MoC88 2 Posted November 4, 2020 Report Posted November 4, 2020 (edited) Hallo zusammen, Wir haben Surface Go2 Tablets für unsere Pflegeeinrichtungen vorgesehen um schnelle Dokumentationen im Flur vorzunehmen. Die Tablets hängen dabei an der Wand. Nun sind wir einige Szenarien am testen. Dadruch, dass wir das M365 E3 Paket lizensiert haben haben, ist mein Favorit ein Login mit einem Fido2 Key (Yubikey). Das passwortlose Login funktioniert super. Ich hätte aber gerne, dass beim abstekcen des Yubikey der Benutzer sich automatisch abmeldet. Hat da jemand eine Idee, wie man das anstellen kann? Gruß Marco Edited November 4, 2020 by MoC88 Quote
NilsK 2,972 Posted November 4, 2020 Report Posted November 4, 2020 (edited) Moin, ich glaube kaum, dass das jenseits von Bastellösungen geht. Der Key ist, wenn ich die Technik richtig verstehe, nur für den Vorgang der Authentifizierung da, nicht um die Session dauerhaft zu legitimieren. So eine Funktion müsste vom Hersteller im Treiber implementiert sein - wenn es da nicht vorgesehen ist, hast du wenig Chancen, das von außen sinnvoll hinzubekommen. Denkbar wäre ein Skript, Programm, Dienst ..., der während der Laufzeit der Session prüft, ob das Gerät noch da ist. Das wäre nach meinem Verständnis aber eben eine Bastellösung (oder würde sehr viel Aufwand verursachen), weil der Code sichergehen müsste, dass er das richtige Device erkennt und nicht von irgendwas in die Irre geführt wird (hier käme der Hersteller ins Spiel - um das sicher zu machen, käme man kaum um ein Zertifikat oder sowas herum). Und da wiederum dürften die Eigenheiten von USB eine Rolle spielen (das nicht in jeder Situation zuverlässig im Sinne der Security ist) - und damit den Aufwand noch mal erhöhen. Gruß, Nils Edited November 4, 2020 by NilsK Quote
Solution testperson 1,747 Posted November 4, 2020 Solution Report Posted November 4, 2020 Hi, die neueren Yubikey können als SmartCard genutzt werden und dann wäre folgendes denkbar: https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/interactive-logon-smart-card-removal-behavior Bzw. schreibt Yubico dazu: https://support.yubico.com/hc/en-us/articles/360015654500-Setting-up-Windows-Server-for-YubiKey-PIV-Authentication Allerdings bringt Zertifikat/SmartCard wieder ein weiteres Level an Komplexität mit. Gruß Jan 1 Quote
NilsK 2,972 Posted November 4, 2020 Report Posted November 4, 2020 Moin, danke, Jan, für die Ergänzung. Das entspricht teils dem, was ich meinte - mit dem wichtigen Unterschied, dass du schon einen Schritt weiter recherchiert hast. Also, zusammengefasst bis hier: Mit einem "reinen" Key würde das nicht bzw. vermutlich nicht gehen. Treibt man mehr Aufwand und hat einen passenden "erweiterten" Key, dann ist es anscheinend möglich. Gruß, Nils 1 Quote
MoC88 2 Posted November 4, 2020 Author Report Posted November 4, 2020 OK, danke für euer kontruktives Feedback. Dann muss ich mal schauen :) Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.