您可以管理本機資源,例如相機、麥克風、記憶體和剪貼簿,是否會從 Azure 虛擬桌面、Windows 365 和Microsoft開發方塊重新導向至遠端會話。 您必須先遵循本機裝置安全性,才能執行這項作,才能管理本機裝置重新導向設定。 如需詳細資訊,請參閱 使本機用戶端裝置安全性符合 Microsoft Intune 和 Microsoft Entra 條件式存取的要求。
概括而言,您會使用 Intune 應用程式設定原則來管理用戶端裝置上 Windows 應用程式的重新導向設定。 這些原則會與 Intune 應用程式保護原則 和條件 式存取 原則搭配運作,這些原則在需要本機用戶端裝置安全性合規性時已設定。 您可以使用篩選條件,根據特定準則將使用者和裝置設為目標。
當您結合本機裝置安全性合規時,可以達成下列情境:
根據您指定的準則,在更精細的層級套用重新導向設定。 例如,您可以根據使用者所屬的安全性群組、其使用裝置的作業系統,或使用者是否同時使用公司和個人裝置來存取遠端工作階段,而進行不同的設定。
提供多一層保護,以防止在主機集區或工作階段主機上設定不當的重新導向。
將額外的安全性設定套用至 Windows 應用程式和遠端桌面應用程式,例如需要 PIN、封鎖第三方鍵盤,以及限制用戶端裝置上其他應用程式之間的剪下、複製和貼上作業。
如果用戶端裝置上的重新導向設定與 Azure 虛擬桌面的工作階段主機或 Windows 365 雲端電腦的主機集區 RDP 屬性發生衝突,將會採用兩者之間較嚴格的設定。 例如,如果工作階段主機不允許磁碟機重新導向,而用戶端裝置允許磁碟機重新導向,則不允許磁碟機重新導向。 如果工作階段主機和用戶端裝置上的重新導向設定相同,則會有一致的重新導向行為。
這很重要
在用戶端裝置上設定重新導向設定,並不會取代您根據自身需求為主機集區和工作階段主機所做的正確設定。 使用 Microsoft Intune 來設定 Windows 應用程式和遠端桌面應用程式,可能不適用於需要較高安全性層級的工作負載。
安全性需求較高的工作負載應該繼續在主機集區或工作階段主機設定重新導向,如此,主機集區的所有使用者都會有相同的重新導向設定。 建議使用資料外洩防護 (DLP) 解決方案,並盡可能在工作階段主機上停用重新導向,將資料遺失的機率降到最低。
範例案例
以下是從其 Windows 公司裝置連線時允許群組中的使用者重新導向磁碟驅動器的範例案例,但 iOS/iPadOS 或 Android 公司裝置上不允許磁碟驅動器重新導向。
在篩選條件和原則中指定的值取決於您的個人需求,因此您必須判斷何者對您的組織最有利。
若要實現此案例:
請確定您的工作階段主機和主機集區設定、雲端電腦或開發方塊已設定為允許磁碟驅動器重新導向。
建立兩個篩選:
- 一個適用於受控 iOS/iPadOS 裝置的受管理應用程式。
- 一個適用於受控 Android 裝置的受控應用程式。
建立兩個應用程式防護原則,一個用於 iOS/iPadOS,另一個用於 Android。
建立三個應用程式設定原則:
- iOS/iPadOS:
- 一個受控裝置原則,用來識別已註冊的用戶帳戶和裝置標識碼。
- 已停用磁碟驅動器重新導向的一個受控應用程式原則。 指派步驟 2 中建立之 iOS/iPadOS 的篩選條件。
- Android:一個適用於已停用磁碟驅動器重新導向的Android裝置受控應用程式。 指派步驟 2 中建立之 Android 的篩選條件。
- iOS/iPadOS:
先決條件
您必須先:才能使用 Intune 和條件式存取在本機用戶端裝置上設定重新導向設定:
若要完成 要求本機用戶端裝置達到 Microsoft Intune 和 Microsoft Entra 條件式存取安全性合規性的所有步驟。 該文章中的所有必要條件也適用於本文。
設定應用程式保護政策和條件式存取政策時,需要滿足更多的 Intune 必要條件。 如需詳細資訊,請參閱:
建立 iOS/iPadOS 受管理裝置的應用程式設定原則
針對僅限受管理的 iOS/iPadOS 裝置,您必須為 Windows App 的受管理裝置建立應用程式設定原則 。 Android 不需要此步驟。
這很重要
針對 iOS/iPadOS,若要將裝置管理類型強制執行至 Intune 受控裝置,則需要額外的應用程式組態設定。 如需詳細資訊,請參閱 裝置管理類型。
從 Intune 的 9 月 (2409) 服務版本開始, IntuneMAMUPN、IntuneMAMOID、和 IntuneMAMDeviceID 應用程式組態值會自動傳送至 Intune 註冊的 iOS/iPadOS 裝置上的受控應用程式,其中包括 Windows 應用程式。
若要建立及套用受管理裝置的應用程式設定原則,請遵循 為受控 iOS/iPadOS 裝置新增應用程式 設定原則中的步驟,並使用下列設定:
在 [ 基本] 索引 標籤上,針對 目標應用程式,從清單中選取 [Windows App Mobile ]。 您必須 從 App Store 將應用程式新增至 Intune ,才能在此清單中顯示。
在 [設定] 索引標籤的 [組態設定格式] 下拉式清單中,選取 [使用設定設計工具],然後輸入下列設定,如下所示:
組態金鑰 值類型 設定值 IntuneMAMUPN繩子 {{userprincipalname}}IntuneMAMOID繩子 {{userid}}IntuneMAMDeviceID繩子 {{deviceID}}在 [指派] 索引標籤上,將原則指派給要套用原則的使用者所屬的安全性群組。 您必須將原則套用至一組使用者,原則才會生效。 對於每個群組,您可以選擇性地選取篩選條件,以更具體地指定應用程式設定原則的目標。
建立受控應用程式的應用程式設定原則
建議您為 iOS/iPadOS 和 Android 的受控應用程式 建立個別的應用程式設定原則,因為應用程式設定原則功能可能會隨著平臺之間的時間而變更。
如果您的裝置重新導向需求與使用者群組不同,請視需要建立額外的應用程式設定原則。 例如,對財務使用者封鎖磁碟重新導向,對行銷使用者封鎖磁碟和剪貼簿重新導向。
若要建立及套用受控應用程式的應用程式設定原則,請遵循 Intune App SDK 受控應用程式的應用程式 設定原則中的步驟,並使用下列設定:
在 [ 基本] 索引 標籤上,選取 [ 選取公用應用程式],搜尋並選取 [Windows 應用程式],然後選取 [ 選取]。 僅適用於Android,如果 Windows 應用程式尚未為您顯示,請改為輸入 遠端桌面 。 因為 Intune 的部署時間安排。 這兩個應用程式都會使用相同的套件標識符
com.microsoft.rdc.androidx,因此不論您在 Intune 控制台中看到的應用程式名稱為何,應用程式設定原則都會套用至這兩個應用程式。在 [設定] 索引標籤上展開 [一般組態設定],然後為您要設定的每個重新導向設定輸入下列名稱/值組,如下所示。 這些值會對應至 支援的 RDP 屬性上所列的 RDP 屬性,但語法不同:
名稱 說明 價值 audiocapturemode指出是否啟用音訊輸入重新導向。 0:已停用本機裝置的音訊擷取功能。
1:啟用本機裝置的音訊擷取,以及重新導向至遠端工作階段中的音訊應用程式。camerastoredirect決定是否啟用攝影機重新導向。 0:停用相機重新導向。
1:已啟用相機重新導向drivestoredirect判斷是否啟用磁碟機重新導向。 0:磁碟機重新導向已停用。
1:啟用磁碟機重新導向。redirectclipboard決定是否啟用剪貼簿重新導向。 0:本機裝置在遠端會話中已停用剪貼簿重定向。
1:遠端會話中已啟用本地裝置的剪貼簿重定向。設定應該看起來的樣子範例如下:
在 [指派] 索引標籤上,將原則指派給要套用原則的使用者所屬的安全性群組。 您必須將原則套用至一組使用者,原則才會生效。 對於每個群組,您可以選擇性地選取篩選條件,以更具體地指定應用程式設定原則的目標。
確認組態
現在已經完成配置 Intune 和條件式存取來管理 Windows 應用程式的裝置導向,請通過連接到遠端會話確認您的導向設定是否正常運作。 您應該根據您設定的原則,檢查每個平臺的受控和/或非受控裝置。