你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

通过远程桌面协议配置 WebAuthn 重定向

提示

本文适用于使用远程桌面协议 (RDP) 提供对 Windows 桌面和应用的远程访问的服务和产品。

使用本文顶部的按钮选择产品以显示相关内容。

可以配置 WebAuthn 请求通过远程桌面协议 (RDP) 从远程会话到本地设备的重定向行为。 WebAuthn 重定向支持使用 Windows Hello 企业版或安全设备（如 FIDO 密钥）的会话内无密码身份验证。

对于 Azure 虚拟桌面，建议使用 Microsoft Intune 或组策略在会话主机上启用 WebAuthn 重定向，然后使用主机池 RDP 属性控制重定向。

对于 Windows 365，可以使用 Microsoft Intune 或组策略配置云电脑。

对于 Microsoft Dev Box，可以使用 Microsoft Intune 或组策略配置开发箱。

本文介绍受支持的重定向方法，并介绍如何配置 WebAuthn 请求的重定向行为。 若要详细了解重定向的工作原理，请参阅通过远程桌面协议重定向。

先决条件

在配置 WebAuthn 重定向之前，需要具备以下项：

• 具有会话主机的主机池。

• 一个 Microsoft Entra ID 帐户，至少分配有主机池上内置的桌面虚拟化主机池参与者这一基于角色的访问控制 (RBAC) 角色。

• 现有的云电脑。

• 现有的开发箱。

• 已配置 Windows Hello 企业版或安全设备（如 FIDO USB 密钥）的本地 Windows 设备。

• 要配置 Microsoft Intune，需要具有以下项：

  • 分配有策略和配置文件管理员这一内置 RBAC 角色的 Microsoft Entra ID 帐户。
  • 一个包含要配置的设备的组。

• 要配置组策略，需要：

  • 有权创建或编辑组策略对象的域帐户。
  • 一个包含要配置的设备的安全组或组织单位 (OU)。

• 需要从受支持的应用和平台连接到远程会话。 若要查看 Windows 应用和远程桌面应用中的重定向支持，请参阅跨平台和设备比较 Windows 应用功能和跨平台和设备比较远程桌面应用功能。

WebAuthn 重定向

使用 Microsoft Intune 或组策略对会话主机进行配置，或在主机池上设置 RDP 属性，都会影响将 WebAuthn 请求从远程会话重定向到本地设备的能力，这取决于优先级顺序。

默认配置为：

• Windows 操作系统：WebAuthn 请求不会被阻止。
• Azure 虚拟桌面主机池 RDP 属性：远程会话中的 WebAuthn 请求将重定向到本地计算机。

重要

配置重定向设置时要小心，因为这会导致最具限制性的设置。 例如，如果在具有 Microsoft Intune 或组策略的会话主机上禁用 WebAuthn 重定向，但使用主机池 RDP 属性启用了该功能，则会禁用重定向。

配置云电脑可控制在远程会话和本地设备之间重定向 WebAuthn 请求的能力，该配置使用 Microsoft Intune 或组策略进行设置。

默认配置为：

• Windows 操作系统：WebAuthn 请求不会被阻止。 Windows 365 启用 WebAuthn 重定向。

配置开发箱可控制在远程会话和本地设备之间重定向 WebAuthn 请求的能力，该配置使用 Microsoft Intune 或组策略进行设置。

默认配置为：

• Windows 操作系统：WebAuthn 请求不会被阻止。 Windows 365 启用 WebAuthn 重定向。

使用主机池 RDP 属性配置 WebAuthn 重定向

名为“WebAuthn 重定向”的 Azure 虚拟桌面主机池设置控制是否在远程会话和本地设备之间重定向 WebAuthn 请求。 相应的 RDP 属性为 redirectwebauthn:i:<value>。 有关详细信息，请参阅支持的 RDP 属性。

若要使用主机池 RDP 属性配置 WebAuthn 重定向，请执行以下操作：

1. 登录到 Azure 门户。

2. 在搜索栏中，键入“Azure 虚拟桌面”，然后选择匹配的服务条目。

3. 选择“主机池”，然后选择要配置的主机池。

4. 选择“RDP 属性”，然后选择“设备重定向”。

   

5. 对于“WebAuthn 重定向”，请选择下拉列表，然后选择以下选项之一：

   • 远程会话中的 WebAuthn 请求不会重定向到本地计算机
   • 远程会话中的 WebAuthn 请求将重定向到本地计算机（默认）
   • 未配置

6. 选择“保存”。

7. 若要测试配置，请按照测试 WebAuthn 重定向中的步骤操作。

使用 Microsoft Intune 或组策略配置 WebAuthn 重定向

使用 Microsoft Intune 或组策略配置 WebAuthn 重定向

选择方案的相关选项卡。

Microsoft Intune

若要使用 Microsoft Intune 启用或禁用 WebAuthn 重定向，请执行以下操作：

1. 登录 Microsoft Intune 管理中心。

2. 使用“设置目录”配置文件类型为 Windows 10 及更高版本的设备创建或编辑配置文件。

3. 在设置选取器中，浏览到“管理模板”>“Windows 组件”>“远程桌面服务”>“远程桌面会话主机”>“设备和资源重定向”。

   

4. 选中“不允许 WebAuthn 重定向”框，然后关闭设置选取器。

5. 展开“管理模板”类别，然后将“不允许 WebAuthn 重定向”的开关切换到“已启用”或“已禁用”，具体取决于你的要求：

   • 要允许 WebAuthn 重定向，请将开关切换到“已禁用”，然后选择“确定”。

   • 要禁用 WebAuthn 重定向，请将开关切换到“已启用”，然后选择“确定”。

6. 选择下一步。

7. 可选：在“范围标记”选项卡上，选择用于筛选配置文件的范围标记。 若要详细了解范围标记，请参阅将基于角色的访问控制 (RBAC) 和范围标记用于分布式 IT。

8. 在“分配”选项卡上选择一个组（其中包含提供你要配置的远程会话的计算机），然后选择“下一步”。

9. 在“查看 + 创建”选项卡上查看设置，然后选择“创建”。

10. 策略应用于提供远程会话的计算机后，请重启它们，使设置生效。

组策略

若要使用组策略启用或禁用 WebAuthn 重定向，请执行以下操作：

1. 在你用于管理 Active Directory 域的设备上打开“组策略管理”控制台。

2. 创建或编辑面向提供你要配置的远程会话的计算机的策略。

3. 导航到“计算机配置”>“策略”>“管理模板”>“Windows 组件”>“远程桌面服务”>“远程桌面会话主机”>“设备和资源重定向”。

   

4. 双击“不允许 WebAuthn 重定向”策略设置将其打开。

   • 若要启用 WebAuthn 重定向，请选择“已禁用”或“未配置”，然后选择“确定”。

   • 若要禁用 WebAuthn 重定向，请选择“已启用”，然后选择“确定”。

5. 确保将策略应用于提供远程会话的计算机，然后重启这些计算机，使设置生效。

测试 WebAuthn 重定向

如果要在启用 WebAuthn 重定向后测试它：

1. 如果使用的是 USB 安全密钥，请先确保已插入。

2. 在支持 WebAuthn 重定向的平台上，使用 Windows 应用或远程桌面应用连接到远程会话。 有关详细信息，请参阅跨平台和设备比较 Windows 应用功能和跨平台和设备比较远程桌面应用功能。

3. 在远程会话中，在使用 WebAuthn 身份验证的 InPrivate 窗口中打开一个网站，例如 https://windows.cloud.microsoft/ 处的 Windows App for Web 浏览器。

4. 按照登录过程操作。 当使用 Windows Hello 企业版或安全密钥进行身份验证时，你应该会看到一个完成身份验证的 Windows 安全提示，如下图所示（使用 Windows 本地设备时）。

   Windows 安全提示出现在本地设备上，并覆盖了远程会话，表明 WebAuthn 重定向正在运行。

   

相关内容

• 通过远程桌面协议进行重定向。
• 支持的 RDP 属性。
• 跨平台和设备比较 Windows 应用功能。
• 跨平台和设备比较远程桌面应用功能。