Configurar o redirecionamento de cartão inteligente através do Protocolo de Área de Trabalho Remota

Gorjeta

Este artigo é compartilhado para serviços e produtos que usam o protocolo RDP (Remote Desktop Protocol) para fornecer acesso remoto a áreas de trabalho e aplicativos do Windows.

Selecione um produto usando os botões na parte superior deste artigo para mostrar o conteúdo relevante.

Você pode configurar o comportamento de redirecionamento de dispositivos de cartão inteligente de um dispositivo local para uma sessão remota através do protocolo RDP (Remote Desktop Protocol).

Para a Área de Trabalho Virtual do Azure, recomendamos que você habilite o redirecionamento de cartão inteligente em seus hosts de sessão usando o Microsoft Intune ou a Política de Grupo e, em seguida, controle o redirecionamento usando as propriedades RDP do pool de hosts.

Para o Windows 365, pode configurar os seus Cloud PCs utilizando o Microsoft Intune ou a Política de Grupo.

Para o Microsoft Dev Box, você pode configurar suas caixas de desenvolvimento usando o Microsoft Intune ou a Política de Grupo.

Este artigo fornece informações sobre os métodos de redirecionamento suportados e como configurar o comportamento de redirecionamento para dispositivos de cartão inteligente. Para saber mais sobre como funciona o redirecionamento, consulte Redirecionamento pelo Protocolo de Área de Trabalho Remota.

Pré-requisitos

Antes de configurar o redirecionamento de cartão inteligente, você precisa:

• Um pool de hosts existente com hosts de sessão.

• Uma conta de ID do Microsoft Entra à qual é atribuída, no mínimo, as funções RBAC (controle de acesso baseado em função) internas do Colaborador do Pool de Hosts de Virtualização de Área de Trabalho no pool de hosts.

• Um Cloud PC existente.

• Uma caixa de desenvolvimento existente.

• Um dispositivo de cartão inteligente disponível no seu dispositivo local.

• Para configurar o Microsoft Intune, você precisa:

  • Conta de ID do Microsoft Entra à qual é atribuída a função RBAC interna do Gerenciador de políticas e perfis.
  • Um grupo que contém os dispositivos que você deseja configurar.

• Para configurar a Diretiva de Grupo, você precisa:

  • Uma conta de domínio que tem permissão para criar ou editar objetos de Diretiva de Grupo.
  • Um grupo de segurança ou unidade organizacional (UO) que contém os dispositivos que você deseja configurar.

• Você precisa se conectar a uma sessão remota a partir de um aplicativo e plataforma compatíveis. Para ver o suporte de redirecionamento na Aplicação Windows e na aplicação Ambiente de Trabalho Remoto, consulte Comparar funcionalidades da Aplicação Windows entre plataformas e dispositivos e Comparar funcionalidades da aplicação Ambiente de Trabalho Remoto entre plataformas e dispositivos.

Redirecionamento de cartão inteligente

A configuração de um host de sessão usando o Microsoft Intune ou a Política de Grupo ou a definição de uma propriedade RDP em um pool de hosts rege a capacidade de redirecionar dispositivos de cartão inteligente de um dispositivo local para uma sessão remota, que está sujeita a uma ordem de prioridade.

A configuração padrão é:

• Sistema operacional Windows: o redirecionamento de cartão inteligente não está bloqueado.
• Propriedades RDP do pool de hosts da Área de Trabalho Virtual do Azure: os dispositivos de cartão inteligente são redirecionados do dispositivo local para a sessão remota.
• Comportamento padrão resultante: os dispositivos de cartão inteligente são redirecionados do dispositivo local para a sessão remota.

Importante

Tenha cuidado ao definir as configurações de redirecionamento, pois a configuração mais restritiva é o comportamento resultante. Por exemplo, se você desabilitar o redirecionamento de cartão inteligente em um host de sessão com o Microsoft Intune ou a Política de Grupo, mas habilitá-lo com a propriedade RDP do pool de hosts, o redirecionamento será desabilitado.

A configuração de um Cloud PC controla a capacidade de redirecionar dispositivos de cartão inteligente de um dispositivo local para uma sessão remota e é definida usando o Microsoft Intune ou a Política de Grupo.

A configuração padrão é:

• Sistema operacional Windows: o redirecionamento de cartão inteligente não está bloqueado.
• Windows 365: O redirecionamento de cartão inteligente está habilitado.
• Comportamento padrão resultante: os dispositivos de cartão inteligente são redirecionados do dispositivo local para a sessão remota.

A configuração de uma caixa de desenvolvimento rege a capacidade de redirecionar dispositivos de cartão inteligente de um dispositivo local para uma sessão remota e é definida usando o Microsoft Intune ou a Política de Grupo.

A configuração padrão é:

• Sistema operacional Windows: o redirecionamento de cartão inteligente não está bloqueado.
• Microsoft Dev Box: O redirecionamento de cartão inteligente está habilitado.
• Comportamento padrão resultante: os dispositivos de cartão inteligente são redirecionados do dispositivo local para a sessão remota.

Configurar o redirecionamento de dispositivo de cartão inteligente usando propriedades RDP do pool de hosts

A configuração do pool de hosts da Área de Trabalho Virtual do Azure controla se o cartão inteligente deve ser redirecionado de um dispositivo local para uma sessão remota. A propriedade RDP correspondente é redirectsmartcards:i:<value>. Para obter mais informações, consulte Propriedades RDP suportadas.

Para configurar o redirecionamento de cartão inteligente usando as propriedades RDP do pool de hosts:

1. Inicie sessão no portal do Azure.

2. Na barra de pesquisa, digite Área de Trabalho Virtual do Azure e selecione a entrada de serviço correspondente.

3. Selecione Pools de hosts e, em seguida, selecione o pool de hosts que deseja configurar.

4. Selecione Propriedades RDP e, em seguida, selecione Redirecionamento de dispositivo.

   

5. Para Redirecionamento de cartão inteligente, selecione a lista suspensa e selecione uma das seguintes opções:

   • O dispositivo de cartão inteligente no computador local não está disponível na sessão remota
   • O dispositivo de cartão inteligente no computador local está disponível na sessão remota (padrão)
   • Não configurado

6. Selecione Guardar.

7. Para testar a configuração, conecte-se a uma sessão remota e use um aplicativo ou site que exija seu cartão inteligente. Verifique se o cartão inteligente está disponível e funciona conforme o esperado.

Configurar o redirecionamento de dispositivo de cartão inteligente usando o Microsoft Intune ou a Política de Grupo

Configurar o redirecionamento de dispositivo de cartão inteligente usando o Microsoft Intune ou a Política de Grupo

Selecione a guia relevante para o seu cenário.

Microsoft Intune

Para permitir ou desativar o redirecionamento de dispositivo de cartão inteligente usando o Microsoft Intune:

1. Entre no centro de administração do Microsoft Intune.

2. Crie ou edite um perfil de configuração para dispositivos Windows 10 e posteriores , com o tipo de perfil do catálogo Configurações.

3. No seletor de configurações, navegue até Modelos administrativos>, Componentes>do Windows, Serviços>de Área de Trabalho Remota, Área de Trabalho Remota, Dispositivo Host>da Sessão da Área de Trabalho Remota e Redirecionamento de Recursos.

   

4. Marque a caixa Não permitir redirecionamento de dispositivo de cartão inteligente e feche o seletor de configurações.

5. Expanda a categoria Modelos administrativos e, em seguida, alterne a opção Não permitir redirecionamento de dispositivo de cartão inteligente, dependendo dos seus requisitos:

   • Para permitir o redirecionamento do dispositivo de cartão inteligente, alterne o interruptor para Desativado e selecione OK.

   • Para desativar o redirecionamento de dispositivo de cartão inteligente, alterne a opção para Habilitado e selecione OK.

6. Selecione Seguinte.

7. Opcional: na guia Tags de escopo, selecione uma marca de escopo para filtrar o perfil. Para obter mais informações sobre marcas de escopo, consulte Usar controle de acesso baseado em função (RBAC) e tags de escopo para TI distribuída.

8. No separador Atribuições, selecione o grupo que contém os computadores que fornecem uma sessão remota que pretende configurar e, em seguida, selecione Seguinte.

9. No separador Rever + criar, reveja as definições e, em seguida, selecione Criar.

10. Quando a diretiva se aplicar aos computadores que fornecem uma sessão remota, reinicie-os para que as configurações entrem em vigor.

Política de Grupo

Para permitir ou desativar o redirecionamento de dispositivo de cartão inteligente usando a Diretiva de Grupo:

1. Abra o console de Gerenciamento de Diretiva de Grupo no dispositivo que você usa para gerenciar o domínio do Ative Directory.

2. Crie ou edite uma política direcionada aos computadores que fornecem uma sessão remota que você deseja configurar.

3. Navegue até Diretivas>de Configuração do>Computador, Modelos Administrativos>, Componentes do Windows,>Serviços>de Área de Trabalho Remota, Host da Sessão>da Área de Trabalho Remota, Dispositivo e Redirecionamento de Recursos.

   

4. Clique duas vezes na configuração de política Não permitir o redirecionamento de dispositivo de cartão inteligente para abri-lo.

   • Para permitir o redirecionamento do dispositivo de cartão inteligente, selecione Desativado ou Não configurado e, em seguida, selecione OK.

   • Para desativar o redirecionamento de dispositivo de cartão inteligente, selecione Ativado e, em seguida, selecione OK.

5. Verifique se a diretiva está aplicada aos computadores que fornecem uma sessão remota e reinicie-os para que as configurações entrem em vigor.

Testar o redirecionamento de cartão inteligente

Para testar o redirecionamento de cartão inteligente:

1. Conecte-se a uma sessão remota usando o Aplicativo do Windows ou o aplicativo Área de Trabalho Remota em uma plataforma que ofereça suporte ao redirecionamento de cartão inteligente. Para obter mais informações, consulte Comparar recursos do Aplicativo Windows entre plataformas e dispositivos e Comparar recursos do aplicativo Área de Trabalho Remota entre plataformas e dispositivos.

2. Verifique se os seus cartões inteligentes estão disponíveis na sessão remota. Execute o seguinte comando na sessão remota no Prompt de Comando ou em um prompt do PowerShell.

   certutil -scinfo
   

   Se o redirecionamento do cartão inteligente estiver funcionando, a saída será semelhante à seguinte saída:

   The Microsoft Smart Card Resource Manager is running.
   Current reader/card status:
   Readers: 2
     0: Windows Hello for Business 1
     1: Yubico YubiKey OTP+FIDO+CCID 0
   --- Reader: Windows Hello for Business 1
   --- Status: SCARD_STATE_PRESENT | SCARD_STATE_INUSE
   --- Status: The card is being shared by a process.
   ---   Card: Identity Device (Microsoft Generic Profile)
   ---    ATR:
           aa bb cc dd ee ff 00 11  22 33 44 55 66 77 88 99   ;.........AB12..
           ab                                                 .
   
   --- Reader: Yubico YubiKey OTP+FIDO+CCID 0
   --- Status: SCARD_STATE_PRESENT | SCARD_STATE_UNPOWERED
   --- Status: The card is available for use.
   ---   Card: Identity Device (NIST SP 800-73 [PIV])
   ---    ATR:
           aa bb cc dd ee ff 00 11  22 33 44 55 66 77 88 99   ;.........34yz..
           ab                                                 .
   
   [continued...]
   

3. Abra e use um aplicativo ou site que exija seu cartão inteligente. Verifique se o cartão inteligente está disponível e funciona conforme o esperado.

Conteúdos relacionados

• Redirecionamento pelo Protocolo de Área de Trabalho Remota.
• Propriedades RDP suportadas.
• Compare as funcionalidades da Aplicação Windows entre plataformas e dispositivos.
• Compare as funcionalidades da aplicação Ambiente de Trabalho Remoto entre plataformas e dispositivos.