Seamless SSO Verschlüsselung

Standardmäßig definiert Azure AD Connect bei Aktivierung der Seamless SSO Funktion die Schlüsselstärke für die Kerberos-Token nicht. Da ich den Wert jedes Mal suche ;) hier nun nochmal in dokumentierter Form:

Der Wert wird bei dem Attribut "msDS-SupportedEncryptionTypes" des Computerobjekts "AZUREADSSOACC" angepasst:

Eingabewert	Verschlüsselung
16	AES 256
24	AES 128 und AES 256

siehe auch https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/decrypting-the-selection-of-supported-kerberos-encryption-types/ba-p/1628797

Nach dem Setzen wird ein Rollover des Keys empfohlen:
siehe https://learn.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-sso-faq#how-can-i-roll-over-the-kerberos-decryption-key-of-the--azureadsso--computer-account-

Zusammenfassung:

cd $env:programfiles"\Microsoft Azure Active Directory Connect"

Import-Module .\AzureADSSO.psd1

Anmelden als Globaler Administrator im Azure AD Tenant:
New-AzureADSSOAuthenticationContext

Domänenadministrator-Credentials hinterlegen:
$DomAdminCredentials = Get-Credential

Update-AzureADSSOForest -OnPremCredentials $DomAdminCredentials

Das Ergebnis lässt sich je nach Client prüfen, in dem man zunächst via "klist purge" die aktuellen Token löscht und nach Aufruf einer M365-Ressource nochmals via klist prüft ob unter "KerbTicket (Verschlüsselungstyp):" die entsprechende Verschlüsselung genutzt wird.

Über den Autor

Thomas Windscheif arbeitet bei excITe Consulting und ist langjähriger Berater im Bereich IT-Infrastruktur und Groupware. Sowohl Kleinunternehmen z. B. im Handwerk als auch der größere fertigende Mittelstand gehören zu seinem Projektumfeld. Im Wesentlichen gehören die Planung von Infrastruktur-Migrationen, Cloud-Lösungen (Microsoft 365), Groupware-Umgebungen (z. B. Exchange) und deren Umsetzung zu seinen Aufgaben. Insbesondere im Umfeld hybrider Identitätsumgebungen mit Entra Connect und den Möglichkeiten zur Härtung der IT-Landschaft konnte er in vielen Projekten Erfahrungen sammeln. Neues begeistert ihn aber ebenso und so unterstützt Thomas Windscheif auch bei themenfremden IT-Systemen, überall da wo er helfen kann.

Sein Ziel: Die Mehrwerte der heutigen IT-Lösungen für einfacheres und modernes Arbeiten beim Kunden einbringen.

Sie haben ein ungelöstes Problem in Ihrer Exchange Server/Microsoft-Infrastruktur oder unter Microsoft 365?
Treten Sie gerne mit mir in Kontakt. Sowohl bei einfachen Umgebungen, als auch bei komplexen Multisite/Cloud-Topologien unterstütze ich Sie -auch kurzfristig- sehr gerne.

Nutzen Sie den Live Chat, xing, LinkedIn, das Kontaktformular oder den Mailkontakt

[

News als RSS-Feed abonnieren]
News

vom 29.04.2026 - 13:53

- Microsoft Exchange Active Directory Split Permissions -

Was machen die Microsoft Exchange Active Directory Split Permissions und was für Auswirkungen hat dies auf die Administration über Exchange?

Dies beschreibt der folgende Artikel.

Außerdem liefere ich als Vorbereitung für die Umsetzung ein Skript, welches die Logs hinsichtlich der künftig nicht mehr verfügbaren Cmdlets hin filtert um den Nutzerkreis zu ermitteln, welcher von der Änderung betroffen sein wird.

https://www.microlinc.de/index.php?lev1=25&lev2=43&lev3=&id=484

Weitere News:

E-Rechnung Viewer via Gruppenrichtlinie installieren

vom 24.12.2024 12:49

Spontaner Administrationsverlust unter Exchange Online - Und wie man es behebt!

vom 22.09.2024 14:29

UPDATE - PowerShell Exchange Vererbung Postfachordnerberechtigungen

vom 28.07.2024 17:18

Safe Sender List unter Outlook leeren - Praktische Umsetzung

vom 06.11.2023 18:05

Exchange Online Protection und die Safe Sender List

vom 26.10.2023 15:06

Exchange Online - Abschaltung Remote PowerShell Session (RPS)

vom 25.08.2023 14:37