4. März 2026

So konfigurieren Sie WCP für den Windows-Remotedesktop

Notakey Windows Credential Provider für 2FA am Remotedesktop einrichten: von der Appliance-Konfiguration bis zur Anmeldung ohne Passwort.

Diese Anleitung führt durch die Konfiguration des Notakey Windows Credential Provider (WCP) für die Remotedesktop-Authentifizierung mit dem Telefon als zweitem Faktor.

Appliance einrichten

Anwendung anlegen. Legen Sie in der Notakey Appliance eine neue Anwendung namens Windows Remote Desktop an. Die passenden Grafiken werden automatisch geladen. Aktivieren Sie die Unterstützung für die biometrische Prüfung; aktivieren Sie zusätzlich force biometric check, wenn jede Anmeldung zwingend einen Fingerabdruck oder eine Gesichtserkennung erfordern soll.

Benutzer definieren. Legen Sie Benutzer direkt an oder binden Sie eine externe Benutzerquelle an. Üblich ist Active Directory, die Anbindung ist in der Dokumentation der Appliance beschrieben. Aus AD synchronisierten Benutzern lassen sich später Eskalations- oder Mehrbenutzer-Freigaberichtlinien zuweisen.

Registrierungsanforderungen konfigurieren, damit die Anwendung im Notakey Authenticator erscheint. Sind in AD Telefonnummern hinterlegt, steht die Registrierung per SMS oder WhatsApp zur Verfügung. Wenn Sie einfache Anmeldedaten verwenden, die anhand des AD geprüft werden, bearbeiten Sie die Anforderung und setzen Sie den Haken bei Authenticate against remote AUTH user sources.

API-Anmeldedaten generieren. Legen Sie einen neuen API-Client mit leerem Scopes-Feld an: das System generiert eine Client ID und ein Secret für den Credential Provider.

Windows-Rechner einrichten

Erstellen Sie eine Registry-Datei mit den Verbindungs- und Anmeldedaten Ihrer Appliance, speichern Sie sie als wcp_notakey.reg und importieren Sie sie per Doppelklick:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Notakey]

[HKEY_LOCAL_MACHINE\SOFTWARE\Notakey\WindowsCP]
"ServiceURL"="https://your-appliance.example.com/api/"
"ServiceID"="29afa6c0-907d-40f4-898f-8a96fcdf7230"
"ClientID"="c6df76db-10a7-4349-8e05-8b3656a4d404"
"ClientSecret"="pZ5lSo1Rz_ftCDg4h302794ZlmjMO64sVtiAvHop6dI"
"MessageTtlSeconds"=dword:0000001e
"MessageActionTitle"="Winlogin"
"MessageDescription"="Proceed as {0} on server {1}?"
"AuthCreateTimeoutSecs"=dword:00000014
"AuthWaitTimeoutSecs"=dword:0000003c

Ersetzen Sie die ersten vier Werte durch Ihre eigenen: ServiceURL ist der API-Endpunkt Ihrer Appliance, ServiceID die ID der Anwendung, und ClientID/ClientSecret sind die oben generierten API-Anmeldedaten. Die übrigen Einträge sind sinnvolle Standardwerte in Hexadezimalschreibweise: MessageTtlSeconds (0x1e = 30 s) legt fest, wie lange sich die Push-Benachrichtigung bestätigen lässt, AuthCreateTimeoutSecs (0x14 = 20 s), wie lange WCP auf das Anlegen der Anfrage wartet, und AuthWaitTimeoutSecs (0x3c = 60 s), wie lange auf die Antwort des Benutzers gewartet wird. In MessageDescription steht {0} für den Benutzernamen und {1} für den Rechnernamen.

Installieren Sie den neuesten Windows Credential Provider von der Download-Seite, starten Sie Windows neu und melden Sie sich einmal auf dem gewohnten Weg an. Prüfen Sie anschließend den Wert LastLoggedOnProvider unter HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI.

Sperren Sie den Rechner und wählen Sie den Notakey Credential Provider aus. Geben Sie Benutzernamen und Passwort ein – Notakey bittet um die Erlaubnis, das Passwort zu verschlüsseln, und von da an besteht die Anmeldung aus Benutzername + Bestätigung auf dem Telefon.

Vollständig auf passwortlose Anmeldung umstellen

Soll Notakey der einzige Weg ins System sein, deaktivieren Sie den Standard-Credential-Provider: Suchen Sie dessen CLSID unter HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers und legen Sie dort einen DWORD-Wert namens Disabled mit dem Wert 1 an. Für ganze Geräteflotten lässt sich dasselbe zentral per Gruppenrichtlinie steuern.

Danach bleibt nur der Notakey Credential Provider aktiv: für die Anmeldung genügen Benutzername und zweiter Faktor.

← Alle Artikel

Ihre erste passwortlose Anmeldung – noch diese Woche

30 Minuten mit einem Ingenieur statt einer Vertriebspräsentation. Gemeinsam planen wir, wie in Ihrer VPN-, SSO- oder Windows-Umgebung ein funktionierendes Pilotprojekt an den Start geht.