Smartcardomleiding configureren via het Remote Desktop Protocol

Tip

Dit artikel wordt gedeeld voor services en producten die gebruikmaken van Remote Desktop Protocol (RDP) om externe toegang te bieden tot Windows-bureaubladen en -apps.

Selecteer een product met de knoppen bovenaan dit artikel om de relevante inhoud weer te geven.

U kunt het omleidingsgedrag van smartcardapparaten van een lokaal apparaat naar een externe sessie configureren via RdP (Remote Desktop Protocol).

Voor Azure Virtual Desktop raden we u aan smartcardomleiding in te schakelen op uw sessiehosts met Behulp van Microsoft Intune of Groepsbeleid en vervolgens omleiding te beheren met behulp van de RDP-eigenschappen van de hostgroep.

Voor Windows 365 kunt u uw cloud-pc's configureren met Behulp van Microsoft Intune of Groepsbeleid.

Voor Microsoft Dev Box kunt u uw ontwikkelvakken configureren met Behulp van Microsoft Intune of Groepsbeleid.

Dit artikel bevat informatie over de ondersteunde omleidingsmethoden en het configureren van het omleidingsgedrag voor smartcardapparaten. Zie Omleiding via het Remote Desktop Protocol voor meer informatie over hoe omleiding werkt.

Vereisten

Voordat u smartcardomleiding kunt configureren, hebt u het volgende nodig:

• Een bestaande hostgroep met sessiehosts.

• Een Microsoft Entra ID-account waaraan de ingebouwde RBAC-rollen (Op rollen gebaseerd toegangsbeheer) voor de hostgroep zijn toegewezen voor inzender voor desktopvirtualisatiehosts.

• Een bestaande cloud-pc.

• Een bestaand ontwikkelvak.

• Een smartcardapparaat dat beschikbaar is op uw lokale apparaat.

• Voor het configureren van Microsoft Intune hebt u het volgende nodig:

  • Microsoft Entra ID-account waaraan de ingebouwde RBAC-rol beleids- en profielbeheerder is toegewezen.
  • Een groep met de apparaten die u wilt configureren.

• Als u Groepsbeleid wilt configureren, hebt u het volgende nodig:

  • Een domeinaccount met machtigingen voor het maken of bewerken van groepsbeleidsobjecten.
  • Een beveiligingsgroep of organisatie-eenheid (OE) met de apparaten die u wilt configureren.

• U moet verbinding maken met een externe sessie vanuit een ondersteunde app en platform. Als u omleidingsondersteuning wilt weergeven in de Windows-app en de app Extern bureaublad, raadpleegt u Functies van Windows-apps vergelijken op platforms en apparaten en vergelijkt u de functies van de Extern bureaublad-app op verschillende platforms en apparaten.

Smartcardomleiding

Configuratie van een sessiehost met Behulp van Microsoft Intune of Groepsbeleid, of het instellen van een RDP-eigenschap op een hostgroep bepaalt de mogelijkheid om smartcardapparaten van een lokaal apparaat om te leiden naar een externe sessie, die onderhevig is aan een prioriteitsvolgorde.

De standaardconfiguratie is:

• Windows-besturingssysteem: Omleiding van smartcards wordt niet geblokkeerd.
• RDP-eigenschappen van Azure Virtual Desktop-hostgroep: Smartcardapparaten worden omgeleid van het lokale apparaat naar de externe sessie.
• Resulterend standaardgedrag: Smartcard-apparaten worden omgeleid van het lokale apparaat naar de externe sessie.

Belangrijk

Zorg ervoor dat bij het configureren van omleidingsinstellingen de meest beperkende instelling het resulterende gedrag is. Als u bijvoorbeeld omleiding van smartcards uitschakelt op een sessiehost met Microsoft Intune of Groepsbeleid, maar deze inschakelt met de rdP-eigenschap van de hostgroep, wordt omleiding uitgeschakeld.

De configuratie van een cloud-pc bepaalt de mogelijkheid om smartcardapparaten van een lokaal apparaat om te leiden naar een externe sessie en wordt ingesteld met Behulp van Microsoft Intune of Groepsbeleid.

De standaardconfiguratie is:

• Windows-besturingssysteem: Omleiding van smartcards wordt niet geblokkeerd.
• Windows 365: Smartcardomleiding is ingeschakeld.
• Resulterend standaardgedrag: Smartcard-apparaten worden omgeleid van het lokale apparaat naar de externe sessie.

De configuratie van een ontwikkelvak bepaalt de mogelijkheid om smartcardapparaten van een lokaal apparaat om te leiden naar een externe sessie en wordt ingesteld met Behulp van Microsoft Intune of Groepsbeleid.

De standaardconfiguratie is:

• Windows-besturingssysteem: Omleiding van smartcards wordt niet geblokkeerd.
• Microsoft Dev Box: Omleiding van smartcards is ingeschakeld.
• Resulterend standaardgedrag: Smartcard-apparaten worden omgeleid van het lokale apparaat naar de externe sessie.

Omleiding van smartcardapparaten configureren met behulp van RDP-eigenschappen van hostgroep

De azure Virtual Desktop-hostgroep die smartcardomleiding instelt, bepaalt of smartcard van een lokaal apparaat naar een externe sessie moet worden omgeleid . De bijbehorende RDP-eigenschap is redirectsmartcards:i:<value>. Zie Ondersteunde RDP-eigenschappen voor meer informatie.

Omleiding van smartcards te configureren met behulp van RDP-eigenschappen van de hostgroep:

1. Meld u aan bij het Azure-portaal.

2. Typ Azure Virtual Desktop in de zoekbalk en selecteer de overeenkomende servicevermelding.

3. Selecteer Hostgroepen en selecteer vervolgens de hostgroep die u wilt configureren.

4. Selecteer RDP-eigenschappen en selecteer vervolgens Apparaatomleiding.

   

5. Voor smartcardomleiding selecteert u de vervolgkeuzelijst en selecteert u vervolgens een van de volgende opties:

   • Het smartcardapparaat op de lokale computer is niet beschikbaar in externe sessie
   • Het smartcardapparaat op de lokale computer is beschikbaar in externe sessie (standaard)
   • Niet geconfigureerd

6. Selecteer Opslaan.

7. Als u de configuratie wilt testen, maakt u verbinding met een externe sessie en gebruikt u vervolgens een toepassing of website waarvoor uw smartcard is vereist. Controleer of de smartcard beschikbaar is en werkt zoals verwacht.

Omleiding van smartcardapparaten configureren met Behulp van Microsoft Intune of Groepsbeleid

Omleiding van smartcardapparaten configureren met Behulp van Microsoft Intune of Groepsbeleid

Selecteer het relevante tabblad voor uw scenario.

Microsoft Intune

Omleiding van smartcardapparaten via Microsoft Intune toe te staan of uit te schakelen:

1. Meld u aan bij het Microsoft Intune-beheercentrum.

2. Maak of bewerk een configuratieprofiel voor Windows 10- en hogerapparaten met het profieltype Instellingencatalogus.

3. Blader in de instellingenkiezer naar Beheersjablonen>windows-onderdelen>Extern bureaublad-services>Extern bureaublad-sessiehostapparaat>en resourceomleiding.

   

4. Schakel het selectievakje in voor Het omleiden van smartcardapparaten niet toestaan en sluit vervolgens de instellingenkiezer.

5. Vouw de categorie Beheersjablonen uit en schakel vervolgens de schakeloptie in voor Het omleiden van smartcardapparaten niet toestaan, afhankelijk van uw vereisten:

   • Als u omleiding van smartcardapparaten wilt toestaan, zet u de schakelaar op Uitgeschakeld.

   • Als u omleiding van smartcardapparaten wilt uitschakelen, schakelt u de schakelaar in op Ingeschakeld.

6. Selecteer Volgende.

7. Optioneel: Selecteer op het tabblad Bereiktags een bereiktag om het profiel te filteren. Zie Op rollen gebaseerd toegangsbeheer (RBAC) en bereiktags gebruiken voor gedistribueerde IT voor meer informatie over bereiktags.

8. Selecteer op het tabblad Toewijzingen de groep met de computers die een externe sessie bieden die u wilt configureren en selecteer vervolgens Volgende.

9. Controleer op het tabblad Controleren en maken de instellingen en selecteer Vervolgens Maken.

10. Zodra het beleid van toepassing is op de computers die een externe sessie bieden, start u deze opnieuw op zodat de instellingen van kracht worden.

Groepsbeleid

Omleiding van smartcardapparaten toe te staan of uit te schakelen met behulp van Groepsbeleid:

1. Open de console Groepsbeleidsbeheer op een apparaat dat u gebruikt om het Active Directory-domein te beheren.

2. Maak of bewerk een beleid dat is gericht op de computers die een externe sessie bieden die u wilt configureren.

3. Navigeer naar Beheersjablonen voor computerconfiguratiebeleid>>>voor Windows-onderdelen>Extern bureaublad-services>Extern bureaublad-sessiehostapparaat>en resourceomleiding.

   

4. Dubbelklik op de beleidsinstelling Omleiding van smartcardapparaten niet toestaan om het te openen.

   • Als u omleiding van smartcardapparaten wilt toestaan, selecteert u Uitgeschakeld of Niet geconfigureerd en selecteert u VERVOLGENS OK.

   • Als u omleiding van smartcardapparaten wilt uitschakelen, selecteert u Ingeschakeld en selecteert u VERVOLGENS OK.

5. Zorg ervoor dat het beleid wordt toegepast op de computers die een externe sessie bieden en start deze vervolgens opnieuw op zodat de instellingen van kracht worden.

Omleiding van smartcard testen

Omleiding van smartcards te testen:

1. Maak verbinding met een externe sessie met behulp van windows-app of de app Extern bureaublad op een platform dat ondersteuning biedt voor omleiding van smartcards. Zie Functies van Windows-apps vergelijken op verschillende platforms en apparaten en de functies van de app Extern bureaublad vergelijken op verschillende platforms en apparaten voor meer informatie.

2. Controleer of uw smartcards beschikbaar zijn in de externe sessie. Voer de volgende opdracht uit in de externe sessie in de opdrachtprompt of vanaf een PowerShell-prompt.

   certutil -scinfo
   

   Als smartcardomleiding werkt, begint de uitvoer vergelijkbaar met de volgende uitvoer:

   The Microsoft Smart Card Resource Manager is running.
   Current reader/card status:
   Readers: 2
     0: Windows Hello for Business 1
     1: Yubico YubiKey OTP+FIDO+CCID 0
   --- Reader: Windows Hello for Business 1
   --- Status: SCARD_STATE_PRESENT | SCARD_STATE_INUSE
   --- Status: The card is being shared by a process.
   ---   Card: Identity Device (Microsoft Generic Profile)
   ---    ATR:
           aa bb cc dd ee ff 00 11  22 33 44 55 66 77 88 99   ;.........AB12..
           ab                                                 .
   
   --- Reader: Yubico YubiKey OTP+FIDO+CCID 0
   --- Status: SCARD_STATE_PRESENT | SCARD_STATE_UNPOWERED
   --- Status: The card is available for use.
   ---   Card: Identity Device (NIST SP 800-73 [PIV])
   ---    ATR:
           aa bb cc dd ee ff 00 11  22 33 44 55 66 77 88 99   ;.........34yz..
           ab                                                 .
   
   [continued...]
   

3. Open en gebruik een toepassing of website waarvoor uw smartcard is vereist. Controleer of de smartcard beschikbaar is en werkt zoals verwacht.

Gerelateerde inhoud

• Omleiding via het Remote Desktop Protocol.
• Ondersteunde RDP-eigenschappen.
• Vergelijk windows-app-functies op verschillende platforms en apparaten.
• Vergelijk de functies van de App Extern bureaublad op verschillende platforms en apparaten.