¿Se requiere VPN Always On o VPN pre-inicio de sesión para la confianza en Cloud Key?

Tenemos un cliente que está 100% unido a Azure AD con todas las máquinas ejecutando Windows 11.

Aún tienen necesidad de usar soluciones locales a pesar del uso intensivo de SharePoint Online, OneDrive para Empresas y Teams.

Estamos investigando Cloud Key Trust para Windows Hello para Empresas con el fin de habilitar la autenticación sin contraseña con claves de hardware FIDO2.

He probado Cloud Key Trust aquí, y parece que para usuarios remotos (ya que son 100% remotos) es la solución.

Utilizan la última versión de Entra ID Connect (Azure AD connect) en Windows Server 2022. Todos son usuarios híbridos sincronizados desde un solo bosque a un solo inquilino de Entra ID.

Sin embargo, al observar el comando klist al visitar una ruta UNC, no muestra los tickets Kerberos a pesar de estar conectados a VPN.

Me pregunto si es necesario conectarse a VPN antes de iniciar sesión en Windows para que los tickets Kerberos funcionen con CKT WH4B.

No, solo actívalo, actualiza los clientes y listo.

¿Sus cuentas existen en el controlador de dominio local?

¿Utilizan adsync?

Para dispositivos AAD, el TGT de Kerberos no aparecería en el control de dominio, verifica en los clientes estos tickets TGT.

La vista de eventos tiene detalles sobre la confianza en la nube/TGT, etc. Solo necesitas VPN si estás fuera del sitio y tratas de conectarte a recursos en el sitio, como antes de AAD.

Todos son usuarios híbridos sincronizados con AAD connect en Windows Server 2022.

¿Pero es necesaria la VPN cuando estás fuera del sitio antes de iniciar sesión?

Mis usuarios abren la VPN cuando quieren acceder a los recursos compartidos SMB. ¿Qué problema tienes?