Настройка перенаправления WebAuthn по протоколу удаленного рабочего стола

Совет

Эта статья предоставляется для служб и продуктов, использующих протокол удаленного рабочего стола (RDP) для обеспечения удаленного доступа к рабочим столам и приложениям Windows.

Выберите продукт с помощью кнопок в верхней части этой статьи, чтобы отобразить соответствующее содержимое.

Вы можете настроить поведение перенаправления запросов WebAuthn из удаленного сеанса на локальное устройство по протоколу удаленного рабочего стола (RDP). Перенаправление WebAuthn обеспечивает проверку подлинности без пароля в сеансе с помощью Windows Hello для бизнеса или устройств безопасности, таких как ключи FIDO.

Для виртуального рабочего стола Azure рекомендуется включить перенаправление WebAuthn на узлах сеансов с помощью Microsoft Intune или групповой политики, а затем управлять перенаправлением с помощью свойств RDP пула узлов.

Для Windows 365 можно настроить облачные компьютеры с помощью Microsoft Intune или групповой политики.

Для Microsoft Dev Box можно настроить поля разработки с помощью Microsoft Intune или групповой политики.

В этой статье содержатся сведения о поддерживаемых методах перенаправления и настройке поведения перенаправления для запросов WebAuthn. Дополнительные сведения о том, как работает перенаправление, см. в статье "Перенаправление по протоколу удаленного рабочего стола".

Необходимые компоненты

Прежде чем настроить перенаправление WebAuthn, вам потребуется:

• Существующий пул узлов с узлами сеансов.

• Учетная запись идентификатора Microsoft Entra, назначенная ролью участника пула узлов виртуализации рабочих столов, встроенного в пул узлов на основе ролей (RBAC) в пуле узлов как минимум.

• Существующий облачный компьютер.

• Существующее поле разработки.

• Локальное устройство Windows с Windows Hello для бизнеса или устройством безопасности, например USB-ключОМ FIDO, уже настроено.

• Чтобы настроить Microsoft Intune, вам потребуется:

  • Учетная запись идентификатора Microsoft Entra, назначенная встроенной роли диспетчера политик и профилей RBAC.
  • Группа, содержащая устройства, которые требуется настроить.

• Чтобы настроить групповую политику, вам потребуется:

  • Учетная запись домена с разрешением на создание или изменение объектов групповой политики.
  • Группа безопасности или подразделение (OU), содержащая устройства, которые требуется настроить.

• Необходимо подключиться к удаленному сеансу из поддерживаемого приложения и платформы. Сведения о поддержке перенаправления в приложении Windows и приложении удаленного рабочего стола см. в статье "Сравнение функций приложений Windows на разных платформах и устройствах" и "Сравнение функций приложения удаленного рабочего стола" на разных платформах и устройствах.

Перенаправление WebAuthn

Настройка узла сеанса с помощью Microsoft Intune или групповой политики или настройка свойства RDP в пуле узлов управляет возможностью перенаправления запросов WebAuthn из удаленного сеанса на локальное устройство, которое подлежит приоритету.

Конфигурация по умолчанию:

• Операционная система Windows: запросы WebAuthn не блокируются.
• Свойства пула узлов виртуального рабочего стола Azure: запросы WebAuthn в удаленном сеансе перенаправляются на локальный компьютер.

Внимание

При настройке параметров перенаправления следует учитывать, так как наиболее строгий параметр является результативным поведением. Например, если вы отключите перенаправление WebAuthn на узле сеансов с помощью Microsoft Intune или групповой политики, но включите его с помощью свойства RDP пула узлов, перенаправление отключено.

Настройка облачного компьютера управляет возможностью перенаправления запросов WebAuthn между удаленным сеансом и локальным устройством и устанавливается с помощью Microsoft Intune или групповой политики.

Конфигурация по умолчанию:

• Операционная система Windows: запросы WebAuthn не блокируются. Windows 365 включает перенаправление WebAuthn.

Настройка поля разработки управляет возможностью перенаправления запросов WebAuthn между удаленным сеансом и локальным устройством и устанавливается с помощью Microsoft Intune или групповой политики.

Конфигурация по умолчанию:

• Операционная система Windows: запросы WebAuthn не блокируются. Windows 365 включает перенаправление WebAuthn.

Настройка перенаправления WebAuthn с помощью свойств RDP пула узлов

Пул узлов Виртуального рабочего стола Azure определяет , следует ли перенаправлять запросы WebAuthn между удаленным сеансом и локальным устройством. Соответствующее свойство RDP имеет значение redirectwebauthn:i:<value>. Дополнительные сведения см. в разделе "Поддерживаемые свойства RDP".

Чтобы настроить перенаправление WebAuthn с помощью свойств RDP пула узлов:

1. Войдите на портал Azure.

2. В строке поиска введите Виртуальный рабочий стол Azure и выберите соответствующую запись службы.

3. Выберите пулы узлов, а затем выберите пул узлов, который требуется настроить.

4. Выберите свойства RDP, а затем выберите перенаправление устройств.

   

5. Для перенаправления WebAuthn выберите раскрывающийся список, а затем выберите один из следующих параметров:

   • Запросы WebAuthn в удаленном сеансе не перенаправляются на локальный компьютер
   • Запросы WebAuthn в удаленном сеансе перенаправляются на локальный компьютер (по умолчанию)
   • Не настроено

6. Выберите Сохранить.

7. Чтобы проверить конфигурацию, выполните действия, описанные в разделе "Тестирование перенаправления WebAuthn".

Настройка перенаправления WebAuthn с помощью Microsoft Intune или групповой политики

Настройка перенаправления WebAuthn с помощью Microsoft Intune или групповой политики

Выберите соответствующую вкладку для вашего сценария.

Microsoft Intune

Чтобы разрешить или отключить перенаправление WebAuthn с помощью Microsoft Intune:

1. Войдите в Центр администрирования Microsoft Intune.

2. Создайте или измените профиль конфигурации для устройств Windows 10 и более поздних версий с типом профиля каталога параметров.

3. В средство выбора параметров перейдите к административным шаблонам>компонентов Windows Components>Remote Desktop Services>Remote Desktop Host>Device and Resource Redirection.

   

4. Установите флажок "Запретить перенаправление WebAuthn", а затем закройте средство выбора параметров.

5. Разверните категорию административных шаблонов, а затем переключите переключатель для запрета перенаправления WebAuthn в enabled или Disabled в зависимости от ваших требований:

   • Чтобы разрешить перенаправление WebAuthn, переключите переключатель на "Отключено".

   • Чтобы отключить перенаправление WebAuthn, переключите переключатель на "Включено".

6. Выберите Далее.

7. Необязательно. На вкладке тегов области выберите тег области для фильтрации профиля. Дополнительные сведения о тегах области см. в разделе "Использование управления доступом на основе ролей" (RBAC) и тегов областей для распределенной ИТ-службы.

8. На вкладке "Назначения" выберите группу, содержащую компьютеры , предоставляющие удаленный сеанс, который требуется настроить, а затем нажмите кнопку "Далее".

9. На вкладке "Просмотр и создание " просмотрите параметры, а затем нажмите кнопку "Создать".

10. После применения политики к компьютерам, предоставляющим удаленный сеанс, перезапустите их, чтобы параметры вступили в силу.

Групповая политика

Чтобы разрешить или отключить перенаправление WebAuthn с помощью групповой политики:

1. Откройте консоль управления групповыми политиками на устройстве, используемом для управления доменом Active Directory.

2. Создайте или измените политику, предназначенную для компьютеров, предоставляющих удаленный сеанс, который требуется настроить.

3. Перейдите к административным шаблонам политик>конфигурации>компьютеров>Windows Components>Remote Desktop Services>Remote Desktop Host>Device and Resource Redirection.

   

4. Дважды щелкните параметр политики Не разрешать перенаправление WebAuthn, чтобы открыть его.

   • Чтобы разрешить перенаправление WebAuthn, нажмите кнопку "Отключено " или "Не настроено", а затем нажмите кнопку "ОК".

   • Чтобы отключить перенаправление WebAuthn, нажмите кнопку "Включено", а затем нажмите кнопку "ОК".

5. Убедитесь, что политика применяется к компьютерам, предоставляющим удаленный сеанс, а затем перезапустите их, чтобы параметры вступили в силу.

Проверка перенаправления WebAuthn

После включения перенаправления WebAuthn выполните следующие действия:

1. Если вы используете USB-ключ безопасности, убедитесь, что он подключен в первую очередь.

2. Подключитесь к удаленному сеансу с помощью приложения Окна или приложения удаленного рабочего стола на платформе, поддерживающей перенаправление WebAuthn. Дополнительные сведения см. в статье "Сравнение функций приложений Windows на разных платформах и устройствах " и "Сравнение функций приложения удаленного рабочего стола" на разных платформах и устройствах.

3. В удаленном сеансе откройте веб-сайт в окне InPrivate, использующего проверку подлинности WebAuthn, например Приложение Windows для веб-браузеров.https://windows.cloud.microsoft/

4. Следуйте процессу входа. Когда проверка подлинности используется Windows Hello для бизнеса или ключ безопасности, появится запрос Безопасность Windows для завершения проверки подлинности, как показано на следующем рисунке при использовании локального устройства Windows.

   Запрос Безопасность Windows находится на локальном устройстве и накладывает удаленный сеанс, указывающий, что перенаправление WebAuthn работает.

   

Связанный контент

• Перенаправление по протоколу удаленного рабочего стола.
• Поддерживаемые свойства RDP.
• Сравнение функций приложений Windows на разных платформах и устройствах.
• Сравнение функций приложения удаленного рабочего стола на разных платформах и устройствах.