circle-info
Este artigo foi traduzido automaticamente. A tradução pode conter imprecisões.
Alternar para a versão original em inglês.chevron-right
search

Autenticação baseada em certificados para RDP

Você pode usar o SCEPman para emitir certificados de Logon com Cartão Inteligente para seus utilizadores. Ao os inscrever no Windows Hello for Business (Microsoft Passport Key Storage Provider) eles podem usar estes certificados para autenticar-se em recursos locais usando o seu PIN do Hello ou opções biométricas.

Isto permitirá aos utilizadores, por exemplo, ligar-se a outros clientes através do Remote Desktop Protocol (RDP) usando as suas credenciais do Windows Hello for Business.

hashtag
Configurar o Active Directory

hashtag
Requisitos

  • O certificado CA do SCEPman deve ser publicado na NTAuth store para autenticar utilizadores no Active Directory

  • Os Domain Controllers precisam de ter um certificado de controlador de domínio para autenticar utilizadores de smart card

  • Os Domain Controllers e as máquinas-alvo precisam de confiar na Root CA do SCEPman

Siga o nosso guia sobre certificados de Domain Controller para publicar o certificado Root CA do SCEPman na NTAuth store e emitir certificados para os seus Domain Controllers:

Certificados de Domain Controllerchevron-right

Pode criar um Group Policy Object para gerir a distribuição do certificado raiz para as máquinas envolvidas: Para distribuir certificados para computadores cliente usando Group Policyarrow-up-right

O certificado precisa de ser implementado em todos os Domain Controllers que tratam das autenticações e em todas as máquinas-alvo às quais os utilizadores pretendem ligar-se usando este método.

triangle-exclamation

Tenha em atenção que, assim que o certificado raiz do SCEPman for publicado na NTAuth store, os utilizadores que possam influenciar o conteúdo dos certificados emitidos pelo SCEPman (por exemplo, administradores do Intune) conseguem personificar qualquer principal do Active Directory.

hashtag
Implemente os certificados de Smart Card usando o Intune

hashtag
Perfil de Certificado Confiável

Os seus clientes precisarão de confiar no certificado raiz do SCEPmanarrow-up-right.

Se já usa o SCEPman para implementar certificados nos seus clientes, já terá este perfil configurado.

hashtag
Certificado de Smart Card

Crie um perfil para Windows 10 e posterior com o tipo certificado SCEP no Microsoft Intune e configure o perfil conforme descrito:

chevron-rightTipo de certificado: Utilizadorhashtag

chevron-rightFormato do nome do assunto: CN={{UserPrincipalName}}hashtag

Se o sufixo UPN dos utilizadores alvo no Entra ID for diferente do utilizado no Active Directory, deve usar CN={{OnPrem_Distinguished_Name}}

chevron-rightNome alternativo do assunto: valor UPN: {{UserPrincipalName}} e valor URI: {{OnPremisesSecurityIdentifier}}hashtag

O URI com o SID é necessário para ter um Strong Certificate Mapping no AD. Em alternativa, pode configurar o SCEPman para adicionar uma extensão com o SID aos certificados de utilizador e não configurar o URI.

chevron-rightFornecedor de armazenamento de chaves (KSP): Inscrever no Windows Hello for Business, caso contrário falhar (Windows 10 e posterior)hashtag

chevron-rightUtilização da chave: Assinatura digital e Cifragem de chavehashtag

chevron-rightTamanho da chave (bits): 2048hashtag

chevron-rightAlgoritmo de hash: SHA-2hashtag

chevron-rightRoot Certificate: Perfil do passo anterior (Perfil de Certificado Confiável)hashtag

chevron-rightUtilização estendida da chave: Autenticação de cliente e Logon com Smart Cardemhashtag

Autenticação de cliente, 1.3.6.1.5.5.7.3.2

Smart Card Logon, 1.3.6.1.4.1.311.20.2.2

chevron-rightURLs do servidor SCEP: Abra o portal SCEPman e copie o URL de Intune MDMhashtag

hashtag
Use o Windows Hello for Business para ligar a hosts remotos

Com o certificado implementado no cliente de autenticação, basta ligar-se ao host remoto e selecionar o fornecedor de credenciais do Windows Hello for Business configurado.

Last updated

Was this helpful?