提示
本文適用於使用遠端桌面通訊協定 (RDP) 來提供 Windows 桌面和應用程式遠端存取的服務和產品。
使用本文頂端的按鈕來選取產品,以顯示相關內容。
您可以透過遠端桌面通訊協定 (RDP) ,設定智慧卡裝置從本機裝置到遠端會話的重新導向行為。
針對 Azure 虛擬桌面,建議您使用 Microsoft Intune 或 群組原則 在工作階段主機上啟用智慧卡重新導向,然後使用主機集區 RDP 屬性來控制重新導向。
針對 Windows 365,您可以使用 Microsoft Intune 或 群組原則 來設定雲端電腦。
針對 Microsoft Dev Box,您可以使用 Microsoft Intune 或 群組原則 來設定開發人員方塊。
本文提供支援的重新導向方法,以及如何設定智慧卡裝置重新導向行為的相關信息。 若要深入瞭解重新導向的運作方式,請參閱 透過遠端桌面通訊協定重新導向。
必要條件
設定智慧卡重新導向之前,您需要:
具有會話主機的現有主機集區。
指派桌面虛擬主機集區參與者內建角色型訪問控制的 Microsoft Entra ID 帳戶, (主機集區上的 RBAC) 角色。
- 現有的雲端電腦。
- 現有的開發人員方塊。
本機裝置上可用的智慧卡裝置。
若要設定 Microsoft Intune,您需要:
- Microsoft Entra ID 指派原則和配置檔管理員內建 RBAC 角色的帳戶。
- 包含您要設定之裝置的群組。
若要設定 群組原則,您需要:
- 有權建立或編輯 群組原則 物件的網域帳戶。
- 包含您要設定之裝置的安全組或組織單位 (OU) 。
您需要從支援的應用程式和平台連線到遠端工作階段。 若要檢視 Windows App 和遠端桌面應用程式中的重新導向支援,請參閱比較跨平臺和裝置的 Windows App 功能和比較跨平臺和裝置的遠端桌面應用程式功能。
智慧卡重新導向
使用 Microsoft Intune 或 群組原則 設定會話主機,或在主機集區上設定 RDP 屬性,可控管將智慧卡裝置從本機裝置重新導向至遠端會話的能力,而此功能會依優先順序排序。
預設組態為:
- Windows作系統:不會封鎖智慧卡重新導向。
- Azure 虛擬桌面主機集區 RDP 屬性:智慧卡裝置會從本機裝置重新導向至遠端會話。
- 產生的預設行為:智慧卡裝置會從本機裝置重新導向至遠端會話。
重要事項
設定重新導向設定時請小心,因為最嚴格的設定是結果行為。 例如,如果您在具有 Microsoft Intune 或 群組原則 的會話主機上停用智慧卡重新導向,但使用主機集區 RDP 屬性加以啟用,則會停用重新導向。
雲端電腦的設定可控制將智慧卡裝置從本機裝置重新導向至遠端會話的能力,並使用 Microsoft Intune 或 群組原則 來設定。
預設組態為:
- Windows作系統:不會封鎖智慧卡重新導向。
- Windows 365:已啟用智慧卡重新導向。
- 產生的預設行為:智慧卡裝置會從本機裝置重新導向至遠端會話。
開發人員方塊的設定可控管將智慧卡裝置從本機裝置重新導向至遠端會話的能力,並使用 Microsoft Intune 或 群組原則 來設定。
預設組態為:
- Windows作系統:不會封鎖智慧卡重新導向。
- Microsoft開發人員箱:已啟用智慧卡重新導向。
- 產生的預設行為:智慧卡裝置會從本機裝置重新導向至遠端會話。
使用主機集區 RDP 屬性設定智慧卡裝置重新導向
Azure 虛擬桌面主機集區設定 智慧卡重新導向 可控制是否要將智慧卡從本機裝置重新導向至遠端會話。 對應的 RDP 屬性為 redirectsmartcards:i:<value>。 如需詳細資訊,請參閱 支援的 RDP 屬性。
若要使用主機集區 RDP 屬性來設定智慧卡重新導向:
登入 Azure 入口網站。
在搜尋列中,輸入 Azure 虛擬桌面 ,然後選取相符的服務專案。
選取 [主機集區],然後選取您要設定的主機集區。
選 取 [RDP 屬性],然後選取 [ 裝置重新導向]。
針對 [智慧卡重新導向],選取下拉式清單,然後選取下列其中一個選項:
- 本機電腦上的智慧卡裝置無法在遠端會話中使用
- 本機電腦上的智慧卡裝置可在遠端會話 (預設)
- 未設定
選取 [儲存]。
若要測試設定,請連線到遠端會話,然後使用需要智慧卡的應用程式或網站。 確認智慧卡可供使用並如預期般運作。
使用 Microsoft Intune 或 群組原則 設定智慧卡裝置重新導向
使用 Microsoft Intune 或 群組原則 設定智慧卡裝置重新導向
選取您案例的相關索引標籤。
若要使用下列項目允許或停用智慧卡裝置重新導向 Microsoft Intune:
使用 [設定] 目錄配置檔類型,建立或編輯Windows 10 和更新版本裝置的組態配置檔。
在設定選擇器中,流覽至 [系統管理範>本][Windows 元件>遠端桌面服務>遠端桌面會話主機>裝置和資源重新導向]。
核取 [ 不允許智慧卡裝置重新導向] 方塊,然後關閉設定選擇器。
展開 [ 系統管理範本] 類別,然後切換 [ 不允許智慧卡裝置重新導向] 的開關,視您的需求而定:
若要允許智慧卡裝置重新導向,請將切換開關切換為 [ 已停用]。
若要停用智慧卡裝置重新導向,請將切換開關切換為 [已啟用]。
選取 [下一步]。
選用:在 [ 範圍卷標] 索引標籤 上,選取範圍標籤以篩選配置檔。 如需範圍標籤的詳細資訊,請參閱針對分散式 IT 使用角色型存取控制 (RBAC) 和範圍標籤。
在 [ 指派] 索引標籤 上,選取包含提供您要設定之遠端會話之計算機的群組,然後選取 [ 下一步]。
在 [ 檢閱 + 建立] 索引標籤上檢閱設定,然後選取 [ 建立]。
一旦原則套用至提供遠端會話的計算機,請重新啟動它們,讓設定生效。
測試智慧卡重新導向
若要測試智慧卡重新導向:
在支援智慧卡重新導向的平臺上,使用視窗應用程式或遠端桌面應用程式連線到遠端工作階段。 如需詳細資訊,請參閱比較跨平臺和裝置 Windows App 功能和比較跨平臺和裝置的遠端桌面應用程式功能。
檢查您的智慧卡是否可在遠端會話中使用。 在命令提示字元或從 PowerShell 提示字元的遠端會話中執行下列命令。
certutil -scinfo如果智慧卡重新導向正常運作,輸出的開頭會類似下列輸出:
The Microsoft Smart Card Resource Manager is running. Current reader/card status: Readers: 2 0: Windows Hello for Business 1 1: Yubico YubiKey OTP+FIDO+CCID 0 --- Reader: Windows Hello for Business 1 --- Status: SCARD_STATE_PRESENT | SCARD_STATE_INUSE --- Status: The card is being shared by a process. --- Card: Identity Device (Microsoft Generic Profile) --- ATR: aa bb cc dd ee ff 00 11 22 33 44 55 66 77 88 99 ;.........AB12.. ab . --- Reader: Yubico YubiKey OTP+FIDO+CCID 0 --- Status: SCARD_STATE_PRESENT | SCARD_STATE_UNPOWERED --- Status: The card is available for use. --- Card: Identity Device (NIST SP 800-73 [PIV]) --- ATR: aa bb cc dd ee ff 00 11 22 33 44 55 66 77 88 99 ;.........34yz.. ab . [continued...]開啟並使用需要智慧卡的應用程式或網站。 確認智慧卡可供使用並如預期般運作。