# Autenticação Baseada em Certificado para RDP

Você pode usar o SCEPman para emitir certificados de Logon com Cartão Inteligente para seus utilizadores. Ao os inscrever no Windows Hello for Business (*Microsoft Passport Key Storage Provider*) eles podem usar estes certificados para autenticar-se em recursos locais usando o seu PIN do Hello ou opções biométricas.

Isto permitirá aos utilizadores, por exemplo, ligar-se a outros clientes através do Remote Desktop Protocol (RDP) usando as suas credenciais do Windows Hello for Business.

## Configurar o Active Directory

### Requisitos

* O certificado CA do SCEPman deve ser publicado na **NTAuth** store para autenticar utilizadores no Active Directory
* Os Domain Controllers precisam de ter um certificado de controlador de domínio para autenticar utilizadores de smart card
* Os Domain Controllers e as máquinas-alvo precisam de confiar na Root CA do SCEPman

Siga o nosso guia sobre certificados de Domain Controller para publicar o certificado Root CA do SCEPman na **NTAuth** store e emitir certificados para os seus Domain Controllers:

{% content-ref url="../../../gerenciamento-de-certificados/domain-controller-certificates" %}
[domain-controller-certificates](https://docs.scepman.com/pt/gerenciamento-de-certificados/domain-controller-certificates)
{% endcontent-ref %}

Pode criar um **Group Policy Object** para gerir a distribuição do certificado raiz para as máquinas envolvidas:[ Para distribuir certificados para computadores cliente usando Group Policy](https://learn.microsoft.com/en-us/windows-server/identity/ad-fs/deployment/distribute-certificates-to-client-computers-by-using-group-policy#to-distribute-certificates-to-client-computers-by-using-group-policy)

O certificado precisa de ser implementado em todos os Domain Controllers que tratam das autenticações e em todas as máquinas-alvo às quais os utilizadores pretendem ligar-se usando este método.

{% hint style="danger" %}
Tenha em atenção que, assim que o certificado raiz do SCEPman for publicado na NTAuth store, os utilizadores que possam influenciar o conteúdo dos certificados emitidos pelo SCEPman (por exemplo, administradores do Intune) conseguem personificar qualquer principal do Active Directory.
{% endhint %}

## Implemente os certificados de Smart Card usando o Intune

### Perfil de Certificado Confiável

Os seus clientes precisarão de [confiar no certificado raiz do SCEPman](https://docs.scepman.com/certificate-deployment/microsoft-intune/windows-10#root-certificate).

Se já usa o SCEPman para implementar certificados nos seus clientes, já terá este perfil configurado.

### Certificado de Smart Card

Crie um perfil para **Windows 10 e posterior** com o tipo **certificado SCEP** no Microsoft Intune e configure o perfil conforme descrito:

<details>

<summary>Tipo de certificado: <code>Utilizador</code></summary>

</details>

<details>

<summary>Formato do nome do assunto: <code>CN={{UserPrincipalName}}</code></summary>

Se o sufixo UPN dos utilizadores alvo no Entra ID for diferente do utilizado no Active Directory, deve usar `CN={{OnPrem_Distinguished_Name}}`

</details>

<details>

<summary>Nome alternativo do assunto: valor UPN: <code>{{UserPrincipalName}}</code> e valor URI: <code>{{OnPremisesSecurityIdentifier}}</code></summary>

O URI com o SID é necessário para ter um [Strong Certificate Mapping](https://docs.scepman.com/pt/configuracao-do-scepman/application-settings/certificates#appconfig-addsidextension) no AD. Em alternativa, pode configurar o SCEPman para [adicionar uma extensão com o SID](https://docs.scepman.com/pt/configuracao-do-scepman/application-settings/scep-endpoints/intune-validation#appconfig-intunevalidation-waitforsuccessnotificationresponse) aos certificados de utilizador e não configurar o URI.

</details>

<details>

<summary>Fornecedor de armazenamento de chaves (KSP): <code>Inscrever no Windows Hello for Business, caso contrário falhar (Windows 10 e posterior)</code></summary>

</details>

<details>

<summary>Utilização da chave: <code>Assinatura digital</code> e <code>Cifragem de chave</code></summary>

</details>

<details>

<summary>Tamanho da chave (bits): <code>2048</code></summary>

</details>

<details>

<summary>Algoritmo de hash: <code>SHA-2</code></summary>

</details>

<details>

<summary>Root Certificate: <code>Perfil do passo anterior (Perfil de Certificado Confiável)</code></summary>

</details>

<details>

<summary>Utilização estendida da chave: <code>Autenticação de cliente</code> e <code>Logon com Smart Card</code>em</summary>

`Autenticação de cliente, 1.3.6.1.5.5.7.3.2`

`Smart Card Logon, 1.3.6.1.4.1.311.20.2.2`

</details>

<details>

<summary>URLs do servidor SCEP: Abra o portal SCEPman e copie o URL de <a href="#device-certificates">Intune MDM</a></summary>

</details>

### Use o Windows Hello for Business para ligar a hosts remotos

Com o certificado implementado no cliente de autenticação, basta ligar-se ao host remoto e selecionar o fornecedor de credenciais do Windows Hello for Business configurado.&#x20;

<figure><img src="https://3802289327-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fy9e8WjLUjRD8cd91qlwJ%2Fimage.png?alt=media&#x26;token=f975f5d1-2e67-4a89-82c9-decee1665d0a" alt=""><figcaption></figcaption></figure>