Autenticación basada en certificados para RDP
Puede usar SCEPman para emitir certificados de Inicio de sesión con tarjeta inteligente a sus usuarios. Al inscribirlos en Windows Hello para empresas (Proveedor de almacenamiento de claves de Microsoft Passport) pueden usar estos certificados para autenticarse en recursos locales usando su PIN de Hello o las opciones biométricas.
Esto permitirá, por ejemplo, que los usuarios se conecten a otros equipos mediante el Protocolo de Escritorio Remoto (RDP) usando sus credenciales de Windows Hello para empresas.
Configurar Active Directory
Requisitos
El certificado de CA de SCEPman debe publicarse en el NTAuth almacén para autenticar usuarios en Active Directory
Los controladores de dominio necesitan tener un certificado de controlador de dominio para autenticar usuarios con tarjeta inteligente
Los controladores de dominio y las máquinas de destino deben confiar en la CA raíz de SCEPman
Siga nuestra guía sobre certificados de controladores de dominio para publicar el certificado de la CA raíz de SCEPman en el NTAuth almacén y emitir certificados a sus controladores de dominio:
Certificados de controladores de dominioPuede crear un Objeto de directiva de grupo para manejar la distribución del certificado raíz a las máquinas involucradas: Para distribuir certificados a equipos cliente mediante Directiva de grupo
El certificado debe desplegarse en todos los controladores de dominio que manejan las autenticaciones y en todas las máquinas de destino a las que los usuarios quieran conectarse usando este método.
Tenga en cuenta que una vez que el certificado raíz de SCEPman se publique en el almacén NTAuth, los usuarios que puedan influir en el contenido de los certificados emitidos por SCEPman (p. ej., administradores de Intune) podrán suplantar a cualquier principal de Active Directory.
Implemente los certificados de tarjeta inteligente usando Intune
Perfil de certificado de confianza
Sus clientes necesitarán confiar en el certificado raíz de SCEPman.
Si ya usa SCEPman para desplegar certificados en sus clientes, ya tendrá este perfil configurado.
Certificado de tarjeta inteligente
Cree un perfil para Windows 10 y posteriores con el tipo Certificado SCEP en Microsoft Intune y configure el perfil como se describe:
Formato del nombre del sujeto: CN={{UserPrincipalName}}
Si el sufijo UPN de los usuarios objetivo en Entra ID resulta ser diferente al usado en Active Directory, debe usar CN={{OnPrem_Distinguished_Name}}
Nombre alternativo de sujeto: valor UPN: {{UserPrincipalName}} y valor de URI: {{OnPremisesSecurityIdentifier}}
La URI con el SID es necesaria para tener un Asignación fuerte de certificados en AD. Alternativamente, puede configurar SCEPman para agregar una extensión con el SID a los certificados de usuario y no configurar la URI.
Proveedor de almacenamiento de claves (KSP): Inscribirse en Windows Hello para empresas, de lo contrario fallar (Windows 10 y posteriores)
Uso de clave extendido: Autenticación de cliente y Inicio de sesión con tarjeta inteligenteen
Autenticación de cliente, 1.3.6.1.5.5.7.3.2
Inicio de sesión con tarjeta inteligente, 1.3.6.1.4.1.311.20.2.2
URLs del servidor SCEP: Abra el portal de SCEPman y copie la URL de Intune MDM
Use Windows Hello para empresas para conectarse a hosts remotos
Con el certificado desplegado en el cliente que autentica, simplemente conéctese al host remoto y seleccione el proveedor de credenciales de Windows Hello para empresas configurado.
Última actualización
¿Te fue útil?