Configurar o redirecionamento WebAuthn sobre o Protocolo de Área de Trabalho Remota

Gorjeta

Este artigo é compartilhado para serviços e produtos que usam o protocolo RDP (Remote Desktop Protocol) para fornecer acesso remoto a áreas de trabalho e aplicativos do Windows.

Selecione um produto usando os botões na parte superior deste artigo para mostrar o conteúdo relevante.

Você pode configurar o comportamento de redirecionamento de solicitações WebAuthn de uma sessão remota para um dispositivo local através do protocolo RDP (Remote Desktop Protocol). O redirecionamento WebAuthn permite a autenticação sem senha na sessão usando o Windows Hello for Business ou dispositivos de segurança como chaves FIDO.

Para a Área de Trabalho Virtual do Azure, recomendamos que você habilite o redirecionamento WebAuthn em seus hosts de sessão usando o Microsoft Intune ou a Política de Grupo e, em seguida, controle o redirecionamento usando as propriedades RDP do pool de hosts.

Para o Windows 365, pode configurar os seus Cloud PCs utilizando o Microsoft Intune ou a Política de Grupo.

Para o Microsoft Dev Box, você pode configurar suas caixas de desenvolvimento usando o Microsoft Intune ou a Política de Grupo.

Este artigo fornece informações sobre os métodos de redirecionamento suportados e como configurar o comportamento de redirecionamento para solicitações WebAuthn. Para saber mais sobre como funciona o redirecionamento, consulte Redirecionamento pelo Protocolo de Área de Trabalho Remota.

Pré-requisitos

Antes de configurar o redirecionamento WebAuthn, você precisa:

• Um pool de hosts existente com hosts de sessão.

• Uma conta de ID do Microsoft Entra à qual é atribuída, no mínimo, as funções RBAC (controle de acesso baseado em função) internas do Colaborador do Pool de Hosts de Virtualização de Área de Trabalho no pool de hosts.

• Um Cloud PC existente.

• Uma caixa de desenvolvimento existente.

• Um dispositivo Windows local com o Windows Hello for Business ou um dispositivo de segurança como uma chave USB FIDO já configurada.

• Para configurar o Microsoft Intune, você precisa:

  • Conta de ID do Microsoft Entra à qual é atribuída a função RBAC interna do Gerenciador de políticas e perfis.
  • Um grupo que contém os dispositivos que você deseja configurar.

• Para configurar a Diretiva de Grupo, você precisa:

  • Uma conta de domínio que tem permissão para criar ou editar objetos de Diretiva de Grupo.
  • Um grupo de segurança ou unidade organizacional (UO) que contém os dispositivos que você deseja configurar.

• Você precisa se conectar a uma sessão remota a partir de um aplicativo e plataforma compatíveis. Para ver o suporte de redirecionamento na Aplicação Windows e na aplicação Ambiente de Trabalho Remoto, consulte Comparar funcionalidades da Aplicação Windows entre plataformas e dispositivos e Comparar funcionalidades da aplicação Ambiente de Trabalho Remoto entre plataformas e dispositivos.

Redirecionamento WebAuthn

A configuração de um host de sessão usando o Microsoft Intune ou a Política de Grupo ou a definição de uma propriedade RDP em um pool de hosts rege a capacidade de redirecionar solicitações WebAuthn de uma sessão remota para um dispositivo local, que está sujeito a uma ordem de prioridade.

A configuração padrão é:

• Sistema operacional Windows: as solicitações WebAuthn não são bloqueadas.
• Propriedades RDP do pool de hosts da Área de Trabalho Virtual do Azure: as solicitações WebAuthn na sessão remota são redirecionadas para o computador local.

Importante

Tenha cuidado ao definir as configurações de redirecionamento, pois a configuração mais restritiva é o comportamento resultante. Por exemplo, se você desabilitar o redirecionamento WebAuthn em um host de sessão com o Microsoft Intune ou a Política de Grupo, mas habilitá-lo com a propriedade RDP do pool de hosts, o redirecionamento será desabilitado.

A configuração de um Cloud PC rege a capacidade de redirecionar solicitações WebAuthn entre a sessão remota e o dispositivo local e é definida usando o Microsoft Intune ou a Política de Grupo.

A configuração padrão é:

• Sistema operacional Windows: as solicitações WebAuthn não são bloqueadas. O Windows 365 permite o redirecionamento WebAuthn.

A configuração de uma caixa de desenvolvimento controla a capacidade de redirecionar solicitações WebAuthn entre a sessão remota e o dispositivo local e é definida usando o Microsoft Intune ou a Política de Grupo.

A configuração padrão é:

• Sistema operacional Windows: as solicitações WebAuthn não são bloqueadas. O Windows 365 permite o redirecionamento WebAuthn.

Configurar o redirecionamento WebAuthn usando propriedades RDP do pool de hosts

A configuração do pool de hosts da Área de Trabalho Virtual do Azure Redirecionamento WebAuthn controla se as solicitações WebAuthn devem ser redirecionadas entre a sessão remota e o dispositivo local. A propriedade RDP correspondente é redirectwebauthn:i:<value>. Para obter mais informações, consulte Propriedades RDP suportadas.

Para configurar o redirecionamento WebAuthn usando propriedades RDP do pool de hosts:

1. Inicie sessão no portal do Azure.

2. Na barra de pesquisa, digite Área de Trabalho Virtual do Azure e selecione a entrada de serviço correspondente.

3. Selecione Pools de hosts e, em seguida, selecione o pool de hosts que deseja configurar.

4. Selecione Propriedades RDP e, em seguida, selecione Redirecionamento de dispositivo.

   

5. Para redirecionamento WebAuthn, selecione a lista suspensa e, em seguida, selecione uma das seguintes opções:

   • As solicitações WebAuthn na sessão remota não são redirecionadas para o computador local
   • As solicitações WebAuthn na sessão remota são redirecionadas para o computador local (padrão)
   • Não configurado

6. Selecione Guardar.

7. Para testar a configuração, siga as etapas em Testar redirecionamento WebAuthn.

Configurar o redirecionamento WebAuthn usando o Microsoft Intune ou a Política de Grupo

Configurar o redirecionamento WebAuthn usando o Microsoft Intune ou a Política de Grupo

Selecione a guia relevante para o seu cenário.

Microsoft Intune

Para permitir ou desabilitar o redirecionamento WebAuthn usando o Microsoft Intune:

1. Entre no centro de administração do Microsoft Intune.

2. Crie ou edite um perfil de configuração para dispositivos Windows 10 e posteriores , com o tipo de perfil do catálogo Configurações.

3. No seletor de configurações, navegue até Modelos administrativos>, Componentes>do Windows, Serviços>de Área de Trabalho Remota, Área de Trabalho Remota, Dispositivo Host>da Sessão da Área de Trabalho Remota e Redirecionamento de Recursos.

   

4. Marque a caixa Não permitir redirecionamento WebAuthn e feche o seletor de configurações.

5. Expanda a categoria Modelos administrativos e, em seguida, alterne a opção Não permitir redirecionamento WebAuthn para Habilitado ou Desabilitado, dependendo dos seus requisitos:

   • Para permitir o redirecionamento WebAuthn, alterne a opção para Desativado e selecione OK.

   • Para desativar o redirecionamento WebAuthn, alterne a opção para Habilitado e selecione OK.

6. Selecione Seguinte.

7. Opcional: na guia Tags de escopo, selecione uma marca de escopo para filtrar o perfil. Para obter mais informações sobre marcas de escopo, consulte Usar controle de acesso baseado em função (RBAC) e tags de escopo para TI distribuída.

8. No separador Atribuições, selecione o grupo que contém os computadores que fornecem uma sessão remota que pretende configurar e, em seguida, selecione Seguinte.

9. No separador Rever + criar, reveja as definições e, em seguida, selecione Criar.

10. Quando a diretiva se aplicar aos computadores que fornecem uma sessão remota, reinicie-os para que as configurações entrem em vigor.

Política de Grupo

Para permitir ou desativar o redirecionamento WebAuthn usando a Diretiva de Grupo:

1. Abra o console de Gerenciamento de Diretiva de Grupo no dispositivo que você usa para gerenciar o domínio do Ative Directory.

2. Crie ou edite uma política direcionada aos computadores que fornecem uma sessão remota que você deseja configurar.

3. Navegue até Diretivas>de Configuração do>Computador, Modelos Administrativos>, Componentes do Windows,>Serviços>de Área de Trabalho Remota, Host da Sessão>da Área de Trabalho Remota, Dispositivo e Redirecionamento de Recursos.

   

4. Clique duas vezes na configuração de política Não permitir que o redirecionamento WebAuthn a abra.

   • Para permitir o redirecionamento WebAuthn, selecione Desativado ou Não configurado e, em seguida, selecione OK.

   • Para desativar o redirecionamento WebAuthn, selecione Habilitado e, em seguida, selecione OK.

5. Verifique se a diretiva está aplicada aos computadores que fornecem uma sessão remota e reinicie-os para que as configurações entrem em vigor.

Redirecionamento WebAuthn de teste

Depois de ativar o redirecionamento WebAuthn, para testá-lo:

1. Se estiver a utilizar uma chave de segurança USB, certifique-se de que está ligada primeiro.

2. Conecte-se a uma sessão remota usando o Aplicativo do Windows ou o aplicativo Área de Trabalho Remota em uma plataforma que ofereça suporte ao redirecionamento WebAuthn. Para obter mais informações, consulte Comparar recursos do Aplicativo Windows entre plataformas e dispositivos e Comparar recursos do aplicativo Área de Trabalho Remota entre plataformas e dispositivos.

3. Na sessão remota, abra um site em uma janela InPrivate que usa autenticação WebAuthn, como o Aplicativo do Windows para navegadores da Web em https://windows.cloud.microsoft/.

4. Siga o processo de início de sessão. Quando a autenticação usa o Windows Hello for Business ou a chave de segurança, você verá um prompt de Segurança do Windows para concluir a autenticação, conforme mostrado na imagem a seguir ao usar um dispositivo local do Windows.

   O prompt de Segurança do Windows está no dispositivo local e sobrepõe a sessão remota, indicando que o redirecionamento WebAuthn está funcionando.

   

Conteúdos relacionados

• Redirecionamento pelo Protocolo de Área de Trabalho Remota.
• Propriedades RDP suportadas.
• Compare as funcionalidades da Aplicação Windows entre plataformas e dispositivos.
• Compare as funcionalidades da aplicação Ambiente de Trabalho Remoto entre plataformas e dispositivos.