RDP の証明書ベース認証
SCEPman を使用してユーザーにスマートカードログイン証明書を発行できます。Windows Hello for Business(に登録することで、Microsoft Passport Key Storage Provider)これらの証明書を使用して、Hello の PIN または生体認証オプションでオンプレミスのリソースに認証できます。
これにより、例えばユーザーは Windows Hello for Business 資格情報を使用してリモートデスクトッププロトコル(RDP)経由で他のクライアントに接続できるようになります。
Active Directory の設定
要件
SCEPman の CA 証明書は、に公開されている必要があります NTAuth ストアは Active Directory に対してユーザーを認証するためのものです
ドメインコントローラーはスマートカードユーザーを認証するためのドメインコントローラー証明書を保有している必要があります
ドメインコントローラーおよびターゲットマシンは SCEPman のルート CA を信頼している必要があります
ドメインコントローラー証明書に関するガイドに従って、SCEPman ルート CA 証明書をに公開し、ドメインコントローラーに証明書を発行してください: NTAuth ストアおよびドメインコントローラーに証明書を発行する:
ドメインコントローラー証明書を作成できます グループポリシーオブジェクト 関係するマシンへのルート証明書の配布を処理するために: グループポリシーを使用してクライアントコンピューターに証明書を配布するには
証明書は認証を処理するすべてのドメインコントローラーと、この方法を使用してユーザーが接続したいすべてのターゲットマシンに展開する必要があります。
SCEPman のルート証明書が NTAuth ストアに公開されると、SCEPman によって発行される証明書の内容に影響を与えられるユーザー(例:Intune 管理者)は任意の Active Directory プリンシパルになりすますことができるようになる点にご注意ください。
Intune を使ってスマートカード証明書を展開する
信頼された証明書プロファイル
クライアントは、 SCEPman のルート証明書を信頼する必要があります.
既に SCEPman を使用してクライアントに証明書を展開している場合、このプロファイルは既に存在しているはずです。
スマートカード証明書
次のプロファイルを作成: Windows 10 以降 タイプ: SCEP 証明書 Microsoft Intune でプロファイルを作成し、以下のように構成してください:
サブジェクト名フォーマット: CN={{UserPrincipalName}}
対象ユーザーの Entra ID の UPN サフィックスが Active Directory で使用されているものと異なる場合は、次を使用する必要があります CN={{OnPrem_Distinguished_Name}}
サブジェクト代替名:UPN 値: {{UserPrincipalName}} および URI 値: {{OnPremisesSecurityIdentifier}}
SID を含む URI は、AD において 強力な証明書マッピング を持つために必要です。あるいは、SCEPman を構成して ユーザー証明書に SID を含む拡張を追加する ようにして URI を構成しない方法もあります。
SCEP サーバー URL:SCEPman ポータルを開き、 Intune MDM
Windows Hello for Business を使用してリモートホストに接続する
認証クライアントに証明書が展開されていれば、リモートホストに接続し、構成した Windows Hello for Business 資格情報プロバイダーを選択するだけです。
最終更新
役に立ちましたか?