# Autenticação baseada em certificado para RDP

Você pode usar o SCEPman para emitir certificados de Logon com Cartão Inteligente para seus utilizadores. Ao os inscrever no Windows Hello for Business (*Microsoft Passport Key Storage Provider*) eles podem usar estes certificados para autenticar-se em recursos locais usando o seu PIN do Hello ou opções biométricas.

Isto permitirá aos utilizadores, por exemplo, ligar-se a outros clientes através do Remote Desktop Protocol (RDP) usando as suas credenciais do Windows Hello for Business.

## Configurar o Active Directory

### Requisitos

* O certificado CA do SCEPman deve ser publicado na **NTAuth** store para autenticar utilizadores no Active Directory
* Os Domain Controllers precisam de ter um certificado de controlador de domínio para autenticar utilizadores de smart card
* Os Domain Controllers e as máquinas-alvo precisam de confiar na Root CA do SCEPman

Siga o nosso guia sobre certificados de Domain Controller para publicar o certificado Root CA do SCEPman na **NTAuth** store e emitir certificados para os seus Domain Controllers:

{% content-ref url="/pages/b3fe61870949e95a8155a5f62157c74967308660" %}
[Certificados do Domain Controller](/pt/gerenciamento-de-certificados/domain-controller-certificates.md)
{% endcontent-ref %}

Pode criar um **Group Policy Object** para gerir a distribuição do certificado raiz para as máquinas envolvidas:[ Para distribuir certificados para computadores cliente usando Group Policy](https://learn.microsoft.com/en-us/windows-server/identity/ad-fs/deployment/distribute-certificates-to-client-computers-by-using-group-policy#to-distribute-certificates-to-client-computers-by-using-group-policy)

O certificado precisa de ser implementado em todos os Domain Controllers que tratam das autenticações e em todas as máquinas-alvo às quais os utilizadores pretendem ligar-se usando este método.

{% hint style="danger" %}
Tenha em atenção que, assim que o certificado raiz do SCEPman for publicado na NTAuth store, os utilizadores que possam influenciar o conteúdo dos certificados emitidos pelo SCEPman (por exemplo, administradores do Intune) conseguem personificar qualquer principal do Active Directory.
{% endhint %}

## Implemente os certificados de Smart Card usando o Intune

### Perfil de Certificado Confiável

Os seus clientes precisarão de [confiar no certificado raiz do SCEPman](https://docs.scepman.com/certificate-deployment/microsoft-intune/windows-10#root-certificate).

Se já usa o SCEPman para implementar certificados nos seus clientes, já terá este perfil configurado.

### Certificado de Smart Card

Crie um perfil para **Windows 10 e posterior** com o tipo **certificado SCEP** no Microsoft Intune e configure o perfil conforme descrito:

<details>

<summary>Tipo de certificado: <code>Utilizador</code></summary>

</details>

<details>

<summary>Formato do nome do assunto: <code>CN={{UserPrincipalName}}</code></summary>

Se o sufixo UPN dos utilizadores alvo no Entra ID for diferente do utilizado no Active Directory, deve usar `CN={{OnPrem_Distinguished_Name}}`

</details>

<details>

<summary>Nome alternativo do assunto: valor UPN: <code>{{UserPrincipalName}}</code> e valor URI: <code>{{OnPremisesSecurityIdentifier}}</code></summary>

O URI com o SID é necessário para ter um [Strong Certificate Mapping](/pt/configuracao-do-scepman/application-settings/certificates.md#appconfig-addsidextension) no AD. Em alternativa, pode configurar o SCEPman para [adicionar uma extensão com o SID](/pt/configuracao-do-scepman/application-settings/scep-endpoints/intune-validation.md#appconfig-intunevalidation-waitforsuccessnotificationresponse) aos certificados de utilizador e não configurar o URI.

</details>

<details>

<summary>Fornecedor de armazenamento de chaves (KSP): <code>Inscrever no Windows Hello for Business, caso contrário falhar (Windows 10 e posterior)</code></summary>

</details>

<details>

<summary>Utilização da chave: <code>Assinatura digital</code> e <code>Cifragem de chave</code></summary>

</details>

<details>

<summary>Tamanho da chave (bits): <code>2048</code></summary>

</details>

<details>

<summary>Algoritmo de hash: <code>SHA-2</code></summary>

</details>

<details>

<summary>Root Certificate: <code>Perfil do passo anterior (Perfil de Certificado Confiável)</code></summary>

</details>

<details>

<summary>Utilização estendida da chave: <code>Autenticação de cliente</code> e <code>Logon com Smart Card</code>em</summary>

`Autenticação de cliente, 1.3.6.1.5.5.7.3.2`

`Smart Card Logon, 1.3.6.1.4.1.311.20.2.2`

</details>

<details>

<summary>URLs do servidor SCEP: Abra o portal SCEPman e copie o URL de <a href="#device-certificates">Intune MDM</a></summary>

</details>

### Use o Windows Hello for Business para ligar a hosts remotos

Com o certificado implementado no cliente de autenticação, basta ligar-se ao host remoto e selecionar o fornecedor de credenciais do Windows Hello for Business configurado.&#x20;

<figure><img src="/files/237615694592da35c5b110060c87218a1f1afc90" alt=""><figcaption></figcaption></figure>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.scepman.com/pt/implantacao-do-scepman/deployment-guides/scenarios/certificate-based-authentication-for-rdp.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.