Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Puede administrar si los recursos locales, como cámaras, micrófonos, almacenamiento y el Portapapeles, se redirigen a una sesión remota desde Azure Virtual Desktop, Windows 365 y Microsoft Dev Box. Para ello, es un requisito previo exigir el cumplimiento de la seguridad del dispositivo local para gestionar la configuración de redirección del dispositivo local. Para obtener más información, consulte Requerir el cumplimiento de la seguridad de dispositivos de cliente local con Microsoft Intune y el acceso condicional de Microsoft Entra.
En un nivel general, administra la configuración de redirección de la aplicación de Windows en un dispositivo cliente mediante directivas de configuración de aplicaciones de Intune. Estas directivas funcionan junto con las directivas de protección de aplicaciones de Intune y las directivas de acceso condicional que ya estaban configuradas al requerir el cumplimiento de seguridad de dispositivos de cliente local. Puede usar filtros para dirigirse a usuarios y dispositivos en función de criterios específicos.
Cuando se combina con la necesidad de cumplimiento de seguridad de dispositivos locales, puede lograr los escenarios siguientes:
Aplicar la configuración de redireccionamiento en un nivel más granular en función de los criterios que especifique. Por ejemplo, es posible que quiera tener configuraciones diferentes en función del grupo de seguridad en el que se encuentra un usuario, el sistema operativo del dispositivo que usa o si los usuarios usan tanto dispositivos corporativos como personales para acceder a una sesión remota.
Proporcionar una capa adicional de protección contra el redireccionamiento mal configurado en el grupo de hosts o el host de sesión.
Aplique una configuración de seguridad adicional a la aplicación de Windows y a la aplicación de Escritorio remoto, como requerir un PIN, bloquear teclados de terceros y restringir las operaciones de cortar, copiar y pegar entre otras aplicaciones del dispositivo cliente.
Si la configuración de redireccionamiento en un dispositivo cliente entra en conflicto con las propiedades del RDP del grupo de hosts y el host de sesión para Azure Virtual Desktop o PC en la nube para Windows 365, entra en vigor la configuración más restrictiva entre las dos. Por ejemplo, si el host de sesión no permite el redireccionamiento de unidades y el dispositivo cliente sí, no se permite el redireccionamiento. Si la configuración de redireccionamiento en el host de sesión y el dispositivo cliente es la misma, el comportamiento de redireccionamiento es coherente.
Importante
La configuración de redireccionamiento en un dispositivo cliente no sustituye a la configuración correcta de los grupos de hosts y los hosts de sesión en función de sus necesidades. El uso de Microsoft Intune para configurar las Windows App y la aplicación Escritorio remoto puede no ser adecuado para cargas de trabajo que requieran un mayor nivel de seguridad.
Las cargas de trabajo con requisitos de seguridad más altos deben seguir configurando el redireccionamiento en el grupo de hosts o el host de sesión, donde todos los usuarios del grupo de hosts tendrían la misma configuración de redireccionamiento. Se recomienda una solución de protección de pérdida de datos (DLP) y deshabilitar el redireccionamiento en los hosts de sesión siempre que sea posible para minimizar las posibilidades de pérdida de datos.
Escenario de ejemplo
Este es un escenario de ejemplo en el que los usuarios de un grupo permiten el redireccionamiento de unidades al conectarse desde su dispositivo corporativo Windows, pero no se permite la redirección de unidades en su dispositivo corporativo iOS/iPadOS o Android.
Los valores que especifique en filtros y directivas dependen de sus necesidades, por lo que debe determinar qué es lo mejor para su organización.
Para lograr este escenario:
Asegúrese de que los hosts de sesión y los grupos de hosts, los equipos en la nube o los equipos de desarrollo están configurados para permitir el redireccionamiento de unidades.
Cree dos filtros:
- Una para aplicaciones administradas para dispositivos iOS/iPadOS administrados.
- Una para aplicaciones administradas para dispositivos Android administrados.
Cree dos directivas de protección de aplicaciones, una para iOS o iPadOS y otra para Android.
Cree tres directivas de configuración de aplicaciones:
- iOS/iPadOS:
- Una directiva de dispositivo administrado para identificar la cuenta de usuario registrada y el identificador de dispositivo.
- Una directiva de aplicaciones administradas con la redirección de disco desactivada. Asigne el filtro para iOS/iPadOS creado en el paso 2.
- Android: una para aplicaciones administradas para dispositivos Android con redirección de disco deshabilitada. Asigne el filtro para Android creado en el paso 2.
- iOS/iPadOS:
Prerrequisitos
Para poder configurar las opciones de redireccionamiento en un dispositivo cliente local mediante Intune y el acceso condicional, necesita lo siguiente:
Para completar los pasos descritos en Requerir el cumplimiento de la seguridad de dispositivos de cliente local con Microsoft Intune y el acceso condicional de Microsoft Entra. Todos los requisitos previos de ese artículo también se aplican a este artículo.
Hay más requisitos previos de Intune para configurar directivas de protección de aplicaciones y directivas de acceso condicional. Para obtener más información, consulte:
Creación de una directiva de configuración de aplicaciones para dispositivos administrados iOS/iPadOS
Para dispositivos iOS/iPadOS que solo se administran, debe crear una directiva de configuración de aplicaciones para dispositivos administrados para aplicaciones windows. Este paso no es necesario para Android.
Importante
Para iOS/iPadOS, para que se aplique el tipo de administración de dispositivos a dispositivos administrados de Intune, se requieren opciones de configuración de aplicaciones adicionales. Para obtener más información, consulte Tipos de administración de dispositivos.
A partir de la versión de servicio de septiembre (2409) de Intune, los valores de configuración de aplicación IntuneMAMUPN, IntuneMAMOID y IntuneMAMDeviceID se envían automáticamente a aplicaciones administradas en dispositivos iOS/iPadOS inscritos en Intune, incluso Windows App.
Para crear y aplicar una directiva de configuración de aplicaciones para dispositivos administrados, siga los pasos descritos en Agregar directivas de configuración de aplicaciones para dispositivos iOS o iPadOS administrados y use la siguiente configuración:
En la pestaña Aspectos básicos , para la aplicación de destino, seleccione Windows App Mobile en la lista. Debe haber agregado la aplicación a Intune desde la App Store para que se muestre en esta lista.
En la pestaña Configuración, en la lista desplegable Configuración de formato, seleccione Usar diseñador de configuración y, a continuación, escriba los siguientes valores exactamente como se muestra:
Clave de configuración Tipo de valor Valor de configuración IntuneMAMUPNCuerda {{userprincipalname}}IntuneMAMOIDCuerda {{userid}}IntuneMAMDeviceIDCuerda {{deviceID}}En la pestaña Asignaciones, asigne la directiva al grupo de seguridad que contiene a los usuarios a los que aplicar la directiva. Debe aplicar la directiva a un grupo de usuarios para que la directiva surta efecto. Si lo desea, puede seleccionar opcionalmente un filtro para cada grupo para ser más específico en la orientación de la directiva de configuración de aplicaciones.
Creación de una directiva de configuración de aplicaciones para aplicaciones administradas
Se recomienda crear una directiva de configuración de aplicaciones independiente para aplicaciones administradas para iOS/iPadOS y Android, ya que las funcionalidades de la directiva de configuración de aplicaciones pueden cambiar con el tiempo entre las plataformas.
Cree directivas de configuración de aplicaciones adicionales según sea necesario si los requisitos de redirección de dispositivos difieren entre grupos de usuarios. Por ejemplo, bloquear el redireccionamiento de unidades para los usuarios de Finance y bloquear el redireccionamiento de la unidad y el portapapeles para los usuarios de Marketing.
Para crear y aplicar una directiva de configuración de aplicaciones para aplicaciones administradas, siga los pasos descritos en Directivas de configuración de aplicaciones para aplicaciones administradas del SDK de aplicaciones de Intune y use la siguiente configuración:
En la pestaña Aspectos básicos , seleccione Seleccionar aplicaciones públicas, busque y seleccione Aplicación de Windows y, a continuación, seleccione Seleccionar. Solo para Android, si aún no aparece la aplicación de Windows, escriba Escritorio remoto en su lugar. Esto se debe al tiempo de implementación de Intune. Ambas aplicaciones usan el mismo identificador
com.microsoft.rdc.androidxde paquete, por lo que las directivas de configuración de aplicaciones se aplican a ambas aplicaciones independientemente del nombre de la aplicación que vea en la consola de Intune.En la pestaña Configuración, expanda Opciones de configuración general y, a continuación, escriba los siguientes pares de nombre y valor para cada configuración de redireccionamiento que quiera configurar exactamente como se muestra. Estos valores corresponden a las propiedades de RDP enumeradas en propiedades del RDP admitidas, pero la sintaxis es diferente:
Nombre Descripción Valor audiocapturemodeIndica el redireccionamiento de la entrada de audio si está habilitado. 0: la captura de audio del dispositivo local está deshabilitada.
1: la captura de audio del dispositivo local y el redireccionamiento a una aplicación de audio en la sesión remota está habilitada.camerastoredirectDetermina si el redireccionamiento de la cámara está habilitada. 0: el redireccionamiento de la cámara está deshabilitado.
1: la redirección de la cámara está habilitada.drivestoredirectDetermina si está habilitada el redireccionamiento de la unidad de disco. 0: el redireccionamiento de la unidad de disco está deshabilitado.
1: el redireccionamiento de la unidad de disco está habilitado.redirectclipboardDetermina si el redireccionamiento del Portapapeles está habilitado. 0: el redireccionamiento del Portapapeles en el dispositivo local está deshabilitado en la sesión remota.
1: el redireccionamiento del Portapapeles en el dispositivo local está habilitado en la sesión remota.Este es un ejemplo de cómo debe ser el aspecto de la configuración:
En la pestaña Asignaciones, asigne la directiva al grupo de seguridad que contiene a los usuarios a los que aplicar la directiva. Debe aplicar la directiva a un grupo de usuarios para que la directiva surta efecto. Si lo desea, puede seleccionar opcionalmente un filtro para cada grupo para ser más específico en la orientación de la directiva de configuración de aplicaciones.
Comprobación de la configuración
Ahora que configuró Intune y el acceso condicional para administrar el redireccionamiento de dispositivos para la aplicación windows, compruebe que la configuración de redireccionamiento funciona según lo previsto mediante la conexión a una sesión remota. Debe comprobar desde un dispositivo administrado o no administrado para cada plataforma, en función de las directivas configuradas.