Konfigurieren der Smartcardumleitung über das Remotedesktopprotokoll

Tipp

Dieser Artikel bezieht sich auf mehrere Produkte, die das Remotedesktopprotokoll (RDP) verwenden, um Remotezugriff auf Windows-Desktopgeräte und -Anwendungen bereitzustellen.

Wählen Sie über die Schaltflächen oben in diesem Artikel ein Produkt aus, um die relevanten Inhalte anzuzeigen.

Sie können das Umleitungsverhalten von Smartcardgeräten von einem lokalen Gerät in eine Remotesitzung über das Remotedesktopprotokoll (RDP) konfigurieren.

Für Azure Virtual Desktop empfiehlt es sich, die Smartcardumleitung auf Ihren Sitzungshosts mithilfe von Microsoft Intune oder per Gruppenrichtlinie zu aktivieren und dann die Umleitung mithilfe der RDP-Eigenschaften des Hostpools zu steuern.

Für Windows 365 können Sie Ihre Cloud-PCs mithilfe von Microsoft Intune oder per Gruppenrichtlinie konfigurieren.

Für Microsoft Dev Box können Sie Ihre Dev Box-Instanzen mit Microsoft Intune oder per Gruppenrichtlinie konfigurieren.

Dieser Artikel enthält Informationen zu den unterstützten Umleitungsmethoden und zum Konfigurieren des Umleitungsverhaltens für Smartcardgeräte. Weitere Informationen zur Funktionsweise der Umleitung finden Sie unter Umleitung über das Remotedesktopprotokoll.

Voraussetzungen

Zum Konfigurieren der Smartcardumleitung benötigen Sie Folgendes:

• Ein vorhandener Hostpool mit Sitzungshosts.

• Ein Microsoft Entra ID-Konto, dem der Desktop Virtualization Host Pool Contributor integrierte rollenbasierte Zugriffssteuerungsrollen (RBAC) im Hostpool zugewiesen ist.

• Einen Cloud-PC.

• Eine Dev-Box.

• Ein auf Ihrem lokalen Gerät verfügbares Smartcardgerät.

• Zum Konfigurieren von Microsoft Intune benötigen Sie Folgendes:

  • Ein Microsoft Entra ID-Konto, dem die integrierte RBAC-Rolle Richtlinien- und Profil-Manager*in zugewiesen ist.
  • Eine Gruppe mit den Geräten, die Sie konfigurieren möchten

• Zum Konfigurieren der Gruppenrichtlinie benötigen Sie Folgendes:

  • Ein Domänenkonto, das über die Berechtigung zum Erstellen oder Bearbeiten von Gruppenrichtlinienobjekten verfügt.
  • Eine Sicherheitsgruppe oder Organisationseinheit (OE), die die Geräte enthält, die Sie konfigurieren möchten.

• Sie müssen über eine unterstützte App und Plattform eine Verbindung mit einer Remotesitzung herstellen. Informationen zum Anzeigen der Umleitungsunterstützung in der Windows-App und der Remotedesktop-App finden Sie unter Vergleichen von Windows-App-Features auf allen Plattformen und Geräten sowie unter Vergleich von Remotedesktop-App-Features auf verschiedenen Plattformen und Geräten.

Umleitung von Smartcards

Die Konfiguration eines Sitzungshosts mithilfe von Microsoft Intune oder per Gruppenrichtlinie oder das Festlegen einer RDP-Eigenschaft für einen Hostpool steuert die Möglichkeit, Smartcardgeräte von einem lokalen Gerät in eine Remotesitzung umzuleiten. Hierbei gilt eine Prioritätsreihenfolge.

Die Standardkonfiguration lautet:

• Windows-Betriebssystem: Die Smartcardumleitung wird nicht blockiert.
• RDP-Eigenschaften des Azure Virtual Desktop-Hostpools: Smartcardgeräte werden vom lokalen Gerät in die Remotesitzung umgeleitet.
• Resultierendes Standardverhalten: Smartcardgeräte werden vom lokalen Gerät in die Remotesitzung umgeleitet.

Wichtig

Gehen Sie beim Konfigurieren von Umleitungseinstellungen mit Bedacht vor, denn die restriktivste Einstellung ist das resultierende Verhalten. Wenn Sie z. B. die Smartcardumleitung auf einem Sitzungshost mit Microsoft Intune oder per Gruppenrichtlinie deaktivieren, sie aber mit der RDP-Eigenschaft des Hostpools aktivieren, ist die Umleitung deaktiviert.

Die Konfiguration eines Cloud-PCs steuert die Möglichkeit, Smartcardgeräte von einem lokalen Gerät in eine Remotesitzung umzuleiten, und wird mithilfe von Microsoft Intune oder per Gruppenrichtlinie festgelegt.

Die Standardkonfiguration lautet:

• Windows-Betriebssystem: Die Smartcardumleitung wird nicht blockiert.
• Windows 365: Die Smartcardumleitung ist aktiviert.
• Resultierendes Standardverhalten: Smartcardgeräte werden vom lokalen Gerät in die Remotesitzung umgeleitet.

Die Konfiguration einer Dev-Box steuert die Möglichkeit, Smartcardgeräte von einem lokalen Gerät in eine Remotesitzung umzuleiten, und wird mithilfe von Microsoft Intune oder per Gruppenrichtlinie festgelegt.

Die Standardkonfiguration lautet:

• Windows-Betriebssystem: Die Smartcardumleitung wird nicht blockiert.
• Microsoft Dev Box: Die Smartcardumleitung ist aktiviert.
• Resultierendes Standardverhalten: Smartcardgeräte werden vom lokalen Gerät in die Remotesitzung umgeleitet.

Konfigurieren der Umleitung von Smartcardgeräten mithilfe von RDP-Eigenschaften des Hostpools

Die Einstellung Smartcardumleitung des Azure Virtual Desktop-Hostpools steuert, ob eine Smartcard von einem lokalen Gerät in eine Remotesitzung umgeleitet werden soll. Die entsprechende RDP-Eigenschaft ist redirectsmartcards:i:<value>. Weitere Informationen finden Sie unter Unterstützte RDP-Eigenschaften.

So konfigurieren Sie die Smartcardumleitung mithilfe von RDP-Eigenschaften des Hostpools

1. Melden Sie sich beim Azure-Portal an.

2. Geben Sie in der Suchleiste Azure Virtual Desktop ein, und wählen Sie den entsprechenden Diensteintrag aus.

3. Klicken Sie auf Hostpools, und wählen Sie dann den Hostpool aus, den Sie konfigurieren möchten.

4. Wählen Sie RDP-Eigenschaften > Geräteumleitung aus.

   

5. Wählen Sie für Smartcardumleitung die Dropdownliste und anschließend eine der folgenden Optionen aus:

   • Smartcardgerät auf dem lokalen Computer nicht in Remotesitzung zur Verfügung stellen
   • Smartcardgerät auf dem lokalen Computer ist in Remotesitzung verfügbar (Standardeinstellung)
   • Nicht konfiguriert

6. Wählen Sie Speichern.

7. Stellen Sie zum Testen der Konfiguration eine Verbindung mit einer Remotesitzung her, und verwenden Sie dann eine Anwendung oder Website, für die Sie Ihre Smartcard benötigen. Vergewissern Sie sich, dass die Smartcard verfügbar ist und wie erwartet funktioniert.

Konfigurieren der Umleitung von Smartcardgeräten mithilfe von Microsoft Intune oder per Gruppenrichtlinie

Konfigurieren der Umleitung von Smartcardgeräten mithilfe von Microsoft Intune oder per Gruppenrichtlinie

Wählen Sie die relevante Registerkarte für Ihr Szenario aus.

Microsoft Intune

So können Sie die Umleitung von Smartcardgeräten mithilfe von Microsoft Intune zulassen oder deaktivieren

1. Melden Sie sich beim Microsoft Intune Admin Center an.

2. Erstellen oder bearbeiten Sie ein Konfigurationsprofil für Geräte mit Windows 10 und höher mit dem Profiltyp Einstellungskatalog.

3. Navigieren Sie in der Einstellungsauswahl zu Administrative Vorlagen>Windows-Komponenten>Remotedesktopdienste>Remotedesktop-Sitzungshost>Gerät- und Ressourcenumleitung.

   

4. Aktivieren Sie das Kontrollkästchen für Umleitung von Smartcardgeräten nicht zulassen, und schließen Sie dann die Einstellungsauswahl.

5. Erweitern Sie die Kategorie Administrative Vorlagen, und legen Sie die Option für Umleitung von Smartcardgeräten nicht zulassen gemäß Ihren Anforderungen fest:

   • Um die Umleitung von Smartcardgeräten zuzulassen, legen Sie die Option auf Deaktiviert fest, und wählen Sie dann OK aus.

   • Um die Umleitung von Smartcardgeräten zu deaktivieren, legen Sie die Option auf Aktiviert fest, und wählen Sie dann OK aus.

6. Wählen Sie Weiter aus.

7. Optional: Wählen Sie auf der Registerkarte Bereichstags ein Bereichstag aus, um das Profil zu filtern. Weitere Informationen zu Bereichsmarkierungen finden Sie unter Verwenden der rollenbasierten Zugriffssteuerung (RBAC) und Bereichsmarkierungen für verteilte IT.

8. Wählen Sie auf der Registerkarte Zuweisungen die Gruppe mit den Computern aus, die eine Remotesitzung bereitstellen, die Sie konfigurieren möchten, und wählen Sie dann Weiter aus.

9. Überprüfen Sie auf der Registerkarte Überprüfen und erstellen Ihre Einstellungen, und wählen Sie Erstellen aus.

10. Sobald die Richtlinie auf die Computer angewendet wird, die eine Remotesitzung bereitstellen, starten Sie sie neu, damit die Einstellungen wirksam werden.

Gruppenrichtlinie

So können Sie die Umleitung von Smartcardgeräten per Gruppenrichtlinie zulassen oder deaktivieren

1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole auf dem Gerät, das Sie zum Verwalten der Active Directory-Domäne verwenden.

2. Erstellen oder bearbeiten Sie eine Richtlinie, die auf die Computer ausgerichtet ist, die eine zu konfigurierende Remotesitzung bereitstellen.

3. Navigieren Sie zu Computerkonfiguration>Richtlinien>Administrative Vorlagen>Windows-Komponenten>Remotedesktopdienste>Remotedesktop-Sitzungshost>Geräte- und Ressourcenumleitung.

   

4. Doppelklicken Sie auf die Richtlinieneinstellung Umleitung von Smartcardgeräten nicht zulassen, um sie zu öffnen.

   • Um die Umleitung von Smartcardgeräten zuzulassen, wählen Sie entweder Deaktiviert oder Nicht konfiguriert und anschließend OK aus.

   • Um die Umleitung von Smartcardgeräten zu deaktivieren, wählen Sie Aktiviert und anschließend OK aus.

5. Vergewissern Sie sich, dass die Richtlinie auf die Computer angewendet wird, die eine Remotesitzung bereitstellen. Starten Sie sie anschließend neu, damit die Einstellungen wirksam werden.

Testen der Smartcardumleitung

So testen Sie die Smartcardumleitung

1. Stellen Sie auf einer Plattform, die die Smartcardumleitung unterstützt, über die Windows- oder Remotedesktop-App eine Verbindung mit einer Remotesitzung her. Weitere Informationen finden Sie unter Vergleichen von Windows-App-Features auf allen Plattformen und Geräten sowie unter Vergleich von Remotedesktop-App-Features auf verschiedenen Plattformen und Geräten.

2. Überprüfen Sie, ob Ihre Smartcards in der Remotesitzung verfügbar sind. Führen Sie in der Remotesitzung an der Eingabeaufforderung oder über eine PowerShell-Eingabeaufforderung den folgenden Befehl aus:

   certutil -scinfo
   

   Wenn die Smartcardumleitung funktioniert, beginnt die Ausgabe in etwa wie folgt:

   The Microsoft Smart Card Resource Manager is running.
   Current reader/card status:
   Readers: 2
     0: Windows Hello for Business 1
     1: Yubico YubiKey OTP+FIDO+CCID 0
   --- Reader: Windows Hello for Business 1
   --- Status: SCARD_STATE_PRESENT | SCARD_STATE_INUSE
   --- Status: The card is being shared by a process.
   ---   Card: Identity Device (Microsoft Generic Profile)
   ---    ATR:
           aa bb cc dd ee ff 00 11  22 33 44 55 66 77 88 99   ;.........AB12..
           ab                                                 .
   
   --- Reader: Yubico YubiKey OTP+FIDO+CCID 0
   --- Status: SCARD_STATE_PRESENT | SCARD_STATE_UNPOWERED
   --- Status: The card is available for use.
   ---   Card: Identity Device (NIST SP 800-73 [PIV])
   ---    ATR:
           aa bb cc dd ee ff 00 11  22 33 44 55 66 77 88 99   ;.........34yz..
           ab                                                 .
   
   [continued...]
   

3. Öffnen und verwenden Sie eine Anwendung oder Website, für die Ihre Smartcard erforderlich ist. Vergewissern Sie sich, dass die Smartcard verfügbar ist und wie erwartet funktioniert.

Zugehöriger Inhalt

• Umleitung über das Remotedesktopprotokoll
• Unterstützte RDP-Eigenschaften
• Vergleichen von Windows-App-Features auf allen Plattformen und Geräten
• Vergleich von Remotedesktop-App-Features auf verschiedenen Plattformen und Geräten