Jump to content

User automatisch abmelden bei abstecken des Fido2 Keys


MoC88
Go to solution Solved by testperson,

Recommended Posts

Hallo zusammen,

 

Wir haben Surface Go2 Tablets für unsere Pflegeeinrichtungen vorgesehen um schnelle Dokumentationen im Flur vorzunehmen. Die Tablets hängen dabei an der Wand. Nun sind wir einige Szenarien am testen. Dadruch, dass wir das M365 E3 Paket lizensiert haben haben, ist mein Favorit ein Login mit einem Fido2 Key (Yubikey). Das passwortlose Login funktioniert super. Ich hätte aber gerne, dass beim abstekcen des Yubikey der Benutzer sich automatisch abmeldet. Hat da jemand eine Idee, wie man das anstellen kann?

 

Gruß

 

Marco

Edited by MoC88
Link to post

Moin,

 

ich glaube kaum, dass das jenseits von Bastellösungen geht. Der Key ist, wenn ich die Technik richtig verstehe, nur für den Vorgang der Authentifizierung da, nicht um die Session dauerhaft zu legitimieren. So eine Funktion müsste vom Hersteller im Treiber implementiert sein - wenn es da nicht vorgesehen ist, hast du wenig Chancen, das von außen sinnvoll hinzubekommen.

 

Denkbar wäre ein Skript, Programm, Dienst ..., der während der Laufzeit der Session prüft, ob das Gerät noch da ist. Das wäre nach meinem Verständnis aber eben eine Bastellösung (oder würde sehr viel Aufwand verursachen), weil der Code sichergehen müsste, dass er das richtige Device erkennt und nicht von irgendwas in die Irre geführt wird (hier käme der Hersteller ins Spiel - um das sicher zu machen, käme man kaum um ein Zertifikat oder sowas herum). Und da wiederum dürften die Eigenheiten von USB eine Rolle spielen (das nicht in jeder Situation zuverlässig im Sinne der Security ist) - und damit den Aufwand noch mal erhöhen.

 

Gruß, Nils

 

Edited by NilsK
Link to post
  • Solution

Hi,

 

die neueren Yubikey können als SmartCard genutzt werden und dann wäre folgendes denkbar: https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/interactive-logon-smart-card-removal-behavior

 

Bzw. schreibt Yubico dazu: https://support.yubico.com/hc/en-us/articles/360015654500-Setting-up-Windows-Server-for-YubiKey-PIV-Authentication

 

Allerdings bringt Zertifikat/SmartCard wieder ein weiteres Level an Komplexität mit.

 

Gruß

Jan

 

 

 

  • Like 1
Link to post

Moin,

 

danke, Jan, für die Ergänzung. Das entspricht teils dem, was ich meinte - mit dem wichtigen Unterschied, dass du schon einen Schritt weiter recherchiert hast. ;-)

Also, zusammengefasst bis hier: Mit einem "reinen" Key würde das nicht bzw. vermutlich nicht gehen. Treibt man mehr Aufwand und hat einen passenden "erweiterten" Key, dann ist es anscheinend möglich.

 

Gruß, Nils

 

  • Like 1
Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...