So verwenden Sie Single Sign-On (SSO) über VPN- und WLAN-Verbindungen

In diesem Artikel werden die Anforderungen zum Aktivieren des einmaligen Anmeldens (Single Sign-On, SSO) für lokale Domänenressourcen über Wi-Fi- oder VPN-Verbindungen erläutert. Die folgenden Szenarien werden in der Regel verwendet:

  • Herstellen einer Verbindung mit einem Netzwerk über Wi-Fi oder VPN
  • Verwenden Sie Anmeldeinformationen für Wi-Fi- oder VPN-Authentifizierung, um auch Anforderungen für den Zugriff auf Domänenressourcen zu authentifizieren, ohne zur Eingabe von Domänenanmeldeinformationen aufgefordert zu werden.

Beispielsweise möchten Sie eine Verbindung mit einem Unternehmensnetzwerk herstellen und auf eine interne Website zugreifen, die eine integrierte Windows-Authentifizierung erfordert.

Die Anmeldeinformationen, die für die Verbindungsauthentifizierung verwendet werden, werden im Anmeldeinformations-Manager als Standardanmeldeinformationen für die Anmeldesitzung platziert. Der Anmeldeinformations-Manager speichert Anmeldeinformationen, die für bestimmte Domänenressourcen verwendet werden können. Diese basieren auf dem Zielnamen der Ressource:

  • Für VPN speichert der VPN-Stapel seine Anmeldeinformationen als Sitzungsstandard.
  • Für WLAN bietet das Extensible Authentication Protocol (EAP) Unterstützung.

Die Anmeldeinformationen werden im Anmeldeinformations-Manager als Sitzungsanmeldeinformationen platziert:

  • Sitzungsanmeldeinformationen impliziert, dass sie für die aktuelle Benutzersitzung gültig sind.
  • Die Anmeldeinformationen werden bereinigt, wenn die Wi-Fi- oder VPN-Verbindung getrennt wird.

Hinweis

In Windows 10 Version 21H2 und höher sind die Sitzungsanmeldeinformationen im Anmeldeinformations-Manager nicht sichtbar.

Wenn beispielsweise eine Person, die Microsoft Edge verwendet, versucht, auf eine Domänenressource zuzugreifen, verfügt Microsoft Edge über die richtige Funktion für die Unternehmensauthentifizierung. Dadurch kann WinInet die Anmeldeinformationen, die sie vom Anmeldeinformations-Manager erhält, an den SSP freigeben, der sie anfordert. Weitere Informationen zur Unternehmensauthentifizierungsfunktion finden Sie unter App-Funktionsdeklarationen.

Die lokale Sicherheitsautorität prüft die Geräteanwendung, um zu ermitteln, ob sie über die richtige Funktion verfügt. Dies schließt Elemente wie eine Universelle Windows-Plattform -Anwendung (UWP) ein. Wenn es sich bei der App nicht um eine UWP handelt, spielt dies keine Rolle. Wenn es sich bei der Anwendung jedoch um eine UWP-App handelt, wird sie bei der Gerätefunktion für die Unternehmensauthentifizierung ausgewertet. Wenn diese Funktion vorhanden ist und sich die Ressource, auf die Sie zugreifen möchten, in der Intranetzone in den Internetoptionen (ZoneMap) befindet, werden die Anmeldeinformationen freigegeben. Dieses Verhalten verhindert, dass Anmeldeinformationen von nicht vertrauenswürdigen Dritten missbraucht werden.

Intranetzone

Für die Intranetzone sind standardmäßig nur Namen mit nur einer Bezeichnung zulässig, z http://finance. B. . Wenn die Ressource, auf die zugegriffen werden muss, über mehrere Domänenbezeichnungen verfügt, besteht die Problemumgehung darin, den Registrierungs-CSP zu verwenden.

Festlegen der ZoneMap

Die ZoneMap wird über eine Registrierung gesteuert, die über MDM festgelegt werden kann. Standardmäßig befinden sich Namen mit nur einer Bezeichnung wie http://finance bereits in der Intranetzone. Für Namen mit mehreren Bezeichnungen, z http://finance.net. B. , muss die ZoneMap aktualisiert werden.

MDM-Richtlinie

OMA-URI-Beispiel:

./Vendor/MSFT/Registry/HKU/S-1-5-21-2702878673-795188819-444038987-2781/Software/Microsoft/Windows/CurrentVersion/Internet%20Settings/ZoneMap/Domains/<domain name>Integer als Wert von 1 für jede der Domänen, in die Sie SSO von Ihrem Gerät aus verwenden möchten. Dadurch werden die angegebenen Domänen der Intranetzone des Microsoft Edge-Browsers hinzugefügt.

Anmeldeinformationsanforderungen

Für VPN werden dem Anmeldeinformations-Manager nach der Authentifizierung die folgenden Arten von Anmeldeinformationen hinzugefügt:

  • Benutzername und Kennwort
  • Zertifikatbasierte Authentifizierung:
    • TPM-Schlüsselspeicheranbieterzertifikat (KSP)
    • KSP-Zertifikate (Software Key Storage Provider)
    • Smartcardzertifikat
    • Windows Hello for Business-Zertifikat

Der Benutzername sollte auch eine Domäne enthalten, die über die Verbindung (VPN oder WLAN) erreicht werden kann.

Benutzerzertifikatvorlagen

Wenn die Anmeldeinformationen zertifikatbasiert sind, müssen die Elemente in der folgenden Tabelle für die Zertifikatvorlagen konfiguriert werden, um sicherzustellen, dass sie auch für die Kerberos-Clientauthentifizierung verwendet werden können.

Template-Element Konfiguration
Subjectname Der Distinguished Name (DN) des Benutzers, bei dem die Domänenkomponenten des distinguished name den internen DNS-Namespace widerspiegeln, wenn SubjectAlternativeName nicht über den vollqualifizierten UPN verfügt, der zum Suchen des Domänencontrollers erforderlich ist.
Diese Anforderung ist in Umgebungen mit mehreren Gesamtstrukturen relevant, da sie sicherstellt, dass ein Domänencontroller gefunden werden kann.
SubjectAlternativeName Der vollqualifizierte UPN des Benutzers, bei dem eine Domänennamenkomponente des UPN des Benutzers mit dem DNS-Namespace der internen Domäne der Organisation übereinstimmt.
Diese Anforderung ist in Umgebungen mit mehreren Gesamtstrukturen relevant, da sie sicherstellt, dass ein Domänencontroller gefunden werden kann, wenn der SubjectName nicht über den DN verfügt, der zum Suchen des Domänencontrollers erforderlich ist.
Schlüsselspeicheranbieter (Key Storage Provider, KSP) Wenn das Gerät mit Microsoft Entra ID verknüpft ist, wird ein diskretes SSO-Zertifikat verwendet.
EnhancedKeyUsage Mindestens eine der folgenden EKUs ist erforderlich:
  • Clientauthentifizierung (für das VPN)
  • EAP-Filterungs-OID (für Windows Hello for Business)
  • SmartCardLogon (für Microsoft Entra verbundene Geräte)
Wenn die Domänencontroller eine intelligente Karte EKU erfordern:
  • SmartCardLogon
  • id-pkinit-KPClientAuth (1.3.6.1.5.2.3.4)
Andernfalls:
  • TLS/SSL-Clientauthentifizierung (1.3.6.1.5.5.7.3.2)

NDES-Serverkonfiguration

Der NDES-Server muss so konfiguriert werden, dass eingehende SCEP-Anforderungen der richtigen Vorlage zugeordnet werden können. Weitere Informationen finden Sie unter Konfigurieren der Zertifikatinfrastruktur für SCEP.

Active Directory-Anforderungen

Sie benötigen IP-Konnektivität mit einem DNS-Server und Domänencontroller über die Netzwerkschnittstelle, damit auch die Authentifizierung erfolgreich sein kann.

Domänencontroller müssen über geeignete KDC-Zertifikate verfügen, damit der Client ihnen als Domänencontroller vertrauen kann. Da Telefone nicht in die Domäne eingebunden sind, muss sich die Stammzertifizierungsstelle des KDC-Zertifikats im Stammzertifizierungsstellenspeicher des Drittanbieters oder im Smartcard-Speicher für vertrauenswürdige Stammstämme befinden.

Domänencontroller müssen Zertifikate verwenden, die auf der aktualisierten KDC-Zertifikatvorlage Kerberos-Authentifizierung basieren.