スマートカードミドルウェアを使用した仮想スマートカードのペアリング

認証情報の生成機能を使用するには、リモートデスクトップにインストールされているスマートカードミドルウェアと仮想スマートカードをペアリングするグループポリシーオブジェクト (GPO) を Active Directory に作成する必要があります。その後、リモートデスクトップを含む組織単位 (OU) にこの GPO を適用します。

前提条件

生成された認証情報を使用するためのシステム要件を満たしていることを確認します。スマートカード認証の要件を参照してください。
仮想スマートカードを作成します。
Active Directory サーバをホストするマシンに管理者ドメインユーザーとしてログインできることを確認します。
MMC およびグループポリシー管理エディタスナップインが Active Directory サーバで使用できることを確認します。

手順

Active Directory サーバで、グループポリシー管理コンソール (gpmc.msc) を開きます。
[グループポリシーオブジェクト] を右クリックして、[新規] を選択します。
[名前] テキストボックスに、Derived Credentials などのグループポリシーオブジェクトの名前を入力して、[OK] をクリックします。
作成したグループポリシーオブジェクトを右クリックして、[編集] を選択します。
[コンピュータの構成] > [環境設定] > [Windows の設定] の順に展開します。
[レジストリ] を右クリックして、[新規] > [コレクション項目] の順に選択します。
コレクション項目の名前を Collection からフレンドリ名（たとえば、ミドルウェア名 Charismathics）に変更します。
リモートデスクトップにインストールされているスマートカードミドルウェアと仮想スマートカードをペアリングするレジストリ項目を作成するには、作成したコレクション項目を右クリックし、[新規] > [レジストリ項目] の順に選択します。
仮想スマートカードと Charismathics ミドルウェアをペアリングするには、次の値を使用します。
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\SmartCards\VMware Remote Smart Card]
- "ATR"=hex:3b,1c,96,56,4d,57,61,72,65,43,61,72,64,23,31
- "Crypto Provider"="Charismathics Smart Security Interface CSP"
仮想スマートカードと ActivClient ミドルウェアをペアリングするには、次の値を使用します。
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\SmartCards\VMware Remote Smart Card]
- "80000001"="C:\\Program Files\\HID Global\\ActivClient\\ac.scapi.scmd.dll"
- "ATR"=hex:3b,1c,96,56,4d,57,61,72,65,43,61,72,64,23,31
- "ATRMask"=hex:ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff
- "Crypto Provider"="Microsoft Base Smart Card Crypto Provider"
- "Smart Card Key Storage Provider"="Microsoft Smart Card Key Storage Provider"
グループポリシー管理エディタを開き、リモートデスクトップを含む OU に新しい GPO をリンクします。
仮想デスクトップの場合は、仮想デスクトップを含む OU に GPO をリンクします。公開デスクトップの場合は、RDS ホストを含む OU に GPO をリンクします。
リモートデスクトップのレジストリ設定を確認するには、リモートデスクトップを再起動するか、リモートデスクトップを開いて cmd gpudate /force を実行します。

次のタスク

サーバにログインして、リモートデスクトップに接続します。プロセスは、物理スマートカードを使用する場合と同じです。

注：仮想スマートカードを使用して認証を行う際、間違った PIN を 5 回以上入力すると、その仮想スマートカードは削除されるため新しい仮想スマートカードを作成しなければならなくなります。