Konfigurace přesměrování protokolu WebAuthn přes protokol Remote Desktop Protocol
Tip
Tento článek je sdílený pro služby a produkty, které používají protokol RDP (Remote Desktop Protocol) k poskytování vzdáleného přístupu k desktopům a aplikacím Windows.
Vyberte produkt pomocí tlačítek v horní části tohoto článku, abyste zobrazili relevantní obsah.
Můžete nakonfigurovat chování přesměrování požadavků WebAuthn ze vzdálené relace na místní zařízení přes protokol RDP (Remote Desktop Protocol). Přesměrování WebAuthn umožňuje ověřování bez hesla v relaci pomocí Windows Hello pro firmy nebo zabezpečovacích zařízení, jako jsou klíče FIDO.
Pro Azure Virtual Desktop doporučujeme povolit přesměrování protokolu WebAuthn u hostitelů relací pomocí Microsoft Intune nebo zásad skupiny a pak řídit přesměrování pomocí vlastností protokolu RDP fondu hostitelů.
Pro Windows 365 můžete cloudové počítače nakonfigurovat pomocí Microsoft Intune nebo zásad skupiny.
Pro Microsoft Dev Box můžete nakonfigurovat vývojová pole pomocí Microsoft Intune nebo zásad skupiny.
Tento článek obsahuje informace o podporovaných metodách přesměrování a o tom, jak nakonfigurovat chování přesměrování pro požadavky WebAuthn. Další informace o tom, jak přesměrování funguje, najdete v tématu Přesměrování přes protokol Remote Desktop Protocol.
Požadavky
Před konfigurací přesměrování WebAuthn potřebujete:
Existující fond hostitelů s hostiteli relací.
Účet ID Microsoft Entra, který má přiřazené předdefinované role řízení přístupu na základě role (RBAC) přispěvatele fondu hostitelů virtualizace plochy jako minimum.
- Existující Cloud PC.
- Existující vývojové pole.
Místní zařízení s Windows s Windows Hello pro firmy nebo zabezpečovacím zařízením, jako je klíč FIDO USB, už je nakonfigurovaný.
Ke konfiguraci Microsoft Intune potřebujete:
- Účet Microsoft Entra ID přiřazený předdefinované roli RBAC správce zásad a profilů.
- Skupina obsahující zařízení, která chcete nakonfigurovat.
Ke konfiguraci zásad skupiny potřebujete:
- Účet domény, který má oprávnění k vytváření nebo úpravě objektů zásad skupiny.
- Skupina zabezpečení nebo organizační jednotka obsahující zařízení, která chcete konfigurovat.
Musíte se připojit ke vzdálené relaci z podporované aplikace a platformy. Pokud chcete zobrazit podporu přesměrování v aplikaci pro Windows a v aplikaci Vzdálená plocha, přečtěte si téma Porovnání funkcí aplikací pro Windows napříč platformami a zařízeními a porovnání funkcí aplikace Vzdálená plocha napříč platformami a zařízeními.
Přesměrování webového ověřování
Konfigurace hostitele relace pomocí Microsoft Intune nebo zásad skupiny nebo nastavení vlastnosti RDP ve fondu hostitelů řídí schopnost přesměrovat žádosti WebAuthn ze vzdálené relace na místní zařízení, které podléhá pořadí priority.
Výchozí konfigurace je:
- Operační systém Windows: Požadavky WebAuthn nejsou blokované.
- Vlastnosti protokolu RDP fondu hostitelů služby Azure Virtual Desktop: Požadavky WebAuthn ve vzdálené relaci se přesměrují na místní počítač.
Důležité
Při konfiguraci nastavení přesměrování dbejte na to, že nejvíce omezující nastavení je výsledné chování. Pokud například zakážete přesměrování protokolu WebAuthn na hostiteli relace pomocí Microsoft Intune nebo zásad skupiny, ale povolíte ho s vlastností RDP fondu hostitelů, přesměrování se zakáže.
Konfigurace cloudového počítače řídí schopnost přesměrovat požadavky WebAuthn mezi vzdálenou relací a místním zařízením a nastavuje se pomocí Microsoft Intune nebo zásad skupiny.
Výchozí konfigurace je:
- Operační systém Windows: Požadavky WebAuthn nejsou blokované. Windows 365 povoluje přesměrování WebAuthn.
Konfigurace vývojového pole řídí schopnost přesměrovat požadavky WebAuthn mezi vzdálenou relací a místním zařízením a je nastavená pomocí Microsoft Intune nebo zásad skupiny.
Výchozí konfigurace je:
- Operační systém Windows: Požadavky WebAuthn nejsou blokované. Windows 365 povoluje přesměrování WebAuthn.
Konfigurace přesměrování WebAuthn pomocí vlastností protokolu RDP fondu hostitelů
Nastavení fondu hostitelů Služby Azure Virtual Desktop určuje, jestli se mají požadavky WebAuthn přesměrovat mezi vzdálenou relací a místním zařízením. Odpovídající vlastnost RDP je redirectwebauthn:i:<value>. Další informace naleznete v tématu Podporované vlastnosti protokolu RDP.
Konfigurace přesměrování WebAuthn pomocí vlastností protokolu RDP fondu hostitelů:
Přihlaste se k portálu Azure.
Na panelu hledání zadejte Azure Virtual Desktop a vyberte odpovídající položku služby.
Vyberte fondy hostitelů a pak vyberte fond hostitelů, který chcete nakonfigurovat.
Vyberte Vlastnosti protokolu RDP a pak vyberte Přesměrování zařízení.
V případě přesměrování WebAuthn vyberte rozevírací seznam a pak vyberte jednu z následujících možností:
- Požadavky WebAuthn ve vzdálené relaci se nepřesměrují na místní počítač.
- Požadavky WebAuthn ve vzdálené relaci se přesměrují na místní počítač (výchozí).
- Nenakonfigurováno
Zvolte Uložit.
Pokud chcete otestovat konfiguraci, postupujte podle kroků v přesměrování Test WebAuthn.
Konfigurace přesměrování WebAuthn pomocí Microsoft Intune nebo zásad skupiny
Konfigurace přesměrování WebAuthn pomocí Microsoft Intune nebo zásad skupiny
Vyberte příslušnou kartu pro váš scénář.
Povolení nebo zakázání přesměrování WebAuthn pomocí Microsoft Intune:
Přihlaste se do Centra pro správu Microsoft Intune.
Vytvořte nebo upravte konfigurační profil pro zařízení s Windows 10 a novějším s typem profilu katalogu Nastavení.
V nástroji pro výběr nastavení přejděte do šablon pro>správu součásti>vzdálené plochy Vzdálená>plocha Služby vzdálené plochy zařízení hostitele relace>a přesměrování prostředků.
Zaškrtněte políčko Nepovolit přesměrování WebAuthn a pak zavřete výběr nastavení.
Rozbalte kategorii Šablony pro správu a v závislosti na vašich požadavcích přepněte přepínač Pro nepovolit přesměrování WebAuthn na Povoleno nebo Zakázáno:
Pokud chcete povolit přesměrování WebAuthn, přepněte přepínač na Zakázáno a pak vyberte OK.
Pokud chcete přesměrování WebAuthn zakázat, přepněte přepínač na Povoleno a pak vyberte OK.
Vyberte Další.
Volitelné: Na kartě Značky oboru vyberte značku oboru, která profil vyfiltruje. Další informace o značkách oboru najdete v tématu Použití řízení přístupu na základě role (RBAC) a značek oboru pro distribuované IT.
Na kartě Přiřazení vyberte skupinu obsahující počítače poskytující vzdálenou relaci, kterou chcete konfigurovat, a pak vyberte Další.
Na kartě Zkontrolovat a vytvořit zkontrolujte nastavení a pak vyberte Vytvořit.
Jakmile se zásada vztahuje na počítače poskytující vzdálenou relaci, restartujte je, aby se nastavení projevilo.
Otestování přesměrování webového ověřování
Jakmile povolíte přesměrování WebAuthn, otestujte ho:
Pokud používáte bezpečnostní klíč USB, nejprve se ujistěte, že je připojený.
Připojte se ke vzdálené relaci pomocí aplikace Windows nebo aplikace Vzdálená plocha na platformě, která podporuje přesměrování WebAuthn. Další informace najdete v tématu Porovnání funkcí aplikací pro Windows napříč platformami a zařízeními a porovnání funkcí aplikací Vzdálená plocha napříč platformami a zařízeními.
Ve vzdálené relaci otevřete web v okně InPrivate, které používá ověřování WebAuthn, jako je aplikace Windows pro webové prohlížeče na adrese https://windows.cloud.microsoft/.
Postupujte podle procesu přihlášení. Pokud ověřování použijete Windows Hello pro firmy nebo klíč zabezpečení, měli byste vidět Zabezpečení Windows výzvu k dokončení ověřování, jak je znázorněno na následujícím obrázku při použití místního zařízení s Windows.
Výzva Zabezpečení Windows je na místním zařízení a překryve vzdálenou relaci, což znamená, že přesměrování WebAuthn funguje.
