Configurer la redirection WebAuthn via le protocole RDP

Conseil

Cet article est partagé pour les services et les produits qui utilisent le protocole RDP (Remote Desktop Protocol) pour fournir un accès à distance aux bureaux et applications Windows.

Sélectionnez un produit en utilisant les boutons en haut de cet article pour afficher le contenu qui vous intéresse.

Vous pouvez configurer le comportement de redirection des requêtes WebAuthn d’une session à distance vers un appareil local via le protocole RDP (Remote Desktop Protocol). La redirection WebAuthn active l’authentification sans mot de passe dans la session à l’aide de Windows Hello Entreprise ou d’appareils de sécurité tels que des clés FIDO.

Pour Azure Virtual Desktop, nous vous recommandons d’activer la redirection WebAuthn sur vos hôtes de session à l’aide de Microsoft Intune ou d’une stratégie de groupe, puis de contrôler la redirection à l’aide des propriétés RDP du pool d’hôtes.

Pour Windows 365, vous pouvez configurer vos PC cloud à l’aide de Microsoft Intune ou d’une stratégie de groupe.

Pour Microsoft Dev Box, vous pouvez configurer vos dev box à l’aide de Microsoft Intune ou d’une stratégie de groupe.

Cet article fournit des informations sur les méthodes de redirection prises en charge et sur la configuration du comportement de redirection WebAuthn. Pour en savoir plus sur le fonctionnement de la redirection, consultez Redirection via le protocole RDP (Remote Desktop Protocol).

Prérequis

Avant de pouvoir configurer la redirection WebAuthn, vous avez besoin des éléments suivants :

  • Un PC cloud existant.
  • Une dev box existante.

Redirection WebAuthn

La configuration d’un hôte de session à l’aide de Microsoft Intune ou d’une stratégie de groupe, ou la définition d’une propriété RDP sur un pool d’hôtes régit la possibilité de rediriger des requêtes WebAuthn d’un une session à distance vers un appareil local, qui est soumis à un ordre de priorité.

La configuration par défaut est :

  • Système d’exploitation Windows : les requêtes WebAuthn ne sont pas bloquées.
  • Propriétés RDP du pool d’hôtes Azure Virtual Desktop : les requêtes WebAuthn dans la session à distance sont redirigées vers l’appareil local.

Important

Faites attention lorsque vous configurez les paramètres de redirection, car le paramètre le plus restrictif est le comportement résultant. Par exemple, si vous désactivez la redirection WebAuthn sur un hôte de session avec Microsoft Intune ou une stratégie de groupe, mais que vous l’activez avec la propriété RDP du pool d’hôtes, la redirection est désactivée.

La configuration d’un PC cloud régit la capacité à rediriger les requêtes WebAuthn entre la session à distance et l’appareil local, et est définie avec Microsoft Intune ou une stratégie de groupe.

La configuration par défaut est :

  • Système d’exploitation Windows : les requêtes WebAuthn ne sont pas bloquées. Windows 365 active la redirection WebAuthn.

La configuration d’une dev box régit la capacité à rediriger les requêtes WebAuthn entre la session à distance et l’appareil local, et est définie avec Microsoft Intune ou une stratégie de groupe.

La configuration par défaut est :

  • Système d’exploitation Windows : les requêtes WebAuthn ne sont pas bloquées. Windows 365 active la redirection WebAuthn.

Configurer la redirection WebAuthn à l’aide des propriétés RDP du pool d’hôtes

Le paramètre de pool d’hôtes Azure Virtual Desktop, Redirection WebAuthn, contrôle s’il faut rediriger les requêtes WebAuthn entre la session à distance et l’appareil local. La propriété RDP correspondante est redirectwebauthn:i:<value>. Pour plus d’informations, consultez Propriétés RDP prises en charge.

Pour configurer la redirection WebAuthn à l’aide des propriétés RDP du pool d’hôtes :

  1. Connectez-vous au portail Azure.

  2. Dans la barre de recherche, tapez Azure Virtual Desktop et sélectionnez l’entrée de service correspondante.

  3. Sélectionnez Pools d’hôtes, puis sélectionnez le pool d’hôtes à configurer.

  4. Sélectionnez Propriétés RDP, puis sélectionnez Redirection de l’appareil.

    Capture d’écran montrant l’onglet Redirection de l’appareil du pool d’hôtes dans le portail Microsoft Azure.

  5. Pour Redirection WebAuthn, sélectionnez la liste déroulante, puis l’une des options suivantes :

    • Les demandes WebAuthn dans la session à distance ne sont pas redirigées vers l’ordinateur local
    • Les requêtes WebAuthn dans la session à distance sont redirigées vers l’ordinateur local (par défaut)
    • Non configuré
  6. Cliquez sur Enregistrer.

  7. Pour tester la configuration, suivez les étapes dans Tester la redirection WebAuthn.

Configurer la redirection WebAuthn à l’aide de Microsoft Intune ou d’une stratégie de groupe

Configurer la redirection WebAuthn à l’aide de Microsoft Intune ou d’une stratégie de groupe

Sélectionnez l’onglet approprié pour votre scénario.

Pour autoriser ou désactiver la redirection WebAuthn à l’aide de Microsoft Intune :

  1. Connectez-vous au centre d’administration Microsoft Intune.

  2. Créez ou modifiez un profil de configuration pour les appareils Windows 10 et de version ultérieure, avec le type de profil catalogue Paramètres.

  3. Dans le sélecteur de paramètres, accédez à Modèles d’administration>Composants Windows>Services Bureau à distance>Hôte de session Bureau à distance>Redirection d’appareils et de ressources.

    Capture d’écran montrant les options de redirection d’appareils et de ressources dans le portail Microsoft Intune.

  4. Cochez la case Ne pas autoriser la redirection WebAuthn, puis fermez le sélecteur de paramètres.

  5. Développez la catégorie Modèles d’administration, puis basculez le commutateur pour Ne pas autoriser la redirection WebAuthn sur Activé ou Désactivé, en fonction de vos besoins :

    • Pour autoriser la redirection WebAuthn, basculez le commutateur sur Désactivé, puis sélectionnez OK.

    • Pour désactiver la redirection WebAuthn, basculez le commutateur sur Activé, puis sélectionnez OK.

  6. Cliquez sur Suivant.

  7. Facultatif : sous l’onglet Étiquettes d’étendue, sélectionnez une étiquette d’étendue pour filtrer le profil. Pour plus d’informations sur les étiquettes d’étendue, consultez Utiliser le contrôle d’accès en fonction du rôle (RBAC) et les étiquettes d’étendue pour l’informatique distribuée.

  8. Sous l’onglet Affectations, sélectionnez le groupe contenant les ordinateurs qui fournissent une session à distance et que vous voulez configurer, puis sélectionnez Suivant.

  9. Sous l’onglet Vérifier + créer, passez en revue les paramètres, puis sélectionnez Créer.

  10. Une fois que la stratégie a été appliquée aux ordinateurs fournissant une session à distance, redémarrez-les pour que les paramètres prennent effet.

Tester la redirection WebAuthn

Une fois que vous avez activé la redirection WebAuthn, vous pouvez la tester :

  1. Si vous utilisez une clé de sécurité USB, vérifiez d’abord qu’elle est branchée.

  2. Connectez-vous à une session à distance avec l’application Windows ou l’application Bureau à distance sur une plateforme qui prend en charge la redirection WebAuthn. Pour plus d’informations, consultez Comparer les fonctionnalités de l’application Windows sur les plateformes et les appareils et Comparer les fonctionnalités de l’application Bureau à distance sur les plateformes et les appareils.

  3. Dans la session à distance, ouvrez un site web dans une fenêtre InPrivate qui utilise l’authentification WebAuthn, telle que l’application Windows pour les navigateurs web à l’adresse https://windows.cloud.microsoft/.

  4. Suivez le processus de connexion. Lorsque l’authentification vient pour utiliser Windows Hello Entreprise ou la clé de sécurité, une invite Sécurité Windows doit s’afficher pour terminer l’authentification, comme illustré dans l’image suivante lors de l’utilisation d’un appareil local Windows.

    L’invite Sécurité Windows se trouve sur l’appareil local et superpose la session à distance, indiquant que la redirection WebAuthn fonctionne.

    Capture d’écran montrant une requête WebAuthn de la session à distance vers l’appareil local.