Konfigurera omdirigering av smartkort via Fjärrskrivbordsprotokollet

Dricks

Den här artikeln delas för tjänster och produkter som använder RDP (Remote Desktop Protocol) för att ge fjärråtkomst till Windows-skrivbord och -appar.

Välj en produkt med knapparna överst i den här artikeln för att visa relevant innehåll.

Du kan konfigurera omdirigeringsbeteendet för smartkortsenheter från en lokal enhet till en fjärrsession via RDP (Remote Desktop Protocol).

För Azure Virtual Desktop rekommenderar vi att du aktiverar omdirigering av smartkort på dina sessionsvärdar med hjälp av Microsoft Intune eller grupprincip och sedan styr omdirigering med hjälp av RDP-egenskaper för värdpoolen.

För Windows 365 kan du konfigurera dina molndatorer med hjälp av Microsoft Intune eller grupprincip.

För Microsoft Dev Box kan du konfigurera dina utvecklingsrutor med hjälp av Microsoft Intune eller grupprincip.

Den här artikeln innehåller information om de omdirigeringsmetoder som stöds och hur du konfigurerar omdirigeringsbeteendet för smartkortsenheter. Mer information om hur omdirigering fungerar finns i Omdirigering via Fjärrskrivbordsprotokollet.

Förutsättningar

Innan du kan konfigurera omdirigering av smartkort behöver du:

• En befintlig värdpool med sessionsvärdar.

• Ett Microsoft Entra-ID-konto som har tilldelats inbyggda rollbaserade rbac-roller (Rollbaserad åtkomstkontroll) för värdpoolen som ett minimum.

• En befintlig molndator.

• En befintlig utvecklingsruta.

• En smartkortsenhet som är tillgänglig på din lokala enhet.

• För att konfigurera Microsoft Intune behöver du:

  • Microsoft Entra-ID-konto som har tilldelats den inbyggda RBAC-rollen princip- och profilhanterare .
  • En grupp som innehåller de enheter som du vill konfigurera.

• För att konfigurera grupprincip behöver du:

  • Ett domänkonto som har behörighet att skapa eller redigera grupprincip objekt.
  • En säkerhetsgrupp eller organisationsenhet (OU) som innehåller de enheter som du vill konfigurera.

• Du måste ansluta till en fjärrsession från en app och plattform som stöds. Om du vill visa omdirigeringsstöd i Windows-appen och fjärrskrivbordsappen läser du Jämför Windows App-funktioner mellan plattformar och enheter och Jämför funktioner för fjärrskrivbordsappar mellan plattformar och enheter.

Omdirigering av smartkort

Konfiguration av en sessionsvärd med hjälp av Microsoft Intune eller grupprincip, eller om du anger en RDP-egenskap i en värdpool, styr möjligheten att omdirigera smartkortsenheter från en lokal enhet till en fjärrsession, vilket är föremål för en prioritetsordning.

Standardkonfigurationen är:

• Windows-operativsystem: Omdirigering av smartkort blockeras inte.
• RDP-egenskaper för Azure Virtual Desktop-värdpool: Smartkortenheter omdirigeras från den lokala enheten till fjärrsessionen.
• Resulterande standardbeteende: Smartkortsenheter omdirigeras från den lokala enheten till fjärrsessionen.

Viktigt!

Var försiktig när du konfigurerar omdirigeringsinställningar eftersom den mest restriktiva inställningen är det resulterande beteendet. Om du till exempel inaktiverar omdirigering av smartkort på en sessionsvärd med Microsoft Intune eller grupprincip, men aktiverar den med egenskapen RDP för värdpoolen, inaktiveras omdirigering.

Konfigurationen av en molndator styr möjligheten att omdirigera smartkortenheter från en lokal enhet till en fjärrsession och anges med hjälp av Microsoft Intune eller grupprincip.

Standardkonfigurationen är:

• Windows-operativsystem: Omdirigering av smartkort blockeras inte.
• Windows 365: Omdirigering av smartkort är aktiverat.
• Resulterande standardbeteende: Smartkortsenheter omdirigeras från den lokala enheten till fjärrsessionen.

Konfigurationen av en utvecklingsruta styr möjligheten att omdirigera smartkortenheter från en lokal enhet till en fjärrsession och anges med hjälp av Microsoft Intune eller grupprincip.

Standardkonfigurationen är:

• Windows-operativsystem: Omdirigering av smartkort blockeras inte.
• Microsoft Dev Box: Omdirigering av smartkort är aktiverat.
• Resulterande standardbeteende: Smartkortsenheter omdirigeras från den lokala enheten till fjärrsessionen.

Konfigurera omdirigering av smartkortsenheter med hjälp av RDP-egenskaper för värdpool

Inställningen om omdirigering av smartkort för Azure Virtual Desktop-värdpoolen styr om smartkort ska omdirigeras från en lokal enhet till en fjärrsession. Motsvarande RDP-egenskap är redirectsmartcards:i:<value>. Mer information finns i RDP-egenskaper som stöds.

Så här konfigurerar du omdirigering av smartkort med hjälp av RDP-egenskaper för värdpoolen:

1. Logga in på Azure-portalen.

2. I sökfältet skriver du Azure Virtual Desktop och väljer posten matchande tjänst.

3. Välj Värdpooler och välj sedan den värdpool som du vill konfigurera.

4. Välj RDP-egenskaper och välj sedan Enhetsomdirigering.

   

5. För Omdirigering av smartkort väljer du listrutan och väljer sedan något av följande alternativ:

   • Smartkortenheten på den lokala datorn är inte tillgänglig i fjärrsessionen
   • Smartkortenheten på den lokala datorn är tillgänglig i fjärrsessionen (standard)
   • Inte konfigurerad

6. Välj Spara.

7. Om du vill testa konfigurationen ansluter du till en fjärrsession och använder sedan ett program eller en webbplats som kräver ditt smartkort. Kontrollera att smartkortet är tillgängligt och fungerar som förväntat.

Konfigurera omdirigering av smartkortsenheter med Hjälp av Microsoft Intune eller grupprincip

Konfigurera omdirigering av smartkortsenheter med Hjälp av Microsoft Intune eller grupprincip

Välj relevant flik för ditt scenario.

Microsoft Intune

Så här tillåter eller inaktiverar du omdirigering av smartkortsenheter med Microsoft Intune:

1. Logga in på administrationscentret för Microsoft Intune.

2. Skapa eller redigera en konfigurationsprofil för Windows 10- och senare enheter med katalogprofiltypen Inställningar.

3. I inställningsväljaren bläddrar du till Administrativa mallar Windows-komponenter>Fjärrskrivbordstjänster>Fjärrskrivbord>Sessionsvärdenhet>och Resursomdirigering.

   

4. Markera kryssrutan för Tillåt inte omdirigering av smartkortenheter och stäng sedan inställningsväljaren.

5. Expandera kategorin Administrativa mallar och växla sedan växeln för Tillåt inte omdirigering av smartkortenheter, beroende på dina krav:

   • Om du vill tillåta omdirigering av smartkortenheter kan du växla till Inaktiverad.

   • Om du vill inaktivera omdirigering av smartkortenheter växlar du till Aktiverad.

6. Välj Nästa.

7. Valfritt: På fliken Omfångstaggar väljer du en omfångstagg för att filtrera profilen. Mer information om omfångstaggar finns i Använda rollbaserad åtkomstkontroll (RBAC) och omfångstaggar för distribuerad IT.

8. På fliken Tilldelningar väljer du den grupp som innehåller datorerna som tillhandahåller en fjärrsession som du vill konfigurera och väljer sedan Nästa.

9. På fliken Granska + skapa granskar du inställningarna och väljer sedan Skapa.

10. När principen gäller för datorerna som tillhandahåller en fjärrsession startar du om dem så att inställningarna börjar gälla.

Grupprincip

Så här tillåter eller inaktiverar du omdirigering av smartkortsenheter med hjälp av grupprincip:

1. Öppna grupprincip-hanteringskonsolen på en enhet som du använder för att hantera Active Directory-domänen.

2. Skapa eller redigera en princip som riktar sig till de datorer som tillhandahåller en fjärrsession som du vill konfigurera.

3. Gå till Datorkonfigurationsprinciper>>Administrativa mallar Windows-komponenter>Fjärrskrivbordstjänster>>Fjärrskrivbord Sessionsvärdenhet>och Resursomdirigering.

   

4. Dubbelklicka på principinställningen Tillåt inte omdirigering av smartkortenheter för att öppna den.

   • Om du vill tillåta omdirigering av smartkortenheter väljer du Inaktiverad eller Inte konfigurerad och väljer sedan OK.

   • Om du vill inaktivera omdirigering av smartkortenheter väljer du Aktiverad och sedan OK.

5. Se till att principen tillämpas på datorerna som tillhandahåller en fjärrsession och starta sedan om dem så att inställningarna börjar gälla.

Testa omdirigering av smartkort

Så här testar du omdirigering av smartkort:

1. Anslut till en fjärrsession med windowsappen eller fjärrskrivbordsappen på en plattform som stöder omdirigering av smartkort. Mer information finns i Jämför Windows App-funktioner mellan plattformar och enheter och Jämför funktioner för fjärrskrivbordsappar mellan plattformar och enheter.

2. Kontrollera att dina smartkort är tillgängliga i fjärrsessionen. Kör följande kommando i fjärrsessionen i Kommandotolken eller från en PowerShell-prompt.

   certutil -scinfo
   

   Om smartkortomdirigering fungerar börjar utdata ungefär som följande utdata:

   The Microsoft Smart Card Resource Manager is running.
   Current reader/card status:
   Readers: 2
     0: Windows Hello for Business 1
     1: Yubico YubiKey OTP+FIDO+CCID 0
   --- Reader: Windows Hello for Business 1
   --- Status: SCARD_STATE_PRESENT | SCARD_STATE_INUSE
   --- Status: The card is being shared by a process.
   ---   Card: Identity Device (Microsoft Generic Profile)
   ---    ATR:
           aa bb cc dd ee ff 00 11  22 33 44 55 66 77 88 99   ;.........AB12..
           ab                                                 .
   
   --- Reader: Yubico YubiKey OTP+FIDO+CCID 0
   --- Status: SCARD_STATE_PRESENT | SCARD_STATE_UNPOWERED
   --- Status: The card is available for use.
   ---   Card: Identity Device (NIST SP 800-73 [PIV])
   ---    ATR:
           aa bb cc dd ee ff 00 11  22 33 44 55 66 77 88 99   ;.........34yz..
           ab                                                 .
   
   [continued...]
   

3. Öppna och använd ett program eller en webbplats som kräver ditt smartkort. Kontrollera att smartkortet är tillgängligt och fungerar som förväntat.

Relaterat innehåll

• Omdirigering över fjärrskrivbordsprotokollet.
• RDP-egenskaper som stöds.
• Jämför Windows App-funktioner mellan plattformar och enheter.
• Jämför funktioner för fjärrskrivbordsappar mellan plattformar och enheter.