Configurare il reindirizzamento WebAuthn tramite Remote Desktop Protocol
Suggerimento
Questo articolo viene condiviso per servizi e prodotti che usano Remote Desktop Protocol (RDP) per fornire l'accesso remoto a desktop e applicazioni Windows.
Selezionare un prodotto usando i pulsanti nella parte superiore di questo articolo per visualizzare il contenuto pertinente.
È possibile configurare il comportamento di reindirizzamento delle richieste WebAuthn da una sessione remota a un dispositivo locale tramite Remote Desktop Protocol (RDP). Il reindirizzamento WebAuthn abilita l'autenticazione senza password durante la sessione usando Windows Hello for Business o dispositivi di sicurezza come le chiavi FIDO.
Per Desktop virtuale Azure, è consigliabile abilitare il reindirizzamento WebAuthn negli host di sessione usando Microsoft Intune o Criteri di gruppo, quindi controllare il reindirizzamento usando le proprietà RDP del pool di host.
Per Windows 365, è possibile configurare i PC cloud usando Microsoft Intune o Criteri di gruppo.
Per Microsoft Dev Box, è possibile configurare le caselle di sviluppo usando Microsoft Intune o Criteri di gruppo.
Questo articolo fornisce informazioni sui metodi di reindirizzamento supportati e su come configurare il comportamento di reindirizzamento per le richieste WebAuthn. Per altre informazioni sul funzionamento del reindirizzamento, vedere Reindirizzamento tramite Remote Desktop Protocol.
Prerequisiti
Prima di poter configurare il reindirizzamento WebAuthn, si necessita di:
Un pool di host esistente con host di sessione.
Un account Microsoft Entra ID a cui è assegnato almeno il ruolo di Collaboratore pool di host di virtualizzazione desktop dei ruoli predefiniti di controllo degli accessi in base al ruolo sul pool di host.
- Un Cloud PC esistente.
- Una casella di sviluppo esistente.
Un dispositivo Windows locale con Windows Hello for Business o un dispositivo di sicurezza come una chiave USB FIDO già configurata.
Per configurare Microsoft Intune, si necessita di:
- Un account Microsoft Entra ID a cui è assegnato il ruolo predefinito di Gestore di criteri e profili di controllo degli accessi in base al ruolo.
- Gruppo contenente i dispositivi da configurare.
Per configurare Criteri di gruppo, è necessario quanto segue:
- Un account di dominio autorizzato a creare o modificare oggetti Criteri di gruppo.
- Un gruppo di sicurezza o un'unità organizzativa contenente i dispositivi da configurare.
È necessario connettersi a una sessione remota da un'app e una piattaforma supportate. Per visualizzare il supporto del reindirizzamento nell'app di Windows e nell'app Desktop remoto, vedere Confrontare le funzionalità delle app di Windows tra piattaforme e dispositivi e Confrontare le funzionalità delle app Desktop remoto tra piattaforme e dispositivi.
Reindirizzamento WebAuthn
La configurazione di un host di sessione tramite Microsoft Intune o Criteri di gruppo o l'impostazione di una proprietà RDP in un pool di host determina la possibilità di reindirizzare richieste WebAuthn da una sessione remota a un dispositivo locale, soggetto a un ordine di priorità.
La configurazione predefinita è:
- Sistema operativo Windows: le richieste WebAuthn non vengono bloccate.
- Proprietà RDP del pool di host di Desktop virtuale Azure: le richieste WebAuthn nella sessione remota vengono reindirizzate al computer locale.
Importante
Prestare attenzione quando si configurano le impostazioni di reindirizzamento, poiché l'impostazione più restrittiva è il comportamento risultante. Ad esempio, se si disabilita il reindirizzamento WebAuthn in un host di sessione con Microsoft Intune o Criteri di gruppo, ma lo si abilita con la proprietà RDP del pool di host, il reindirizzamento risulterà disabilitato.
La configurazione di un PC cloud determina la possibilità di reindirizzare le richieste WebAuthn tra la sessione remota e il dispositivo locale e viene impostata usando Microsoft Intune o Criteri di gruppo.
La configurazione predefinita è:
- Sistema operativo Windows: le richieste WebAuthn non vengono bloccate. Windows 365 abilita il reindirizzamento WebAuthn.
La configurazione di una casella di sviluppo determina la possibilità di reindirizzare richieste WebAuthn tra la sessione remota e il dispositivo locale e viene impostata usando Microsoft Intune o Criteri di gruppo.
La configurazione predefinita è:
- Sistema operativo Windows: le richieste WebAuthn non vengono bloccate. Windows 365 abilita il reindirizzamento WebAuthn.
Configurare il reindirizzamento WebAuthn usando le proprietà RDP del pool di host
L'impostazione del pool di host di Desktop virtuale Azure Reindirizzamento WebAuthn controlla se reindirizzare le richieste WebAuthn tra la sessione remota e il dispositivo locale. La proprietà RDP corrispondente è redirectwebauthn:i:<value>
. Per altre informazioni, vedere Proprietà RDP supportate.
Per configurare il reindirizzamento WebAuthn usando le proprietà RDP del pool di host:
Accedere al portale di Azure.
Nella barra di ricerca digitare Desktop virtuale Azure e selezionare la voce del servizio corrispondente.
Selezionare Pool di host, quindi selezionare il pool di host da configurare.
Selezionare Proprietà RDP e quindi Reindirizzamento del dispositivo.
Per Reindirizzamento WebAuthn, selezionare l'elenco a discesa, quindi selezionare una delle opzioni seguenti:
- Le richieste WebAuthn nella sessione remota non vengono reindirizzate al computer locale
- Le richieste WebAuthn nella sessione remota vengono reindirizzate al computer locale (impostazione predefinita)
- Non configurato
Seleziona Salva.
Per testare la configurazione, seguire la procedura descritta in Testare il reindirizzamento WebAuthn.
Configurare il reindirizzamento WebAuthn usando Microsoft Intune o Criteri di gruppo
Configurare il reindirizzamento WebAuthn usando Microsoft Intune o Criteri di gruppo
Selezionare la scheda pertinente per lo scenario.
Per consentire o disabilitare il reindirizzamento di WebAuthn tramite Microsoft Intune:
Accedere all'interfaccia di amministrazione di Microsoft Intune.
Creare o modificare un profilo di configurazione per dispositivi Windows 10 e versioni successive, con il tipo di profilo Catalogo impostazioni.
Nella selezione delle impostazioni, passare a Modelli amministrativi>Componenti di Windows>Servizi Desktop remoto>Host Sessione Desktop remoto>Reindirizzamento di dispositivi e risorse.
Selezionare la casella Non consentire il reindirizzamento WebAuthn, quindi chiudere la selezione impostazioni.
Espandere la categoria Modelli amministrativi, quindi impostare l'opzione per Non consentire il reindirizzamento WebAuthn su Abilitato o Disabilitato, a seconda dei requisiti:
Per consentire il reindirizzamento webAuthn, impostare l'opzione su Disabilitato, quindi selezionare OK.
Per disabilitare il reindirizzamento webAuthn, impostare l'opzione su Abilitato, quindi selezionare OK.
Selezionare Avanti.
Facoltativo: nella scheda Tag di ambito selezionare un tag di ambito per filtrare il profilo. Per altre informazioni sui tag di ambito, vedere Usare il controllo degli accessi in base al ruolo (RBAC) e i tag di ambito per l'IT distribuito.
Nella scheda Assegnazioni selezionare il gruppo contenente i computer che forniscono una sessione remota da configurare, quindi selezionare Avanti.
Nella scheda Rivedi + crea rivedere le impostazioni e selezionare Crea.
Una volta applicati i criteri ai computer che forniscono una sessione remota, riavviarli per rendere effettive le impostazioni.
Testare il reindirizzamento WebAuthn
Per testare il reindirizzamento WebAuthn dopo averlo abilitato:
Se si usa una chiave di sicurezza USB, assicurarsi per prima cosa che sia inserita.
Connettersi a una sessione remota usando l'app Window o l'app Desktop remoto in una piattaforma che supporta il reindirizzamento WebAuthn. Per altre informazioni, vedere Confrontare le funzionalità delle app di Windows tra piattaforme e dispositivi e Confrontare le funzionalità delle app Desktop remoto tra piattaforme e dispositivi.
Nella sessione remota, aprire un sito Web in una finestra InPrivate che usi l'autenticazione WebAuthn, ad esempio App di Windows per i Web browser in https://windows.cloud.microsoft/.
Seguire il processo di accesso. Quando l'autenticazione usa Windows Hello for Business o la chiave di sicurezza, verrà visualizzato un prompt di sicurezza di Windows per completare l'autenticazione, come illustrato nell'immagine seguente con l'uso di un dispositivo locale Windows.
Il prompt di sicurezza di Windows si trova nel dispositivo locale e si sovrappone alla sessione remota, a indicare che il reindirizzamento WebAuthn è funzionante.