使用 Microsoft Intune 設定 Windows 應用程式和遠端桌面應用程式的用戶端裝置重新導向設定
重要
使用 Microsoft Intune 設定 Windows 應用程式和遠端桌面應用程式的重新導向設定,目前為預覽功能。 請參閱 Microsoft Azure 預覽版增補使用規定,以了解適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未正式發行的版本) 的法律條款。
提示
本文包含豐富的資訊,說明多項利用遠端桌面通訊協定 (RDP) 讓使用者從遠端存取 Windows 桌面和應用程式的產品。
從使用者的本機裝置將資源和周邊重新導向至從 Azure 虛擬桌面或 Windows 365 透過遠端桌面通訊協定 (RDP) 的遠端工作階段,例如剪貼簿、相機和音訊,通常由主機集區和其會話主機的集中設定所控管。 為 Windows 應用程式和遠端桌面應用程式設定用戶端裝置重新導向時,可搭配運用使用者本機裝置上的 Microsoft Intune 應用程式設定原則、應用程式防護原則,以及 Microsoft Entra 條件式存取。
這些功能可讓您實現下列案例:
根據您指定的準則,在更精細的層級套用重新導向設定。 例如,您可以根據使用者所屬的安全性群組、其使用裝置的作業系統,或使用者是否同時使用公司和個人裝置來存取遠端工作階段,而進行不同的設定。
提供多一層保護,以防止在主機集區或工作階段主機上設定不當的重新導向。
對 Windows 應用程式和遠端桌面應用程式套用額外的安全性設定,例如需要 PIN 碼、封鎖第三方鍵盤,以及在用戶端裝置上的其他應用程式之間限制剪下、複製和貼上作業。
如果用戶端裝置上的重新導向設定與 Azure 虛擬桌面的工作階段主機或 Windows 365 雲端電腦的主機集區 RDP 屬性發生衝突,將會採用兩者之間較嚴格的設定。 例如,如果工作階段主機不允許磁碟機重新導向,而用戶端裝置允許磁碟機重新導向,則不允許磁碟機重新導向。 如果工作階段主機和用戶端裝置上的重新導向設定相同,則會有一致的重新導向行為。
重要
在用戶端裝置上設定重新導向設定,並不會取代您根據自身需求為主機集區和工作階段主機所做的正確設定。 使用 Microsoft Intune 來設定 Windows 應用程式和遠端桌面應用程式,可能不適用於需要較高安全性層級的工作負載。
安全性需求較高的工作負載應該繼續在主機集區或工作階段主機設定重新導向,如此,主機集區的所有使用者都會有相同的重新導向設定。 建議使用資料外洩防護 (DLP) 解決方案,並盡可能在工作階段主機上停用重新導向,將資料遺失的機率降到最低。
概括而言,有三個領域可供設定:
Intune 應用程式設定原則:用來管理用戶端裝置上的 Windows 應用程式和遠端桌面應用程式的重新導向設定。 應用程式設定原則有兩種類型:受控應用程式原則用來管理應用程式的設定 (無論用戶端裝置是否已註冊),而受控裝置原則可進一步用來管理已註冊裝置上的設定。 使用篩選條件,根據特定準則將使用者設為目標。
Intune 應用程式防護原則:用來指定應用程式與用戶端裝置必須符合的安全性需求。 使用篩選條件,根據特定準則將使用者設為目標。
條件式存取原則:讓您僅根據是否符合應用程式設定原則和應用程式防護原則中設定的準則,來控制對 Azure 虛擬桌面和 Windows 365 的存取。
支援的平台和註冊類型
下表根據裝置平台和註冊類型顯示您可以管理的應用程式:
對於 Windows 應用程式:
| 裝置平台 | 受管理的裝置 | 非受控裝置 |
|---|---|---|
| iOS 和 iPadOS | 
|
|
對於遠端桌面應用程式:
| 裝置平台 | 受管理的裝置 | 非受控裝置 |
|---|---|---|
| iOS 和 iPadOS |
|
|
| Android |
|
|
範例案例
在篩選條件和原則中指定的值取決於您的個人需求,因此您必須判斷何者對您的組織最有利。 下列範例案例說明您需要哪些設定才能加以實現。
實例 1
從 Windows 公司裝置連線時,允許群組中的使用者進行磁碟機重新導向,但在 iOS/iPadOS 或 Android 公司裝置上不允許磁碟機重新導向。 若要實現此案例:
請確定您的工作階段主機或雲端電腦以及主機集區設定均設定為允許磁碟機重新導向。
為 iOS 和 iPadOS 的受控應用程式建立裝置篩選條件,並且為 Android 建立個別篩選條件。
針對 iOS 和 iPadOS,為受控裝置建立應用程式設定原則。
為已停用磁碟機重新導向的受控應用程式建立應用程式設定原則。 您可以為 iOS/iPadOS 和 Android 建立單一原則,或為 iOS/iPadOS 和 Android 建立個別的原則。
建立兩個應用程式防護原則,一個用於 iOS/iPadOS,另一個用於 Android。
案例 2
群組中的使用者若有執行最新版 Android 的 Android 裝置,則允許進行磁碟機重新導向,但相同使用者的裝置若執行較舊版本的 Android,則不允許進行磁碟機重新導向。 若要實現此案例:
請確定您的工作階段主機或雲端電腦以及主機集區設定均設定為允許磁碟機重新導向。
建立兩個裝置篩選條件:
Android 受控應用程式的裝置篩選條件,其中,版本設定為 Android 的最新版本號碼。
Android 受控應用程式的裝置篩選條件,其中,版本設定為早於最新版 Android 的版本號碼。
建立兩個應用程式組態原則:
已啟用磁碟機重新導向的受控應用程式的應用程式設定原則。 使用最新 Android 版本號碼的篩選條件,為其指派一或多個群組。
已停用磁碟機重新導向的受控應用程式的應用程式設定原則。 使用最舊 Android 版本號碼的篩選條件,為其指派一或多個群組。
建立一體適用於 iOS/iPadOS 和 Android 的應用程式防護原則。
案例 3
群組中的使用者若使用非受控 iOS/iPadOS 裝置連線至遠端工作階段,則允許進行剪貼簿重新導向,但相同的使用者若使用非受控 Android 裝置,則不允許進行剪貼簿重新導向。 若要實現此案例:
請確定您的工作階段主機或雲端電腦以及主機集區設定均設定為允許剪貼簿重新導向。
建立兩個裝置篩選條件:
iOS 和 iPadOS 受控應用程式的裝置篩選條件,其中的裝置管理類型為非受控。
Android 受控應用程式的裝置篩選條件,其中的裝置管理類型為非受控。
建立兩個應用程式組態原則:
已啟用剪貼簿重新導向的受控應用程式的應用程式設定原則。 使用非受控 iOS 或 iPadOS 裝置的篩選條件,為其指派一或多個群組。
已停用剪貼簿重新導向的受控應用程式的應用程式設定原則。 使用非受控 Android 裝置的篩選條件,為其指派一或多個群組。
建立一體適用於 iOS/iPadOS 和 Android 的應用程式防護原則。
建議的原則設定
以下是您的 Intune 和條件式存取所應使用的一些建議原則設定。 應使用的設定取決於您的個人需求。
Intune:
- 在個人裝置上停用所有重新導向。
- 需要 PIN 碼才能存取應用程式。
- 封鎖第三方鍵盤。
- 指定最低裝置作業系統版本。
- 指定最低 Windows 應用程式和/或遠端桌面應用程式版本號碼。
- 封鎖已進行 JB/Root 破解的裝置。
- 裝置上需要行動威脅防禦 (MTD) 解決方案,且未偵測到任何威脅。
條件式存取:
- 除非符合 Intune 行動應用程式管理原則中設定的準則,否則會封鎖存取。
- 授與存取權,需要下列一或多個選項:
- 需要多重要素驗證。
- 需要 Intune 應用程式防護原則。
必要條件
您必須具備下列項目,才能使用 Microsoft Intune 和條件式存取在用戶端裝置上設定重新導向設定:
具有工作階段主機或雲端電腦的現有主機集區。
至少一個有使用者要套用原則的安全性群組。
若要將遠端桌面應用程式用於 iOS 和 iPadOS 上已註冊的裝置,您必須從 App Store 將個別應用程式新增至 Intune。 如需詳細資訊,請參閱將 iOS 市集應用程式新增至 Microsoft Intune。
執行下列其中一個版本的 Windows 應用程式或遠端桌面應用程式的用戶端裝置:
對於 Windows 應用程式:
- iOS 和 iPadOS:10.5.2 或更新版本。
遠端桌面應用程式:
- iOS 和 iPadOS:10.5.8 或更新版本。
- Android:10.0.19.1279 或更新版本。
設定應用程式設定原則、應用程式防護原則和條件式存取原則時,還有更多 Intune 必要條件。 如需詳細資訊,請參閱
建立受控應用程式篩選條件
建立受控應用程式篩選條件後,您可以在符合設定於篩選條件中的準則時才套用重新導向設定,以便縮小原則的指派範圍。 若未設定篩選條件,則會對所有使用者套用重新導向設定。 在篩選條件中指定的內容,取決於您的個人需求。
若要了解篩選條件及其建立方式,請參閱在 Microsoft intune 中指派應用程式、原則和設定檔時使用篩選條件與受控應用程式篩選屬性。
建立受控裝置的應用程式設定原則
針對已註冊的 iOS 和 iPadOS 裝置,您必須為遠端桌面應用程式建立受控裝置的應用程式設定原則。
若要為受控裝置建立及套用應用程式設定原則,請遵循為受控 iOS/iPadOS 裝置新增應用程式設定原則中的步驟,並使用下列設定:
在 [基本] 索引標籤上,針對 [目標應用程式],從清單中選取 [遠端桌面行動] 應用程式。 應用程式必須已從 App Store 新增至 Intune,才會顯示在此清單中。
在 [設定] 索引標籤的 [組態設定格式] 下拉式清單中,選取 [使用設定設計工具],然後輸入下列設定,如下所示:
設定金鑰 值類型 組態值 IntuneMAMUPNString {{userprincipalname}}IntuneMAMOIDString {{userid}}IntuneMAMDeviceIDString {{deviceID}}在 [指派] 索引標籤上,將原則指派給要套用原則的使用者所屬的安全性群組。 您必須將原則套用至使用者群組,才能讓原則生效。 對於每個群組,您可以選擇性地選取篩選條件,以更具體地指定應用程式設定原則的目標。
建立受控應用程式的應用程式設定原則
您必須為 Windows 應用程式和遠端桌面應用程式建立受控應用程式的應用程式設定原則,以便提供組態設定。
若要為受控應用程式建立及套用應用程式設定原則,請遵循 Intune App SDK 受控應用程式的應用程式設定原則中的步驟,並使用下列設定:
在 [基本] 索引標籤上,根據您要以 Windows 應用程式還是遠端桌面應用程式為目標,執行下列動作
針對 Windows 應用程式,選取 [選取自訂應用程式],然後輸入
com.microsoft.rdc.apple作為 [套件組合或套件識別碼],並選取 [iOS/iPadOS] 作為平台。針對遠端桌面應用程式,選取 [選取公用應用程式],然後為要設為目標的每個平台搜尋並選取 [遠端桌面]。
在 [設定] 索引標籤上展開 [一般組態設定],然後為您要設定的每個重新導向設定輸入下列名稱/值組,如下所示。 這些值會對應至支援的 RDP 屬性所列的 RDP 屬性,但語法不同:
名稱 描述: 值 audiocapturemode指出是否啟用音訊輸入重新導向。 0:停用本機裝置的音訊擷取。1:啟用本機裝置的音訊擷取,以及重新導向至遠端工作階段中的音訊應用程式。camerastoredirect決定是否啟用剪貼簿重新導向。 0:停用相機重新導向。1:啟用相機重新導向。drivestoredirect判斷是否啟用磁碟機重新導向。 0:停用磁碟機重新導向。1:啟用磁碟機重新導向。redirectclipboard決定是否啟用剪貼簿重新導向。 0:在遠端工作階段中停用本機裝置上的剪貼簿重新導向。1:在遠端工作階段中啟用本機裝置上的剪貼簿重新導向。以下範例顯示設定的外觀:
在 [指派] 索引標籤上,將原則指派給要套用原則的使用者所屬的安全性群組。 您必須將原則套用至使用者群組,才能讓原則生效。 對於每個群組,您可以選擇性地選取篩選條件,以更具體地指定應用程式設定原則的目標。
建立應用程式防護原則
您必須為 Windows 應用程式和遠端桌面應用程式建立應用程式防護原則,以控制行動裝置上的應用程式存取及共用資料的方式。
若要建立及套用應用程式防護原則,請遵循如何建立和指派應用程式防護原則中的步驟,並使用下列設定。 您必須為要設為目標的每個平台建立應用程式防護原則。
在 [應用程式] 索引標籤上,根據您要以 Windows 應用程式還是遠端桌面應用程式為目標,執行下列動作
針對 iOS/iPadOS 上的 Windows 應用程式,選取 [選取自訂應用程式],然後輸入
com.microsoft.rdc.apple作為 [套件組合或套件識別碼]。針對遠端桌面應用程式,選取 [選取公用應用程式],然後搜尋並選取 [遠端桌面]。
在 [資料保護] 索引標籤上,只有下列設定適用於 Windows 應用程式和遠端桌面應用程式。 其他設定並不適用,因為 Windows 應用程式和遠端桌面應用程式會與工作階段主機互動,而不是與應用程式中的資料互動。 在行動裝置上,未經核准的鍵盤是按鍵輸入記錄和竊取的源頭。
對於 iOS 和 iPadOS,您可以進行下列設定:
- 限制其他應用程式之間的剪下、複製和貼上
- 第三方鍵盤
對於 Android,您可以進行下列設定:
- 限制其他應用程式之間的剪下、複製和貼上
- 螢幕擷取和 Google Assistant
- 核准的鍵盤
提示
如果您在應用程式設定原則中停用了剪貼簿重新導向,則應將 [限制其他應用程式之間的剪下、複製和貼上] 設定為 [已封鎖]。
在 [條件式啟動] 索引標籤上,建議您新增下列條件:
Condition 條件類型 值 動作 最低應用程式版本 應用程式條件 根據您的需求。 封鎖存取 最低作業系統版本 裝置狀況 根據您的需求。 封鎖存取 主要 MTD 服務 裝置狀況 根據您的需求。
您必須設定 MTD 連接器。 針對適用於端點的 Microsoft Defender,請在 Intune 中設定適用於端點的 Defender Microsoft。封鎖存取 允許的裝置威脅等級上限 裝置狀況 受保護 封鎖存取 如需版本詳細資料,請參閱 Windows 應用程式的新功能、iOS 和 iPadOS 遠端桌面用戶端的新功能,以及 Android 和 Chrome OS 遠端桌面用戶端的新功能。
如需可用設定的詳細資訊,請參閱 iOS 應用程式防護原則設定中的條件式啟動和 Android 應用程式防護原則設定中的條件式啟動。
在 [指派] 索引標籤上,將原則指派給要套用原則的使用者所屬的安全性群組。 您必須將原則套用至使用者群組,才能讓原則生效。 對於每個群組,您可以選擇性地選取篩選條件,以更具體地指定應用程式設定原則的目標。
建立條件式存取原則
建立條件式存取原則可讓您限定只有在 Windows 應用程式和遠端桌面應用程式套用了應用程式防護原則時,才可存取遠端工作階段。 如果建立了第二個條件式存取原則,您也可以封鎖使用網頁瀏覽器的存取。
若要建立及套用條件式存取原則,請遵循使用 Intune 設定以應用程式為基礎的條件式存取原則中的步驟。 下列設定提供了範例,但您應根據自己的需求加以調整:
若要讓第一個原則只有在 Windows 應用程式和遠端桌面應用程式套用了應用程式防護原則時,才允許存取遠端工作階段:
針對 [指派],指定要套用原則的使用者所屬的安全性群組。 您必須將原則套用至使用者群組,才能讓原則生效。
針對 [目標資源],選取將原則套用至 [雲端應用程式],然後針對 [包含] 選取 [選取應用程式]。 搜尋並選取 [Azure 虛擬桌面] 和 [Windows 365]。 您必須在 Microsoft Entra 租用戶中的訂用帳戶上註冊
Microsoft.DesktopVirtualization資源提供者,清單中才會顯示 Azure 虛擬桌面。針對 [條件]:
- 選取 [裝置平台],然後包含 iOS 和 Android。
- 選取 [用戶端應用程式],然後包含 [行動應用程式和桌面用戶端]。
針對 [存取控制] 選取 [授與存取權],然後核取 [需要應用程式防護原則] 的方塊,並選取 [需要所有選取的控制項] 的選項按鈕。
將 [啟用原則] 設定為 [開啟]。
若要讓第二個原則封鎖使用網頁瀏覽器對遠端工作階段的存取:
針對 [指派],指定要套用原則的使用者所屬的安全性群組。 您必須將原則套用至使用者群組,才能讓原則生效。
針對 [目標資源],選取將原則套用至 [雲端應用程式],然後針對 [包含] 選取 [選取應用程式]。 搜尋並選取 [Azure 虛擬桌面] 和 [Windows 365]。 您必須在 Microsoft Entra 租用戶中的訂用帳戶上註冊
Microsoft.DesktopVirtualization資源提供者,清單中才會顯示 Azure 虛擬桌面。 Windows 365 的雲端應用程式也涵蓋 Microsoft 開發箱。針對 [條件]:
- 選取 [裝置平台],然後包含 iOS 和 Android。
- 選取 [用戶端應用程式],然後包含 [瀏覽器]。
針對 [存取控制] 選取 [封鎖存取],然後選取 [需要所有選取的控制項] 的選項按鈕。
將 [啟用原則] 設定為 [開啟]。
驗證設定
現在,您已設定用 Intune 來管理個人裝置上的裝置重新導向,可以連線至遠端工作階段來驗證您的設定。 您應測試的項目,取決於您設定的原則是要套用至已註冊還是未註冊的裝置、哪些平台,以及您所設定的重新導向和資料保護設定。 請確認您只能執行符合預期的動作。
已知問題
使用 Microsoft Intune 在用戶端裝置上設定 Windows 應用程式和遠端桌面應用程式的重新導向設定時,會有下列限制:
- 為 iOS 和 iPadOS 上的遠端桌面應用程式或 Windows 應用程式設定用戶端裝置重新導向時,多重要素驗證 (MFA) 要求可能會陷於迴圈中。 發生此問題的常見情況是,遠端桌面應用程式或 Windows 應用程式執行於已註冊 Intune 的 iPhone 上,而在登入遠端桌面應用程式或 Windows 應用程式時,使用了相同的 iPhone 接收來自 Microsoft Authenticator 應用程式的 MFA 要求。 若要解決此問題,請在與用來接收 MFA 要求的裝置 (例如 iPhone) 不同的裝置 (例如 iPad) 上使用遠端桌面應用程式或 Windows 應用程式。