Zertifikatbasierte Authentifizierung für RDP
Sie können SCEPman verwenden, um Smart-Card-Anmeldezertifikate an Ihre Benutzer auszustellen. Indem Sie diese bei Windows Hello for Business einschreiben (Microsoft Passport Key Storage Provider) können sie diese Zertifikate verwenden, um sich mit ihrer Hello-PIN oder biometrischen Optionen bei On-Premises-Ressourcen zu authentifizieren.
Dies ermöglicht Benutzern beispielsweise, sich mit ihren Windows Hello for Business-Anmeldeinformationen über das Remote Desktop Protocol (RDP) mit anderen Clients zu verbinden.
Active Directory einrichten
Voraussetzungen
Das CA-Zertifikat von SCEPman muss im NTAuth Store veröffentlicht sein, um Benutzer gegenüber Active Directory zu authentifizieren
Domänencontroller benötigen ein Domänencontrollerzertifikat, um Smartcard-Benutzer zu authentifizieren
Domänencontroller und Zielmaschinen müssen der Root-CA von SCEPman vertrauen
Folgen Sie unserer Anleitung zu Domänencontroller-Zertifikaten, um das Root-CA-Zertifikat von SCEPman in den NTAuth Store zu veröffentlichen und Zertifikate an Ihre Domänencontroller auszustellen:
Domain-Controller-ZertifikateSie können ein Gruppenrichtlinienobjekt erstellen, um die Verteilung des Stammzertifikats an die beteiligten Computer zu verwalten: So verteilen Sie Zertifikate an Clientcomputer mithilfe von Gruppenrichtlinien
Das Zertifikat muss auf allen Domänencontrollern bereitgestellt werden, die die Authentifizierungen ausführen, sowie auf allen Zielcomputern, zu denen sich Benutzer mit dieser Methode verbinden möchten.
Bitte beachten Sie, dass sobald das Root-Zertifikat von SCEPman im NTAuth-Store veröffentlicht ist, Benutzer, die den Inhalt der von SCEPman ausgestellten Zertifikate beeinflussen können (z. B. Intune-Administratoren), in der Lage sind, sich als beliebige Active-Directory-Principals auszugeben.
Die Smart-Card-Zertifikate mit Intune bereitstellen
Vertrauenswürdiges Zertifikatsprofil
Ihre Clients müssen dem Root-Zertifikat von SCEPman vertrauen.
Wenn Sie SCEPman bereits verwenden, um Zertifikate an Ihre Clients zu verteilen, haben Sie dieses Profil bereits eingerichtet.
Smart-Card-Zertifikat
Erstellen Sie ein Profil für Windows 10 und später mit Typ SCEP-Zertifikat in Microsoft Intune und konfigurieren Sie das Profil wie folgt:
Format des Subject-Namens: CN={{UserPrincipalName}}
Wenn die UPN-Suffix der anvisierten Benutzer in Entra ID sich von dem in Active Directory verwendeten unterscheidet, sollten Sie CN={{OnPrem_Distinguished_Name}}
Subject alternative name: UPN-Wert: (UPN) und URI-Wert: {{OnPremisesSecurityIdentifier}}
Die URI mit der SID ist notwendig, um eine starke Zertifikatzuordnung in AD zu haben. Alternativ können Sie SCEPman so konfigurieren, eine Erweiterung mit der SID hinzuzufügen zu Benutzerzertifikaten und die URI nicht zu konfigurieren.
Key Storage Provider (KSP): Bei Windows Hello for Business einschreiben, andernfalls fehlschlagen (Windows 10 und neuer)
SCEPman unterstützt den SHA-2-Algorithmus. Profil aus dem vorherigen Schritt (Vertrauenswürdiges Zertifikatsprofil)
verwenden, müssen Sie das Vertrauenszertifikatprofil für die Zwischen-CA auswählen, nicht für die Root-CA! Client-Authentifizierung und Smart-Card-Anmeldungin
Erweiterte Schlüsselnutzung:
Smart Card Logon, 1.3.6.1.4.1.311.20.2.2
und wählen Sie einen geeigneten Wert, der es dem Gerät ermöglicht, das Zertifikat über einen langen Zeitraum hinweg zu erneuern. Ein Wert von 20 % würde es einem Gerät mit einem ein Jahr gültigen Zertifikat erlauben, 73 Tage vor Ablauf mit der Erneuerung zu beginnen. SCEP-Server-URLs: Öffnen Sie das SCEPman-Portal und kopieren Sie die URL von
Windows Hello for Business verwenden, um sich mit Remote-Hosts zu verbinden
Mit dem auf dem authentifizierenden Client bereitgestellten Zertifikat verbinden Sie sich einfach mit dem Remote-Host und wählen den konfigurierten Windows Hello for Business-Anmeldeinformationsanbieter aus.
Zuletzt aktualisiert
War das hilfreich?