Configurar o redirecionamento de cartão inteligente por meio do protocolo RDP
Dica
Este artigo é compartilhado com serviços e produtos que usam o protocolo RDP (RDP) para fornecer acesso remoto a áreas de trabalho e aplicativos do Windows.
Selecione um produto usando os botões na parte superior deste artigo para mostrar o conteúdo relevante.
Você pode configurar o comportamento do redirecionamento de dispositivos de cartão inteligente de um dispositivo local para uma sessão remota por meio do protocolo RDP.
No caso da Área de Trabalho Virtual do Azure, recomendamos habilitar o redirecionamento de cartão inteligente nos hosts da sessão usando o Microsoft Intune ou a Política de Grupo e controlar o redirecionamento usando as propriedades do protocolo RDP do pool de host.
Para o Windows 365, você pode configurar seus PCs na nuvem usando o Microsoft Intune ou a Política de Grupo.
Para o Computador de Desenvolvimento da Microsoft, você pode configurar seus computadores de desenvolvimento usando o Microsoft Intune ou a Política de Grupo.
Este artigo traz informações sobre os métodos de redirecionamento com suporte e como configurar o comportamento do redirecionamento para dispositivos de cartão inteligente. Para saber mais sobre como o redirecionamento funciona, confira Redirecionamento por meio do protocolo RDP.
Pré-requisitos
Para configurar o redirecionamento de cartão inteligente, você precisa do seguinte:
Um pool de hosts existente com os hosts da sessão.
Uma conta do Microsoft Entra ID que recebe as funções internas RBAC (controle de acesso baseado em função) do Colaborador do Pool de Hosts de Virtualização da Área de Trabalho no pool de hosts, no mínimo.
- Um PC na nuvem existente.
- Um computador de desenvolvimento existente.
Um dispositivo de cartão inteligente disponível no dispositivo local.
Para configurar o Microsoft Intune, você precisa do seguinte:
- Uma conta do Microsoft Entra ID atribuída à função interna RBAC do Gerenciador de Políticas e Perfis.
- Um grupo que contém os dispositivos que você deseja configurar.
Para configurar a Política de Grupo, você precisa do seguinte:
- Uma conta de domínio que tenha permissão para criar ou editar objetos da Política de Grupo.
- Um grupo de segurança ou uma UO (unidade organizacional) contendo os dispositivos que você deseja configurar.
Você precisa se conectar a uma sessão remota de um aplicativo e uma plataforma com suporte. Para ver o suporte ao redirecionamento no aplicativo do Windows e no aplicativo da Área de Trabalho Remota, confira Comparar os recursos do aplicativo do Windows entre plataformas e dispositivos e Comparar recursos do aplicativo da Área de Trabalho Remota entre plataformas e dispositivos.
Redirecionamento de cartão inteligente
A configuração de um host da sessão usando o Microsoft Intune ou a Política de Grupo ou a configuração de uma propriedade do protocolo RDP em um pool de host controla a capacidade de redirecionar dispositivos de cartão inteligente de um dispositivo local para uma sessão remota, o que está sujeito a uma ordem de prioridade.
A configuração padrão é:
- Sistema operacional Windows: o redirecionamento de cartão inteligente não está bloqueado.
- Propriedades do protocolo RDP do pool de host da Área de Trabalho Virtual do Azure: os dispositivos de cartão inteligente são redirecionados do dispositivo local para a sessão remota.
- Comportamento padrão resultante: os dispositivos de cartão inteligente são redirecionados do dispositivo local para a sessão remota.
Importante
Tenha cuidado ao configurar as configurações de redirecionamento, pois a configuração mais restritiva é o comportamento resultante. Por exemplo, se você desabilitar o redirecionamento de cartão inteligente em um host da sessão com o Microsoft Intune ou a Política de Grupo, mas habilitá-lo com a propriedade do protocolo RDP do pool de host, o redirecionamento será desabilitado.
A configuração de um PC na nuvem controla a capacidade de redirecionar dispositivos de cartão inteligente de um dispositivo local para uma sessão remota e é definida com o Microsoft Intune ou a Política de Grupo.
A configuração padrão é:
- Sistema operacional Windows: o redirecionamento de cartão inteligente não está bloqueado.
- Windows 365: o redirecionamento de cartão inteligente está habilitado.
- Comportamento padrão resultante: os dispositivos de cartão inteligente são redirecionados do dispositivo local para a sessão remota.
A configuração de um computador de desenvolvimento controla a capacidade de redirecionar dispositivos de cartão inteligente de um dispositivo local para uma sessão remota e é definida com o Microsoft Intune ou a Política de Grupo.
A configuração padrão é:
- Sistema operacional Windows: o redirecionamento de cartão inteligente não está bloqueado.
- Computador de Desenvolvimento da Microsoft: o redirecionamento de cartão inteligente está habilitado.
- Comportamento padrão resultante: os dispositivos de cartão inteligente são redirecionados do dispositivo local para a sessão remota.
Configurar o redirecionamento de dispositivo de cartão inteligente usando as propriedades do protocolo RDP do pool de host
A configuração redirecionamento de cartão inteligente do pool de hosts da Área de Trabalho Virtual do Azure controla se o cartão inteligente será redirecionado de um dispositivo local para uma sessão remota. A propriedade do protocolo RDP correspondente é redirectsmartcards:i:<value>
. Para obter mais informações, confira Propriedades do RDP com suporte.
Para configurar o redirecionamento de cartão inteligente usando as propriedades do protocolo RDP do pool de host:
Entre no portal do Azure.
Na barra de pesquisa, digite Área de Trabalho Virtual do Azure e selecione a entrada de serviço correspondente.
Selecione Pools de host e, em seguida, selecione o pool de hosts que você deseja configurar.
Selecione Propriedades do RDP e, em seguida, escolha Redirecionamento de dispositivo.
Em redirecionamento de cartão inteligente, selecione a lista suspensa e escolha uma das seguintes opções:
- O dispositivo de cartão inteligente no computador local não está disponível na sessão remota
- O dispositivo de cartão inteligente no computador local está disponível na sessão remota (padrão)
- Não configurado
Selecione Salvar.
Para testar a configuração, conecte-se a uma sessão remota e use um aplicativo ou um site que exija seu cartão inteligente. Verifique se o cartão inteligente está disponível e funciona conforme o esperado.
Configurar o redirecionamento de dispositivo de cartão inteligente usando o Microsoft Intune ou a Política de Grupo
Configurar o redirecionamento de dispositivo de cartão inteligente usando o Microsoft Intune ou a Política de Grupo
Selecione a guia relevante ao seu cenário.
Para permitir ou desabilitar o redirecionamento de dispositivo de cartão inteligente usando o Microsoft Intune:
Crie ou edite um perfil de configuração para dispositivos Windows 10 e posteriores com o tipo de perfil Catálogo de configurações.
No seletor de configurações, navegue até Modelos Administrativos>Componentes do Windows>Serviços de Área de Trabalho Remota>Host de Sessão de Área de Trabalho Remota>Redirecionamento de Dispositivos e Recursos.
Marque a caixa para Não permitir o redirecionamento do dispositivo de cartão inteligente e feche o seletor de configurações.
Expanda a categoria Modelos administrativos e, em seguida, alterne o seletor para Não permitir o redirecionamento de dispositivos de cartão inteligente, dependendo dos seus requisitos:
Para permitir o redirecionamento do dispositivo de cartão inteligente, alterne o seletor para Desabilitado e selecione OK.
Para desabilitar o redirecionamento do dispositivo de cartão inteligente, alterne o seletor para Habilitado e selecione OK.
Selecione Avançar.
Opcional: na guia Marcas de escopo, selecione uma marca de escopo para filtrar o perfil. Saiba mais sobre marcas de escopo, confira Usar RBAC (controle de acesso baseado em função) e marcas de escopo para TI distribuída.
Na guia Atribuições, selecione o grupo que contém os computadores que fornecem uma sessão remota que você deseja configurar e selecione Avançar.
Na guia Revisar + criar, revise as configurações e selecione Criar.
Depois que a política se aplicar aos computadores que fornecem uma sessão remota, reinicie-os para que as configurações entrem em vigor.
Testar o redirecionamento de cartão inteligente
Para testar o redirecionamento de cartão inteligente:
Conecte-se a uma sessão remota usando o aplicativo do Windows ou o aplicativo da Área de Trabalho Remota em uma plataforma que dê suporte ao redirecionamento de cartão inteligente. Para obter mais informações, confira Comparar recursos do aplicativo do Windows entre plataformas e dispositivos e Comparar os recursos do aplicativo de Área de Trabalho Remota em plataformas e dispositivos.
Verifique se os cartões inteligentes estão disponíveis na sessão remota. Execute o comando a seguir na sessão remota no prompt de comando ou em um prompt do PowerShell.
certutil -scinfo
Se o redirecionamento de cartão inteligente estiver funcionando, a saída será semelhante à seguinte:
The Microsoft Smart Card Resource Manager is running. Current reader/card status: Readers: 2 0: Windows Hello for Business 1 1: Yubico YubiKey OTP+FIDO+CCID 0 --- Reader: Windows Hello for Business 1 --- Status: SCARD_STATE_PRESENT | SCARD_STATE_INUSE --- Status: The card is being shared by a process. --- Card: Identity Device (Microsoft Generic Profile) --- ATR: aa bb cc dd ee ff 00 11 22 33 44 55 66 77 88 99 ;.........AB12.. ab . --- Reader: Yubico YubiKey OTP+FIDO+CCID 0 --- Status: SCARD_STATE_PRESENT | SCARD_STATE_UNPOWERED --- Status: The card is available for use. --- Card: Identity Device (NIST SP 800-73 [PIV]) --- ATR: aa bb cc dd ee ff 00 11 22 33 44 55 66 77 88 99 ;.........34yz.. ab . [continued...]
Abra e use um aplicativo ou um site que exija seu cartão inteligente. Verifique se o cartão inteligente está disponível e funciona conforme o esperado.