RDP の証明書ベース認証
SCEPman を使用して、ユーザーに Smart Card Login 証明書を発行できます。ユーザーを Windows Hello for Business (Microsoft Passport Key Storage Provider) に登録すると、Hello の PIN または生体認証オプションを使って、これらの証明書でオンプレミス リソースに認証できます。
これにより、たとえばユーザーは Windows Hello for Business の資格情報を使用して、Remote Desktop Protocol (RDP) 経由で他のクライアントに接続できるようになります。
Active Directory のセットアップ
要件
SCEPman の CA 証明書は、ユーザーを Active Directory に認証するために NTAuth ストアに公開されている必要があります
Domain Controllers には、スマートカード ユーザーを認証するためのドメイン コントローラー証明書が必要です
Domain Controllers と対象マシンは SCEPman のルート CA を信頼する必要があります
Domain Controller 証明書に関するガイドに従って、SCEPman のルート CA 証明書を NTAuth ストアに公開し、Domain Controllers に証明書を発行してください:
Domain Controller 証明書次のものを作成できます Group Policy Object 関連するマシンへルート証明書を配布するために: Group Policy を使用してクライアント コンピューターに証明書を配布する
この証明書は、認証を処理するすべての Domain Controllers と、この方法でユーザーが接続したいすべての対象マシンに展開する必要があります。
SCEPman のルート証明書が NTAuth ストアに公開されると、SCEPman によって発行された証明書の内容に影響を与えられるユーザー(たとえば Intune 管理者)は、任意の Active Directory プリンシパルになりすますことができることに注意してください。
Intune を使用して Smart Card Certificates を展開する
Trusted Certificate Profile
クライアントは SCEPman のルート証明書を信頼する必要があります.
すでに SCEPman を使用してクライアントに証明書を展開している場合は、このプロファイルはすでに設定済みです。
Smart Card Certificate
次のためのプロファイルを作成します Windows 10 以降 次の種類で SCEP 証明書 を Microsoft Intune で設定し、次のようにプロファイルを構成します:
サブジェクト名の形式: CN={{UserPrincipalName}}
対象ユーザーの Entra ID の UPN サフィックスが Active Directory で使用されているものと異なる場合は、次を使用してください CN={{OnPrem_Distinguished_Name}}
サブジェクトの代替名: UPN 値: {{UserPrincipalName}} および URI 値: {{OnPremisesSecurityIdentifier}}
SID を含む URI は、AD での Strong Certificate Mapping を有効にするために必要です。あるいは、SCEPman を構成して SID を含む拡張を追加 をユーザー証明書に追加し、URI を構成しないようにすることもできます。
拡張キー使用法: クライアント認証 および Smart Card Logに
クライアント認証、1.3.6.1.5.5.7.3.2
Smart Card Logon, 1.3.6.1.4.1.311.20.2.2
SCEP サーバー URL: SCEPman ポータルを開き、次の URL をコピーします Intune MDM
Windows Hello for Business を使用してリモート ホストに接続する
認証クライアントに証明書が展開されたら、リモート ホストに接続し、構成済みの Windows Hello for Business 資格情報プロバイダーを選択するだけです。
最終更新
役に立ちましたか?