Udostępnij za pośrednictwem


Konfigurowanie przekierowywania protokołu WebAuthn za pośrednictwem protokołu Remote Desktop Protocol

Napiwek

Ten artykuł jest udostępniany dla usług i produktów korzystających z protokołu RDP (Remote Desktop Protocol) w celu zapewnienia dostępu zdalnego do pulpitów i aplikacji systemu Windows.

Wybierz produkt przy użyciu przycisków w górnej części tego artykułu, aby wyświetlić odpowiednią zawartość.

Możesz skonfigurować zachowanie przekierowania żądań WebAuthn z sesji zdalnej do urządzenia lokalnego za pośrednictwem protokołu RDP (Remote Desktop Protocol). Przekierowywanie webAuthn umożliwia uwierzytelnianie bez hasła w sesji przy użyciu Windows Hello dla firm lub urządzeń zabezpieczeń, takich jak klucze FIDO.

W przypadku usługi Azure Virtual Desktop zalecamy włączenie przekierowania WebAuthn na hostach sesji przy użyciu usługi Microsoft Intune lub zasad grupy, a następnie kontrolowanie przekierowania przy użyciu właściwości protokołu RDP puli hostów.

W przypadku systemu Windows 365 można skonfigurować komputery w chmurze przy użyciu usługi Microsoft Intune lub zasad grupy.

W przypadku usługi Microsoft Dev Box można skonfigurować pola deweloperskie przy użyciu usługi Microsoft Intune lub zasad grupy.

Ten artykuł zawiera informacje o obsługiwanych metodach przekierowania i sposobie konfigurowania zachowania przekierowania dla żądań WebAuthn. Aby dowiedzieć się więcej o sposobie działania przekierowania, zobacz Przekierowanie za pośrednictwem protokołu Remote Desktop Protocol.

Wymagania wstępne

Przed skonfigurowaniem przekierowania webAuthn potrzebne są następujące elementy:

  • Istniejący komputer w chmurze.
  • Istniejące pole deweloperskie.
  • Lokalne urządzenie z systemem Windows z Windows Hello dla firm lub urządzeniem zabezpieczającym, takiego jak klucz USB FIDO, został już skonfigurowany.

  • Do skonfigurowania usługi Microsoft Intune potrzebne są następujące elementy:

    • Konto identyfikatora Entra firmy Microsoft przypisane do wbudowanej roli RBAC menedżera zasad i profilu.
    • Grupa zawierająca urządzenia, które chcesz skonfigurować.
  • Aby skonfigurować zasady grupy, potrzebne są następujące elementy:

    • Konto domeny z uprawnieniami do tworzenia lub edytowania obiektów zasad grupy.
    • Grupa zabezpieczeń lub jednostka organizacyjna zawierająca urządzenia, które chcesz skonfigurować.
  • Musisz nawiązać połączenie z sesją zdalną z obsługiwanej aplikacji i platformy. Aby wyświetlić obsługę przekierowania w aplikacji systemu Windows i aplikacji pulpitu zdalnego, zobacz Porównanie funkcji aplikacji systemu Windows na różnych platformach i urządzeniach oraz Porównanie funkcji aplikacji pulpitu zdalnego na różnych platformach i urządzeniach.

Przekierowywanie protokołu WebAuthn

Konfiguracja hosta sesji przy użyciu usługi Microsoft Intune lub zasad grupy lub ustawienie właściwości RDP w puli hostów określa możliwość przekierowywania żądań WebAuthn z sesji zdalnej do urządzenia lokalnego, które podlega kolejności priorytetów.

Domyślna konfiguracja to:

  • System operacyjny Windows: żądania WebAuthn nie są blokowane.
  • Właściwości protokołu RDP puli hostów usługi Azure Virtual Desktop: żądania WebAuthn w sesji zdalnej są przekierowywane do komputera lokalnego.

Ważne

Podczas konfigurowania ustawień przekierowania należy zachować ostrożność, ponieważ najbardziej restrykcyjne ustawienie to wynikowe zachowanie. Jeśli na przykład wyłączysz przekierowanie WebAuthn na hoście sesji za pomocą usługi Microsoft Intune lub zasad grupy, ale włączysz je z właściwością RDP puli hostów, przekierowanie jest wyłączone.

Konfiguracja komputera w chmurze określa możliwość przekierowywania żądań WebAuthn między sesją zdalną a urządzeniem lokalnym i jest ustawiana przy użyciu usługi Microsoft Intune lub zasad grupy.

Domyślna konfiguracja to:

  • System operacyjny Windows: żądania WebAuthn nie są blokowane. System Windows 365 umożliwia przekierowywanie webAuthn.

Konfiguracja pola deweloperskiego określa możliwość przekierowywania żądań WebAuthn między sesją zdalną a urządzeniem lokalnym i jest ustawiana przy użyciu usługi Microsoft Intune lub zasad grupy.

Domyślna konfiguracja to:

  • System operacyjny Windows: żądania WebAuthn nie są blokowane. System Windows 365 umożliwia przekierowywanie webAuthn.

Konfigurowanie przekierowania protokołu WebAuthn przy użyciu właściwości protokołu RDP puli hostów

Ustawienie przekierowania webAuthn w puli hostów usługi Azure Virtual Desktop określa, czy przekierowywać żądania WebAuthn między sesją zdalną a urządzeniem lokalnym. Odpowiadająca właściwość protokołu RDP to redirectwebauthn:i:<value>. Aby uzyskać więcej informacji, zobacz Obsługiwane właściwości protokołu RDP.

Aby skonfigurować przekierowywanie protokołu WebAuthn przy użyciu właściwości protokołu RDP puli hostów:

  1. Zaloguj się w witrynie Azure Portal.

  2. Na pasku wyszukiwania wpisz Azure Virtual Desktop i wybierz pasujący wpis usługi.

  3. Wybierz pozycję Pule hostów, a następnie wybierz pulę hostów, którą chcesz skonfigurować.

  4. Wybierz pozycję Właściwości protokołu RDP, a następnie wybierz pozycję Przekierowywanie urządzenia.

    Zrzut ekranu przedstawiający kartę przekierowania urządzenia puli hostów w witrynie Azure Portal.

  5. W przypadku przekierowania webAuthn wybierz listę rozwijaną, a następnie wybierz jedną z następujących opcji:

    • Żądania WebAuthn w sesji zdalnej nie są przekierowywane do komputera lokalnego
    • Żądania WebAuthn w sesji zdalnej są przekierowywane do komputera lokalnego (ustawienie domyślne)
    • Nieskonfigurowane
  6. Wybierz pozycję Zapisz.

  7. Aby przetestować konfigurację, wykonaj kroki opisane w artykule Testowanie przekierowania usługi WebAuthn.

Konfigurowanie przekierowania webAuthn przy użyciu usługi Microsoft Intune lub zasad grupy

Konfigurowanie przekierowania webAuthn przy użyciu usługi Microsoft Intune lub zasad grupy

Wybierz odpowiednią kartę dla danego scenariusza.

Aby zezwolić lub wyłączyć przekierowywanie webAuthn przy użyciu usługi Microsoft Intune:

  1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune.

  2. Utwórz lub edytuj profil konfiguracji dla urządzeń z systemem Windows 10 lub nowszym z typem profilu wykazu ustawień.

  3. W selektorze ustawień przejdź do szablonów>administracyjnych Składniki>pulpitu zdalnego usług>pulpitu zdalnego hosta urządzenia hosta>i przekierowania zasobów.

    Zrzut ekranu przedstawiający opcje przekierowania urządzenia i zasobów w portalu usługi Microsoft Intune.

  4. Zaznacz pole wyboru Nie zezwalaj na przekierowywanie webAuthn, a następnie zamknij selektor ustawień.

  5. Rozwiń kategorię Szablony administracyjne, a następnie przełącz przełącznik Nie zezwalaj na przekierowywanie protokołu WebAuthn na wartość Włączone lub Wyłączone, w zależności od wymagań:

    • Aby zezwolić na przekierowywanie usługi WebAuthn, przełącz przełącznik na Wyłączone, a następnie wybierz przycisk OK.

    • Aby wyłączyć przekierowywanie webAuthn, przełącz przełącznik na Włączone, a następnie wybierz przycisk OK.

  6. Wybierz Dalej.

  7. Opcjonalnie: na karcie Tagi zakresu wybierz tag zakresu, aby filtrować profil. Aby uzyskać więcej informacji na temat tagów zakresu, zobacz Use role-based access control (RBAC) and scope tags for distributed IT (Use role-based access control, RBAC) and scope tags for distributed IT (Use role-based access control) and scope tags for distributed IT (Use role-based access control, RBAC) and scope tags for distributed IT (

  8. Na karcie Przypisania wybierz grupę zawierającą komputery udostępniające sesję zdalną, którą chcesz skonfigurować, a następnie wybierz przycisk Dalej.

  9. Na karcie Przeglądanie + tworzenie przejrzyj ustawienia, a następnie wybierz pozycję Utwórz.

  10. Gdy zasady zostaną zastosowane do komputerów dostarczających sesję zdalną, uruchom je ponownie, aby ustawienia zaczęły obowiązywać.

Testowanie przekierowania usługi WebAuthn

Po włączeniu przekierowania WebAuthn w celu przetestowania go:

  1. Jeśli używasz klucza zabezpieczeń USB, upewnij się, że jest on najpierw podłączony.

  2. Połącz się z sesją zdalną przy użyciu aplikacji okna lub aplikacji pulpitu zdalnego na platformie obsługującej przekierowywanie WebAuthn. Aby uzyskać więcej informacji, zobacz Porównanie funkcji aplikacji systemu Windows na różnych platformach i urządzeniach oraz Porównanie funkcji aplikacji pulpitu zdalnego na różnych platformach i urządzeniach.

  3. W sesji zdalnej otwórz witrynę internetową w oknie InPrivate, które korzysta z uwierzytelniania WebAuthn, takiego jak Aplikacja systemu Windows dla przeglądarek internetowych pod adresem https://windows.cloud.microsoft/.

  4. Postępuj zgodnie z procesem logowania. W przypadku uwierzytelniania używanego Windows Hello dla firm lub klucza zabezpieczeń powinien zostać wyświetlony Zabezpieczenia Windows monit o ukończenie uwierzytelniania, jak pokazano na poniższej ilustracji podczas korzystania z urządzenia lokalnego z systemem Windows.

    Monit Zabezpieczenia Windows znajduje się na urządzeniu lokalnym i nakłada sesję zdalną, co oznacza, że przekierowanie webAuthn działa.

    Zrzut ekranu przedstawiający żądanie WebAuthn z sesji zdalnej do urządzenia lokalnego.