# RDP 向け証明書ベース認証
SCEPman を使用して、ユーザーに Smart Card Login 証明書を発行できます。ユーザーを Windows Hello for Business (*Microsoft Passport Key Storage Provider*) に登録すると、Hello の PIN または生体認証オプションを使って、これらの証明書でオンプレミス リソースに認証できます。
これにより、たとえばユーザーは Windows Hello for Business の資格情報を使用して、Remote Desktop Protocol (RDP) 経由で他のクライアントに接続できるようになります。
## Active Directory のセットアップ
### 要件
* SCEPman の CA 証明書は、ユーザーを Active Directory に認証するために **NTAuth** ストアに公開されている必要があります
* Domain Controllers には、スマートカード ユーザーを認証するためのドメイン コントローラー証明書が必要です
* Domain Controllers と対象マシンは SCEPman のルート CA を信頼する必要があります
Domain Controller 証明書に関するガイドに従って、SCEPman のルート CA 証明書を **NTAuth** ストアに公開し、Domain Controllers に証明書を発行してください:
{% content-ref url="../../../zheng-ming-shu-guan-li/domain-controller-certificates" %}
[domain-controller-certificates](https://docs.scepman.com/ja/zheng-ming-shu-guan-li/domain-controller-certificates)
{% endcontent-ref %}
次のものを作成できます **Group Policy Object** 関連するマシンへルート証明書を配布するために:[ Group Policy を使用してクライアント コンピューターに証明書を配布する](https://learn.microsoft.com/en-us/windows-server/identity/ad-fs/deployment/distribute-certificates-to-client-computers-by-using-group-policy#to-distribute-certificates-to-client-computers-by-using-group-policy)
この証明書は、認証を処理するすべての Domain Controllers と、この方法でユーザーが接続したいすべての対象マシンに展開する必要があります。
{% hint style="danger" %}
SCEPman のルート証明書が NTAuth ストアに公開されると、SCEPman によって発行された証明書の内容に影響を与えられるユーザー(たとえば Intune 管理者)は、任意の Active Directory プリンシパルになりすますことができることに注意してください。
{% endhint %}
## Intune を使用して Smart Card Certificates を展開する
### Trusted Certificate Profile
クライアントは [SCEPman のルート証明書を信頼する必要があります](https://docs.scepman.com/certificate-deployment/microsoft-intune/windows-10#root-certificate).
すでに SCEPman を使用してクライアントに証明書を展開している場合は、このプロファイルはすでに設定済みです。
### Smart Card Certificate
次のためのプロファイルを作成します **Windows 10 以降** 次の種類で **SCEP 証明書** を Microsoft Intune で設定し、次のようにプロファイルを構成します:
証明書の種類: ユーザー
サブジェクト名の形式: CN={{UserPrincipalName}}
対象ユーザーの Entra ID の UPN サフィックスが Active Directory で使用されているものと異なる場合は、次を使用してください `CN={{OnPrem_Distinguished_Name}}`
サブジェクトの代替名: UPN 値: {{UserPrincipalName}} および URI 値: {{OnPremisesSecurityIdentifier}}
SID を含む URI は、AD での [Strong Certificate Mapping](https://docs.scepman.com/ja/scepman-no/application-settings/certificates#appconfig-addsidextension) を有効にするために必要です。あるいは、SCEPman を構成して [SID を含む拡張を追加](https://docs.scepman.com/ja/scepman-no/application-settings/scep-endpoints/intune-validation#appconfig-intunevalidation-waitforsuccessnotificationresponse) をユーザー証明書に追加し、URI を構成しないようにすることもできます。
キー保存プロバイダー (KSP): Windows Hello for Business に登録しない場合は失敗します (Windows 10 以降)
キー使用法: デジタル署名 および キー暗号化
に設定されていない限り、ここでの設定を上書きします 2048
SCEPman は 2048 ビットをサポートしています。 ハッシュ アルゴリズム:
SCEPman は SHA-2 アルゴリズムをサポートしています。 前の手順のプロファイル (Trusted Certificate Profile)
拡張キー使用法: クライアント認証 および Smart Card Logに
`クライアント認証、1.3.6.1.5.5.7.3.2`
`Smart Card Logon, 1.3.6.1.4.1.311.20.2.2`
SCEP サーバー URL: SCEPman ポータルを開き、次の URL をコピーします Intune MDM
### Windows Hello for Business を使用してリモート ホストに接続する
認証クライアントに証明書が展開されたら、リモート ホストに接続し、構成済みの Windows Hello for Business 資格情報プロバイダーを選択するだけです。
