Konfigurieren der WebAuthn-Umleitung über das Remotedesktopprotokoll

Tipp

Dieser Artikel bezieht sich auf mehrere Produkte, die das Remotedesktopprotokoll (RDP) verwenden, um Remotezugriff auf Windows-Desktopgeräte und -Anwendungen bereitzustellen.

Wählen Sie über die Schaltflächen oben in diesem Artikel ein Produkt aus, um die relevanten Inhalte anzuzeigen.

Sie können das Umleitungsverhalten von WebAuthn-Anforderungen von einer Remotesitzung an ein lokales Gerät über das Remotedesktopprotokoll (RDP) konfigurieren. Die WebAuthn-Umleitung ermöglicht die sitzungsinterne kennwortlose Authentifizierung mithilfe von Windows Hello for Business oder Sicherheitsgeräten, z. B. FIDO-Schlüsseln.

Für Azure Virtual Desktop empfehlen wir, die WebAuthn-Umleitung auf Ihren Sitzungshosts mithilfe von Microsoft Intune oder Gruppenrichtlinien zu aktivieren und dann die Umleitung mithilfe der RDP-Eigenschaften des Hostpools zu steuern.

Für Windows 365 können Sie Ihre Cloud-PCs mithilfe von Microsoft Intune oder per Gruppenrichtlinie konfigurieren.

Für Microsoft Dev Box können Sie Ihre Dev Box-Instanzen mithilfe von Microsoft Intune oder per Gruppenrichtlinie konfigurieren.

Dieser Artikel enthält Informationen zu den unterstützten Umleitungsmethoden und zum Konfigurieren des Umleitungsverhaltens für WebAuthn-Anforderungen. Weitere Informationen zur Funktionsweise der Umleitung finden Sie unter Umleitung über das Remotedesktopprotokoll.

Voraussetzungen

Bevor Sie die WebAuthn-Umleitung konfigurieren können, benötigen Sie Folgendes:

• Ein vorhandener Hostpool mit Sitzungshosts.

• Ein Microsoft Entra ID-Konto, dem der Desktop Virtualization Host Pool Contributor integrierte rollenbasierte Zugriffssteuerungsrollen (RBAC) im Hostpool zugewiesen ist.

• Einen Cloud-PC.

• Eine Dev-Box.

• Ein lokales Windows-Gerät mit Windows Hello for Business oder ein bereits konfiguriertes Sicherheitsgerät, z. B. einen FIDO-USB-Schlüssel.

• Zum Konfigurieren von Microsoft Intune benötigen Sie Folgendes:

  • Ein Microsoft Entra ID-Konto, dem die integrierte RBAC-Rolle Richtlinien- und Profil-Manager*in zugewiesen ist.
  • Eine Gruppe mit den Geräten, die Sie konfigurieren möchten

• Zum Konfigurieren der Gruppenrichtlinie benötigen Sie Folgendes:

  • Ein Domänenkonto, das über die Berechtigung zum Erstellen oder Bearbeiten von Gruppenrichtlinienobjekten verfügt.
  • Eine Sicherheitsgruppe oder Organisationseinheit (OE), die die Geräte enthält, die Sie konfigurieren möchten.

• Sie müssen über eine unterstützte App und Plattform eine Verbindung mit einer Remotesitzung herstellen. Informationen zum Anzeigen der Umleitungsunterstützung in der Windows-App und der Remotedesktop-App finden Sie unter Vergleich von Windows-App-Features auf verschiedenen Plattformen und Geräten sowie unter Vergleich von Remotedesktop-App-Features auf verschiedenen Plattformen und Geräten.

WebAuthn-Umleitung

Die Konfiguration eines Sitzungshosts mithilfe von Microsoft Intune oder Gruppenrichtlinien oder das Festlegen einer RDP-Eigenschaft in einem Hostpool steuert die Möglichkeit, WebAuthn-Anforderungen von einer Remotesitzung an ein lokales Gerät umzuleiten, das einer Prioritätsreihenfolge unterliegt.

Die Standardkonfiguration lautet:

• Windows-Betriebssystem: WebAuthn-Anforderungen werden nicht blockiert.
• RDP-Eigenschaften des Azure Virtual Desktop-Hostpools: WebAuthn-Anforderungen in der Remotesitzung werden an den lokalen Computer umgeleitet.

Wichtig

Gehen Sie beim Konfigurieren von Umleitungseinstellungen mit Bedacht vor, denn die restriktivste Einstellung ist das resultierende Verhalten. Wenn Sie z. B. die WebAuthn-Umleitung auf einem Sitzungshost mit Microsoft Intune oder Gruppenrichtlinien deaktivieren, diese jedoch mit der RDP-Eigenschaft des Hostpools aktivieren, ist die Umleitung deaktiviert.

Die Konfiguration eines Cloud-PCs steuert die Möglichkeit, die WebAuthn-Anforderungen zwischen der Remotesitzung und dem lokalen Gerät umzuleiten, und wird mithilfe von Microsoft Intune oder Gruppenrichtlinien festgelegt.

Die Standardkonfiguration lautet:

• Windows-Betriebssystem: WebAuthn-Anforderungen werden nicht blockiert. Windows 365 ermöglicht die WebAuthn-Umleitung.

Die Konfiguration einer Dev Box steuert die Möglichkeit, die WebAuthn-Anforderungen zwischen der Remotesitzung und dem lokalen Gerät umzuleiten, und wird mithilfe von Microsoft Intune oder Gruppenrichtlinien festgelegt.

Die Standardkonfiguration lautet:

• Windows-Betriebssystem: WebAuthn-Anforderungen werden nicht blockiert. Windows 365 ermöglicht die WebAuthn-Umleitung.

Konfigurieren der WebAuthn-Umleitung mithilfe von RDP-Eigenschaften des Hostpools

Die Einstellung der WebAuthn-Umleitung für den Azure Virtual Desktop-Hostpool steuert, ob WebAuthn-Anforderungen zwischen der Remotesitzung und dem lokalen Gerät umgeleitet werden sollen. Die entsprechende RDP-Eigenschaft ist redirectwebauthn:i:<value>. Weitere Informationen finden Sie unter Unterstützte RDP-Eigenschaften.

So konfigurieren Sie die WebAuthn-Umleitung mithilfe von RDP-Eigenschaften des Hostpools:

1. Melden Sie sich beim Azure-Portal an.

2. Geben Sie in der Suchleiste Azure Virtual Desktop ein, und wählen Sie den entsprechenden Diensteintrag aus.

3. Klicken Sie auf Hostpools, und wählen Sie dann den Hostpool aus, den Sie konfigurieren möchten.

4. Wählen Sie zunächst RDP-Eigenschaften und dann Geräteumleitung aus.

   

5. Wählen Sie zunächst für WebAuthn-Umleitung die Dropdownliste und anschließend eine der folgenden Optionen aus:

   • WebAuthn-Anforderungen in der Remotesitzung werden nicht an den lokalen Computer umgeleitet
   • WebAuthn-Anforderungen in der Remotesitzung werden an den lokalen Computer umgeleitet (Standardeinstellung)
   • Nicht konfiguriert

6. Wählen Sie Speichern.

7. Führen Sie zum Testen der Konfiguration die Schritte unter Testen der WebAuthn-Umleitung aus.

Konfigurieren der WebAuthn-Umleitung mithilfe von Microsoft Intune oder Gruppenrichtlinien

Konfigurieren der WebAuthn-Umleitung mithilfe von Microsoft Intune oder Gruppenrichtlinien

Wählen Sie die relevante Registerkarte für Ihr Szenario aus.

Microsoft Intune

So können Sie die WebAuthn-Umleitung mithilfe von Microsoft Intune zulassen oder deaktivieren:

1. Melden Sie sich beim Microsoft Intune Admin Center an.

2. Erstellen oder bearbeiten Sie ein Konfigurationsprofil für Geräte mit Windows 10 und höher mit dem Profiltyp Einstellungskatalog.

3. Navigieren Sie in der Einstellungsauswahl zu Administrative Vorlagen>Windows-Komponenten>Remotedesktopdienste>Remotedesktop-Sitzungshost>Gerät- und Ressourcenumleitung.

   

4. Aktivieren Sie das Kontrollkästchen für WebAuthn-Umleitung nicht zulassen, und schließen Sie dann die Einstellungsauswahl.

5. Erweitern Sie die Kategorie Administrative Vorlagen, und legen Sie dann die Option WebAuthn-Umleitung nicht zulassen abhängig von Ihren Anforderungen auf Aktiviert oder Deaktiviert fest:

   • Um die WebAuthn-Umleitung zuzulassen, legen Sie die Option auf Deaktiviert fest, und wählen Sie dann OK aus.

   • Um die WebAuthn-Umleitung zu deaktivieren, legen Sie die Option auf Aktiviert fest, und wählen Sie dann OK aus.

6. Wählen Sie Weiter aus.

7. Optional: Wählen Sie auf der Registerkarte Bereichstags ein Bereichstag aus, um das Profil zu filtern. Weitere Informationen zu Bereichsmarkierungen finden Sie unter Verwenden der rollenbasierten Zugriffssteuerung (RBAC) und Bereichsmarkierungen für verteilte IT.

8. Wählen Sie auf der Registerkarte Zuweisungen die Gruppe mit den Computern aus, die eine Remotesitzung bereitstellen, die Sie konfigurieren möchten, und wählen Sie dann Weiter aus.

9. Überprüfen Sie auf der Registerkarte Überprüfen und erstellen Ihre Einstellungen, und wählen Sie Erstellen aus.

10. Sobald die Richtlinie auf die Computer angewendet wird, die eine Remotesitzung bereitstellen, starten Sie sie neu, damit die Einstellungen wirksam werden.

Gruppenrichtlinie

So können Sie die WebAuthn-Umleitung per Gruppenrichtlinie aktivieren oder deaktivieren:

1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole auf dem Gerät, das Sie zum Verwalten der Active Directory-Domäne verwenden.

2. Erstellen oder bearbeiten Sie eine Richtlinie, die auf die Computer ausgerichtet ist, die eine zu konfigurierende Remotesitzung bereitstellen.

3. Navigieren Sie zu Computerkonfiguration>Richtlinien>Administrative Vorlagen>Windows-Komponenten>Remotedesktopdienste>Remotedesktop-Sitzungshost>Geräte- und Ressourcenumleitung.

   

4. Doppelklicken Sie auf die Richtlinieneinstellung WebAuthn-Umleitung nicht zulassen, um sie zu öffnen.

   • Um die WebAuthn-Umleitung zu aktivieren, wählen Sie zunächst die Option Deaktiviert oder Nicht konfiguriert und dann OK aus.

   • Um die WebAuthn-Umleitung zu deaktivieren, wählen Sie zunächst die Option Aktiviert und dann OK aus.

5. Vergewissern Sie sich, dass die Richtlinie auf die Computer angewendet wird, die eine Remotesitzung bereitstellen. Starten Sie sie anschließend neu, damit die Einstellungen wirksam werden.

Testen der WebAuthn-Umleitung

Nachdem Sie die WebAuthn-Umleitung aktiviert haben, testen Sie sie:

1. Wenn Sie einen USB-Sicherheitsschlüssel verwenden, vergewissern Sie sich zuerst, dass er eingesteckt ist.

2. Stellen Sie eine Verbindung mit einer Remotesitzung mithilfe der Windows-App oder der Remotedesktop-App auf einer Plattform her, die die WebAuthn-Umleitung unterstützt. Weitere Informationen finden Sie unter Vergleich von Windows-App-Features auf verschiedenen Plattformen und Geräten sowie unter Vergleich von Remotedesktop-App-Features auf verschiedenen Plattformen und Geräten.

3. Öffnen Sie in der Remotesitzung eine Website in einem InPrivate-Fenster, das die WebAuthn-Authentifizierung verwendet, z. B. eine Windows-App für Webbrowser unter https://windows.cloud.microsoft/.

4. Befolgen Sie den Anmeldevorgang. Wenn die Authentifizierung Windows Hello for Business oder den Sicherheitsschlüssel verwendet, sollte ein Windows-Sicherheitshinweis angezeigt werden, um die Authentifizierung abzuschließen, wie in der folgenden Abbildung gezeigt, wenn Sie ein lokales Windows-Gerät verwenden.

   Der Windows-Sicherheitshinweis befindet sich auf dem lokalen Gerät und überlagert die Remotesitzung und gibt an, dass die WebAuthn-Umleitung funktioniert.

   

Zugehöriger Inhalt

• Umleitung über das Remotedesktopprotokoll.
• Unterstützte RDP-Eigenschaften.
• Vergleich von Windows-App-Features auf verschiedenen Plattformen und Geräten.
• Vergleich von Remotedesktop-App-Features auf verschiedenen Plattformen und Geräten.