通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

通过远程桌面协议配置智能卡重定向

  • 项目

提示

本文适用于使用远程桌面协议 (RDP) 提供对 Windows 桌面和应用的远程访问的服务和产品。

使用本文顶部的按钮选择产品以显示相关内容。

可以通过远程桌面协议 (RDP) 配置智能卡设备从本地设备到远程会话的重定向行为。

对于 Azure 虚拟桌面,建议使用 Microsoft Intune 或组策略在会话主机上启用智能卡重定向,然后使用主机池 RDP 属性控制重定向。

对于 Windows 365,可以使用 Microsoft Intune 或组策略配置云电脑。

对于 Microsoft Dev Box,可以使用 Microsoft Intune 或组策略配置开发箱。

本文介绍受支持的重定向方法,并介绍如何配置智能卡设备的重定向行为。 若要详细了解重定向的工作原理,请参阅通过远程桌面协议重定向

先决条件

在配置智能卡重定向之前,需要具备以下项:

  • 具有会话主机的主机池。

  • 一个 Microsoft Entra ID 帐户,至少分配有主机池上内置的桌面虚拟化主机池参与者这一基于角色的访问控制 (RBAC) 角色。

  • 现有的云电脑。
  • 现有的开发箱。

  • 本地设备上可用的智能卡设备。

  • 要配置 Microsoft Intune,需要具有以下项:

  • 要配置组策略,需要:

    • 有权创建或编辑组策略对象的域帐户。
    • 一个包含要配置的设备的安全组或组织单位 (OU)。

  • 需要从受支持的应用和平台连接到远程会话。 若要查看 Windows 应用和远程桌面应用中的重定向支持,请参阅跨平台和设备比较 Windows 应用功能跨平台和设备比较远程桌面应用功能

智能卡重定向

使用 Microsoft Intune 或组策略配置会话主机,或在主机池上设置 RDP 属性,可以控制将智能卡从本地设备重定向到远程会话的能力,这取决于优先级顺序。

默认配置为:

  • Windows 操作系统:不会阻止智能卡重定向。
  • Azure 虚拟桌面主机池 RDP 属性:智能卡设备从本地设备被重定向到远程会话。
  • 最终默认行为:智能卡设备从本地设备被重定向到远程会话。

重要

配置重定向设置时要小心,因为这会导致最具限制性的设置。 例如,如果在具有 Microsoft Intune 或组策略的会话主机上禁用智能卡重定向,但使用主机池 RDP 属性启用了该功能,则会禁用重定向。

云电脑的配置控制将智能卡设备从本地设备重定向到远程会话的能力,并使用 Microsoft Intune 或组策略进行设置。

默认配置为:

  • Windows 操作系统:不会阻止智能卡重定向。
  • Windows 365:已启用智能卡重定向。
  • 最终默认行为:智能卡设备从本地设备被重定向到远程会话。

开发箱的配置控制将智能卡设备从本地设备重定向到远程会话的能力,并使用 Microsoft Intune 或组策略进行设置。

默认配置为:

  • Windows 操作系统:不会阻止智能卡重定向。
  • Microsoft Dev Box:启用了智能卡重定向。
  • 最终默认行为:智能卡设备从本地设备被重定向到远程会话。

使用主机池 RDP 属性配置智能卡设备重定向

Azure 虚拟桌面主机池设置中的“智能卡重定向”控制是否将智能卡从本地设备重定向到远程会话。 相应的 RDP 属性为 redirectsmartcards:i:<value>。 有关详细信息,请参阅支持的 RDP 属性

若要使用主机池 RDP 属性配置智能卡重定向,请执行以下操作:

  1. 登录到 Azure 门户

  2. 在搜索栏中,键入“Azure 虚拟桌面”,然后选择匹配的服务条目。

  3. 选择“主机池”,然后选择要配置的主机池

  4. 选择“RDP 属性”,然后选择“设备重定向”。

    显示 Azure 门户中“主机池设备重定向”选项卡的屏幕截图。

  5. 对于“智能卡重定向”,请选择下拉列表,然后选择以下选项之一:

    • 本地计算机上的智能卡设备在远程会话中不可用
    • 本地计算机上的智能卡设备在远程会话中可用默认
    • 未配置

  6. 选择“保存”。

  7. 若要测试配置,请连接到远程会话,然后使用需要智能卡的应用程序或网站。 验证智能卡是否可用且按预期工作。

使用 Microsoft Intune 或组策略配置智能卡设备重定向

使用 Microsoft Intune 或组策略配置智能卡设备重定向

选择方案的相关选项卡。

若要使用 Microsoft Intune 启用或禁用智能卡设备重定向,请执行以下操作:

  1. 登录 Microsoft Intune 管理中心

  2. 使用“设置目录”配置文件类型为 Windows 10 及更高版本的设备创建或编辑配置文件

  3. 在设置选取器中,浏览到“管理模板”>“Windows 组件”>“远程桌面服务”>“远程桌面会话主机”>“设备和资源重定向”。

    显示 Microsoft Intune 门户中的设备和资源重定向选项的屏幕截图。

  4. 选中“不允许智能卡设备重定向”框,然后关闭设置选取器。

  5. 展开“管理模板”类别,然后根据你的要求,切换“不允许智能卡设备重定向”的开关

    • 若要允许智能卡设备重定向,请将开关切换为“禁用”,然后选择“确定”。

    • 若要禁用智能卡设备重定向,请将开关切换为“启用”,然后选择“确定”。

  6. 选择下一步

  7. 可选:在“范围标记”选项卡上,选择用于筛选配置文件的范围标记。 若要详细了解范围标记,请参阅将基于角色的访问控制 (RBAC) 和范围标记用于分布式 IT

  8. 在“分配”选项卡上选择一个组(其中包含提供你要配置的远程会话的计算机),然后选择“下一步”。

  9. 在“查看 + 创建”选项卡上查看设置,然后选择“创建”。

  10. 策略应用于提供远程会话的计算机后,请重启它们,使设置生效。

测试智能卡重定向

若要测试智能卡重定向:

  1. 在支持智能卡重定向的平台上,使用 Windows 应用或远程桌面应用连接到远程会话。 有关详细信息,请参阅跨平台和设备比较 Windows 应用功能跨平台和设备比较远程桌面应用功能

  2. 检查智能卡在远程会话中是否可用。 在命令提示符或 PowerShell 提示符的远程会话中运行以下命令。

    certutil -scinfo

    如果智能卡重定向正常工作,输出将开始,类似于以下输出:

    The Microsoft Smart Card Resource Manager is running.
Current reader/card status:
Readers: 2
  0: Windows Hello for Business 1
  1: Yubico YubiKey OTP+FIDO+CCID 0
--- Reader: Windows Hello for Business 1
--- Status: SCARD_STATE_PRESENT | SCARD_STATE_INUSE
--- Status: The card is being shared by a process.
---   Card: Identity Device (Microsoft Generic Profile)
---    ATR:
        aa bb cc dd ee ff 00 11  22 33 44 55 66 77 88 99   ;.........AB12..
        ab                                                 .

--- Reader: Yubico YubiKey OTP+FIDO+CCID 0
--- Status: SCARD_STATE_PRESENT | SCARD_STATE_UNPOWERED
--- Status: The card is available for use.
---   Card: Identity Device (NIST SP 800-73 [PIV])
---    ATR:
        aa bb cc dd ee ff 00 11  22 33 44 55 66 77 88 99   ;.........34yz..
        ab                                                 .

[continued...]

  3. 打开并使用需要智能卡的应用程序或网站。 验证智能卡是否可用且按预期工作。

相关内容