認証情報の生成機能を使用するには、リモート デスクトップにインストールされているスマート カード ミドルウェアと仮想スマート カードをペアリングするグループ ポリシー オブジェクト (GPO) を Active Directory に作成する必要があります。その後、リモート デスクトップを含む組織単位 (OU) にこの GPO を適用します。

前提条件

  • 生成された認証情報を使用するためのシステム要件を満たしていることを確認します。スマート カード認証の要件を参照してください。
  • 仮想スマート カードを作成します。
  • Active Directory サーバをホストするマシンに管理者ドメイン ユーザーとしてログインできることを確認します。
  • MMC およびグループ ポリシー管理エディタ スナップインが Active Directory サーバで使用できることを確認します。

手順

  1. Active Directory サーバで、グループ ポリシー管理コンソール (gpmc.msc) を開きます。
  2. [グループ ポリシー オブジェクト] を右クリックして、[新規] を選択します。
  3. [名前] テキスト ボックスに、Derived Credentials などのグループ ポリシー オブジェクトの名前を入力して、[OK] をクリックします。
  4. 作成したグループ ポリシー オブジェクトを右クリックして、[編集] を選択します。
  5. [コンピュータの構成] > [環境設定] > [Windows の設定] の順に展開します。
  6. [レジストリ] を右クリックして、[新規] > [コレクション項目] の順に選択します。
  7. コレクション項目の名前を Collection からフレンドリ名(たとえば、ミドルウェア名 Charismathics)に変更します。
  8. リモート デスクトップにインストールされているスマート カード ミドルウェアと仮想スマート カードをペアリングするレジストリ項目を作成するには、作成したコレクション項目を右クリックし、[新規] > [レジストリ項目] の順に選択します。
    仮想スマート カードと Charismathics ミドルウェアをペアリングするには、次の値を使用します。
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\SmartCards\VMware Remote Smart Card]
    • "ATR"=hex:3b,1c,96,56,4d,57,61,72,65,43,61,72,64,23,31
    • "Crypto Provider"="Charismathics Smart Security Interface CSP"
    仮想スマート カードと ActivClient ミドルウェアをペアリングするには、次の値を使用します。
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\SmartCards\VMware Remote Smart Card]
    • "80000001"="C:\\Program Files\\HID Global\\ActivClient\\ac.scapi.scmd.dll"
    • "ATR"=hex:3b,1c,96,56,4d,57,61,72,65,43,61,72,64,23,31
    • "ATRMask"=hex:ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff
    • "Crypto Provider"="Microsoft Base Smart Card Crypto Provider"
    • "Smart Card Key Storage Provider"="Microsoft Smart Card Key Storage Provider"
  9. グループ ポリシー管理エディタを開き、リモート デスクトップを含む OU に新しい GPO をリンクします。
    仮想デスクトップの場合は、仮想デスクトップを含む OU に GPO をリンクします。公開デスクトップの場合は、RDS ホストを含む OU に GPO をリンクします。
  10. リモート デスクトップのレジストリ設定を確認するには、リモート デスクトップを再起動するか、リモート デスクトップを開いて cmd gpudate /force を実行します。

次のタスク

サーバにログインして、リモート デスクトップに接続します。プロセスは、物理スマート カードを使用する場合と同じです。

注: 仮想スマート カードを使用して認証を行う際、間違った PIN を 5 回以上入力すると、その仮想スマート カードは削除されるため新しい仮想スマート カードを作成しなければならなくなります。