Autenticación basada en certificados para RDP
Puedes usar SCEPman para emitir certificados de inicio de sesión con tarjeta inteligente a tus usuarios. Al inscribirlos en Windows Hello for Business (Microsoft Passport Key Storage Provider) pueden usar estos certificados para autenticarse en recursos locales utilizando su PIN de Hello u opciones biométricas.
Esto permitirá a los usuarios, por ejemplo, conectarse a otros clientes a través del Protocolo de Escritorio Remoto (RDP) usando sus credenciales de Windows Hello for Business.
Configurar Active Directory
Requisitos
El certificado CA de SCEPman debe publicarse en el NTAuth almacén para autenticar usuarios en Active Directory
Los Domain Controllers necesitan tener un certificado de controlador de dominio para autenticar usuarios de tarjeta inteligente
Los Domain Controllers y las máquinas de destino deben confiar en la CA raíz de SCEPman
Sigue nuestra guía sobre certificados de Domain Controller para publicar el certificado de CA raíz de SCEPman en el NTAuth almacén e emitir certificados a tus Domain Controllers:
certificados de Domain ControllerPuedes crear un Objeto de directiva de grupo para gestionar la distribución del certificado raíz a las máquinas involucradas: Para distribuir certificados a equipos cliente mediante Directiva de grupo
El certificado debe implementarse en todos los Domain Controllers que gestionen las autenticaciones y en todas las máquinas de destino a las que los usuarios quieran conectarse usando este método.
Ten en cuenta que, una vez que el certificado raíz de SCEPman se publique en el almacén NTAuth, los usuarios que puedan influir en el contenido de los certificados emitidos por SCEPman (por ejemplo, administradores de Intune) podrán suplantar a cualquier principal de Active Directory.
Implementar los certificados de tarjeta inteligente mediante Intune
Perfil de certificado de confianza
Tus clientes tendrán que confiar en el certificado raíz de SCEPman.
Si ya usas SCEPman para implementar certificados en tus clientes, ya tendrás este perfil configurado.
Certificado de tarjeta inteligente
Cree un perfil para Windows 10 y posteriores con tipo certificado SCEP en Microsoft Intune y configura el perfil como se describe:
Formato del nombre del sujeto: CN={{UserPrincipalName}}
Si el sufijo UPN de los usuarios objetivo en Entra ID resulta ser diferente del usado en Active Directory, deberías usar CN={{OnPrem_Distinguished_Name}}
Nombre alternativo del sujeto: valor UPN: {{UserPrincipalName}} y valor URI: {{OnPremisesSecurityIdentifier}}
La URI con el SID es necesaria para tener una Asignación de certificado fuerte en AD. Como alternativa, puedes configurar SCEPman para añadir una extensión con el SID a los certificados de usuario y no configurar la URI.
Proveedor de almacenamiento de claves (KSP): Inscribirse en Windows Hello for Business, de lo contrario fallar (Windows 10 y posteriores)
Uso extendido de clave: Autenticación de cliente y Inicio de sesión con tarjeta inteligenteen
Autenticación de cliente, 1.3.6.1.5.5.7.3.2
Inicio de sesión con tarjeta inteligente, 1.3.6.1.4.1.311.20.2.2
URL del servidor SCEP: Abra el portal de SCEPman y copie la URL de Intune MDM
Usar Windows Hello for Business para conectarse a hosts remotos
Con el certificado implementado en el cliente de autenticación, solo conéctate al host remoto y selecciona el proveedor de credenciales de Windows Hello for Business configurado.
Última actualización
¿Te fue útil?