Configurare le impostazioni di reindirizzamento dei dispositivi client per App di Windows e l'app Desktop remoto con Microsoft Intune

Importante

Configurare le impostazioni di reindirizzamento per l'app Desktop remoto in Android e windows in Android con Microsoft Intune sono attualmente in anteprima. Configurare le impostazioni di reindirizzamento per l'app di Windows in iOS/iPadOS con Microsoft Intune è disponibile a livello generale. Vedere le condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, in anteprima o in altro modo non ancora disponibili a livello generale.

Suggerimento

Questo articolo contiene informazioni per più prodotti che usano Remote Desktop Protocol (RDP) per fornire l'accesso remoto a desktop e applicazioni Windows.

Il reindirizzamento di risorse e periferiche dal dispositivo locale di un utente a una sessione remota da Desktop virtuale Azure o Windows 365 tramite Remote Desktop Protocol (RDP), ad esempio gli Appunti, la fotocamera e l'audio, è normalmente governato dalla configurazione centrale di un pool di host e dei relativi host di sessione. Il reindirizzamento dei dispositivi client è configurato per l'app Windows e l'app Desktop remoto usando una combinazione di criteri di configurazione delle app di Microsoft Intune, criteri di protezione delle app e accesso condizionale di Microsoft Entra nel dispositivo locale di un utente.

Queste funzionalità consentono di ottenere gli scenari seguenti:

  • Applicare le impostazioni di reindirizzamento a un livello più granulare in base ai criteri specificati. Ad esempio, potrebbe essere necessario avere impostazioni diverse a seconda del gruppo di sicurezza in cui si trova un utente, del sistema operativo del dispositivo in uso o se gli utenti usano dispositivi aziendali e personali per accedere a una sessione remota.

  • Fornire un ulteriore livello di protezione contro il reindirizzamento non configurato correttamente nel pool di host o nell'host di sessione.

  • Applicare impostazioni di sicurezza aggiuntive all'app di Windows e all'app Desktop remoto, ad esempio, richiedono un PIN, bloccano le tastiere di terze parti e limitano le operazioni taglia, copia e incolla tra altre app nel dispositivo client.

Se le impostazioni di reindirizzamento in un dispositivo client sono in conflitto con le proprietà RDP del pool di host e l'host sessione per Desktop virtuale Azure o Cloud PC per Windows 365, l'impostazione più restrittiva tra i due diventa effettiva. Ad esempio, se l'host di sessione non consente il reindirizzamento delle unità e il dispositivo client che consente il reindirizzamento delle unità, il reindirizzamento delle unità non è consentito. Se le impostazioni di reindirizzamento nell'host sessione e nel dispositivo client sono entrambe uguali, il comportamento di reindirizzamento è coerente.

Importante

La configurazione delle impostazioni di reindirizzamento in un dispositivo client non sostituisce la configurazione corretta dei pool di host e degli host sessione in base ai requisiti. L'uso di Microsoft Intune per configurare App di Windows e l'app Desktop remoto potrebbe non essere adatta per i carichi di lavoro che richiedono un livello di sicurezza superiore.

I carichi di lavoro con requisiti di sicurezza più elevati devono continuare a impostare il reindirizzamento nel pool di host o nell'host sessione, in cui tutti gli utenti del pool di host avranno la stessa configurazione di reindirizzamento. È consigliabile una soluzione DLP (Data Loss Protection) e il reindirizzamento deve essere disabilitato negli host di sessione ogni volta che è possibile ridurre al minimo le opportunità di perdita di dati.

A livello generale sono disponibili tre aree da configurare:

  • Criteri di configurazione delle app di Intune: usati per gestire le impostazioni di reindirizzamento per App di Windows e l'app Desktop remoto in un dispositivo client. Esistono due tipi di criteri di configurazione delle app; I criteri delle app gestite vengono usati per gestire le impostazioni per un'applicazione, indipendentemente dal fatto che il dispositivo client sia registrato o non registrato e che vengano usati criteri di dispositivi gestiti oltre a gestire le impostazioni in un dispositivo registrato. Usare i filtri per indirizzare gli utenti in base a criteri specifici.

  • Criteri di protezione delle app di Intune: usati per specificare i requisiti di sicurezza che devono essere soddisfatti dall'applicazione e dal dispositivo client. Usare i filtri per indirizzare gli utenti in base a criteri specifici.

  • Criteri di Accesso condizionale: usati per controllare l'accesso a Desktop virtuale Azure e Windows 365 solo se vengono soddisfatti i criteri impostati nei criteri di configurazione delle app e nei criteri di protezione delle app.

Piattaforme e tipi di registrazione supportati

La tabella seguente illustra l'applicazione che è possibile gestire in base alla piattaforma del dispositivo e al tipo di registrazione:

Per App di Windows:

Piattaforma del dispositivo. Dispositivi gestiti Dispositivi non gestiti
iOS e iPadOS
Android

Per l'app Desktop remoto:

Piattaforma del dispositivo. Dispositivi gestiti Dispositivi non gestiti
Android

Scenari di esempio

I valori specificati nei filtri e nei criteri dipendono dai requisiti, quindi è necessario determinare il meglio per l'organizzazione. Ecco alcuni scenari di esempio di ciò che è necessario configurare per ottenerli.

Scenario 1

Gli utenti di un gruppo sono autorizzati a reindirizzare le unità durante la connessione dal dispositivo aziendale Windows, ma il reindirizzamento delle unità non è consentito nel dispositivo aziendale iOS/iPadOS o Android. Per ottenere questo scenario:

  1. Assicurarsi che gli host di sessione o i PC cloud e le impostazioni dei pool di host siano configurati per consentire il reindirizzamento delle unità.

  2. Creare un filtro del dispositivo per le app gestite per iOS e iPadOS e un filtro separato per Android.

  3. Solo per iOS e iPadOS, creare criteri di configurazione delle app per i dispositivi gestiti.

  4. Creare criteri di configurazione delle app per le app gestite con reindirizzamento unità disabilitato. È possibile creare un singolo criterio per iOS/iPadOS e Android oppure creare un criterio separato per iOS/iPadOS e Android.

  5. Creare due criteri di protezione delle app, uno per iOS/iPadOS e uno per Android.

Scenario 2

Gli utenti di un gruppo che dispongono di un dispositivo Android che eseguono la versione più recente di Android sono autorizzati al reindirizzamento delle unità, ma gli stessi utenti che eseguono una versione precedente di Android non sono consentiti il reindirizzamento delle unità. Per ottenere questo scenario:

  1. Assicurarsi che gli host di sessione o i PC cloud e le impostazioni dei pool di host siano configurati per consentire il reindirizzamento delle unità.

  2. Creare due filtri per dispositivi:

    1. Filtro del dispositivo per le app gestite per Android, in cui la versione della versione è impostata sul numero di versione più recente di Android.

    2. Filtro del dispositivo per le app gestite per Android, in cui la versione della versione è impostata su un numero di versione precedente alla versione più recente di Android.

  3. Creare due criteri di configurazione delle app:

    1. Criteri di configurazione delle app per le app gestite con reindirizzamento unità abilitato. Assegnargli uno o più gruppi con il filtro per il numero di versione più recente di Android.

    2. Criteri di configurazione delle app per le app gestite con reindirizzamento unità disabilitato. Assegnargli uno o più gruppi con il filtro per il numero di versione precedente di Android.

  4. Creare criteri di protezione delle app, uno combinato per iOS/iPadOS e Android.

Scenario 3

Gli utenti di un gruppo che usano un dispositivo iOS/iPadOS non gestito per connettersi a una sessione remota sono consentiti reindirizzamenti degli Appunti, ma gli stessi utenti che usano un dispositivo Android non gestito non sono consentiti reindirizzamenti degli Appunti. Per ottenere questo scenario:

  1. Assicurarsi che gli host di sessione o i PC cloud e le impostazioni dei pool di host siano configurati per consentire il reindirizzamento degli Appunti.

  2. Creare due filtri per dispositivi:

    1. Filtro del dispositivo per le app gestite per iOS e iPadOS, in cui il tipo di gestione dei dispositivi non è gestito.

    2. Filtro del dispositivo per le app gestite per Android, in cui il tipo di gestione dei dispositivi non è gestito.

  3. Creare due criteri di configurazione delle app:

    1. Criteri di configurazione delle app per le app gestite con reindirizzamento appunti abilitato. Assegnargli uno o più gruppi con il filtro per i dispositivi iOS o iPadOS non gestiti.

    2. Criteri di configurazione delle app per le app gestite con reindirizzamento appunti disabilitato. Assegnargli uno o più gruppi con il filtro per i dispositivi Android non gestiti.

  4. Creare criteri di protezione delle app, uno combinato per iOS/iPadOS e Android.

Ecco alcune impostazioni dei criteri consigliate da usare con Intune e l'accesso condizionale. Le impostazioni usate devono essere basate sulle proprie esigenze.

  • Intune:

    • Disabilitare tutto il reindirizzamento nei dispositivi personali.
    • Richiedere l'accesso al PIN all'app.
    • Blocca tastiere di terze parti.
    • Specificare una versione minima del sistema operativo del dispositivo.
    • Specificare un numero minimo di versione di App di Windows e/o dell'app Desktop remoto.
    • Bloccare i dispositivi jailbroken/rooted.
    • Richiedere una soluzione MTD (Mobile Threat Defense) nei dispositivi senza minacce rilevate.
  • Accesso condizionale:

    • Bloccare l'accesso a meno che non vengano soddisfatti i criteri impostati nei criteri di gestione delle applicazioni mobili di Intune.
    • Concedere l'accesso, richiedendo una o più delle opzioni seguenti:
      • Richiedere l'autenticazione a più fattori.
      • Richiedere un criterio di protezione delle app di Intune.

Prerequisiti

Prima di poter configurare le impostazioni di reindirizzamento in un dispositivo client usando Microsoft Intune e l'accesso condizionale, è necessario:

  • Un pool di host esistente con host di sessione o PC cloud.

  • Almeno un gruppo di sicurezza contenente gli utenti a cui applicare i criteri.

  • Per usare l'app Windows con dispositivi registrati in iOS e iPadOS, è necessario aggiungere ogni app a Intune dall'App Store. Per altre informazioni, vedere Aggiungere app dello Store iOS a Microsoft Intune.

  • Un dispositivo client che esegue una delle versioni seguenti di App di Windows o dell'app Desktop remoto:

    • Per App di Windows:

      • iOS/iPadOS: 11.0.4 o versione successiva.
      • Android: 1.0.145 o versione successiva.
    • App Desktop remoto:

      • Android 10.0.19.1279 o versioni successive.
  • La versione più recente di:

    • iOS/iPadOS: app Microsoft Authenticator
    • Android: Portale aziendale'app, installata nello stesso profilo dell'app Windows per i dispositivi personali. Entrambe le app nel profilo personale O entrambe le app nel profilo di lavoro.
  • Esistono altri prerequisiti di Intune per la configurazione dei criteri di configurazione delle app, dei criteri di protezione delle app e dei criteri di accesso condizionale. Per altre informazioni, vedi:

Importante

La funzionalità di gestione delle applicazioni mobili (MAM) di Intune non è attualmente supportata in Android 15 da Desktop remoto o app Windows (anteprima). MAM viene eseguito in versioni precedenti di Android. Il supporto per MAM in Android 15 per App Windows (anteprima) sarà supportato in una versione futura.

Creare un filtro app gestito

Creando un filtro app gestito, è possibile applicare le impostazioni di reindirizzamento solo quando i criteri impostati nel filtro vengono confrontati, consentendo di restringere l'ambito di assegnazione di un criterio. Se non si configura un filtro, le impostazioni di reindirizzamento si applicano a tutti gli utenti. Ciò che si specifica in un filtro dipende dai requisiti.

Per informazioni sui filtri e su come crearli, vedere Usare i filtri quando si assegnano app, criteri e profili in Microsoft Intune e Proprietà del filtro delle app gestite.

Creare criteri di configurazione delle app per i dispositivi gestiti

Per i dispositivi iOS e iPadOS registrati solo, è necessario creare criteri di configurazione delle app per i dispositivi gestiti per app Windows. Questo passaggio non è necessario per Android.

Per creare e applicare criteri di configurazione delle app per i dispositivi gestiti, seguire la procedura descritta in Aggiungere criteri di configurazione delle app per i dispositivi iOS/iPadOS gestiti e usare le impostazioni seguenti:

  • Nella scheda Informazioni di base selezionare App di Windows nell'elenco per l'app di destinazione. È necessario aver aggiunto l'app a Intune dall'App Store per visualizzarla in questo elenco.

  • Nella scheda Impostazioni, per l'elenco a discesa Formato impostazioni di configurazione selezionare Usa designer configurazione, quindi immettere le impostazioni seguenti esattamente come mostrato:

    Chiave di configurazione Tipo di valore Valore di configurazione
    IntuneMAMUPN String {{userprincipalname}}
    IntuneMAMOID String {{userid}}
    IntuneMAMDeviceID String {{deviceID}}
  • Nella scheda Assegnazioni assegnare i criteri al gruppo di sicurezza contenente gli utenti a cui applicare i criteri. È necessario applicare i criteri a un gruppo di utenti per rendere effettivo il criterio. Per ogni gruppo, è possibile selezionare facoltativamente un filtro in modo da essere più specifici nel targeting dei criteri di configurazione dell'app.

Creare criteri di configurazione delle app per le app gestite

È necessario creare criteri di configurazione delle app separati per le app gestite per app windows (iOS/iPadOS) e l'app Windows (anteprima) o l'app Desktop remoto (Android), che consente di specificare le impostazioni di configurazione. Non configurare android e iOS nello stesso criterio di configurazione o non sarà possibile configurare la destinazione dei criteri in base ai dispositivi gestiti e non gestiti.

Per creare e applicare criteri di configurazione delle app per le app gestite, seguire la procedura descritta in Criteri di configurazione delle app per le app gestite di Intune App SDK e usare le impostazioni seguenti:

  • Nella scheda Informazioni di base selezionare Seleziona app pubbliche, quindi cercare e selezionare Desktop remoto per Android e App Windows per iOS/iPadOS. Selezionare Seleziona app personalizzate, quindi digitare com.microsoft.rdc.androidx.beta nel campo Bundle o ID pacchetto in Altre app per Windows (anteprima) per Android.

  • Nella scheda Impostazioni espandere Impostazioni di configurazione generali, quindi immettere le coppie nome e valore seguenti per ogni impostazione di reindirizzamento che si desidera configurare esattamente come mostrato. Questi valori corrispondono alle proprietà RDP elencate in Proprietà RDP supportate, ma la sintassi è diversa:

    Nome Descrizione Valore
    audiocapturemode indica se il reindirizzamento dell'input audio è abilitato. 0: l'acquisizione audio dal dispositivo locale è disabilitata.

    1: l'acquisizione dell'audio dal dispositivo locale e il reindirizzamento a un'applicazione audio nella sessione remota sono abilitati.
    camerastoredirect Determina se il reindirizzamento della fotocamera è abilitato. 0: il reindirizzamento della fotocamera è disabilitato.

    1: il reindirizzamento della fotocamera è abilitato.
    drivestoredirect Determina se il reindirizzamento dell'unità disco è abilitato. 0: il reindirizzamento dell'unità disco è disabilitato.

    1: il reindirizzamento dell'unità disco è abilitato.
    redirectclipboard Determina se il reindirizzamento degli Appunti è abilitato. 0: il reindirizzamento degli Appunti nel dispositivo locale è disabilitato nella sessione remota.

    1: il reindirizzamento degli Appunti nel dispositivo locale è abilitato nella sessione remota.

    Ecco un esempio dell'aspetto delle impostazioni:

    Screenshot che mostra le coppie nome e valori di reindirizzamento in Intune.

  • Nella scheda Assegnazioni assegnare i criteri al gruppo di sicurezza contenente gli utenti a cui applicare i criteri. È necessario applicare i criteri a un gruppo di utenti per rendere effettivo il criterio. Per ogni gruppo, è possibile selezionare facoltativamente un filtro in modo da essere più specifici nel targeting dei criteri di configurazione dell'app.

Creare criteri di protezione delle app

È necessario creare criteri di protezione delle app separati per app di Windows (iOS/iPadOS) e l'app Desktop remoto (Android), che consentono di controllare l'accesso ai dati e la condivisione delle app nei dispositivi mobili. Non configurare android e iOS/iPadOS nello stesso criterio di protezione o non sarà possibile configurare la destinazione dei criteri in base ai dispositivi gestiti e non gestiti.

Per creare e applicare criteri di protezione delle app, seguire la procedura descritta in Come creare e assegnare criteri di protezione delle app e usare le impostazioni seguenti.

  • Nella scheda App selezionare Seleziona app pubbliche, quindi cercare e selezionare Desktop remoto per Android e App Windows per iOS/iPadOS. Selezionare Seleziona app personalizzate, quindi digitare com.microsoft.rdc.androidx.beta nel campo Bundle o ID pacchetto in Altre app per Windows (anteprima) per Android.

  • Nella scheda Protezione dati, solo le impostazioni seguenti sono rilevanti per App di Windows e l'app Desktop remoto. Le altre impostazioni non si applicano come App di Windows e l'app Desktop remoto interagiscono con l'host sessione e non con i dati nell'app. Nei dispositivi mobili, le tastiere non approvate sono una fonte di registrazione e furto di tasti.

    • Per iOS e iPadOS, è possibile configurare le impostazioni seguenti:

      • Limita le operazioni taglia, copia e incolla tra altre app
      • Tastiere di terze parti
    • Per Android, è possibile configurare le impostazioni seguenti:

      • Limita le operazioni taglia, copia e incolla tra altre app
      • Acquisizione di schermata e Assistente Google
      • Tastiere approvate

    Suggerimento

    Se si disabilita il reindirizzamento degli Appunti in un criterio di configurazione dell'app, è necessario impostare Limita taglia, copia e incolla tra altre app su Bloccato.

  • Nella scheda Avvio condizionale è consigliabile aggiungere le condizioni seguenti:

    Condizione Tipo di condizione Valore Azione
    Versione minima dell'app Condizione dell'app In base alle esigenze. Blocca accesso
    Versione minima del sistema operativo Condizione del dispositivo In base alle esigenze. Blocca accesso
    Servizio MTD primario Condizione del dispositivo In base alle esigenze.

    È necessario configurare il connettore MTD. Per Microsoft Defender per endpoint, configurare Microsoft Defender per endpoint in Intune.
    Blocca accesso
    Livello di minaccia massimo consentito del dispositivo Condizione del dispositivo Protetto Blocca accesso

    Per informazioni dettagliate sulla versione, vedere Novità dell'app di Windows e Novità del client Desktop remoto per Android e Chrome OS.

    Per altre informazioni sulle impostazioni disponibili, vedere Avvio condizionale nelle impostazioni dei criteri di protezione delle app iOS e Avvio condizionale nelle impostazioni dei criteri di protezione delle app Android.

  • Nella scheda Assegnazioni assegnare i criteri al gruppo di sicurezza contenente gli utenti a cui applicare i criteri. È necessario applicare i criteri a un gruppo di utenti per rendere effettivo il criterio. Per ogni gruppo, è possibile selezionare facoltativamente un filtro in modo da essere più specifici nel targeting dei criteri di configurazione dell'app.

Creare criteri di accesso condizionale

La creazione di un criterio di accesso condizionale consente di limitare l'accesso a una sessione remota solo quando vengono applicati criteri di protezione delle app con App di Windows e l'app Desktop remoto. Se si crea un secondo criterio di accesso condizionale, è anche possibile bloccare l'accesso usando un Web browser.

Per creare e applicare criteri di accesso condizionale, seguire i passaggi descritti in Configurare i criteri di accesso condizionale basato su app con Intune. Le impostazioni seguenti forniscono un esempio, ma è consigliabile modificarle in base alle esigenze:

  1. Per il primo criterio per concedere l'accesso a una sessione remota solo quando vengono applicati criteri di protezione delle app con App di Windows e l'app Desktop remoto:

    • Per Assegnazioni includere il gruppo di sicurezza contenente gli utenti a cui applicare i criteri. È necessario applicare i criteri a un gruppo di utenti per rendere effettivo il criterio.

    • Per Risorse di destinazione, selezionare per applicare i criteri alle app cloud, quindi per Includi, selezionare Selezionare le app. Cercare e selezionare Desktop virtuale Azure e Windows 365. Desktop virtuale Azure è presente nell'elenco solo se il provider di risorse è stato registratoMicrosoft.DesktopVirtualization in una sottoscrizione nel tenant di Microsoft Entra.

    • Per Condizioni:

      • Selezionare Piattaforme del dispositivo, quindi includere iOS e Android.
      • Selezionare App client, quindi includere App per dispositivi mobili e client desktop.
    • Per Controlli di accesso, selezionare Concedi accesso, quindi selezionare la casella Richiedi criteri di protezione delle app e selezionare il pulsante di opzione per Richiedi tutti i controlli selezionati.

    • Per Abilita criterio, impostarlo su On.

  2. Per il secondo criterio per bloccare l'accesso a una sessione remota tramite un Web browser:

    • Per Assegnazioni includere il gruppo di sicurezza contenente gli utenti a cui applicare i criteri. È necessario applicare i criteri a un gruppo di utenti per rendere effettivo il criterio.

    • Per Risorse di destinazione, selezionare per applicare i criteri alle app cloud, quindi per Includi, selezionare Selezionare le app. Cercare e selezionare Desktop virtuale Azure e Windows 365. Desktop virtuale Azure è presente nell'elenco solo se il provider di risorse è stato registratoMicrosoft.DesktopVirtualization in una sottoscrizione nel tenant di Microsoft Entra. L'app cloud per Windows 365 copre anche Microsoft Dev Box.

    • Per Condizioni:

      • Selezionare Piattaforme del dispositivo, quindi includere iOS e Android.
      • Selezionare App client, quindi includere Browser.
    • Per Controlli di accesso, selezionare Blocca accesso, quindi selezionare il pulsante di opzione per Richiedi tutti i controlli selezionati.

    • Per Abilita criterio, impostarlo su On.

Verificare la configurazione

Dopo aver configurato Intune per gestire il reindirizzamento dei dispositivi nei dispositivi personali, è possibile verificare la configurazione connettendosi a una sessione remota. Ciò che è necessario testare dipende dal fatto che i criteri configurati vengano applicati ai dispositivi registrati o non registrati, alle piattaforme e alle impostazioni di reindirizzamento e protezione dei dati impostate. Verificare che sia possibile eseguire solo le azioni che è possibile eseguire con le corrispondenze previste.

Problemi noti

  • Quando si creano criteri di configurazione delle app o criteri di protezione delle app per Android, Desktop remoto viene elencato due volte. Aggiungere entrambe le app. Questo verrà aggiornato a breve, quindi Desktop remoto viene visualizzato una sola volta.

  • App Di Windows (anteprima) verrà chiusa senza avviso se Portale aziendale e l'app di Windows non sono installate nello stesso profilo. La soluzione consiste nell'installare entrambe le app nel profilo personale OPPURE entrambe le app nel profilo di lavoro.