows-hello-for-business

 

[Rubbiator]

Das Windows Hello for Business einen zweiten Faktor darstellt ist mir bewusst.

Jedoch habe ich nicht auf die Schnelle den Punkt finden können, wie man die Konfiguration für den Microsoft Authenticator vornimmt, damit beim Anmelden eine zu bestätigende Push-Benachrichtigung kommt.

Es wird lediglich gesagt, dass er für das Enrollment genutzt werden kann, was im Zuge von Conditional Access und co. geregelt wird.

Der TE fragte ja explizit nach einer Authenticator App.

Hier die entsprechende User-Voice, um das Vorhaben zu unterstützen:
https://feedback.azure.com/forums/1...dd-mfa-support-to-secure-the-windows-10-logon

 

[cloudman]

ich hab nur 2FA gelesen

Windows Login mit Authenticator geht wohl immer noch nicht.

Ob Windows Hello for Business jetzt "reines" 2FA ist darüber kann man streiten.
Wenn man so will ist bei Windows Hello ist der zweite Faktor mein registriertes Device.

Ich bin zum Glück nur User und muss es nicht administrieren.
Bei uns ist beides implementiert. Windows Hello um sich über PIN oder Biometrie an Windows anzumelden und Phone Authenication für unsere "intranet" resourcen (sind aber über das Internet ereichbar)
(Also das hier: https://docs.microsoft.com/en-us/az...ation/howto-authentication-passwordless-phone)

Die Phone authentication brauche ich dann aber nur als "Fallback" wenn ich mal von meinem privat PC oder Handy auf Webresourcen zugreife.

 

[Rubbiator]

Ob Windows Hello for Business jetzt "reines" 2FA ist darüber kann man streiten.
Wenn man so will ist bei Windows Hello ist der zweite Faktor mein registriertes Device.

Sehe ich genauso in meinen Augen ist kein richtiger 2FA sondern schönes Marketinggeschwurble von Microsoft.

Die Phone authentication brauche ich dann aber nur als "Fallback" wenn ich mal von meinem privat PC oder Handy auf Webresourcen zugreife.

Das ist der Conditional Access, man kann an verschiedenen Bedingungen wie Standort Gerät usw. fest machen, ob der Authenticator benötigt wird oder nicht.