Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Vous pouvez gérer si les ressources locales telles que les caméras, les microphones, le stockage et le Presse-papiers sont redirigées vers une session distante à partir d’Azure Virtual Desktop, de Windows 365 et de Microsoft Dev Box. Avant de pouvoir faire cela, la conformité à la sécurité des appareils locaux est une condition préalable pour gérer les paramètres de redirection des appareils locaux. Pour plus d’informations, consultez Exiger la conformité de la sécurité des appareils clients locaux avec Microsoft Intune et l’accès conditionnel Microsoft Entra.
À un niveau élevé, vous gérez les paramètres de redirection pour l’application Windows sur un appareil client à l’aide de stratégies de configuration d’application Intune. Ces stratégies fonctionnent en même temps que les stratégies de protection des applications Intune et les stratégies d’accès conditionnel qui ont déjà été configurées lors de l’exigence de conformité de la sécurité de l’appareil client local. Vous pouvez utiliser des filtres pour cibler des utilisateurs et des appareils en fonction de critères spécifiques.
En cas de combinaison avec l’exigence de conformité de la sécurité des appareils locaux, vous pouvez réaliser les scénarios suivants :
Appliquer des paramètres de redirection à un niveau plus granulaire en fonction des critères que vous spécifiez. Par exemple, vous voulez avoir des paramètres différents en fonction du groupe de sécurité dans lequel se trouve un utilisateur, du système d’exploitation de l’appareil qu’il utilise, ou si les utilisateurs utilisent des appareils d’entreprise et des appareils personnels pour accéder à une session à distance.
Fournir une couche supplémentaire de protection contre la redirection mal configurée sur le pool d’hôtes ou l’hôte de session.
Appliquez des paramètres de sécurité supplémentaires à l’application Windows et à l’application Bureau à distance, comme exiger un code confidentiel, bloquer les claviers tiers et restreindre les opérations couper, copier et coller entre d’autres applications sur l’appareil client.
Si les paramètres de redirection sur un appareil client sont en conflit avec les propriétés RDP du pool d’hôtes et avec l’hôte de session pour Azure Virtual Desktop ou PC cloud pour Windows 365, c’est le paramètre le plus restrictif des deux qui est pris en compte. Par exemple, si l’hôte de session interdit la redirection de lecteur et que l’appareil client autorise la redirection de lecteur, la redirection de lecteur est interdite. Si les paramètres de redirection sur l’hôte de session et l’appareil client sont identiques, le comportement de redirection est cohérent.
Importante
La configuration des paramètres de redirection sur un appareil client ne doit pas se substituer à une configuration correcte de vos pools hôtes et de vos hôtes de session en fonction de vos besoins. L’utilisation de Microsoft Intune pour configurer Windows App et l’application Bureau à distance peuvent ne pas convenir aux charges de travail nécessitant un niveau de sécurité plus élevé.
Les charges de travail avec des exigences de sécurité plus élevées doivent continuer à définir la redirection au niveau du pool d’hôtes ou de l’hôte de session, où tous les utilisateurs du pool d’hôtes ont la même configuration de redirection. Une solution de protection contre la perte de données (DLP) est recommandée et la redirection doit être désactivée sur les hôtes de session quand c’est possible, de façon à réduire les risques de perte de données.
Exemple de scénario
Voici un exemple de scénario dans lequel les utilisateurs d’un groupe sont autorisés à rediriger les lecteurs lors de la connexion à partir de leur appareil d’entreprise Windows, mais la redirection de lecteur n’est pas autorisée sur leur appareil iOS/iPadOS ou Android d’entreprise.
Les valeurs que vous spécifiez dans les filtres et les stratégies dépendent de vos exigences : vous devez donc déterminer ce qui convient le mieux à votre organisation.
Pour réaliser ce scénario :
Assurez-vous que vos hôtes de session et les paramètres des pools d’hôtes, les PC cloud ou les zones de développement sont configurés pour autoriser la redirection de lecteur.
Créez deux filtres :
- Une pour les applications gérées pour les appareils iOS/iPadOS gérés.
- Un pour les applications gérées pour les appareils Android gérés.
Créez deux stratégies de protection des applications : une pour iOS/iPadOS et une pour Android.
Créez trois stratégies de configuration d’application :
- iOS/iPadOS
- Une politique de gestion des appareils pour identifier le compte d'utilisateur inscrit et l'identifiant de l'appareil.
- Une stratégie d'applications gérées avec la redirection du lecteur désactivée. Affectez le filtre pour iOS/iPadOS créé à l’étape 2.
- Android : un pour les applications gérées sur les appareils Android avec redirection de lecteur désactivée. Affectez le filtre pour Android créé à l’étape 2.
- iOS/iPadOS
Conditions préalables
Avant de pouvoir configurer les paramètres de redirection sur un appareil client local à l’aide d’Intune et de l’accès conditionnel, vous avez besoin des éléments suivants :
Pour effectuer les étapes décrites dans Exiger la conformité de la sécurité des appareils clients locaux avec Microsoft Intune et Microsoft Entra Conditional Access. Toutes les conditions préalables de cet article s’appliquent également à cet article.
Il existe d’autres prérequis Intune pour la configuration des stratégies de protection des applications et des stratégies d’accès conditionnel. Pour plus d’informations, consultez :
Créer une stratégie de configuration d’application pour les appareils gérés iOS/iPadOS
Pour les appareils iOS/iPadOS gérés uniquement, vous devez créer une stratégie de configuration d’application pour les appareils gérés pour l’application Windows. Cette étape n’est pas nécessaire pour Android.
Importante
Pour iOS/iPadOS, pour que le type de gestion des appareils soit appliqué aux appareils gérés par Intune, des paramètres de configuration d’application supplémentaires sont requis. Pour plus d’informations, consultez Types de gestion des appareils.
À partir de la version de service de septembre (2409) d’Intune, les valeurs de configuration IntuneMAMUPN, IntuneMAMOID, et IntuneMAMDeviceID sont automatiquement envoyées aux applications gérées sur les appareils iOS/iPadOS inscrits sur Intune pour certaines applications, y compris l'application Windows App.
Pour créer et appliquer une stratégie de configuration d’application pour les appareils managés, suivez les étapes décrites dans Ajouter des stratégies de configuration d’application pour les appareils iOS/iPadOS managés et utilisez les paramètres suivants :
Sous l’onglet Informations de base , pour l’application ciblée, sélectionnez Windows App Mobile dans la liste. Vous devez avoir ajouté l’application à Intune à partir de l’App Store pour qu’elle s’affiche dans cette liste.
Sous l’onglet Paramètres, pour la liste déroulante Format des paramètres de configuration, sélectionnez Utiliser le concepteur de configuration, puis entrez les paramètres suivants exactement comme indiqué :
Clé de configuration Type de valeur Valeur de configuration IntuneMAMUPNChaîne {{userprincipalname}}IntuneMAMOIDChaîne {{userid}}IntuneMAMDeviceIDChaîne {{deviceID}}Sous l’onglet Affectations, affectez la stratégie au groupe de sécurité contenant les utilisateurs auxquels appliquer la stratégie. Vous devez appliquer la stratégie à un groupe d’utilisateurs pour que la stratégie prenne effet. Pour chaque groupe, si vous le souhaitez, vous pouvez sélectionner un filtre plus spécifique dans le ciblage de la stratégie de configuration d’application.
Créer une stratégie de configuration d’application pour les applications managées
Nous vous recommandons de créer une stratégie de configuration d’application distincte pour les applications gérées pour iOS/iPadOS et Android, car les fonctionnalités de stratégie de configuration d’application peuvent changer au fil du temps entre les plateformes.
Créez des stratégies de configuration d’application supplémentaires si vos besoins en matière de redirection d’appareil diffèrent entre les groupes d’utilisateurs. Par exemple, bloquez la redirection des lecteurs pour les utilisateurs du service financier et bloquez la redirection des lecteurs et du presse-papiers pour les utilisateurs du service marketing.
Pour créer et appliquer une stratégie de configuration d’application pour les appareils managés, suivez les étapes décrites dans Ajouter des stratégies de configuration d’application pour les appareils managés par Intune App SDK et utilisez les paramètres suivants :
Sous l’onglet Informations de base , sélectionnez Sélectionner des applications publiques, recherchez et sélectionnez Application Windows, puis sélectionnez Sélectionner. Pour Android uniquement, si l’application Windows n’apparaît pas encore pour vous, entrez le Bureau à distance à la place. Cela est dû au calendrier de déploiement d'Intune. Les deux applications utilisent le même ID
com.microsoft.rdc.androidxde package. Par conséquent, les stratégies de configuration des applications s’appliquent aux deux applications, quel que soit le nom de l’application que vous voyez dans la console Intune.Sous l’onglet Paramètres, développez Paramètres de configuration généraux, puis entrez les paires nom et valeur suivantes pour chaque paramètre de redirection que vous voulez configurer, exactement comme indiqué. Ces valeurs correspondent aux propriétés RDP listées sur Propriétés RDP prises en charge, mais la syntaxe est différente :
Nom Descriptif Valeur audiocapturemodeIndique si la redirection audio d’entrée est activée. 0: la capture audio sur l’appareil local est désactivée.
1: la capture audio à partir de l'appareil local et la redirection vers une application audio dans la session distante sont activées.camerastoredirectDétermine si la redirection de la caméra est activée. 0: la redirection de la caméra est désactivée.
1: la redirection de caméra est activéedrivestoredirectDétermine si la redirection du lecteur de disque est activée. 0: la redirection du lecteur de disque est désactivée.
1: la redirection du lecteur de disque est activée.redirectclipboardDétermine si la redirection du Presse-papiers est activée. 0: La redirection du presse-papiers sur l'appareil local est désactivée dans la session à distance.
1: La redirection du presse-papiers sur l'appareil local est activée dans la session à distance.Voici un exemple de la façon dont les paramètres doivent être définis :
Sous l’onglet Affectations, affectez la stratégie au groupe de sécurité contenant les utilisateurs auxquels appliquer la stratégie. Vous devez appliquer la stratégie à un groupe d’utilisateurs pour que la stratégie prenne effet. Pour chaque groupe, si vous le souhaitez, vous pouvez sélectionner un filtre plus spécifique dans le ciblage de la stratégie de configuration d’application.
Vérifier la configuration
Maintenant que vous avez configuré Intune et l’accès conditionnel pour gérer la redirection d’appareils pour l’application Windows, vérifiez que votre configuration de redirection fonctionne comme prévu en vous connectant à une session distante. Vous devez vérifier à partir d’un appareil géré et/ou non managé pour chaque plateforme, en fonction des stratégies que vous avez configurées.