Konfigurowanie przekierowywania kart inteligentnych za pośrednictwem protokołu Remote Desktop Protocol
Napiwek
Ten artykuł jest udostępniany dla usług i produktów korzystających z protokołu RDP (Remote Desktop Protocol) w celu zapewnienia dostępu zdalnego do pulpitów i aplikacji systemu Windows.
Wybierz produkt przy użyciu przycisków w górnej części tego artykułu, aby wyświetlić odpowiednią zawartość.
Można skonfigurować zachowanie przekierowania urządzeń kart inteligentnych z urządzenia lokalnego do sesji zdalnej za pośrednictwem protokołu RDP (Remote Desktop Protocol).
W przypadku usługi Azure Virtual Desktop zalecamy włączenie przekierowywania kart inteligentnych na hostach sesji przy użyciu usługi Microsoft Intune lub zasad grupy, a następnie kontrolowanie przekierowania przy użyciu właściwości protokołu RDP puli hostów.
W przypadku systemu Windows 365 można skonfigurować komputery w chmurze przy użyciu usługi Microsoft Intune lub zasad grupy.
W przypadku usługi Microsoft Dev Box można skonfigurować pola deweloperskie przy użyciu usługi Microsoft Intune lub zasad grupy.
Ten artykuł zawiera informacje o obsługiwanych metodach przekierowywania i sposobie konfigurowania zachowania przekierowania dla urządzeń kart inteligentnych. Aby dowiedzieć się więcej o sposobie działania przekierowania, zobacz Przekierowanie za pośrednictwem protokołu Remote Desktop Protocol.
Wymagania wstępne
Aby można było skonfigurować przekierowywanie kart inteligentnych, potrzebne są następujące elementy:
Istniejąca pula hostów z hostami sesji.
Konto Microsoft Entra ID, które jest przypisane wbudowane role kontroli dostępu opartej na rolach (RBAC) w puli hostów wirtualizacji pulpitu jako co najmniej.
- Istniejący komputer w chmurze.
- Istniejące pole deweloperskie.
Urządzenie karty inteligentnej dostępne na urządzeniu lokalnym.
Do skonfigurowania usługi Microsoft Intune potrzebne są następujące elementy:
- Konto identyfikatora Entra firmy Microsoft przypisane do wbudowanej roli RBAC menedżera zasad i profilu.
- Grupa zawierająca urządzenia, które chcesz skonfigurować.
Aby skonfigurować zasady grupy, potrzebne są następujące elementy:
- Konto domeny z uprawnieniami do tworzenia lub edytowania obiektów zasad grupy.
- Grupa zabezpieczeń lub jednostka organizacyjna zawierająca urządzenia, które chcesz skonfigurować.
Musisz nawiązać połączenie z sesją zdalną z obsługiwanej aplikacji i platformy. Aby wyświetlić obsługę przekierowania w aplikacji systemu Windows i aplikacji pulpitu zdalnego, zobacz Porównanie funkcji aplikacji systemu Windows na różnych platformach i urządzeniach oraz Porównanie funkcji aplikacji pulpitu zdalnego na różnych platformach i urządzeniach.
Przekierowywanie kart inteligentnych
Konfiguracja hosta sesji przy użyciu usługi Microsoft Intune lub zasad grupy lub ustawienie właściwości RDP w puli hostów określa możliwość przekierowywania urządzeń kart inteligentnych z urządzenia lokalnego do sesji zdalnej, która podlega kolejności priorytetów.
Domyślna konfiguracja to:
- System operacyjny Windows: przekierowywanie kart inteligentnych nie jest blokowane.
- Właściwości protokołu RDP puli hostów usługi Azure Virtual Desktop: urządzenia kart inteligentnych są przekierowywane z urządzenia lokalnego do sesji zdalnej.
- Wynikowe zachowanie domyślne: urządzenia kart inteligentnych są przekierowywane z urządzenia lokalnego do sesji zdalnej.
Ważne
Podczas konfigurowania ustawień przekierowania należy zachować ostrożność, ponieważ najbardziej restrykcyjne ustawienie to wynikowe zachowanie. Jeśli na przykład wyłączysz przekierowywanie kart inteligentnych na hoście sesji za pomocą usługi Microsoft Intune lub zasad grupy, ale włączysz je z właściwością RDP puli hostów, przekierowanie jest wyłączone.
Konfiguracja komputera w chmurze określa możliwość przekierowywania urządzeń kart inteligentnych z urządzenia lokalnego do sesji zdalnej i jest ustawiana przy użyciu usługi Microsoft Intune lub zasad grupy.
Domyślna konfiguracja to:
- System operacyjny Windows: przekierowywanie kart inteligentnych nie jest blokowane.
- Windows 365: przekierowywanie kart inteligentnych jest włączone.
- Wynikowe zachowanie domyślne: urządzenia kart inteligentnych są przekierowywane z urządzenia lokalnego do sesji zdalnej.
Konfiguracja urządzenia deweloperskiego określa możliwość przekierowywania urządzeń kart inteligentnych z urządzenia lokalnego do sesji zdalnej i jest ustawiana przy użyciu usługi Microsoft Intune lub zasad grupy.
Domyślna konfiguracja to:
- System operacyjny Windows: przekierowywanie kart inteligentnych nie jest blokowane.
- Microsoft Dev Box: przekierowywanie kart inteligentnych jest włączone.
- Wynikowe zachowanie domyślne: urządzenia kart inteligentnych są przekierowywane z urządzenia lokalnego do sesji zdalnej.
Konfigurowanie przekierowywania urządzeń kart inteligentnych przy użyciu właściwości protokołu RDP puli hostów
Ustawienie przekierowania karty inteligentnej w puli hostów usługi Azure Virtual Desktop określa, czy przekierowywać kartę inteligentną z urządzenia lokalnego do sesji zdalnej. Odpowiadająca właściwość protokołu RDP to redirectsmartcards:i:<value>. Aby uzyskać więcej informacji, zobacz Obsługiwane właściwości protokołu RDP.
Aby skonfigurować przekierowywanie kart inteligentnych przy użyciu właściwości protokołu RDP puli hostów:
Zaloguj się w witrynie Azure Portal.
Na pasku wyszukiwania wpisz Azure Virtual Desktop i wybierz pasujący wpis usługi.
Wybierz pozycję Pule hostów, a następnie wybierz pulę hostów, którą chcesz skonfigurować.
Wybierz pozycję Właściwości protokołu RDP, a następnie wybierz pozycję Przekierowywanie urządzenia.
W obszarze Przekierowanie karty inteligentnej wybierz listę rozwijaną, a następnie wybierz jedną z następujących opcji:
- Urządzenie karty inteligentnej na komputerze lokalnym nie jest dostępne w sesji zdalnej
- Urządzenie karty inteligentnej na komputerze lokalnym jest dostępne w sesji zdalnej (ustawienie domyślne)
- Nieskonfigurowane
Wybierz pozycję Zapisz.
Aby przetestować konfigurację, połącz się z sesją zdalną, a następnie użyj aplikacji lub witryny internetowej wymagającej karty inteligentnej. Sprawdź, czy karta inteligentna jest dostępna i działa zgodnie z oczekiwaniami.
Konfigurowanie przekierowywania urządzeń kart inteligentnych przy użyciu usługi Microsoft Intune lub zasad grupy
Konfigurowanie przekierowywania urządzeń kart inteligentnych przy użyciu usługi Microsoft Intune lub zasad grupy
Wybierz odpowiednią kartę dla danego scenariusza.
Aby zezwolić na przekierowywanie lub wyłączyć przekierowywanie urządzeń kart inteligentnych przy użyciu usługi Microsoft Intune:
Zaloguj się do centrum administracyjnego usługi Microsoft Intune.
Utwórz lub edytuj profil konfiguracji dla urządzeń z systemem Windows 10 lub nowszym z typem profilu wykazu ustawień.
W selektorze ustawień przejdź do szablonów>administracyjnych Składniki>pulpitu zdalnego usług>pulpitu zdalnego hosta urządzenia hosta>i przekierowania zasobów.
Zaznacz pole wyboru Nie zezwalaj na przekierowywanie urządzenia kart inteligentnych, a następnie zamknij selektor ustawień.
Rozwiń kategorię Szablony administracyjne, a następnie przełącz przełącznik Nie zezwalaj na przekierowywanie urządzeń kart inteligentnych w zależności od wymagań:
Aby zezwolić na przekierowywanie urządzeń kart inteligentnych, przełącz przełącznik na Wyłączone, a następnie wybierz przycisk OK.
Aby wyłączyć przekierowywanie urządzeń kart inteligentnych, przełącz przełącznik na Włączone, a następnie wybierz przycisk OK.
Wybierz Dalej.
Opcjonalnie: na karcie Tagi zakresu wybierz tag zakresu, aby filtrować profil. Aby uzyskać więcej informacji na temat tagów zakresu, zobacz Use role-based access control (RBAC) and scope tags for distributed IT (Use role-based access control, RBAC) and scope tags for distributed IT (Use role-based access control) and scope tags for distributed IT (Use role-based access control, RBAC) and scope tags for distributed IT (
Na karcie Przypisania wybierz grupę zawierającą komputery udostępniające sesję zdalną, którą chcesz skonfigurować, a następnie wybierz przycisk Dalej.
Na karcie Przeglądanie + tworzenie przejrzyj ustawienia, a następnie wybierz pozycję Utwórz.
Gdy zasady zostaną zastosowane do komputerów dostarczających sesję zdalną, uruchom je ponownie, aby ustawienia zaczęły obowiązywać.
Testowanie przekierowania kart inteligentnych
Aby przetestować przekierowywanie kart inteligentnych:
Połącz się z sesją zdalną przy użyciu aplikacji okna lub aplikacji pulpitu zdalnego na platformie obsługującej przekierowywanie kart inteligentnych. Aby uzyskać więcej informacji, zobacz Porównanie funkcji aplikacji systemu Windows na różnych platformach i urządzeniach oraz Porównanie funkcji aplikacji pulpitu zdalnego na różnych platformach i urządzeniach.
Sprawdź, czy karty inteligentne są dostępne w sesji zdalnej. Uruchom następujące polecenie w sesji zdalnej w wierszu polecenia lub w wierszu polecenia programu PowerShell.
certutil -scinfoJeśli przekierowanie karty inteligentnej działa, dane wyjściowe są podobne do następujących danych wyjściowych:
The Microsoft Smart Card Resource Manager is running. Current reader/card status: Readers: 2 0: Windows Hello for Business 1 1: Yubico YubiKey OTP+FIDO+CCID 0 --- Reader: Windows Hello for Business 1 --- Status: SCARD_STATE_PRESENT | SCARD_STATE_INUSE --- Status: The card is being shared by a process. --- Card: Identity Device (Microsoft Generic Profile) --- ATR: aa bb cc dd ee ff 00 11 22 33 44 55 66 77 88 99 ;.........AB12.. ab . --- Reader: Yubico YubiKey OTP+FIDO+CCID 0 --- Status: SCARD_STATE_PRESENT | SCARD_STATE_UNPOWERED --- Status: The card is available for use. --- Card: Identity Device (NIST SP 800-73 [PIV]) --- ATR: aa bb cc dd ee ff 00 11 22 33 44 55 66 77 88 99 ;.........34yz.. ab . [continued...]Otwórz aplikację lub witrynę internetową, która wymaga karty inteligentnej. Sprawdź, czy karta inteligentna jest dostępna i działa zgodnie z oczekiwaniami.