4 marzo 2026

Come configurare WCP per il desktop remoto di Windows

Configurate Notakey Windows Credential Provider per un desktop remoto a due fattori: dalla configurazione dell’appliance fino al senza password.

Questa guida spiega come configurare Notakey Windows Credential Provider (WCP) per autenticare le connessioni al desktop remoto con un secondo fattore basato sul telefono.

Configurazione dell’appliance

Create l’applicazione. Nell’appliance Notakey, create una nuova applicazione denominata Windows Remote Desktop: gli elementi grafici corrispondenti si caricano automaticamente. Attivate il supporto alla verifica biometrica; attivate force biometric check se le connessioni devono sempre richiedere l’impronta digitale o il riconoscimento facciale.

Definite gli utenti. Createli direttamente oppure collegate una sorgente utenti esterna: Active Directory è la scelta più comune ed è descritta nella documentazione dell’appliance. Agli utenti sincronizzati da AD potrete in seguito applicare regole di escalation o di approvazione multi-utente.

Configurate i requisiti di registrazione in modo che l’applicazione compaia in Notakey Authenticator. Se in AD sono presenti numeri di telefono, è disponibile la registrazione via SMS o WhatsApp. Se utilizzate semplici credenziali verificate su AD, modificate il requisito e selezionate Authenticate against remote AUTH user sources.

Generate le credenziali API. Create un nuovo client API lasciando vuoto il campo degli scope: il sistema genera un Client ID e un secret per il credential provider.

Configurazione della macchina Windows

Create un file di registro con le credenziali di accesso alla vostra appliance, salvatelo come wcp_notakey.reg e fate doppio clic per importarlo:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Notakey]

[HKEY_LOCAL_MACHINE\SOFTWARE\Notakey\WindowsCP]
"ServiceURL"="https://your-appliance.example.com/api/"
"ServiceID"="29afa6c0-907d-40f4-898f-8a96fcdf7230"
"ClientID"="c6df76db-10a7-4349-8e05-8b3656a4d404"
"ClientSecret"="pZ5lSo1Rz_ftCDg4h302794ZlmjMO64sVtiAvHop6dI"
"MessageTtlSeconds"=dword:0000001e
"MessageActionTitle"="Winlogin"
"MessageDescription"="Proceed as {0} on server {1}?"
"AuthCreateTimeoutSecs"=dword:00000014
"AuthWaitTimeoutSecs"=dword:0000003c

Sostituite i primi quattro valori con i vostri: ServiceURL è l’endpoint API della vostra appliance, ServiceID l’identificativo dell’applicazione e ClientID/ClientSecret le credenziali API generate sopra. I valori restanti sono impostazioni predefinite ragionevoli, espresse in esadecimale: MessageTtlSeconds (0x1e = 30 s) indica per quanto tempo la notifica push resta approvabile, AuthCreateTimeoutSecs (0x14 = 20 s) quanto WCP attende per creare la richiesta e AuthWaitTimeoutSecs (0x3c = 60 s) quanto attende la risposta dell’utente. In MessageDescription, {0} è il nome utente e {1} il nome della macchina.

Installate l’ultima versione di Windows Credential Provider dalla pagina dei download, riavviate Windows ed effettuate una volta l’accesso in modo normale. Verificate poi LastLoggedOnProvider in HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI.

Bloccate la macchina e selezionate il Notakey Credential Provider. Inserite nome utente e password: Notakey chiede il permesso di cifrare la password e, da quel momento in poi, l’accesso avviene con nome utente e approvazione sul telefono.

Passare al solo senza password

Per rendere Notakey l’unica via d’accesso, disattivate il credential provider predefinito: individuate il suo CLSID in HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers e aggiungete un DWORD denominato Disabled con valore 1. I Criteri di gruppo (Group Policy) offrono lo stesso controllo su un intero parco macchine.

Da questo momento resta attivo solo il Notakey Credential Provider: le connessioni richiedono unicamente il nome utente e il secondo fattore.

← Tutti gli articoli

Il vostro primo accesso senza password, già questa settimana

30 minuti con un ingegnere, non una presentazione commerciale. Insieme pianificheremo come avviare un progetto pilota funzionante nel vostro ambiente VPN, SSO o Windows.