Authentification basée sur certificat pour RDP
Vous pouvez utiliser SCEPman pour émettre des certificats Smart Card Login à vos utilisateurs. En les inscrivant à Windows Hello for Business (Fournisseur de stockage de clés Microsoft Passport) ils peuvent utiliser ces certificats pour s'authentifier sur des ressources locales en utilisant leur code PIN Hello ou les options biométriques.
Cela permettra par exemple aux utilisateurs de se connecter à d'autres clients via le protocole Remote Desktop (RDP) en utilisant leurs informations d'identification Windows Hello for Business.
Configurer Active Directory
Exigences
Le certificat CA de SCEPman doit être publié dans le NTAuth magasin pour authentifier les utilisateurs auprès d'Active Directory
Les contrôleurs de domaine doivent disposer d'un certificat de contrôleur de domaine pour authentifier les utilisateurs par carte à puce
Les contrôleurs de domaine et les machines cibles doivent faire confiance à la Root CA de SCEPman
Suivez notre guide sur les certificats de contrôleur de domaine pour publier le certificat Root CA de SCEPman dans le NTAuth magasin et émettre des certificats à vos contrôleurs de domaine :
Certificats de contrôleur de domaineVous pouvez créer un Objet de stratégie de groupe pour gérer la distribution du certificat racine aux machines concernées : Pour distribuer des certificats aux ordinateurs clients à l'aide de la stratégie de groupe
Le certificat doit être déployé sur tous les contrôleurs de domaine gérant les authentifications et sur toutes les machines cibles auxquelles les utilisateurs souhaitent se connecter en utilisant cette méthode.
Veuillez noter qu'une fois le certificat racine de SCEPman publié dans le magasin NTAuth, les utilisateurs pouvant influencer le contenu des certificats émis par SCEPman (par exemple les administrateurs Intune) sont capables d'usurper l'identité de n'importe quel principal Active Directory.
Déployer les certificats de carte à puce à l'aide d'Intune
Profil de certificat approuvé
Vos clients devront faire confiance au certificat racine de SCEPman.
Si vous utilisez déjà SCEPman pour déployer des certificats à vos clients, vous aurez déjà ce profil en place.
Certificat Smart Card
Créez un profil pour Windows 10 et versions ultérieures avec le type Certificat SCEP dans Microsoft Intune et configurer le profil comme décrit :
Format du nom du sujet : CN={{UserPrincipalName}}
Si le suffixe UPN des utilisateurs ciblés dans Entra ID est différent de celui utilisé dans Active Directory, vous devriez utiliser CN={{OnPrem_Distinguished_Name}}
Nom alternatif du sujet : valeur UPN : {{UserPrincipalName}} et valeur URI : {{OnPremisesSecurityIdentifier}}
L'URI avec le SID est nécessaire pour avoir un mappage de certificat fort dans AD. Alternativement, vous pouvez configurer SCEPman pour ajouter une extension avec le SID aux certificats utilisateur et ne pas configurer l'URI.
Fournisseur de stockage de clé (KSP) : S'inscrire à Windows Hello for Business, sinon échouer (Windows 10 et versions ultérieures)
Utilisation étendue de la clé : Authentification du client et Journal Smart Carddans
Authentification client, 1.3.6.1.5.5.7.3.2
Smart Card Logon, 1.3.6.1.4.1.311.20.2.2
URLs du serveur SCEP : Ouvrez le portail SCEPman et copiez l'URL de Intune MDM
Utiliser Windows Hello for Business pour se connecter à des hôtes distants
Avec le certificat déployé sur le client authentifiant, il suffit de se connecter à l'hôte distant et de sélectionner le fournisseur d'informations d'identification Windows Hello for Business configuré.
Mis à jour
Ce contenu vous a-t-il été utile ?