Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Sugerencia
Este artículo se comparte con los servicios y productos que usan el Protocolo de Escritorio remoto (RDP) para proporcionar acceso remoto a aplicaciones y escritorios de Windows.
Seleccione un producto con los botones de la parte superior de este artículo para mostrar el contenido pertinente.
Puede configurar el comportamiento de redireccionamiento de las solicitudes de WebAuthn desde una sesión remota a un dispositivo local a través del Protocolo de Escritorio remoto (RDP). El redireccionamiento de WebAuthn permite la autenticación sin contraseña en sesión mediante dispositivos de Windows Hello para empresas o de seguridad, como las claves FIDO.
Para Azure Virtual Desktop, se recomienda habilitar el redireccionamiento de WebAuthn en los hosts de sesión mediante Microsoft Intune o directiva de grupo y, a continuación, controlar el redireccionamiento mediante las propiedades RDP del grupo de hosts.
Para Windows 365, puede configurar los equipos en la nube mediante Microsoft Intune o directiva de grupo.
Para Microsoft Dev Box, puede configurar los cuadros de desarrollo mediante Microsoft Intune o directiva de grupo.
En este artículo se proporciona información sobre los métodos de redireccionamiento admitidos y cómo configurar el comportamiento de redireccionamiento para las solicitudes de WebAuthn. Para obtener más información sobre cómo funciona el redireccionamiento, consulte Redirección a través del protocolo de Escritorio remoto.
Requisitos previos
Para poder configurar el redireccionamiento de WebAuthn, necesita:
Un grupo de hosts existente con hosts de sesión.
Una cuenta de Microsoft Entra ID a la que se asignan los roles de colaborador del grupo de hosts de virtualización de escritorio integrado (RBAC) en el grupo de hosts como mínimo.
- Un equipo en la nube existente.
- Un cuadro de desarrollo existente.
Un dispositivo Windows local con Windows Hello para empresas o un dispositivo de seguridad como una clave USB FIDO ya configurada.
Para configurar Microsoft Intune, necesita:
- Microsoft Entra ID cuenta a la que se asigna el rol RBAC integrado administrador de directivas y perfiles.
- Un grupo que contiene los dispositivos que desea configurar.
Para configurar directiva de grupo, necesita:
- Una cuenta de dominio que tiene permiso para crear o editar objetos directiva de grupo.
- Grupo de seguridad o unidad organizativa (OU) que contiene los dispositivos que desea configurar.
Debe conectarse a una sesión remota desde una aplicación y plataforma compatibles. Para ver la compatibilidad con el redireccionamiento en Windows App y la aplicación escritorio remoto, consulte Comparación de características Windows App entre plataformas y dispositivos y Comparación de características de aplicaciones de Escritorio remoto entre plataformas y dispositivos.
Redirección de WebAuthn
La configuración de un host de sesión mediante Microsoft Intune o directiva de grupo, o la configuración de una propiedad RDP en un grupo de hosts rigen la capacidad de redirigir las solicitudes de WebAuthn desde una sesión remota a un dispositivo local, que está sujeta a un orden de prioridad.
La configuración predeterminada es:
- Sistema operativo Windows: no se bloquean las solicitudes de WebAuthn.
- Propiedades RDP del grupo de hosts de Azure Virtual Desktop: las solicitudes WebAuthn de la sesión remota se redirigen al equipo local.
Importante
Tenga cuidado al configurar la configuración de redireccionamiento, ya que la configuración más restrictiva es el comportamiento resultante. Por ejemplo, si deshabilita el redireccionamiento de WebAuthn en un host de sesión con Microsoft Intune o directiva de grupo, pero lo habilita con la propiedad RDP del grupo de hosts, el redireccionamiento está deshabilitado.
La configuración de un equipo en la nube rige la capacidad de redirigir las solicitudes WebAuthn entre la sesión remota y el dispositivo local, y se establece mediante Microsoft Intune o directiva de grupo.
La configuración predeterminada es:
- Sistema operativo Windows: no se bloquean las solicitudes de WebAuthn. Windows 365 habilita el redireccionamiento de WebAuthn.
La configuración de un cuadro de desarrollo rige la capacidad de redirigir las solicitudes webAuthn entre la sesión remota y el dispositivo local, y se establece mediante Microsoft Intune o directiva de grupo.
La configuración predeterminada es:
- Sistema operativo Windows: no se bloquean las solicitudes de WebAuthn. Windows 365 habilita el redireccionamiento de WebAuthn.
Configuración del redireccionamiento de WebAuthn mediante las propiedades rdp del grupo de hosts
La configuración de redireccionamiento de WebAuthn del grupo de hosts de Azure Virtual Desktop controla si se redirigen las solicitudes WebAuthn entre la sesión remota y el dispositivo local. La propiedad RDP correspondiente es redirectwebauthn:i:<value>. Para obtener más información, vea Propiedades de RDP admitidas.
Para configurar el redireccionamiento de WebAuthn mediante las propiedades RDP del grupo de hosts:
Inicie sesión en el portal de Azure.
En la barra de búsqueda, escriba Azure Virtual Desktop y seleccione la entrada de servicio coincidente.
Seleccione Grupos de hosts y, a continuación, seleccione el grupo de hosts que desea configurar.
Seleccione Propiedades de RDP y, a continuación, redireccionamiento de dispositivos.
En Redireccionamiento de WebAuthn, seleccione la lista desplegable y, a continuación, seleccione una de las siguientes opciones:
- Las solicitudes de WebAuthn en la sesión remota no se redirigen al equipo local
- Las solicitudes de WebAuthn en la sesión remota se redirigen al equipo local (valor predeterminado)
- Sin configurar
Haga clic en Guardar.
Para probar la configuración, siga los pasos descritos en Test WebAuthn redirection (Probar redirección de WebAuthn).
Configuración del redireccionamiento de WebAuthn mediante Microsoft Intune o directiva de grupo
Configuración del redireccionamiento de WebAuthn mediante Microsoft Intune o directiva de grupo
Seleccione la pestaña correspondiente para el escenario.
Para permitir o deshabilitar el redireccionamiento de WebAuthn mediante Microsoft Intune:
Inicie sesión en el Centro de administración de Microsoft Intune.
Cree o edite un perfil de configuración para Windows 10 y dispositivos posteriores, con el tipo de perfil de catálogo Configuración.
En el selector de configuración, vaya a Plantillas> administrativasComponentes de Windows Servicios>> deEscritorio remoto Dispositivo host> de sesión de Escritorio remotoy Redirección de recursos.
Active la casilla No permitir el redireccionamiento de WebAuthn y cierre el selector de configuración.
Expanda la categoría Plantillas administrativas y, a continuación, cambie el modificador de No permitir el redireccionamiento de WebAuthn a Habilitado o Deshabilitado, según sus requisitos:
Para permitir el redireccionamiento de WebAuthn, cambie el modificador a Deshabilitado.
Para deshabilitar el redireccionamiento de WebAuthn, cambie el modificador a Habilitado.
Seleccione Siguiente.
Opcional: en la pestaña Etiquetas de ámbito, seleccione una etiqueta de ámbito para filtrar el perfil. Para más información sobre las etiquetas de ámbito, consulte Usar control de acceso basado en roles (RBAC) y etiquetas de ámbito para TI distribuida.
En la pestaña Asignaciones , seleccione el grupo que contiene los equipos que proporcionan una sesión remota que desea configurar y, a continuación, seleccione Siguiente.
En la pestaña Revisar y crear , revise la configuración y seleccione Crear.
Una vez que la directiva se aplica a los equipos que proporcionan una sesión remota, reinícielos para que la configuración surta efecto.
Prueba del redireccionamiento de WebAuthn
Una vez que habilite el redireccionamiento de WebAuthn, para probarlo:
Si usa una clave de seguridad USB, asegúrese de que está conectada primero.
Conéctese a una sesión remota mediante Window App o la aplicación escritorio remoto en una plataforma que admita el redireccionamiento de WebAuthn. Para obtener más información, consulte Comparación de características de Windows App entre plataformas y dispositivos y Comparación de características de aplicaciones de Escritorio remoto entre plataformas y dispositivos.
En la sesión remota, abra un sitio web en una ventana de InPrivate que use la autenticación webAuthn, como Windows App para exploradores web en https://windows.cloud.microsoft/.
Siga el proceso de inicio de sesión. Cuando la autenticación se usa Windows Hello para empresas o la clave de seguridad, debería ver una solicitud de Seguridad de Windows para completar la autenticación, como se muestra en la siguiente imagen cuando se usa un dispositivo local Windows.
El símbolo del sistema de Seguridad de Windows está en el dispositivo local y superpone la sesión remota, lo que indica que el redireccionamiento de WebAuthn funciona.
