Compartilhar via


Configurar o redirecionamento do WebAuthn por meio do protocolo RDP

Dica

Este artigo é compartilhado com serviços e produtos que usam o protocolo RDP (RDP) para fornecer acesso remoto a áreas de trabalho e aplicativos do Windows.

Selecione um produto usando os botões na parte superior deste artigo para mostrar o conteúdo relevante.

Você pode configurar o comportamento de redirecionamento de solicitações WebAuthn de uma sessão remota para um dispositivo local por meio do protocolo RDP. O redirecionamento WebAuthn possibilita a autenticação sem senha na sessão usando o Windows Hello para Empresas ou dispositivos de segurança, como chaves FIDO.

Para a Área de Trabalho Virtual do Azure, recomendamos que você habilite o redirecionamento WebAuthn em seus hosts de sessão usando o Microsoft Intune ou a Política de Grupo e, em seguida, controle o redirecionamento usando as propriedades do RDP do pool de host.

Para o Windows 365, você pode configurar seus PCs na nuvem usando o Microsoft Intune ou a Política de Grupo.

Para o Computador de Desenvolvimento da Microsoft, você pode configurar seus computadores de desenvolvimento usando o Microsoft Intune ou a Política de Grupo.

Este artigo fornece informações sobre os métodos de redirecionamento com suporte e como configurar o comportamento de redirecionamento para solicitações WebAuthn. Para saber mais sobre como o redirecionamento funciona, consulte Redirecionamento pelo Protocolo RDP.

Pré-requisitos

Antes de configurar o redirecionamento WebAuthn, você precisa de:

  • Um PC na nuvem existente.
  • Um computador de desenvolvimento existente.

Redirecionamento do WebAuthn

A configuração de um host da sessão usando o Microsoft Intune ou a Política de Grupo ou a configuração de uma propriedade do RDP em um pool de host controla a capacidade de redirecionar solicitações WebAuthn de uma sessão remota para um dispositivo local, que está sujeita a uma ordem de prioridade.

A configuração padrão é:

  • Sistema operacional Windows: as solicitações WebAuthn não são bloqueadas.
  • Propriedades de RDP do pool de host da Área de Trabalho Virtual do Azure: as solicitações WebAuthn na sessão remota são redirecionadas para o computador local.

Importante

Tenha cuidado ao definir as configurações de redirecionamento, pois a configuração mais restritiva é o comportamento resultante. Por exemplo, se você desabilitar o redirecionamento WebAuthn em um host da sessão com o Microsoft Intune ou a Política de Grupo, mas habilitá-lo com a propriedade do RDP do pool de host, o redirecionamento será desabilitado.

A configuração de um PC na nuvem controla a capacidade de redirecionar solicitações WebAuthn entre a sessão remota e o dispositivo local e é definida usando o Microsoft Intune ou a Política de Grupo.

A configuração padrão é:

  • Sistema operacional Windows: as solicitações WebAuthn não são bloqueadas. O Windows 365 habilita o redirecionamento WebAuthn.

A configuração de um computador de desenvolvimento controla a capacidade de redirecionar solicitações WebAuthn entre a sessão remota e o dispositivo local e é definida usando o Microsoft Intune ou a Política de Grupo.

A configuração padrão é:

  • Sistema operacional Windows: as solicitações WebAuthn não são bloqueadas. O Windows 365 habilita o redirecionamento WebAuthn.

Configurar o redirecionamento WebAuthn usando as propriedades de RDP do pool de host:

A configuração redirecionamento WebAuthn do pool de host da Área de Trabalho Virtual do Azure controla se as solicitações WebAuthn devem ou não ser redirecionadas entre a sessão remota e o dispositivo local. A propriedade do RDP correspondente é redirectwebauthn:i:<value>. Para obter mais informações, confira Propriedades do RDP com suporte.

Para configurar o redirecionamento WebAuthn usando as propriedades do RDP do pool de host:

  1. Entre no portal do Azure.

  2. Na barra de pesquisa, digite Área de Trabalho Virtual do Azure e selecione a entrada de serviço correspondente.

  3. Selecione Pools de host e, em seguida, selecione o pool de hosts que você deseja configurar.

  4. Selecione Propriedades do RDP e, em seguida, escolha Redirecionamento de dispositivo.

    Uma captura de tela que mostra a guia de redirecionamento de dispositivo do pool de host no portal do Azure.

  5. Para redirecionamento WebAuthn, selecione a lista suspensa e, em seguida, selecione uma das seguintes opções:

    • As solicitações WebAuthn na sessão remota não são redirecionadas para o computador local
    • As solicitações WebAuthn na sessão remota não são redirecionadas para o computador local (padrão)
    • Não configurado
  6. Selecione Salvar.

  7. Para testar a configuração, siga as etapas no Testar o redirecionamento WebAuthn.

Configurar o redirecionamento WebAuthn usando o Microsoft Intune ou a Política de Grupo

Configurar o redirecionamento WebAuthn usando o Microsoft Intune ou a Política de Grupo

Selecione a guia relevante ao seu cenário.

Para permitir ou desabilitar o redirecionamento WebAuthn usando o Microsoft Intune:

  1. Entre no Centro de administração do Microsoft Intune.

  2. Crie ou edite um perfil de configuração para dispositivos Windows 10 e posteriores com o tipo de perfil Catálogo de configurações.

  3. No seletor de configurações, navegue até Modelos Administrativos>Componentes do Windows>Serviços de Área de Trabalho Remota>Host de Sessão de Área de Trabalho Remota>Redirecionamento de Dispositivos e Recursos.

    Uma captura de tela que mostra as opções de redirecionamento de dispositivos e recursos no portal do Microsoft Intune.

  4. Marque a caixa Não permitir redirecionamento de WebAuthn e feche o seletor de configurações.

  5. Expanda a categoria Modelos administrativos e alterne o comutador Não permitir o redirecionamento de WebAuthn para Habilitado ou Desabilitado dependendo de seus requisitos:

    • Para permitir o redirecionamento de WebAuthn, alterne a chave para Desabilitado e selecione OK.

    • Para desabilitar o redirecionamento de WebAuthn, alterne a chave para Ativado e selecione OK.

  6. Selecione Avançar.

  7. Opcional: na guia Marcas de escopo, selecione uma marca de escopo para filtrar o perfil. Saiba mais sobre marcas de escopo, confira Usar RBAC (controle de acesso baseado em função) e marcas de escopo para TI distribuída.

  8. Na guia Atribuições, selecione o grupo que contém os computadores que fornecem uma sessão remota que você deseja configurar e selecione Avançar.

  9. Na guia Revisar + criar, revise as configurações e selecione Criar.

  10. Depois que a política se aplicar aos computadores que fornecem uma sessão remota, reinicie-os para que as configurações entrem em vigor.

Testar o redirecionamento WebAuthn

Depois de habilitar o redirecionamento WebAuthn, para testá-lo:

  1. Se você estiver usando uma chave de segurança USB, verifique se ela está plugada primeiro.

  2. Conecte-se a uma sessão remota usando o aplicativo do Windows ou o aplicativo de Área de Trabalho Remota em uma plataforma que dá suporte ao redirecionamento WebAuthn. Para obter mais informações, confira Comparar recursos do aplicativo do Windows entre plataformas e dispositivos e Comparar os recursos do aplicativo de Área de Trabalho Remota em plataformas e dispositivos.

  3. Na sessão remota, abra um site em uma janela InPrivate que usa a autenticação WebAuthn, como o aplicativo do Windows para navegadores da Web em https://windows.cloud.microsoft/.

  4. Siga o processo de entrada. Quando a autenticação se trata de usar o Windows Hello para Empresas ou a chave de segurança, você deverá ver um prompt de Segurança do Windows para concluir a autenticação, conforme mostrado na imagem a seguir ao usar um dispositivo local do Windows.

    O prompt de Segurança do Windows está no dispositivo local e se sobrepõe a sessão remota, indicando que o redirecionamento WebAuthn está funcionando.

    Uma captura de tela mostrando uma solicitação WebAuthn da sessão remota para o dispositivo local.