透過遠端桌面通訊協定設定智慧卡重新導向
提示
可使用遠端桌面通訊協定 (RDP) 來提供 Windows 桌面和應用程式遠端存取的服務和產品會共用本文。
使用本文頂端的按鈕選取產品以顯示相關的內容。
您可以透過遠端桌面通訊協定 (RDP) 設定智慧卡裝置從本機裝置重新導向至遠端作業階段的行為。
針對 Azure 虛擬桌面,建議您使用 Microsoft Intune 或組策略,在會話主機上啟用智慧卡重新導向,然後使用主機集區 RDP 屬性來控制重新導向。
對於 Windows 365,您可以使用 Microsoft Intune 或群組原則來設定您的雲端電腦。
對於 Microsoft 開發箱,您可以使用 Microsoft Intune 或群組原則來設定您的開發箱。
本文提供支援重新導向方法的相關信息,以及如何設定智慧卡裝置的重新導向行為。 若要深入了解重新導向的運作方式,請參閱透過遠端桌面通訊協定進行重新導向。
必要條件
設定智慧卡重新導向之前,您需要:
具有工作階段主機的現有主機集區。
至少在主機集區上指派了桌面虛擬化主機集區參與者內建角色型存取控制 (RBAC) 角色的 Microsoft Entra ID 帳戶。
- 現有的雲端電腦。
- 現有的開發箱。
本機裝置上可用的智慧卡裝置。
若要設定 Microsoft Intune,您需要:
- 已獲指派原則和設定檔管理員內建 RBAC 角色的 Microsoft Entra ID 帳戶。
- 包含您要設定之裝置的群組。
若要設定群組原則,您需要:
- 有權建立或編輯群組原則物件的網域帳戶。
- 包含您想要設定之裝置的安全群組或組織單位 (OU)。
您需要從支援的應用程式和平台連線到遠端工作階段。 若要檢視 Windows 應用程式與遠端桌面應用程式中的重新導向支援,請參閱跨平台和裝置比較 Windows 應用程式功能和跨平台和裝置比較遠端桌面應用程式功能。
智慧卡重新導向
使用 Microsoft Intune 或組策略設定會話主機,或在主機集區上設定 RDP 屬性,可控管將智慧卡裝置從本機裝置重新導向至遠端會話的能力,而該會話受限於優先順序。
預設設定為:
- Windows 作業系統:不會封鎖智慧卡重新導向。
- Azure 虛擬桌面主機集區 RDP 屬性:智慧卡裝置會從本機裝置重新導向至遠端會話。
- 結果的預設行為:智慧卡裝置會從本機裝置重新導向至遠端會話。
重要
設定重新導向設定時要小心,因為最嚴格的設定是最終的行為。 例如,如果您在具有 Microsoft Intune 或組策略的會話主機上停用智慧卡重新導向,但使用主機集區 RDP 屬性啟用智慧卡重新導向,則會停用重新導向。
雲端電腦的設定可控管將智慧卡裝置從本機裝置重新導向至遠端會話的能力,並使用 Microsoft Intune 或組策略進行設定。
預設設定為:
- Windows 作業系統:不會封鎖智慧卡重新導向。
- Windows 365:已啟用智慧卡重新導向。
- 結果的預設行為:智慧卡裝置會從本機裝置重新導向至遠端會話。
開發方塊的設定可控管將智慧卡裝置從本機裝置重新導向至遠端會話的功能,並使用 Microsoft Intune 或組策略進行設定。
預設設定為:
- Windows 作業系統:不會封鎖智慧卡重新導向。
- Microsoft開發人員方塊:已啟用智慧卡重新導向。
- 結果的預設行為:智慧卡裝置會從本機裝置重新導向至遠端會話。
使用主機集區 RDP 屬性設定智慧卡裝置重新導向
Azure 虛擬桌面主機集區設定 智慧卡 重新導向控制是否要將智慧卡從本機裝置重新導向至遠端會話。 對應的 RDP 屬性是 redirectsmartcards:i:<value>
。 如需詳細資訊,請參閱支援的 RDP 屬性。
若要使用主機集區 RDP 屬性設定智慧卡重新導向:
登入 Azure 入口網站。
在搜尋列中輸入 Azure 虛擬桌面,並選取相符的服務項目。
選取 [主機集區],然後選取您要設定的主機集區。
選取 [RDP 屬性],然後選取 [裝置重新導向]。
針對 [智慧卡重新導向],選取下拉式清單,然後選取下列其中一個選項:
- 本機電腦上的智慧卡裝置無法在遠端會話中使用
- 本機電腦上的智慧卡裝置可在遠端工作階段 中使用(預設)
- 未設定
選取儲存。
若要測試設定,請連線到遠端會話,然後使用需要智慧卡的應用程式或網站。 確認智慧卡可供使用,並如預期般運作。
使用 Microsoft Intune 或組策略設定智慧卡裝置重新導向
使用 Microsoft Intune 或組策略設定智慧卡裝置重新導向
選取案例相關的索引標籤。
若要使用 Microsoft Intune 允許或停用智慧卡裝置重新導向:
在設定選擇器中,瀏覽至 [系統管理範本]>[Windows 元件]>[遠端桌面服務]>[遠端桌面工作階段主機]>[裝置和資源重新導向]。
核取 [不允許智慧卡裝置重新導向] 方塊,然後關閉設定選擇器。
展開 [系統管理範本] 類別,然後根據您的需求,切換 [不允許智慧卡裝置重新導向] 的切換:
若要允許智慧卡裝置重新導向,請將切換開關切換為 [已停用],然後選取 [ 確定]。
若要停用智慧卡裝置重新導向,請將切換開關切換為 [已啟用],然後選取 [ 確定]。
選取 [下一步]。
選用:在 [範圍標籤] 索引標籤上,選取範圍標籤以篩選設定檔。 如需範圍標籤的詳細資訊,請參閱將角色型存取控制 (RBAC) 和範圍標籤用於分散式 IT。
在 [指派] 索引標籤上,確認哪些電腦提供您要設定的遠程工作階段並選取其所屬的群組,然後選取 [下一步]。
在 [檢閱 + 建立] 索引標籤上檢閱設定,然後選取 [建立]。
在原則套用至提供遠端工作階段的電腦後,請將電腦重新啟動,使設定生效。
測試智慧卡重新導向
若要測試智慧卡重新導向:
在支援智慧卡重新導向的平臺上,使用視窗應用程式或遠端桌面應用程式連線到遠端工作階段。 如需詳細資訊,請參閱跨平台和裝置比較 Windows 應用程式功能和跨平台和裝置比較遠端桌面應用程式功能。
檢查您的智慧卡可在遠程會話中使用。 在命令提示字元或 PowerShell 提示字元的遠端會話中執行下列命令。
certutil -scinfo
如果智慧卡重新導向正常運作,輸出會開始類似下列輸出:
The Microsoft Smart Card Resource Manager is running. Current reader/card status: Readers: 2 0: Windows Hello for Business 1 1: Yubico YubiKey OTP+FIDO+CCID 0 --- Reader: Windows Hello for Business 1 --- Status: SCARD_STATE_PRESENT | SCARD_STATE_INUSE --- Status: The card is being shared by a process. --- Card: Identity Device (Microsoft Generic Profile) --- ATR: aa bb cc dd ee ff 00 11 22 33 44 55 66 77 88 99 ;.........AB12.. ab . --- Reader: Yubico YubiKey OTP+FIDO+CCID 0 --- Status: SCARD_STATE_PRESENT | SCARD_STATE_UNPOWERED --- Status: The card is available for use. --- Card: Identity Device (NIST SP 800-73 [PIV]) --- ATR: aa bb cc dd ee ff 00 11 22 33 44 55 66 77 88 99 ;.........34yz.. ab . [continued...]
開啟並使用需要智慧卡的應用程式或網站。 確認智慧卡可供使用,並如預期般運作。