# RDP の証明書ベース認証 SCEPman を使用して、ユーザーに Smart Card Login 証明書を発行できます。ユーザーを Windows Hello for Business （*Microsoft Passport Key Storage Provider*）に登録すると、Hello の PIN または生体認証オプションを使って、これらの証明書でオンプレミスリソースに認証できます。これにより、たとえばユーザーは Windows Hello for Business の資格情報を使用して、Remote Desktop Protocol (RDP) 経由で他のクライアントに接続できるようになります。 ## Active Directory のセットアップ ### 要件 * SCEPman の CA 証明書は、ユーザーを Active Directory に認証するために **NTAuth** ストアに公開されている必要があります * Domain Controllers には、スマートカードユーザーを認証するためのドメインコントローラー証明書が必要です * Domain Controllers と対象マシンは SCEPman のルート CA を信頼する必要があります Domain Controller 証明書に関するガイドに従って、SCEPman のルート CA 証明書を **NTAuth** ストアに公開し、Domain Controllers に証明書を発行してください: {% content-ref url="/pages/a67341db70d2882646022e09a7418921797d9b53" %} [Domain Controller 証明書](/ja/zheng-ming-shu-guan-li/domain-controller-certificates.md) {% endcontent-ref %} 次のものを作成できます **Group Policy Object** 関連するマシンへルート証明書を配布するために:[ Group Policy を使用してクライアントコンピューターに証明書を配布する](https://learn.microsoft.com/en-us/windows-server/identity/ad-fs/deployment/distribute-certificates-to-client-computers-by-using-group-policy#to-distribute-certificates-to-client-computers-by-using-group-policy) この証明書は、認証を処理するすべての Domain Controllers と、この方法でユーザーが接続したいすべての対象マシンに展開する必要があります。 {% hint style="danger" %} SCEPman のルート証明書が NTAuth ストアに公開されると、SCEPman によって発行された証明書の内容に影響を与えられるユーザー（たとえば Intune 管理者）は、任意の Active Directory プリンシパルになりすますことができることに注意してください。 {% endhint %} ## Intune を使用して Smart Card Certificates を展開する ### Trusted Certificate Profile クライアントは [SCEPman のルート証明書を信頼する必要があります](https://docs.scepman.com/certificate-deployment/microsoft-intune/windows-10#root-certificate). すでに SCEPman を使用してクライアントに証明書を展開している場合は、このプロファイルはすでに設定済みです。 ### Smart Card Certificate 次のためのプロファイルを作成します **Windows 10 以降** 次の種類で **SCEP 証明書** を Microsoft Intune で設定し、次のようにプロファイルを構成します:

証明書の種類: ユーザー

サブジェクト名の形式: CN={{UserPrincipalName}}

対象ユーザーの Entra ID の UPN サフィックスが Active Directory で使用されているものと異なる場合は、次を使用してください `CN={{OnPrem_Distinguished_Name}}`

サブジェクトの代替名: UPN 値: {{UserPrincipalName}} および URI 値: {{OnPremisesSecurityIdentifier}}

SID を含む URI は、AD での [Strong Certificate Mapping](/ja/scepman-gou-cheng/application-settings/certificates.md#appconfig-addsidextension) を有効にするために必要です。あるいは、SCEPman を構成して [SID を含む拡張を追加](/ja/scepman-gou-cheng/application-settings/scep-endpoints/intune-validation.md#appconfig-intunevalidation-waitforsuccessnotificationresponse) をユーザー証明書に追加し、URI を構成しないようにすることもできます。

キー保存プロバイダー (KSP): Windows Hello for Business に登録しない場合は失敗します (Windows 10 以降)

キー使用法: デジタル署名 および キー暗号化

に設定されていない限り、ここでの設定を上書きします 2048

SCEPman は 2048 ビットをサポートしています。 ハッシュアルゴリズム:

SCEPman は SHA-2 アルゴリズムをサポートしています。 前の手順のプロファイル (Trusted Certificate Profile)

拡張キー使用法: クライアント認証 および Smart Card Logに

`クライアント認証、1.3.6.1.5.5.7.3.2` `Smart Card Logon, 1.3.6.1.4.1.311.20.2.2`

SCEP サーバー URL: SCEPman ポータルを開き、次の URL をコピーします Intune MDM

### Windows Hello for Business を使用してリモートホストに接続する認証クライアントに証明書が展開されたら、リモートホストに接続し、構成済みの Windows Hello for Business 資格情報プロバイダーを選択するだけです。

--- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.scepman.com/ja/scepman-depuroi/deployment-guides/scenarios/certificate-based-authentication-for-rdp.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.