Configurare il reindirizzamento di smart card tramite Remote Desktop Protocol
Suggerimento
Questo articolo viene condiviso per servizi e prodotti che usano Remote Desktop Protocol (RDP) per fornire l'accesso remoto a desktop e applicazioni Windows.
Selezionare un prodotto usando i pulsanti nella parte superiore di questo articolo per visualizzare il contenuto pertinente.
È possibile configurare il comportamento di reindirizzamento dei dispositivi smart card da un dispositivo locale a una sessione remota tramite Remote Desktop Protocol (RDP).
Per Desktop virtuale Azure, è consigliabile abilitare il reindirizzamento delle smart card negli host di sessione usando Microsoft Intune o Criteri di gruppo, quindi controllare il reindirizzamento usando le proprietà RDP del pool di host.
Per Windows 365, è possibile configurare i PC cloud usando Microsoft Intune o Criteri di gruppo.
Per Microsoft Dev Box, è possibile configurare le caselle di sviluppo usando Microsoft Intune o Criteri di gruppo.
Questo articolo fornisce informazioni sui metodi di reindirizzamento supportati e su come configurare il comportamento di reindirizzamento per i dispositivi smart card. Per altre informazioni sul funzionamento del reindirizzamento, vedere Reindirizzamento tramite Remote Desktop Protocol.
Prerequisiti
Prima di poter configurare il reindirizzamento smart card, è necessario:
Pool di host esistente con host di sessione.
Un account Microsoft Entra ID assegnato come minimo ai ruoli RBAC (Desktop Virtualization Host Pool Contributor ) predefiniti del controllo degli accessi in base al ruolo nel pool di host.
- Un CLOUD PC esistente.
- Una casella di sviluppo esistente.
Un dispositivo smart card disponibile nel dispositivo locale.
Per configurare Microsoft Intune, è necessario:
- Account MICROSOFT Entra ID assegnato al ruolo predefinito Controllo degli accessi in base al ruolo di Policy e Profile Manager .
- Gruppo contenente i dispositivi da configurare.
Per configurare Criteri di gruppo, è necessario:
- Un account di dominio autorizzato a creare o modificare oggetti Criteri di gruppo.
- Un gruppo di sicurezza o un'unità organizzativa contenente i dispositivi da configurare.
È necessario connettersi a una sessione remota da un'app e una piattaforma supportate. Per visualizzare il supporto del reindirizzamento nell'app Di Windows e nell'app Desktop remoto, vedi Confrontare le funzionalità delle app di Windows tra piattaforme e dispositivi e Confrontare le funzionalità delle app Desktop remoto tra piattaforme e dispositivi.
Reindirizzamento di smart card
La configurazione di un host di sessione tramite Microsoft Intune o Criteri di gruppo o l'impostazione di una proprietà RDP in un pool di host determina la possibilità di reindirizzare i dispositivi smart card da un dispositivo locale a una sessione remota, soggetta a un ordine di priorità.
La configurazione predefinita è:
- Sistema operativo Windows: il reindirizzamento della smart card non è bloccato.
- Proprietà RDP del pool di host di Desktop virtuale Azure: i dispositivi smart card vengono reindirizzati dal dispositivo locale alla sessione remota.
- Comportamento predefinito risultante: i dispositivi smart card vengono reindirizzati dal dispositivo locale alla sessione remota.
Importante
Prestare attenzione quando si configurano le impostazioni di reindirizzamento come impostazione più restrittiva è il comportamento risultante. Ad esempio, se si disabilita il reindirizzamento della smart card in un host di sessione con Microsoft Intune o Criteri di gruppo, ma abilitarlo con la proprietà RDP del pool di host, il reindirizzamento è disabilitato.
La configurazione di un PC cloud controlla la possibilità di reindirizzare i dispositivi smart card da un dispositivo locale a una sessione remota e viene impostata usando Microsoft Intune o Criteri di gruppo.
La configurazione predefinita è:
- Sistema operativo Windows: il reindirizzamento della smart card non è bloccato.
- Windows 365: il reindirizzamento delle smart card è abilitato.
- Comportamento predefinito risultante: i dispositivi smart card vengono reindirizzati dal dispositivo locale alla sessione remota.
La configurazione di una finestra di sviluppo regola la possibilità di reindirizzare i dispositivi smart card da un dispositivo locale a una sessione remota e viene impostata usando Microsoft Intune o Criteri di gruppo.
La configurazione predefinita è:
- Sistema operativo Windows: il reindirizzamento della smart card non è bloccato.
- Microsoft Dev Box: il reindirizzamento smart card è abilitato.
- Comportamento predefinito risultante: i dispositivi smart card vengono reindirizzati dal dispositivo locale alla sessione remota.
Configurare il reindirizzamento dei dispositivi smart card usando le proprietà RDP del pool di host
L'impostazione del pool di host di Desktop virtuale Azure controlla se reindirizzare smart card da un dispositivo locale a una sessione remota. La proprietà RDP corrispondente è redirectsmartcards:i:<value>. Per altre informazioni, vedere Proprietà RDP supportate.
Per configurare il reindirizzamento delle smart card usando le proprietà RDP del pool di host:
Accedere al portale di Azure.
Nella barra di ricerca digitare Desktop virtuale Azure e selezionare la voce del servizio corrispondente.
Selezionare Pool di host, quindi selezionare il pool di host da configurare.
Selezionare Proprietà RDP, quindi selezionare Reindirizzamento del dispositivo.
Per Reindirizzamento smart card selezionare l'elenco a discesa, quindi selezionare una delle opzioni seguenti:
- Il dispositivo smart card nel computer locale non è disponibile nella sessione remota
- Il dispositivo smart card nel computer locale è disponibile nella sessione remota (impostazione predefinita)
- Non configurato
Seleziona Salva.
Per testare la configurazione, connettersi a una sessione remota, quindi usare un'applicazione o un sito Web che richiede la smart card. Verificare che la smart card sia disponibile e funzioni come previsto.
Configurare il reindirizzamento dei dispositivi smart card usando Microsoft Intune o Criteri di gruppo
Configurare il reindirizzamento dei dispositivi smart card usando Microsoft Intune o Criteri di gruppo
Selezionare la scheda pertinente per lo scenario.
Per consentire o disabilitare il reindirizzamento dei dispositivi smart card tramite Microsoft Intune:
Accedere all'interfaccia di amministrazione di Microsoft Intune.
Creare o modificare un profilo di configurazione per dispositivi Windows 10 e versioni successive, con il tipo di profilo Catalogo impostazioni.
Nella selezione impostazioni passare a Modelli amministrativi>Componenti di Windows Servizi>>Desktop remoto Host>sessione Desktop remoto Dispositivo e Reindirizzamento risorse.
Selezionare la casella Non consentire il reindirizzamento del dispositivo smart card, quindi chiudere la selezione impostazioni.
Espandere la categoria Modelli amministrativi , quindi attivare o disattivare l'opzione per Non consentire il reindirizzamento dei dispositivi smart card, a seconda dei requisiti:
Per consentire il reindirizzamento dei dispositivi smart card, attivare o disattivare l'opzione su Disabilitato, quindi selezionare OK.
Per disabilitare il reindirizzamento del dispositivo smart card, attivare o disattivare l'opzione su Abilitato, quindi selezionare OK.
Selezionare Avanti.
Facoltativo: nella scheda Tag di ambito selezionare un tag di ambito per filtrare il profilo. Per altre informazioni sui tag di ambito, vedere Usare il controllo degli accessi in base al ruolo (RBAC) e i tag di ambito per l'IT distribuito.
Nella scheda Assegnazioni selezionare il gruppo contenente i computer che forniscono una sessione remota da configurare, quindi selezionare Avanti.
Nella scheda Rivedi + crea rivedere le impostazioni e selezionare Crea.
Una volta applicati i criteri ai computer che forniscono una sessione remota, riavviarli per rendere effettive le impostazioni.
Testare il reindirizzamento delle smart card
Per testare il reindirizzamento delle smart card:
Connettersi a una sessione remota usando l'app Window o l'app Desktop remoto in una piattaforma che supporta il reindirizzamento di smart card. Per altre informazioni, vedere Confrontare le funzionalità delle app Di Windows tra piattaforme e dispositivi e Confrontare le funzionalità delle app Desktop remoto tra piattaforme e dispositivi.
Verificare che le smart card siano disponibili nella sessione remota. Eseguire il comando seguente nella sessione remota nel prompt dei comandi o da un prompt di PowerShell.
certutil -scinfoSe il reindirizzamento della smart card funziona, l'output inizia in modo simile all'output seguente:
The Microsoft Smart Card Resource Manager is running. Current reader/card status: Readers: 2 0: Windows Hello for Business 1 1: Yubico YubiKey OTP+FIDO+CCID 0 --- Reader: Windows Hello for Business 1 --- Status: SCARD_STATE_PRESENT | SCARD_STATE_INUSE --- Status: The card is being shared by a process. --- Card: Identity Device (Microsoft Generic Profile) --- ATR: aa bb cc dd ee ff 00 11 22 33 44 55 66 77 88 99 ;.........AB12.. ab . --- Reader: Yubico YubiKey OTP+FIDO+CCID 0 --- Status: SCARD_STATE_PRESENT | SCARD_STATE_UNPOWERED --- Status: The card is available for use. --- Card: Identity Device (NIST SP 800-73 [PIV]) --- ATR: aa bb cc dd ee ff 00 11 22 33 44 55 66 77 88 99 ;.........34yz.. ab . [continued...]Aprire e usare un'applicazione o un sito Web che richiede la smart card. Verificare che la smart card sia disponibile e funzioni come previsto.