# Zertifikatsbasierte Authentifizierung für RDP

Sie können SCEPman verwenden, um Ihren Benutzern Smart Card Login-Zertifikate auszustellen. Indem sie bei Windows Hello for Business (*Microsoft Passport Key Storage Provider*) angemeldet werden, können sie diese Zertifikate verwenden, um sich mit ihrer Hello-PIN oder biometrischen Optionen bei lokalen Ressourcen zu authentifizieren.

Dadurch können sich Benutzer beispielsweise über das Remote Desktop Protocol (RDP) mit ihren Windows Hello for Business-Anmeldeinformationen mit anderen Clients verbinden.

## Active Directory einrichten

### Anforderungen

* Das CA-Zertifikat von SCEPman muss im **NTAuth** Store veröffentlicht werden, um Benutzer bei Active Directory zu authentifizieren
* Domänencontroller benötigen ein Domänencontroller-Zertifikat, um Smartcard-Benutzer zu authentifizieren
* Domänencontroller und Zielcomputer müssen SCEPmans Root-CA vertrauen

Folgen Sie unserer Anleitung zu Domänencontroller-Zertifikaten, um das SCEPman-Root-CA-Zertifikat im **NTAuth** Store zu veröffentlichen und Zertifikate an Ihre Domänencontroller auszustellen:

{% content-ref url="/pages/6c050fcf9d4de35d860de347178b94f9b1e6f9b1" %}
[Domain Controller-Zertifikate](/de/zertifikatsverwaltung/domain-controller-certificates.md)
{% endcontent-ref %}

Sie können ein **Gruppenrichtlinienobjekt** erstellen, um die Verteilung des Root-Zertifikats an die beteiligten Computer zu steuern:[ Um Zertifikate mithilfe von Gruppenrichtlinien an Clientcomputer zu verteilen](https://learn.microsoft.com/en-us/windows-server/identity/ad-fs/deployment/distribute-certificates-to-client-computers-by-using-group-policy#to-distribute-certificates-to-client-computers-by-using-group-policy)

Das Zertifikat muss auf allen Domänencontrollern bereitgestellt werden, die die Authentifizierungen verarbeiten, sowie auf allen Zielcomputern, mit denen sich Benutzer mit dieser Methode verbinden möchten.

{% hint style="danger" %}
Bitte beachten Sie, dass Benutzer, sobald SCEPmans Root-Zertifikat im NTAuth-Store veröffentlicht ist und sie den Inhalt von von SCEPman ausgestellten Zertifikaten beeinflussen können (z. B. Intune-Administratoren), in der Lage sind, jede beliebige Active Directory-Identität zu impersonieren.
{% endhint %}

## Stellen Sie die Smart-Card-Zertifikate mithilfe von Intune bereit

### Vertrauenswürdiges Zertifikatsprofil

Ihre Clients müssen [dem Root-Zertifikat von SCEPman vertrauen](https://docs.scepman.com/certificate-deployment/microsoft-intune/windows-10#root-certificate).

Wenn Sie SCEPman bereits zum Bereitstellen von Zertifikaten an Ihre Clients verwenden, haben Sie dieses Profil bereits eingerichtet.

### Smart-Card-Zertifikat

Erstellen Sie ein Profil für **Windows 10 und höher** mit Typ **SCEP-Zertifikat** in Microsoft Intune und konfigurieren Sie das Profil wie beschrieben:

<details>

<summary>Zertifikattyp: <code>Benutzer</code></summary>

</details>

<details>

<summary>Format des Subject-Namens: <code>CN={{UserPrincipalName}}</code></summary>

Wenn der UPN-Suffix der Zielbenutzer in Entra ID zufällig von dem in Active Directory verwendeten abweicht, sollten Sie `CN={{OnPrem_Distinguished_Name}}`

</details>

<details>

<summary>Alternativer Name des Antragstellers: UPN-Wert: <code>{{UserPrincipalName}}</code> und URI-Wert: <code>{{OnPremisesSecurityIdentifier}}</code></summary>

Die URI mit der SID ist notwendig, um eine [Starke Zertifikatzuordnung](/de/scepman-konfiguration/application-settings/certificates.md#appconfig-addsidextension) in AD zu haben. Alternativ können Sie SCEPman so konfigurieren, dass er [eine Erweiterung mit der SID hinzufügt](/de/scepman-konfiguration/application-settings/scep-endpoints/intune-validation.md#appconfig-intunevalidation-waitforsuccessnotificationresponse) zu Benutzerzertifikaten und die URI nicht konfigurieren.

</details>

<details>

<summary>Key Storage Provider (KSP): <code>Bei Windows Hello for Business anmelden, andernfalls fehlschlagen (Windows 10 und höher)</code></summary>

</details>

<details>

<summary>Key usage: <code>Digitale Signatur</code> und <code>Schlüsselaustausch</code></summary>

</details>

<details>

<summary>Schlüsselgröße (Bits): <code>2048</code></summary>

</details>

<details>

<summary>Hash-Algorithmus: <code>SHA-2</code></summary>

</details>

<details>

<summary>Root-Zertifikat: <code>Profil aus dem vorherigen Schritt (Vertrauenswürdiges Zertifikatsprofil)</code></summary>

</details>

<details>

<summary>Extended key use: <code>Client Authentication</code> und <code>Smart Card Log</code>in</summary>

`Client Authentication, 1.3.6.1.5.5.7.3.2`

`Smart Card Logon, 1.3.6.1.4.1.311.20.2.2`

</details>

<details>

<summary>SCEP-Server-URLs: Öffnen Sie das SCEPman-Portal und kopieren Sie die URL von <a href="#device-certificates">Intune MDM</a></summary>

</details>

### Mit Windows Hello for Business eine Verbindung zu Remotesystemen herstellen

Wenn das Zertifikat auf dem authentifizierenden Client bereitgestellt ist, verbinden Sie sich einfach mit dem Remotesystem und wählen Sie den konfigurierten Windows Hello for Business-Anmeldeinformationsanbieter aus.&#x20;

<figure><img src="/files/ef663a0a7721b24ae43669f9f4241fe9fc6929d0" alt=""><figcaption></figcaption></figure>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.scepman.com/de/scepman-bereitstellung/deployment-guides/scenarios/certificate-based-authentication-for-rdp.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.