使用 Microsoft Intune 为 Windows 应用和远程桌面应用配置客户端设备重定向设置
重要
使用 Microsoft Intune 为 Android 上的远程桌面应用和 Android 上的 Windows 应用配置重定向设置目前为预览版。 使用 Microsoft Intune 为 iOS/iPadOS 上的 Windows 应用配置重定向设置。 有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的法律条款,请参阅 Microsoft Azure 预览版的补充使用条款。
提示
本文包含多个使用远程桌面协议 (RDP) 提供对 Windows 桌面和应用程序的远程访问的产品的相关信息。
通过远程桌面协议 (RDP)(例如剪贴板、相机和音频)将资源和外围设备从用户的本地设备重定向到 Azure 虚拟桌面或 Windows 365 的远程会话,通常由主机池及其会话主机的中心配置进行管理。 客户端设备重定向是使用用户本地设备上的 Microsoft Intune 应用配置策略、应用保护策略和 Microsoft Entra 条件访问的组合,针对 Windows 应用和远程桌面应用配置的。
通过这些功能,能够实现以下方案:
根据指定的条件,在更精细的级别应用重定向设置。 例如,你可能希望根据用户所在的安全组、所使用的设备的操作系统,或者用户同时使用公司设备和个人设备来访问远程会话而应用不同的设置。
针对主机池或会话主机上的错误配置重定向提供额外的保护层。
将额外的安全设置应用于 Windows 应用和远程桌面应用,例如,需要 PIN、阻止第三方键盘,以及限制客户端设备上的其他应用之间的剪切、复制和粘贴操作。
如果客户端设备上的重定向设置与 Azure 虚拟桌面或适用于 Windows 365 的云电脑的主机池 RDP 属性和会话主机相冲突,则将应用两者之间限制性更高的设置。 例如,如果会话主机不允许驱动器重定向和允许驱动器重定向的客户端设备,则不允许进行驱动器重定向。 如果会话主机和客户端设备上的重定向设置相同,则重定向行为是一致的。
重要
在客户端设备上配置重定向设置不能替代根据要求正确配置主机池和会话主机。 使用 Microsoft Intune 配置 Windows 应用和远程桌面应用可能不适合需要更高级别的安全性的工作负载。
具有较高安全要求的工作负载应继续在主机池或会话主机上设置重定向,其中主机池的所有用户具有相同的重定向配置。 建议使用数据丢失保护 (DLP) 解决方案,并应尽可能在会话主机上禁用重定向,以最大程度地减少数据丢失的机会。
概括而言,有三个方面需要配置:
Intune 应用配置策略:用于在客户端设备上管理 Windows 应用和远程桌面应用的重定向设置。 有两种类型的应用配置策略:托管应用策略用于管理应用程序的设置,不论客户端设备是已注册还是未注册,此外,托管设备策略用于管理已注册设备上的设置。 根据特定条件,使用筛选器定位不同的用户。
Intune 应用保护策略:用于指定应用程序和客户端设备必须满足的安全要求。 根据特定条件,使用筛选器定位不同的用户。
条件访问策略:仅当满足应用配置策略和应用保护策略中设置的条件时,才用于控制对 Azure 虚拟桌面和 Windows 365 的访问。
支持的平台和注册类型
下表显示了可以根据设备平台和注册类型进行管理的应用程序:
对于 Windows 应用:
| 设备平台 | 托管设备 | 非管理的设备 |
|---|---|---|
| iOS 和 iPadOS | ✅ | ✅ |
| Android | ✅ | ✅ |
对于远程桌面应用:
| 设备平台 | 托管设备 | 非管理的设备 |
|---|---|---|
| Android | ✅ | ✅ |
示例方案
在筛选器和策略中指定的值取决于你的要求,因此你需要确定最适合你的组织的值。 下面是一些示例方案,显示了要实现这些方案需要进行哪些配置。
方案 1
从 Windows 企业设备进行连接时,允许组中的用户进行驱动器重定向,但不允许在 iOS/iPadOS 或 Android 公司设备上进行驱动器重定向。 若要实现此方案,请执行以下操作:
确保会话主机或云电脑以及主机池设置配置为允许驱动器重定向。
为适用于 iOS 和 iPadOS 的托管应用创建设备筛选器,并为 Android 创建单独的筛选器。
仅对于 iOS 和 iPadOS,为受管理设备创建应用配置策略。
为禁用了驱动器重定向的托管应用创建应用配置策略。 可以为 iOS/iPadOS 和 Android 创建单个策略,也可以为 iOS/iPadOS 和 Android 创建单独的策略。
创建两个应用保护策略,一个用于 iOS/iPadOS,一个用于 Android。
方案 2
允许组中运行最新版本的 Android 设备的用户进行驱动器重定向,但不允许设备运行较旧版本的 Android 的用户进行驱动器重定向。 若要实现此方案,请执行以下操作:
确保会话主机或云电脑以及主机池设置配置为允许驱动器重定向。
创建两个设备筛选器:
适用于 Android 的托管应用的设备筛选器,其中版本设置为 Android 的最新版本号。
适用于 Android 的托管应用的设备筛选器,其中版本设置为早于最新版本的 Android 的版本号。
创建两个应用配置策略:
适用于启用了驱动器重定向的托管应用的应用配置策略。 为其分配一个或多个组,其中包含适用于最新版本号的 Android 的筛选器。
适用于禁用了驱动器重定向的托管应用的应用配置策略。 为其分配一个或多个组,其中包含适用于较早版本号的 Android 的筛选器。
创建适用于 iOS/iPadOS 和 Android 的组合应用保护策略。
方案 3
允许使用非托管 iOS/iPadOS 设备连接到远程会话的组中的用户进行剪贴板重定向,但不允许使用非托管 Android 设备的相同用户进行剪贴板重定向。 若要实现此方案,请执行以下操作:
确保会话主机或云电脑以及主机池设置配置为允许剪贴板重定向。
创建两个设备筛选器:
适用于 iOS 和 iPadOS 的托管应用的设备筛选器,其中设备管理类型为非托管。
适用于 Android 的托管应用的设备筛选器,其中设备管理类型为非托管。
创建两个应用配置策略:
适用于启用了剪贴板重定向的托管应用应用配置策略。 为其分配一个或多个组,其中包含适用于非托管 iOS 或 iPadOS 设备的筛选器。
适用于禁用了剪贴板重定向的托管应用的应用配置策略。 为其分配一个或多个组,其中包含适用于非托管 Android 设备的筛选器。
创建适用于 iOS/iPadOS 和 Android 的组合应用保护策略。
建议的策略设置
下面是一些建议的策略设置,应与 Intune 和条件访问搭配使用。 应根据要求决定要使用的设置。
Intune:
- 在个人设备上禁用所有重定向。
- 要求对应用进行 PIN 访问。
- 阻止第三方键盘。
- 指定最低设备操作系统版本。
- 指定最低 Windows 应用和/或远程桌面应用版本号。
- 阻止已越狱/获得 root 权限的设备。
- 要求在设备上提供移动威胁防御 (MTD) 解决方案,且未检测到任何威胁。
条件访问:
- 除非满足在 Intune 移动应用程序管理策略中设置的条件,否则阻止访问。
- 授予访问,需要以下一个或多个选项:
- 要求进行多重身份验证。
- 需要 Intune 应用保护策略。
先决条件
在使用 Microsoft Intune 和条件访问在客户端设备上配置重定向设置之前,需要:
具有会话主机或云电脑的主机池。
至少有一个安全组包含要向其应用策略的用户。
若要在 iOS 和 iPadOS 上将 Windows 应用与已注册的设备搭配使用,需要从 App Store 将每个应用添加到 Intune。 有关详细信息,请参阅向 Microsoft Intune 添加 iOS 商店应用。
运行以下 Windows 应用或远程桌面应用版本的客户端设备:
对于 Windows 应用:
- iOS/iPadOS:11.0.4 或更高版本。
- Android:1.0.145 或更高版本。
远程桌面应用:
- Android:10.0.19.1279 或更高版本。
最新版本的:
- iOS/iPadOS:Microsoft Authenticator 应用
- Android:公司门户应用,安装在与适用于个人设备的 Windows 应用相同的配置文件中。 两个应用同时位于个人配置文件中或同时位于工作配置文件中。
配置应用配置策略、应用保护策略和条件访问策略时,还有更多 Intune 先决条件。 有关详细信息,请参阅:
重要
Android 15 上的远程桌面或 Windows 应用(预览版)目前不支持 Intune 移动应用程序管理 (MAM) 功能。 MAM 仅在较旧版本的 Android 上运行。 即将发布的版本中将支持将 Android 15 上的 MAM 用于 Windows 应用(预览版)。
创建托管应用筛选器
通过创建托管应用筛选器,可以仅在符合筛选器中设置的条件时,才应用重定向设置,从而缩小策略的分配范围。 如果未配置筛选器,重定向设置将应用于所有用户。 在筛选器中指定的内容取决于你的要求。
若要了解筛选器以及如何创建筛选器,请参阅在 Microsoft Intune 中分配应用、策略和配置文件时使用筛选器和托管应用筛选器属性。
创建适用于受管理设备的应用配置策略
仅对于已注册的 iOS 和 iPadOS 设备,需要为 Windows 应用创建适用于受管理设备的应用配置策略。 Android 设备不需要此步骤。
若要创建和应用适用于受管理设备的应用配置策略,请遵循添加适用于受管理 iOS/iPadOS 设备的应用配置策略中的步骤并使用以下设置:
在“基本信息”选项卡上,对于“目标应用”,从列表中选择“Windows 应用”。 需要从 App Store 将应用添加到 Intune,使应用显示在此列表中。
在“设置”选项卡上,对于“配置设置格式”下拉列表,选择“使用配置设计器”,然后按如下所示输入以下设置:
配置键 值类型 配置值 IntuneMAMUPN字符串 {{userprincipalname}}IntuneMAMOID字符串 {{userid}}IntuneMAMDeviceID字符串 {{deviceID}}在“分配”选项卡上,将策略分配给包含要向其应用策略的用户的安全组。 必须将策略应用于一组用户才能使策略生效。 对于每个组,可以选择一个筛选器,以便在确定应用配置策略目标时更具体。
为托管应用创建应用配置策略
需要为 Windows 应用 (iOS/iPadOS) 和 Windows 应用(预览版)或远程桌面应用 (Android) 创建单独的适用于托管应用的应用配置策略,以便提供配置设置。 不要在相同的配置策略中配置 Android 和 iOS,否则你将无法配置基于托管和非托管设备的策略目标。
若要创建和应用适用于托管应用的应用配置策略,请遵循适用于 Intune App SDK 托管应用的应用配置策略中的步骤并使用以下设置:
在“基本信息”选项卡上,选择“选择公共应用”,然后搜索并选择“远程桌面”(Android) 和“Windows 应用”(iOS/iPadOS)。 选择“选择自定义应用”,然后在“更多适用于 Android 上 Windows 应用的应用”下的“捆绑包”或“程序包 ID”字段中键入 com.microsoft.rdc.androidx.beta。
在“设置”选项卡上,展开“常规配置设置”,然后完全按所示内容为要配置的每个重定向设置输入以下名称和值对。 这些值对应于支持的 RDP 属性中列出的 RDP 属性,但语法不同:
名称 描述 值 audiocapturemode指明是否已启用音频输入重定向。 0:禁用从本地设备进行音频捕获。1:启用从本地设备进行音频捕获和重定向到远程会话中的音频应用程序。camerastoredirect确定是否启用了相机重定向。 0:禁用时区重定向。1:启用时区重定向。drivestoredirect确定是否启用了磁盘驱动器重定向。 0:禁用磁盘驱动器重定向。1:启用磁盘驱动器重定向。redirectclipboard确定是否已启用剪贴板重定向。 0:在远程会话中禁用本地设备上的剪贴板重定向。1:在远程会话中启用本地设备上的剪贴板重定向。下面是设置应如何显示的示例:
在“分配”选项卡上,将策略分配给包含要向其应用策略的用户的安全组。 必须将策略应用于一组用户才能使策略生效。 对于每个组,可以选择一个筛选器,以便在确定应用配置策略目标时更具体。
创建应用保护策略
需要为 Windows 应用 (iOS/iPadOS) 和远程桌面应用 (Android) 创建单独的应用保护策略,以使你能够控制移动设备上的应用访问和共享数据的方式。 不要在相同的保护策略中配置 Android 和 iOS/iPadOS,否则你将无法配置基于托管和非托管设备的策略目标。
若要创建和应用应用保护策略,请按照如何创建和分配应用保护策略中的步骤并使用以下设置。
在“应用”选项卡上,选择“选择公共应用”,然后搜索并选择“远程桌面”(Android) 和“Windows 应用”(iOS/iPadOS)。 选择“选择自定义应用”,然后在“更多适用于 Android 上 Windows 应用的应用”下的“捆绑包”或“程序包 ID”字段中键入 com.microsoft.rdc.androidx.beta。
在“数据保护”选项卡上,只有以下设置与 Windows 应用和远程桌面应用相关。 其他设置不适用,因为 Windows 应用和远程桌面应用与会话主机交互,而不是与应用中的数据进行交互。 在移动设备上,未经批准的键盘是击键日志记录和盗窃的一个源头。
对于 iOS 和 iPadOS,可以配置以下设置:
- 限制在其他应用之间进行剪切、复制和粘贴
- 第三方键盘
对于 Android,可以配置以下设置:
- 限制在其他应用之间进行剪切、复制和粘贴
- 屏幕截图和 Google 助手
- 批准的键盘
提示
如果在应用配置策略中禁用剪贴板重定向,则应将“限制在其他应用之间进行剪切、复制和粘贴”配置为“阻止”。
在“有条件启动”选项卡上,建议添加以下条件:
条件 条件类型 值 操作 最低应用版本 应用条件 根据你的要求。 阻止访问 最低 OS 版本 设备条件 根据你的要求。 阻止访问 主要 MTD 服务 设备条件 根据你的要求。
必须设置 MTD 连接器。 对于 Microsoft Defender for Endpoint,请在 Intune 中配置 Microsoft Defender for Endpoint。阻止访问 允许的最大设备威胁级别 设备条件 安全 阻止访问 有关版本详细信息,请参阅 Windows 应用中的新增功能和适用于 Android 和 Chrome OS 的远程桌面客户端中的新增功能。
有关可用设置的详细信息,请参阅 iOS 应用保护策略设置中的条件启动和 Android 应用保护策略设置中的条件启动。
在“分配”选项卡上,将策略分配给包含要向其应用策略的用户的安全组。 必须将策略应用于一组用户才能使策略生效。 对于每个组,可以选择一个筛选器,以便在确定应用配置策略目标时更具体。
创建条件访问策略
通过创建条件访问策略,仅当应用保护策略应用于 Windows 应用和远程桌面应用时,才能限制对远程会话的访问。 如果创建第二个条件访问策略,还可以使用 Web 浏览器阻止访问。
若要创建和应用条件访问策略,请按照使用 Intune 设置基于应用的条件访问策略中的步骤进行操作。 以下设置提供了一个示例,但应根据要求调整这些设置:
对于仅当应用保护策略应用于 Windows 应用和远程桌面应用时才授予对远程会话的访问的第一个策略:
在“分配”选项卡上,包括包含要向其应用策略的用户的安全组。 必须将策略应用于一组用户才能使策略生效。
对于“目标资源”,请选择将策略应用于“云应用”,然后对于“包括”,选择“选择应用”。 搜索并选择“Azure 虚拟桌面”和“Windows 365”。 仅当在 Microsoft Entra 租户中的订阅上注册了
Microsoft.DesktopVirtualization资源提供程序时,Azure 虚拟桌面才会包括在列表中。对于“条件”:
- 选择“设备平台”,然后包括“iOS”和“Android”。
- 选择“客户端应用”,然后包括“移动应用和桌面客户端”。
对于“访问控制”,请选择“授予访问权限”,然后选中“需要应用保护策略”框,然后选择“需要所有选定的控件”的单选按钮。
对于“启用策略”,请将其设置为“开”。
对于使用 Web 浏览器阻止对远程会话的访问的第二个策略:
在“分配”选项卡上,包括包含要向其应用策略的用户的安全组。 必须将策略应用于一组用户才能使策略生效。
对于“目标资源”,请选择将策略应用于“云应用”,然后对于“包括”,选择“选择应用”。 搜索并选择“Azure 虚拟桌面”和“Windows 365”。 仅当在 Microsoft Entra 租户中的订阅上注册了
Microsoft.DesktopVirtualization资源提供程序时,Azure 虚拟桌面才会包括在列表中。 适用于 Windows 365 的云应用还涵盖 Microsoft Dev Box。对于“条件”:
- 选择“设备平台”,然后包括“iOS”和“Android”。
- 选择“客户端应用”,然后包括“浏览器”。
对于“访问控制”,请选择“阻止访问”,然后选择“要求所有所选控件”的单选按钮。
对于“启用策略”,请将其设置为“开”。
验证配置
配置 Intune 以管理个人设备上的设备重定向后,可以通过连接到远程会话来验证配置。 应测试的内容取决于配置的策略是应用于已注册设备还是未注册设备、哪些平台以及设置的重定向和数据保护设置。 验证是否只能执行与预期匹配的操作。
已知问题
- 如果公司门户和 Windows 应用未安装在同一配置文件中,Windows 应用会毫无预警地退出。 在个人配置文件中或工作配置文件中同时安装这两个应用。