Zarządzanie ustawieniami przekierowywania aplikacji systemu Windows za pomocą usługi Microsoft Intune

Możesz zarządzać tym, czy zasoby lokalne, takie jak kamery, mikrofony, magazyn i schowek, są przekierowywane do sesji zdalnej z usługi Azure Virtual Desktop, Windows 365 i Microsoft Dev Box. Zanim to zrobisz, wymaganie zgodności z zabezpieczeniami urządzeń lokalnych jest warunkiem wstępnym do zarządzania ustawieniami przekierowywania tych urządzeń lokalnych. Aby uzyskać więcej informacji, zobacz Wymaganie zgodności z zabezpieczeniami lokalnego urządzenia klienckiego z usługą Microsoft Intune i dostępem warunkowym firmy Microsoft Entra.

Na wysokim poziomie zarządzasz ustawieniami przekierowania aplikacji systemu Windows na urządzeniu klienckim przy użyciu zasad konfiguracji aplikacji usługi Intune. Te zasady współpracują z zasadami ochrony aplikacji usługi Intune i zasadami dostępu warunkowego , które zostały już skonfigurowane podczas wymagania zgodności z zabezpieczeniami lokalnego urządzenia klienckiego. Filtry umożliwiają kierowanie użytkowników i urządzeń na podstawie określonych kryteriów.

W połączeniu z wymaganiami zgodności z zabezpieczeniami urządzeń lokalnych można osiągnąć następujące scenariusze:

Zastosuj ustawienia przekierowania na bardziej szczegółowym poziomie na podstawie podanych kryteriów. Na przykład możesz chcieć mieć różne ustawienia w zależności od grupy zabezpieczeń, w której znajduje się użytkownik, systemu operacyjnego używanego urządzenia lub jeśli użytkownicy używają zarówno urządzeń firmowych, jak i osobistych do uzyskiwania dostępu do sesji zdalnej.
Zapewnij dodatkową warstwę ochrony przed błędnie skonfigurowanym przekierowaniem na hoście lub hoście sesji hosta.
Stosowanie dodatkowych ustawień zabezpieczeń do aplikacji systemu Windows i aplikacji pulpitu zdalnego, takich jak wymaganie numeru PIN, blokowanie klawiatur innych firm i ograniczanie operacji wycinania, kopiowania i wklejania między innymi aplikacjami na urządzeniu klienckim.

Jeśli ustawienia przekierowania na urządzeniu klienckim powodują konflikt z właściwościami protokołu RDP puli hostów i hostem sesji dla usługi Azure Virtual Desktop lub Cloud PC dla systemu Windows 365, bardziej restrykcyjne ustawienie między nimi zostanie zastosowane. Jeśli na przykład host sesji nie zezwala na przekierowywanie dysków, a urządzenie klienckie zezwala na przekierowywanie dysków, przekierowanie dysku jest niedozwolone. Jeśli ustawienia przekierowania na hoście sesji i urządzeniu klienckim są takie same, zachowanie przekierowania jest spójne.

Ważne

Konfigurowanie ustawień przekierowania na urządzeniu klienckim nie jest zamiennikiem prawidłowego konfigurowania pul hostów i hostów sesji na podstawie wymagań. Konfigurowanie aplikacji systemu Windows i aplikacji pulpitu zdalnego przy użyciu usługi Microsoft Intune może nie być odpowiednie dla obciążeń wymagających wyższego poziomu zabezpieczeń.

Obciążenia z wyższymi wymaganiami dotyczącymi zabezpieczeń powinny nadal ustawiać przekierowanie na hoście puli hostów lub sesji, gdzie wszyscy użytkownicy puli hostów będą mieli taką samą konfigurację przekierowania. Zalecane jest rozwiązanie ochrony przed utratą danych (DLP), a przekierowywanie powinno być wyłączone na hostach sesji, gdy jest to możliwe, aby zminimalizować możliwości utraty danych.

Przykładowy scenariusz

Oto przykładowy scenariusz, w którym użytkownicy w grupie mogą przekierowywać dyski podczas nawiązywania połączenia z urządzenia firmowego z systemem Windows, ale przekierowywanie dysków jest niedozwolone na urządzeniu firmowym z systemem iOS/iPadOS lub Android.

Wartości określone w filtrach i zasadach zależą od wymagań, więc musisz określić, co jest najlepsze dla organizacji.

Aby osiągnąć ten scenariusz:

Upewnij się, że hosty sesji i ustawienia pul hostów, komputery w chmurze lub pola deweloperskie są skonfigurowane tak, aby zezwalać na przekierowywanie dysków.
Utwórz dwa filtry:
1. Jedna dla zarządzanych aplikacji dla zarządzanych urządzeń z systemem iOS/iPadOS.
2. Jedna dla zarządzanych aplikacji dla zarządzanych urządzeń z systemem Android.
Utwórz dwie zasady ochrony aplikacji— jedną dla systemów iOS/iPadOS i jedną dla systemu Android.
Utwórz trzy zasady konfiguracji aplikacji:
1. iOS/iPadOS:
  1. Jedna zasada dotycząca urządzeń zarządzanych, służąca do identyfikowania zarejestrowanego konta użytkownika i identyfikatora urządzenia.
  2. Jedna zasada polityki zarządzania aplikacjami z wyłączonym przekierowywaniem dysków. Przypisz filtr dla systemu iOS/iPadOS utworzony w kroku 2.
2. Android: jedna dla aplikacji zarządzanych, przeznaczona na urządzenia z systemem Android, z wyłączonym przekierowywaniem dysków. Przypisz filtr dla systemu Android utworzony w kroku 2.

Wymagania wstępne

Przed skonfigurowaniem ustawień przekierowania na lokalnym urządzeniu klienckim przy użyciu usługi Intune i dostępu warunkowego potrzebne są następujące elementy:

Aby zakończyć kroki opisane w Wymagaj zgodności lokalnego urządzenia klienckiego z zabezpieczeniami usługi Microsoft Intune i warunkowym dostępem Microsoft Entra. Wszystkie wymagania wstępne zawarte w tym artykule dotyczą również tego artykułu.
Istnieje więcej wymagań wstępnych usługi Intune dotyczących konfigurowania zasad ochrony aplikacji i zasad dostępu warunkowego. Aby uzyskać więcej informacji, zobacz:
- Użyj zasad dostępu warunkowego opartego na aplikacji w usłudze Intune.

Tworzenie zasad konfiguracji aplikacji dla urządzeń zarządzanych z systemem iOS/iPadOS

W przypadku urządzeń z systemem iOS/iPadOS, które są zarządzane tylko, należy utworzyć zasady konfiguracji aplikacji dla urządzeń zarządzanych dla aplikacji systemu Windows. Ten krok nie jest konieczny dla systemu Android.

Ważne

W przypadku systemu iOS/iPadOS, aby typ zarządzania urządzeniami był wymuszany na urządzeniach zarządzanych przez usługę Intune, wymagane są dodatkowe ustawienia konfiguracji aplikacji. Aby uzyskać więcej informacji, zobacz Typy zarządzania urządzeniami.

Począwszy od wrześniowego wydania usługi Intune (2409), wartości konfiguracji aplikacji IntuneMAMUPN, IntuneMAMOID i IntuneMAMDeviceID są automatycznie wysyłane do zarządzanych aplikacji na urządzeniach zarejestrowanych w usłudze Intune z systemem iOS/iPadOS dla niektórych aplikacji, w tym aplikacji Windows.

Aby utworzyć i zastosować zasady konfiguracji aplikacji dla urządzeń zarządzanych, wykonaj kroki opisane w artykule Dodawanie zasad konfiguracji aplikacji dla zarządzanych urządzeń z systemem iOS/iPadOS i użyj następujących ustawień:

Na karcie Podstawy dla aplikacji docelowej wybierz pozycję Windows App Mobile z listy. Musisz dodać aplikację do usługi Intune ze sklepu App Store , aby była wyświetlana na tej liście.
Na karcie Ustawienia na liście rozwijanej Format ustawień konfiguracji wybierz pozycję Użyj projektanta konfiguracji, a następnie wprowadź następujące ustawienia dokładnie tak, jak pokazano:

Klucz konfiguracji Typ wartości Wartość konfiguracji

IntuneMAMUPN Sznurek {{userprincipalname}}

IntuneMAMOID Sznurek {{userid}}

IntuneMAMDeviceID Sznurek {{deviceID}}
Na karcie Przypisania przypisz zasadę do grupy zabezpieczeń zawierającej użytkowników, do których ma zostać zastosowana zasada. Aby zasady zostały zastosowane, należy zastosować je do grupy użytkowników. Dla każdej grupy możesz opcjonalnie wybrać filtr, aby bardziej precyzyjnie określić kierowanie zasadami konfiguracji aplikacji.

Klucz konfiguracji	Typ wartości	Wartość konfiguracji
`IntuneMAMUPN`	Sznurek	`{{userprincipalname}}`
`IntuneMAMOID`	Sznurek	`{{userid}}`
`IntuneMAMDeviceID`	Sznurek	`{{deviceID}}`

Tworzenie zasad konfiguracji aplikacji dla aplikacji zarządzanych

Zalecamy utworzenie oddzielnych zasad konfiguracji aplikacji dla zarządzanych aplikacji dla systemów iOS/iPadOS i Android, ponieważ możliwości zasad konfiguracji aplikacji mogą ulec zmianie w czasie między platformami.

Utwórz dodatkowe zasady konfiguracji aplikacji zgodnie z potrzebami, jeśli wymagania dotyczące przekierowywania urządzeń różnią się między grupami użytkowników. Na przykład blokuj przekierowywanie dysków dla użytkowników finansowych oraz blokowanie przekierowania dysku i schowka dla użytkowników marketingu.

Aby utworzyć i zastosować zasady konfiguracji aplikacji dla aplikacji zarządzanych, wykonaj kroki opisane w temacie Zasady konfiguracji aplikacji dla aplikacji zarządzanych przez zestaw SDK aplikacji usługi Intune i użyj następujących ustawień:

Na karcie Podstawowe wybierz pozycję Wybierz aplikacje publiczne, wyszukaj i wybierz pozycję Aplikacja systemu Windows, a następnie wybierz pozycję Wybierz. Tylko w przypadku systemu Android, jeśli aplikacja Windows jeszcze się nie pojawia, zamiast tego wpisz Remote Desktop. Wynika to z harmonogramu wdrożenia usługi Intune. Obie aplikacje używają tego samego identyfikatora com.microsoft.rdc.androidxpakietu, więc zasady konfiguracji aplikacji mają zastosowanie do obu aplikacji niezależnie od nazwy aplikacji widocznej w konsoli usługi Intune.

Na karcie Ustawienia rozwiń węzeł Ogólne ustawienia konfiguracji, a następnie wprowadź następujące pary nazw i wartości dla każdego ustawienia przekierowania, które chcesz skonfigurować dokładnie tak, jak pokazano. Te wartości odpowiadają właściwościom protokołu RDP wymienionym we właściwościach obsługiwanego protokołu RDP, ale składnia jest inna:

Nazwa	Opis	Wartość
`audiocapturemode`	Wskazuje, czy przekierowanie danych wejściowych audio jest włączone.	`0`: przechwytywanie dźwięku z urządzenia lokalnego jest wyłączone. `1`: przechwytywanie audio z urządzenia lokalnego i przekierowywanie do aplikacji audio w sesji zdalnej jest włączone.
`camerastoredirect`	Określa, czy włączono przekierowywanie aparatu.	`0`: przekierowywanie aparatu jest wyłączone. `1`: Włączono przekierowywanie aparatu
`drivestoredirect`	Określa, czy włączono przekierowywanie dysku.	`0`: przekierowanie dysku jest wyłączone. `1`: włączono przekierowywanie dysku.
`redirectclipboard`	Określa, czy przekierowanie schowka jest włączone.	`0`: przekierowywanie schowka na urządzeniu lokalnym jest wyłączone w sesji zdalnej. `1`: przekierowywanie schowka na urządzeniu lokalnym jest włączone w sesji zdalnej.

Oto przykład sposobu, w jaki ustawienia powinny wyglądać:

Zrzut ekranu przedstawiający pary nazw i wartości przekierowania w usłudze Intune.

Na karcie Przypisania przypisz zasadę do grupy zabezpieczeń zawierającej użytkowników, do których ma zostać zastosowana zasada. Aby zasady zostały zastosowane, należy zastosować je do grupy użytkowników. Dla każdej grupy możesz opcjonalnie wybrać filtr, aby bardziej precyzyjnie określić kierowanie zasadami konfiguracji aplikacji.

Sprawdzanie konfiguracji

Po skonfigurowaniu usługi Intune i dostępu warunkowego do zarządzania przekierowywaniem urządzeń dla aplikacji systemu Windows sprawdź, czy konfiguracja przekierowania działa zgodnie z oczekiwaniami, łącząc się z sesją zdalną. Należy sprawdzić zarówno z urządzenia zarządzanego, jak lub niezarządzanego na każdej platformie, w zależności od skonfigurowanych zasad.

Sprzężenie zwrotne

Czy ta strona była pomocna?

Last updated on 2025-05-30