Configurer la redirection de carte à puce via le protocole RDP
Conseil
Cet article est partagé pour les services et les produits qui utilisent le protocole RDP (Remote Desktop Protocol) pour fournir un accès à distance aux bureaux et applications Windows.
Sélectionnez un produit en utilisant les boutons en haut de cet article pour afficher le contenu qui vous intéresse.
Vous pouvez configurer le comportement de redirection des appareils à carte à puce d’un appareil local vers une session à distance via le protocole RDP (Remote Desktop Protocol).
Pour Azure Virtual Desktop, nous vous recommandons d’activer la redirection de carte à puce sur vos hôtes de session à l’aide de Microsoft Intune ou d’une stratégie de groupe, puis de contrôler la redirection à l’aide des propriétés RDP du pool d’hôtes.
Pour Windows 365, vous pouvez configurer vos PC cloud à l’aide de Microsoft Intune ou d’une stratégie de groupe.
Pour Microsoft Dev Box, vous pouvez configurer vos dev box à l’aide de Microsoft Intune ou d’une stratégie de groupe.
Cet article fournit des informations sur les méthodes de redirection prises en charge et sur la configuration du comportement de redirection des appareils à carte à puce. Pour en savoir plus sur le fonctionnement de la redirection, consultez Redirection via le protocole RDP (Remote Desktop Protocol).
Prérequis
Avant de pouvoir configurer la redirection de carte à puce, vous avez besoin des éléments suivants :
Un pool d’hôtes existant avec des hôtes de session.
Au minimum, un compte Microsoft Entra ID affecté aux rôles de contrôle d’accès en fonction du rôle (RBAC) intégrés Contributeur de pool d’hôtes de virtualisation de poste de travail.
- Un PC cloud existant.
- Une dev box existante.
Un appareil à carte à puce disponible sur votre appareil local.
Pour configurer Microsoft Intune, vous avez besoin des éléments suivants :
- Un compte Microsoft Entra ID auquel le rôle RBAC intégré Gestionnaire de stratégies et de profils a été attribué.
- Un groupe contenant les appareils que vous souhaitez configurer.
Pour configurer la stratégie de groupe, vous avez besoin des éléments suivants :
- Un compte de domaine autorisé à créer ou modifier des objets de stratégie de groupe.
- Un groupe de sécurité ou unité d’organisation contenant les appareils que vous souhaitez configurer.
Vous devez vous connecter à une session à distance à partir d’une application et d’une plateforme prises en charge. Pour voir la prise en charge de la redirection dans Windows App et l’application Bureau à distance, consultez Comparer les fonctionnalités de Windows App sur les plateformes et les appareils et Comparer les fonctionnalités de l’application Bureau à distance sur les plateformes et les appareils.
Redirection de carte à puce
La configuration d’un hôte de session à l’aide de Microsoft Intune ou d’une stratégie de groupe, ou la définition d’une propriété RDP sur un pool d’hôtes régit la possibilité de rediriger des appareils à carte à puce d’un appareil local vers une session à distance, qui est soumise à un ordre de priorité.
La configuration par défaut est :
- Système d’exploitation Windows : la redirection de carte à puce n’est pas bloquée.
- Propriétés RDP du pool d’hôtes Azure Virtual Desktop : les appareils à carte à puce sont redirigés de l’appareil local vers la session à distance.
- Comportement par défaut résultant : les appareils à carte à puce sont redirigés de l’appareil local vers la session à distance.
Important
Faites attention lorsque vous configurez les paramètres de redirection, car le paramètre le plus restrictif est le comportement résultant. Par exemple, si vous désactivez la redirection de carte à puce sur un hôte de session avec Microsoft Intune ou une stratégie de groupe, mais que vous l’activez avec la propriété RDP du pool d’hôtes, la redirection est désactivée.
La configuration d’un PC cloud régit la possibilité de rediriger des appareil à carte à puce d’un appareil local vers une session à distance et est définie à l’aide de Microsoft Intune ou d’une stratégie de groupe.
La configuration par défaut est :
- Système d’exploitation Windows : la redirection de carte à puce n’est pas bloquée.
- Windows 365 : la redirection de carte à puce est activée.
- Comportement par défaut résultant : les appareils à carte à puce sont redirigés de l’appareil local vers la session à distance.
La configuration d’une dev box régit la possibilité de rediriger des appareil à carte à puce d’un appareil local vers une session à distance et est définie à l’aide de Microsoft Intune ou d’une stratégie de groupe.
La configuration par défaut est :
- Système d’exploitation Windows : la redirection de carte à puce n’est pas bloquée.
- Microsoft Dev Box : la redirection de carte à puce est activée.
- Comportement par défaut résultant : les appareils à carte à puce sont redirigés de l’appareil local vers la session à distance.
Configurer la redirection d’appareils à carte à puce à l’aide des propriétés RDP du pool d’hôtes
Le paramètre de pool d’hôtes Azure Virtual Desktop redirection de carte à puce contrôle s’il faut rediriger des cartes à puce d’un appareil local vers une session à distance. La propriété RDP correspondante est redirectsmartcards:i:<value>. Pour plus d’informations, consultez Propriétés RDP prises en charge.
Pour configurer la redirection de à carte à puce à l’aide des propriétés RDP du pool d’hôtes :
Connectez-vous au portail Azure.
Dans la barre de recherche, tapez Azure Virtual Desktop et sélectionnez l’entrée de service correspondante.
Sélectionnez Pools d’hôtes, puis sélectionnez le pool d’hôtes à configurer.
Sélectionnez Propriétés RDP, puis sélectionnez Redirection de l’appareil.
Pour Redirection de carte à puce, sélectionnez la liste déroulante, puis l’une des options suivantes :
- Le périphérique de carte à puce de l’ordinateur local n’est pas disponible dans la session à distance
- Le périphérique de carte à puce de l’ordinateur local est disponible dans la session à distance (par défaut)
- Non configuré
Cliquez sur Enregistrer.
Pour tester la configuration, connectez-vous à une session à distance, puis utilisez une application ou un site web qui nécessite votre carte à puce. Vérifiez que la carte à puce est disponible et fonctionne comme prévu.
Configurer la redirection d’appareils à carte à puce à l’aide de Microsoft Intune ou d’une stratégie de groupe
Configurer la redirection d’appareils à carte à puce à l’aide de Microsoft Intune ou d’une stratégie de groupe
Sélectionnez l’onglet approprié pour votre scénario.
Pour autoriser ou désactiver la redirection d’appareils à carte à puce à l’aide de Microsoft Intune :
Connectez-vous au centre d’administration Microsoft Intune.
Créez ou modifiez un profil de configuration pour les appareils Windows 10 et de version ultérieure, avec le type de profil catalogue Paramètres.
Dans le sélecteur de paramètres, accédez à Modèles d’administration>Composants Windows>Services Bureau à distance>Hôte de session Bureau à distance>Redirection d’appareils et de ressources.
Cochez la case Ne pas autoriser la redirection d’appareils à carte à puce, puis fermez le sélecteur de paramètres.
Développez la catégorie Modèles d’administration, puis basculez le commutateur pour Ne pas autoriser la redirection d’appareils à carte à puce, en fonction de vos besoins :
Pour autoriser la redirection d’appareils à carte à puce, basculez le commutateur sur Désactivé, puis sélectionnez OK.
Pour désactiver la redirection d’appareils à carte à puce, basculez le commutateur sur Activé, puis sélectionnez OK.
Cliquez sur Suivant.
Facultatif : sous l’onglet Étiquettes d’étendue, sélectionnez une étiquette d’étendue pour filtrer le profil. Pour plus d’informations sur les étiquettes d’étendue, consultez Utiliser le contrôle d’accès en fonction du rôle (RBAC) et les étiquettes d’étendue pour l’informatique distribuée.
Sous l’onglet Affectations, sélectionnez le groupe contenant les ordinateurs qui fournissent une session à distance et que vous voulez configurer, puis sélectionnez Suivant.
Sous l’onglet Vérifier + créer, passez en revue les paramètres, puis sélectionnez Créer.
Une fois que la stratégie a été appliquée aux ordinateurs fournissant une session à distance, redémarrez-les pour que les paramètres prennent effet.
Tester la redirection de carte à puce
Pour tester la redirection de carte à puce :
Connectez-vous à une session à distance à l’aide de l’application Window App ou de l’application Bureau à distance sur une plateforme qui prend en charge la redirection de carte à puce. Pour plus d’informations, consultez Comparer les fonctionnalités de l’application Windows sur les plateformes et les appareils et Comparer les fonctionnalités de l’application Bureau à distance sur les plateformes et les appareils.
Vérifiez que vos cartes à puce sont disponibles dans la session à distance. Exécutez la commande suivante dans la session à distance dans l’invite de commandes ou à partir d’une invite PowerShell.
certutil -scinfoSi la redirection de carte à puce fonctionne, la sortie démarre de la même façon que la sortie suivante :
The Microsoft Smart Card Resource Manager is running. Current reader/card status: Readers: 2 0: Windows Hello for Business 1 1: Yubico YubiKey OTP+FIDO+CCID 0 --- Reader: Windows Hello for Business 1 --- Status: SCARD_STATE_PRESENT | SCARD_STATE_INUSE --- Status: The card is being shared by a process. --- Card: Identity Device (Microsoft Generic Profile) --- ATR: aa bb cc dd ee ff 00 11 22 33 44 55 66 77 88 99 ;.........AB12.. ab . --- Reader: Yubico YubiKey OTP+FIDO+CCID 0 --- Status: SCARD_STATE_PRESENT | SCARD_STATE_UNPOWERED --- Status: The card is available for use. --- Card: Identity Device (NIST SP 800-73 [PIV]) --- ATR: aa bb cc dd ee ff 00 11 22 33 44 55 66 77 88 99 ;.........34yz.. ab . [continued...]Ouvrez et utilisez une application ou un site web qui nécessite votre carte à puce. Vérifiez que la carte à puce est disponible et fonctionne comme prévu.