クライアント デバイス証明書の認証機能を使用すると、クライアント デバイス証明書の認証を設定できます。Unified Access Gateway はクライアント デバイスを認証します。Microsoft 証明書サービスは、Active Directory を使用してクライアント デバイス証明書の作成と配布を管理します。デバイスの認証に成功した後も、ユーザーはユーザー認証を行う必要があります。

この機能には次の要件があります。

  • Unified Access Gateway2.6 以降
  • Horizon 7 バージョン 7.5 以降
  • Unified Access Gateway が許可するクライアント デバイスにインストールされた証明書

Unified Access Gateway の設定については、『Unified Access Gateway』を参照してください。

証明書発行テンプレートで指定されている暗号化サービス プロバイダ (CSP) の場合は、Microsoft Enhanced RSA と AES 暗号化プロバイダを使用します。この CSP は、SHA-256 証明書と TLS v1.2 をサポートします。ここでは SHA-256 を使用します。SHA-1 は、認証で使用できるほど堅牢ではありません。

Windows でクライアント デバイス認証に証明書を使用するには、クライアント デバイスのユーザーに証明書のプライベート キーの読み取り権限が必要です。プライベート キーをエクスポート可能にする必要はありません。証明書のキー使用法には、デジタル署名とキーの暗号化 (a0) が含まれている必要があります。

証明書は、クライアント デバイスの現在のユーザーまたはローカル コンピュータの証明書ストアにインストールできます。Windows 10 で、ローカル コンピュータの証明書ストアに証明書をインストールし、ユーザーがシステムまたはローカル管理者ユーザー グループに属していない場合は、次の手順に従って証明書プライベート キーの読み取り権限をユーザーに付与する必要があります。証明書を現在のユーザーの証明書ストアにインストールする場合は、次の手順を行う必要はありません。

  1. クライアント デバイスでローカル コンピュータの証明書ストアを開きます。
  2. デバイスの証明書を右クリックして、[すべてのタスク] > [秘密キーの管理] の順に選択します。
  3. ユーザーを追加し、ユーザーに読み取り権限を割り当て、[OK] をクリックします。