若要使用衍生認證功能,您必須在 Active Directory 中建立群組原則物件 (GPO),並將虛擬智慧卡與安裝在遠端桌面平台上的智慧卡中介軟體配對。然後,將 GPO 套用至包含遠端桌面平台的組織單位 (OU)。

必要條件

  • 確認已符合使用衍生認證的系統需求。請參閱智慧卡驗證需求
  • 建立虛擬智慧卡
  • 確認您可以用主控 Active Directory 伺服器之機器上的管理員網域使用者身分登入。
  • 確認 Active Directory 伺服器上有 MMC 及群組原則管理編輯器嵌入式管理單元可供使用。

程序

  1. 在 Active Directory 伺服器上,開啟群組原則管理主控台 (gpmc.msc)。
  2. 群組原則物件上按一下滑鼠右鍵,然後選取新增
  3. 名稱文字方塊中,輸入群組原則物件的名稱,例如衍生認證,然後按一下確定
  4. 在您建立的群組原則物件上按一下滑鼠右鍵,然後選取編輯
  5. 展開電腦組態 > 喜好設定 > Windows 設定
  6. 登錄上按一下滑鼠右鍵,然後選取新增 > 集合項目
  7. 將集合項目名稱從 Collection 變更為有意義的名稱,例如中介軟體名稱 Charismathics
  8. 若要建立將虛擬智慧卡與安裝在遠端桌面平台中智慧卡中介軟體配對的登錄項目,請在您建立的集合項目上按一下滑鼠右鍵,然後選取新增 > 登錄項目
    若要將虛擬智慧卡與 Charismathics 中介軟體配對,請使用下列值。
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\SmartCards\VMware Remote Smart Card]
    • 「ATR」=hex:3b,1c,96,56,4d,57,61,72,65,43,61,72,64,23,31
    • 「密碼編譯提供者」=「Charismathics 智慧安全性介面 CSP」
    若要將虛擬智慧卡與 ActivClient 中介軟體配對,請使用下列值。
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\SmartCards\VMware Remote Smart Card]
    • 「80000001」=「C:\\Program Files\\HID Global\\ActivClient\\ac.scapi.scmd.dll」
    • 「ATR」=hex:3b,1c,96,56,4d,57,61,72,65,43,61,72,64,23,31
    • 「ATRMask」=hex:ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff
    • 「密碼編譯提供者」=「Microsoft 基礎智慧卡密碼編譯提供者」
    • 「智慧卡金鑰儲存提供者」=「Microsoft 智慧卡金鑰儲存提供者」
  9. 開啟群組原則管理編輯器,並將新 GPO 連結到包含遠端桌面平台的 OU。
    針對虛擬桌面平台,將 GPO 連結至包含虛擬桌面平台的 OU。針對已發佈的桌面平台,將 GPO 連結至包含 RDS 主機的 OU。
  10. 若要確認遠端桌面平台中的登錄設定,請重新啟動遠端桌面平台或開啟遠端桌面平台並執行 cmd gpudate /force

下一步

登入伺服器,並連線至遠端桌面平台。該程序與您使用實體智慧卡時相同。

備註: 如果您在使用虛擬智慧卡進行驗證時輸入錯誤的 PIN 碼超過五次,則系統會移除虛擬智慧卡,且您必須建立新的虛擬智慧卡。