Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Porada
Ten artykuł jest udostępniany dla usług i produktów korzystających z protokołu RDP (Remote Desktop Protocol) w celu zapewnienia dostępu zdalnego do pulpitów i aplikacji systemu Windows.
Wybierz produkt przy użyciu przycisków w górnej części tego artykułu, aby wyświetlić odpowiednią zawartość.
Można skonfigurować zachowanie przekierowania żądań WebAuthn z sesji zdalnej do urządzenia lokalnego za pośrednictwem protokołu RDP (Remote Desktop Protocol). Przekierowanie webAuthn umożliwia uwierzytelnianie bez hasła w sesji przy użyciu Windows Hello dla firm lub urządzeń zabezpieczeń, takich jak klucze FIDO.
W przypadku usługi Azure Virtual Desktop zalecamy włączenie przekierowania webauthn na hostach sesji przy użyciu Microsoft Intune lub zasady grupy, a następnie kontrolowanie przekierowania przy użyciu właściwości PROTOKOŁU RDP puli hostów.
W przypadku Windows 365 możesz skonfigurować komputery w chmurze przy użyciu Microsoft Intune lub zasady grupy.
W przypadku rozwiązania Microsoft Dev Box możesz skonfigurować pola deweloperskie przy użyciu Microsoft Intune lub zasady grupy.
Ten artykuł zawiera informacje o obsługiwanych metodach przekierowania i sposobie konfigurowania zachowania przekierowania dla żądań WebAuthn. Aby dowiedzieć się więcej na temat sposobu działania przekierowania, zobacz Przekierowanie za pośrednictwem protokołu pulpitu zdalnego.
Wymagania wstępne
Aby można było skonfigurować przekierowanie usługi WebAuthn, należy wykonać następujące czynności:
Istniejąca pula hostów z hostami sesji.
Konto Tożsamość Microsoft Entra, do których przypisano wbudowane role kontroli dostępu opartej na rolach (RBAC) w puli hostów programu Desktop Virtualization Host Pool Contributor.
- Istniejący komputer w chmurze.
- Istniejące pole deweloperskie.
Lokalne urządzenie z systemem Windows z Windows Hello dla firm lub urządzeniem zabezpieczającym, takim jak już skonfigurowany klucz FIDO USB.
Aby skonfigurować Microsoft Intune, potrzebne są następujące elementy:
- Tożsamość Microsoft Entra konto, do których przypisano wbudowaną rolę RBAC menedżera zasad i profilu.
- Grupa zawierająca urządzenia, które chcesz skonfigurować.
Aby skonfigurować zasady grupy, potrzebne są następujące elementy:
- Konto domeny, które ma uprawnienia do tworzenia lub edytowania obiektów zasady grupy.
- Grupa zabezpieczeń lub jednostka organizacyjna (OU) zawierająca urządzenia, które chcesz skonfigurować.
Musisz nawiązać połączenie z sesją zdalną z obsługiwanej aplikacji i platformy. Aby wyświetlić obsługę przekierowania w Windows App i aplikacji pulpitu zdalnego, zobacz Porównanie funkcji Windows App na różnych platformach i urządzeniach oraz Porównanie funkcji aplikacji pulpitu zdalnego na różnych platformach i urządzeniach.
Przekierowanie usługi WebAuthn
Konfiguracja hosta sesji przy użyciu Microsoft Intune lub zasady grupy lub ustawienie właściwości RDP w puli hostów umożliwia przekierowywanie żądań WebAuthn z sesji zdalnej na urządzenie lokalne, które podlega kolejności priorytetu.
Konfiguracja domyślna to:
- System operacyjny Windows: żądania webauthn nie są blokowane.
- Właściwości protokołu RDP puli hostów usługi Azure Virtual Desktop: żądania WebAuthn w sesji zdalnej są przekierowywane do komputera lokalnego.
Ważna
Podczas konfigurowania ustawień przekierowania należy zachować ostrożność, ponieważ najbardziej restrykcyjnym ustawieniem jest zachowanie wynikowe. Jeśli na przykład wyłączysz przekierowywanie webauthn na hoście sesji z Microsoft Intune lub zasady grupy, ale włączysz je za pomocą właściwości RDP puli hostów, przekierowanie zostanie wyłączone.
Konfiguracja komputera w chmurze zarządza możliwością przekierowywania żądań WebAuthn między sesją zdalną a urządzeniem lokalnym i jest ustawiana przy użyciu Microsoft Intune lub zasady grupy.
Konfiguracja domyślna to:
- System operacyjny Windows: żądania webauthn nie są blokowane. Windows 365 umożliwia przekierowanie usługi WebAuthn.
Konfiguracja pola deweloperskiego określa możliwość przekierowywania żądań WebAuthn między sesją zdalną a urządzeniem lokalnym i jest ustawiana przy użyciu Microsoft Intune lub zasady grupy.
Konfiguracja domyślna to:
- System operacyjny Windows: żądania webauthn nie są blokowane. Windows 365 umożliwia przekierowanie usługi WebAuthn.
Konfigurowanie przekierowania usługi WebAuthn przy użyciu właściwości PROTOKOŁU RDP puli hostów
Ustawienie puli hostów usługi Azure Virtual Desktop webAuthn określa , czy przekierowywać żądania WebAuthn między sesją zdalną a urządzeniem lokalnym. Odpowiadająca mu właściwość RDP to redirectwebauthn:i:<value>. Aby uzyskać więcej informacji, zobacz Obsługiwane właściwości protokołu RDP.
Aby skonfigurować przekierowanie usługi WebAuthn przy użyciu właściwości PROTOKOŁU RDP puli hostów:
Zaloguj się do witryny Azure Portal.
Na pasku wyszukiwania wpisz Azure Virtual Desktop i wybierz odpowiedni wpis usługi.
Wybierz pozycję Pule hostów, a następnie wybierz pulę hostów, którą chcesz skonfigurować.
Wybierz pozycję Właściwości PROTOKOŁU RDP, a następnie wybierz pozycję Przekierowanie urządzenia.
W przypadku przekierowania usługi WebAuthn wybierz listę rozwijaną, a następnie wybierz jedną z następujących opcji:
- Żądania webauthn w sesji zdalnej nie są przekierowywane do komputera lokalnego
- Żądania WebAuthn w sesji zdalnej są przekierowywane do komputera lokalnego (ustawienie domyślne)
- Nie skonfigurowano
Wybierz Zapisz.
Aby przetestować konfigurację, wykonaj kroki opisane w temacie Testowanie przekierowania usługi WebAuthn.
Konfigurowanie przekierowania usługi WebAuthn przy użyciu Microsoft Intune lub zasady grupy
Konfigurowanie przekierowania usługi WebAuthn przy użyciu Microsoft Intune lub zasady grupy
Wybierz odpowiednią kartę dla danego scenariusza.
Aby zezwolić na przekierowywanie usługi WebAuthn lub wyłączyć je przy użyciu Microsoft Intune:
Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.
Utwórz lub edytuj profil konfiguracji dla urządzeń Windows 10 i nowszych przy użyciu typu profilu wykazu ustawień.
W selektorze ustawień przejdź do pozycji Szablony> administracyjneSkładniki> systemu WindowsUsługi> pulpituzdalnego Host sesji> pulpitu zdalnegoUrządzenie i przekierowanie zasobów.
Zaznacz pole wyboru Nie zezwalaj na przekierowanie usługi WebAuthn, a następnie zamknij selektor ustawień.
Rozwiń kategorię Szablony administracyjne , a następnie przełącz przełącznik Nie zezwalaj na przekierowywanie webAuthn na wartość Włączone lub Wyłączone, w zależności od wymagań:
Aby zezwolić na przekierowanie webauthn, przełącz przełącznik na Wyłączone.
Aby wyłączyć przekierowanie webauthn, przełącz przełącznik na włączone.
Wybierz pozycję Dalej.
Opcjonalnie: na karcie Tagi zakresu wybierz tag zakresu, aby filtrować profil. Aby uzyskać więcej informacji na temat tagów zakresu, zobacz artykuł Używanie kontroli dostępu opartej na rolach (RBAC) i tagów zakresu w rozproszonej infrastrukturze informatycznej.
Na karcie Przypisania wybierz grupę zawierającą komputery dostarczające sesję zdalną, którą chcesz skonfigurować, a następnie wybierz pozycję Dalej.
Na karcie Przeglądanie i tworzenie przejrzyj ustawienia, a następnie wybierz pozycję Utwórz.
Gdy zasady będą stosowane do komputerów udostępniających sesję zdalną, uruchom je ponownie, aby ustawienia zostały zastosowane.
Przekierowywanie testowe usługi WebAuthn
Po włączeniu przekierowania webauthn przetestuj go:
Jeśli używasz klucza zabezpieczeń USB, upewnij się, że jest on najpierw podłączony.
Połącz się z sesją zdalną przy użyciu aplikacji okiennej lub aplikacji pulpitu zdalnego na platformie, która obsługuje przekierowanie webauthn. Aby uzyskać więcej informacji, zobacz Porównanie funkcji Windows App na różnych platformach i urządzeniach oraz Porównanie funkcji aplikacji pulpitu zdalnego na różnych platformach i urządzeniach.
W sesji zdalnej otwórz witrynę internetową w oknie InPrivate korzystającym z uwierzytelniania WebAuthn, na przykład Windows App dla przeglądarek internetowych pod adresem https://windows.cloud.microsoft/.
Postępuj zgodnie z procesem logowania. Jeśli uwierzytelnianie jest używane Windows Hello dla firm lub klucza zabezpieczeń, powinien zostać wyświetlony Zabezpieczenia Windows monit o ukończenie uwierzytelniania, jak pokazano na poniższej ilustracji podczas korzystania z urządzenia lokalnego z systemem Windows.
Monit Zabezpieczenia Windows znajduje się na urządzeniu lokalnym i nakłada sesję zdalną, co wskazuje, że przekierowanie webauthn działa.
