Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Tipp
Dieser Artikel wird für Dienste und Produkte freigegeben, die das Remotedesktopprotokoll (RDP) verwenden, um Remotezugriff auf Windows-Desktops und -Apps bereitzustellen.
Wählen Sie ein Produkt aus, indem Sie die Schaltflächen oben in diesem Artikel verwenden, um den relevanten Inhalt anzuzeigen.
Sie können das Umleitungsverhalten von WebAuthn-Anforderungen von einer Remotesitzung an ein lokales Gerät über das Remotedesktopprotokoll (RDP) konfigurieren. Die WebAuthn-Umleitung ermöglicht die kennwortlose Authentifizierung in sitzungen mit Windows Hello for Business oder Sicherheitsgeräten wie FIDO-Schlüsseln.
Für Azure Virtual Desktop wird empfohlen, die WebAuthn-Umleitung auf Ihren Sitzungshosts mithilfe von Microsoft Intune oder Gruppenrichtlinie zu aktivieren und dann die Umleitung mithilfe der RDP-Eigenschaften des Hostpools zu steuern.
Für Windows 365 können Sie Ihre Cloud-PCs mithilfe von Microsoft Intune oder Gruppenrichtlinie konfigurieren.
Für Microsoft Dev Box können Sie Ihre Dev-Boxen mithilfe von Microsoft Intune oder Gruppenrichtlinie konfigurieren.
Dieser Artikel enthält Informationen zu den unterstützten Umleitungsmethoden und zum Konfigurieren des Umleitungsverhaltens für WebAuthn-Anforderungen. Weitere Informationen zur Funktionsweise der Umleitung finden Sie unter Umleitung über das Remotedesktopprotokoll.
Voraussetzungen
Bevor Sie die WebAuthn-Umleitung konfigurieren können, benötigen Sie Folgendes:
Ein vorhandener Hostpool mit Sitzungshosts.
Ein Microsoft Entra ID Konto, dem mindestens die integrierten Rollen der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) für Desktop Virtualization Host Pool Contributor für den Hostpool zugewiesen sind.
- Ein vorhandener Cloud-PC.
- Eine vorhandene Dev-Box.
Ein lokales Windows-Gerät mit Windows Hello for Business oder ein Sicherheitsgerät wie ein FIDO-USB-Schlüssel bereits konfiguriert.
Zum Konfigurieren Microsoft Intune benötigen Sie Folgendes:
- Microsoft Entra ID Konto, dem die integrierte RBAC-Rolle "Richtlinien- und Profil-Manager" zugewiesen ist.
- Eine Gruppe, die die Geräte enthält, die Sie konfigurieren möchten.
Zum Konfigurieren Gruppenrichtlinie benötigen Sie Folgendes:
- Ein Domänenkonto, das über die Berechtigung zum Erstellen oder Bearbeiten von Gruppenrichtlinie-Objekten verfügt.
- Eine Sicherheitsgruppe oder Organisationseinheit (OE), die die Geräte enthält, die Sie konfigurieren möchten.
Sie müssen über eine unterstützte App und Plattform eine Verbindung mit einer Remotesitzung herstellen. Informationen zum Anzeigen der Umleitungsunterstützung in Windows App und der Remotedesktop-App finden Sie unter Vergleichen Windows App Features zwischen Plattformen und Geräten und Vergleichen von Remotedesktop-App-Features auf verschiedenen Plattformen und Geräten.
WebAuthn-Umleitung
Die Konfiguration eines Sitzungshosts mit Microsoft Intune oder Gruppenrichtlinie oder festlegen einer RDP-Eigenschaft in einem Hostpool steuert die Möglichkeit, WebAuthn-Anforderungen von einer Remotesitzung an ein lokales Gerät umzuleiten, das einer Prioritätsreihenfolge unterliegt.
Die Standardkonfiguration lautet:
- Windows-Betriebssystem: WebAuthn-Anforderungen werden nicht blockiert.
- RDP-Eigenschaften des Azure Virtual Desktop-Hostpools: WebAuthn-Anforderungen in der Remotesitzung werden an den lokalen Computer umgeleitet.
Wichtig
Achten Sie beim Konfigurieren von Umleitungseinstellungen darauf, dass die restriktivste Einstellung das resultierende Verhalten ist. Wenn Sie beispielsweise die WebAuthn-Umleitung auf einem Sitzungshost mit Microsoft Intune oder Gruppenrichtlinie deaktivieren, sie aber mit der RDP-Eigenschaft des Hostpools aktivieren, ist die Umleitung deaktiviert.
Die Konfiguration eines Cloud-PCs bestimmt die Möglichkeit, WebAuthn-Anforderungen zwischen der Remotesitzung und dem lokalen Gerät umzuleiten, und wird mithilfe von Microsoft Intune oder Gruppenrichtlinie festgelegt.
Die Standardkonfiguration lautet:
- Windows-Betriebssystem: WebAuthn-Anforderungen werden nicht blockiert. Windows 365 aktiviert die WebAuthn-Umleitung.
Die Konfiguration einer Dev Box bestimmt die Möglichkeit, WebAuthn-Anforderungen zwischen der Remotesitzung und dem lokalen Gerät umzuleiten, und wird mithilfe von Microsoft Intune oder Gruppenrichtlinie festgelegt.
Die Standardkonfiguration lautet:
- Windows-Betriebssystem: WebAuthn-Anforderungen werden nicht blockiert. Windows 365 aktiviert die WebAuthn-Umleitung.
Konfigurieren der WebAuthn-Umleitung mithilfe von RDP-Eigenschaften des Hostpools
Die Einstellung WebAuthn-Umleitung des Azure Virtual Desktop-Hostpools steuert, ob WebAuthn-Anforderungen zwischen der Remotesitzung und dem lokalen Gerät umgeleitet werden sollen. Die entsprechende RDP-Eigenschaft ist redirectwebauthn:i:<value>. Weitere Informationen finden Sie unter Unterstützte RDP-Eigenschaften.
So konfigurieren Sie die WebAuthn-Umleitung mithilfe von RDP-Eigenschaften des Hostpools:
Melden Sie sich beim Azure-Portal an.
Geben Sie in der Suchleiste Azure Virtual Desktop ein, und wählen Sie den entsprechenden Diensteintrag aus.
Wählen Sie Hostpools und dann den Hostpool aus, den Sie konfigurieren möchten.
Wählen Sie RDP-Eigenschaften und dann Geräteumleitung aus.
Wählen Sie für WebAuthn-Umleitung die Dropdownliste und dann eine der folgenden Optionen aus:
- WebAuthn-Anforderungen in der Remotesitzung werden nicht an den lokalen Computer umgeleitet.
- WebAuthn-Anforderungen in der Remotesitzung werden an den lokalen Computer umgeleitet (Standard)
- Nicht konfiguriert
Klicken Sie auf Speichern.
Führen Sie zum Testen der Konfiguration die Schritte unter Testen der WebAuthn-Umleitung aus.
Konfigurieren der WebAuthn-Umleitung mithilfe von Microsoft Intune oder Gruppenrichtlinie
Konfigurieren der WebAuthn-Umleitung mithilfe von Microsoft Intune oder Gruppenrichtlinie
Wählen Sie die relevante Registerkarte für Ihr Szenario aus.
So lassen oder deaktivieren Sie die WebAuthn-Umleitung mit Microsoft Intune
Melden Sie sich beim Microsoft Intune Admin Center an.
Erstellen oder bearbeiten Sie ein Konfigurationsprofil für Windows 10 und höhere Geräte mit dem Profiltyp Einstellungskatalog.
Navigieren Sie in der Einstellungsauswahl zu Administrative Vorlagen>Windows-Komponenten>Remotedesktopdienste>Remotedesktop-Sitzungshostgerät>und Ressourcenumleitung.
Aktivieren Sie das Kontrollkästchen WebAuthn-Umleitung nicht zulassen, und schließen Sie dann die Einstellungsauswahl.
Erweitern Sie die Kategorie Administrative Vorlagen , und schalten Sie dann den Schalter für WebAuthn-Umleitung nicht zulassen auf Aktiviert oder Deaktiviert um, je nach Ihren Anforderungen:
Um die WebAuthn-Umleitung zuzulassen, schalten Sie den Schalter auf Deaktiviert um.
Um die WebAuthn-Umleitung zu deaktivieren, schalten Sie den Schalter auf Aktiviert um.
Wählen Sie Weiter aus.
Optional: Wählen Sie auf der Registerkarte Bereichstags ein Bereichstag aus, um das Profil zu filtern. Weitere Informationen zu Bereichstags finden Sie unter Verwenden von rollenbasierten Zugriffssteuerungen (RBAC) und Bereichstags für verteilte IT.
Wählen Sie auf der Registerkarte Zuweisungen die Gruppe mit den Computern aus, die eine Remotesitzung bereitstellen, die Sie konfigurieren möchten, und wählen Sie dann Weiter aus.
Überprüfen Sie auf der Registerkarte Überprüfen + erstellen die Einstellungen, und wählen Sie dann Erstellen aus.
Sobald die Richtlinie für die Computer gilt, die eine Remotesitzung bereitstellen, starten Sie sie neu, damit die Einstellungen wirksam werden.
Testen der WebAuthn-Umleitung
Nachdem Sie die WebAuthn-Umleitung aktiviert haben, können Sie sie testen:
Wenn Sie einen USB-Sicherheitsschlüssel verwenden, stellen Sie sicher, dass er zuerst angeschlossen ist.
Stellen Sie eine Verbindung mit einer Remotesitzung mithilfe der Windows-App oder der Remotedesktop-App auf einer Plattform her, die die WebAuthn-Umleitung unterstützt. Weitere Informationen finden Sie unter Vergleichen Windows App Features auf verschiedenen Plattformen und Geräten und Vergleichen von Remotedesktop-App-Features auf verschiedenen Plattformen und Geräten.
Öffnen Sie in der Remotesitzung eine Website in einem InPrivate-Fenster, das die WebAuthn-Authentifizierung verwendet, z. B. Windows App für Webbrowser unter https://windows.cloud.microsoft/.
Befolgen Sie den Anmeldevorgang. Wenn die Authentifizierung Windows Hello for Business oder den Sicherheitsschlüssel verwendet, sollte eine Windows-Sicherheit Aufforderung zum Abschließen der Authentifizierung angezeigt werden, wie in der folgenden Abbildung bei Verwendung eines lokalen Windows-Geräts gezeigt.
Die Windows-Sicherheit Eingabeaufforderung befindet sich auf dem lokalen Gerät und überlagert die Remotesitzung, um anzugeben, dass die WebAuthn-Umleitung funktioniert.
