Konfigurera WebAuthn-omdirigering via fjärrskrivbordsprotokollet

Dricks

Den här artikeln delas för tjänster och produkter som använder RDP (Remote Desktop Protocol) för att ge fjärråtkomst till Windows-skrivbord och -appar.

Välj en produkt med knapparna överst i den här artikeln för att visa relevant innehåll.

Du kan konfigurera omdirigeringsbeteendet för WebAuthn-begäranden från en fjärrsession till en lokal enhet via RDP (Remote Desktop Protocol). WebAuthn-omdirigering möjliggör lösenordslös autentisering under sessionen med hjälp av Windows Hello för företag eller säkerhetsenheter som FIDO-nycklar.

För Azure Virtual Desktop rekommenderar vi att du aktiverar WebAuthn-omdirigering på dina sessionsvärdar med hjälp av Microsoft Intune eller grupprincip och sedan styr omdirigering med hjälp av RDP-egenskaper för värdpoolen.

För Windows 365 kan du konfigurera dina molndatorer med hjälp av Microsoft Intune eller grupprincip.

För Microsoft Dev Box kan du konfigurera dina utvecklingsrutor med hjälp av Microsoft Intune eller grupprincip.

Den här artikeln innehåller information om omdirigeringsmetoder som stöds och hur du konfigurerar omdirigeringsbeteendet för WebAuthn-begäranden. Mer information om hur omdirigering fungerar finns i Omdirigering via Fjärrskrivbordsprotokollet.

Förutsättningar

Innan du kan konfigurera WebAuthn-omdirigering behöver du:

• En befintlig värdpool med sessionsvärdar.

• Ett Microsoft Entra-ID-konto som har tilldelats inbyggda rollbaserade rbac-roller (Rollbaserad åtkomstkontroll) för värdpoolen som ett minimum.

• En befintlig molndator.

• En befintlig utvecklingsruta.

• En lokal Windows-enhet med Windows Hello för företag eller en säkerhetsenhet som en FIDO USB-nyckel som redan har konfigurerats.

• För att konfigurera Microsoft Intune behöver du:

  • Microsoft Entra-ID-konto som har tilldelats den inbyggda RBAC-rollen princip- och profilhanterare .
  • En grupp som innehåller de enheter som du vill konfigurera.

• För att konfigurera grupprincip behöver du:

  • Ett domänkonto som har behörighet att skapa eller redigera grupprincip objekt.
  • En säkerhetsgrupp eller organisationsenhet (OU) som innehåller de enheter som du vill konfigurera.

• Du måste ansluta till en fjärrsession från en app och plattform som stöds. Om du vill visa omdirigeringsstöd i Windows-appen och fjärrskrivbordsappen läser du Jämför Windows App-funktioner mellan plattformar och enheter och Jämför funktioner för fjärrskrivbordsappar mellan plattformar och enheter.

WebAuthn-omdirigering

Konfiguration av en sessionsvärd med Hjälp av Microsoft Intune eller grupprincip, eller att ange en RDP-egenskap i en värdpool styr möjligheten att omdirigera WebAuthn-begäranden från en fjärrsession till en lokal enhet, vilket är föremål för en prioritetsordning.

Standardkonfigurationen är:

• Windows-operativsystem: WebAuthn-begäranden blockeras inte.
• RDP-egenskaper för Azure Virtual Desktop-värdpoolen: WebAuthn-begäranden i fjärrsessionen omdirigeras till den lokala datorn.

Viktigt!

Var försiktig när du konfigurerar omdirigeringsinställningar eftersom den mest restriktiva inställningen är det resulterande beteendet. Om du till exempel inaktiverar omdirigering av WebAuthn på en sessionsvärd med Microsoft Intune eller grupprincip, men aktiverar den med egenskapen RDP för värdpoolen, inaktiveras omdirigering.

Konfigurationen av en molndator styr möjligheten att omdirigera WebAuthn-begäranden mellan fjärrsessionen och den lokala enheten och anges med hjälp av Microsoft Intune eller grupprincip.

Standardkonfigurationen är:

• Windows-operativsystem: WebAuthn-begäranden blockeras inte. Windows 365 aktiverar WebAuthn-omdirigering.

Konfigurationen av en dev box styr möjligheten att omdirigera WebAuthn-begäranden mellan fjärrsessionen och den lokala enheten och anges med hjälp av Microsoft Intune eller grupprincip.

Standardkonfigurationen är:

• Windows-operativsystem: WebAuthn-begäranden blockeras inte. Windows 365 aktiverar WebAuthn-omdirigering.

Konfigurera WebAuthn-omdirigering med hjälp av RDP-egenskaper för värdpool

Inställningen WebAuthn-omdirigering för Azure Virtual Desktop-värdpoolen styr om WebAuthn-begäranden ska omdirigeras mellan fjärrsessionen och den lokala enheten. Motsvarande RDP-egenskap är redirectwebauthn:i:<value>. Mer information finns i RDP-egenskaper som stöds.

Så här konfigurerar du WebAuthn-omdirigering med hjälp av RDP-egenskaper för värdpoolen:

1. Logga in på Azure-portalen.

2. I sökfältet skriver du Azure Virtual Desktop och väljer posten matchande tjänst.

3. Välj Värdpooler och välj sedan den värdpool som du vill konfigurera.

4. Välj RDP-egenskaper och välj sedan Enhetsomdirigering.

   

5. För WebAuthn-omdirigering väljer du listrutan och väljer sedan något av följande alternativ:

   • WebAuthn-begäranden i fjärrsessionen omdirigeras inte till den lokala datorn
   • WebAuthn-begäranden i fjärrsessionen omdirigeras till den lokala datorn (standard)
   • Inte konfigurerad

6. Välj Spara.

7. Testa konfigurationen genom att följa stegen i Testa WebAuthn-omdirigering.

Konfigurera WebAuthn-omdirigering med hjälp av Microsoft Intune eller grupprincip

Konfigurera WebAuthn-omdirigering med hjälp av Microsoft Intune eller grupprincip

Välj relevant flik för ditt scenario.

Microsoft Intune

Så här tillåter eller inaktiverar du omdirigering av WebAuthn med Microsoft Intune:

1. Logga in på administrationscentret för Microsoft Intune.

2. Skapa eller redigera en konfigurationsprofil för Windows 10- och senare enheter med katalogprofiltypen Inställningar.

3. I inställningsväljaren bläddrar du till Administrativa mallar Windows-komponenter>Fjärrskrivbordstjänster>Fjärrskrivbord>Sessionsvärdenhet>och Resursomdirigering.

   

4. Markera kryssrutan Tillåt inte omdirigering av WebAuthn och stäng sedan inställningsväljaren.

5. Expandera kategorin Administrativa mallar och växla sedan växeln för Tillåt inte WebAuthn-omdirigering till Aktiverad eller Inaktiverad, beroende på dina krav:

   • Om du vill tillåta omdirigering av WebAuthn växlar du till Inaktiverad och väljer sedan OK.

   • Om du vill inaktivera omdirigering av WebAuthn växlar du till Aktiverad och väljer sedan OK.

6. Välj Nästa.

7. Valfritt: På fliken Omfångstaggar väljer du en omfångstagg för att filtrera profilen. Mer information om omfångstaggar finns i Använda rollbaserad åtkomstkontroll (RBAC) och omfångstaggar för distribuerad IT.

8. På fliken Tilldelningar väljer du den grupp som innehåller datorerna som tillhandahåller en fjärrsession som du vill konfigurera och väljer sedan Nästa.

9. På fliken Granska + skapa granskar du inställningarna och väljer sedan Skapa.

10. När principen gäller för datorerna som tillhandahåller en fjärrsession startar du om dem så att inställningarna börjar gälla.

Grupprincip

Så här tillåter eller inaktiverar du omdirigering av WebAuthn med hjälp av grupprincip:

1. Öppna grupprincip-hanteringskonsolen på en enhet som du använder för att hantera Active Directory-domänen.

2. Skapa eller redigera en princip som riktar sig till de datorer som tillhandahåller en fjärrsession som du vill konfigurera.

3. Gå till Datorkonfigurationsprinciper>>Administrativa mallar Windows-komponenter>Fjärrskrivbordstjänster>>Fjärrskrivbord Sessionsvärdenhet>och Resursomdirigering.

   

4. Dubbelklicka på principinställningen Tillåt inte omdirigering av WebAuthn för att öppna den.

   • Om du vill tillåta omdirigering av WebAuthn väljer du Inaktiverad eller Inte konfigurerad och sedan OK.

   • Om du vill inaktivera omdirigering av WebAuthn väljer du Aktiverad och sedan OK.

5. Se till att principen tillämpas på datorerna som tillhandahåller en fjärrsession och starta sedan om dem så att inställningarna börjar gälla.

Testa WebAuthn-omdirigering

När du har aktiverat WebAuthn-omdirigering kan du testa det:

1. Om du använder en USB-säkerhetsnyckel kontrollerar du att den är ansluten först.

2. Anslut till en fjärrsession med windowsappen eller fjärrskrivbordsappen på en plattform som stöder omdirigering av WebAuthn. Mer information finns i Jämför Windows App-funktioner mellan plattformar och enheter och Jämför funktioner för fjärrskrivbordsappar mellan plattformar och enheter.

3. I fjärrsessionen öppnar du en webbplats i ett InPrivate-fönster som använder WebAuthn-autentisering, till exempel Windows App för webbläsare på https://windows.cloud.microsoft/.

4. Följ inloggningsprocessen. När autentiseringen används Windows Hello för företag eller säkerhetsnyckeln bör du se en Windows-säkerhet fråga om att slutföra autentiseringen, som du ser i följande bild när du använder en lokal Windows-enhet.

   Windows-säkerhet fråga finns på den lokala enheten och överlagrar fjärrsessionen, vilket indikerar att WebAuthn-omdirigering fungerar.

   

Relaterat innehåll

• Omdirigering över fjärrskrivbordsprotokollet.
• RDP-egenskaper som stöds.
• Jämför Windows App-funktioner mellan plattformar och enheter.
• Jämför funktioner för fjärrskrivbordsappar mellan plattformar och enheter.