Konfigurace přesměrování čipové karty přes protokol RDP (Remote Desktop Protocol)

Tip

Tento článek je sdílený pro služby a produkty, které k poskytování vzdáleného přístupu k plochám a aplikacím windows používají protokol RDP (Remote Desktop Protocol).

Výběrem produktu pomocí tlačítek v horní části tohoto článku zobrazíte příslušný obsah.

Přes protokol RDP (Remote Desktop Protocol) můžete nakonfigurovat chování přesměrování zařízení čipových karet z místního zařízení do vzdálené relace.

Pro Azure Virtual Desktop doporučujeme povolit přesměrování čipových karet na hostitelích relací pomocí Microsoft Intune nebo Zásady skupiny a pak řídit přesměrování pomocí vlastností protokolu RDP fondu hostitelů.

Pro Windows 365 můžete cloudové počítače nakonfigurovat pomocí Microsoft Intune nebo Zásady skupiny.

Pro Microsoft Dev Box můžete vývojáři nakonfigurovat pomocí Microsoft Intune nebo Zásady skupiny.

Tento článek obsahuje informace o podporovaných metodách přesměrování a o tom, jak nakonfigurovat chování přesměrování u zařízení s čipovými kartami. Další informace o tom, jak přesměrování funguje, najdete v tématu Přesměrování přes protokol Remote Desktop Protocol.

Požadavky

Před konfigurací přesměrování čipové karty potřebujete:

• Existující fond hostitelů s hostiteli relací

• Účet Microsoft Entra ID přiřazený minimálně předdefinovaným rolím řízení přístupu na základě role (RBAC) přispěvatele fondu hostitelů virtualizace plochy ve fondu hostitelů.

• Existující Cloud PC.

• Existující vývojový box

• Zařízení s čipovou kartou, které je dostupné na místním zařízení.

• Ke konfiguraci Microsoft Intune potřebujete:

  • Microsoft Entra ID účtu, kterému je přiřazena integrovaná role Správce zásad a profilů RBAC.
  • Skupina obsahující zařízení, která chcete nakonfigurovat.

• Ke konfiguraci Zásady skupiny potřebujete:

  • Účet domény, který má oprávnění k vytváření nebo úpravám objektů Zásady skupiny.
  • Skupina zabezpečení nebo organizační jednotka obsahující zařízení, která chcete nakonfigurovat.

• Musíte se připojit ke vzdálené relaci z podporované aplikace a platformy. Pokud chcete zobrazit podporu přesměrování v Windows App a v aplikaci Vzdálená plocha, přečtěte si článek Porovnání funkcí Windows App na různých platformách a zařízeních a Porovnání funkcí aplikace Vzdálená plocha na různých platformách a zařízeních.

Přesměrování čipové karty

Konfigurace hostitele relace pomocí Microsoft Intune nebo Zásady skupiny nebo nastavení vlastnosti protokolu RDP ve fondu hostitelů určuje možnost přesměrovávání zařízení čipových karet z místního zařízení do vzdálené relace, která podléhá pořadí priority.

Výchozí konfigurace je:

• Operační systém Windows: Přesměrování čipové karty není blokováno.
• Vlastnosti fondu hostitelů Azure Virtual Desktopu RDP: Zařízení s čipovou kartou se přesměrují z místního zařízení do vzdálené relace.
• Výsledné výchozí chování: Zařízení s čipovou kartou se přesměrují z místního zařízení do vzdálené relace.

Důležité

Při konfiguraci nastavení přesměrování buďte obezřetní, protože nejvíce omezujícím nastavením je výsledné chování. Pokud například zakážete přesměrování čipové karty na hostiteli relace s Microsoft Intune nebo Zásady skupiny, ale povolíte ho pomocí vlastnosti RDP fondu hostitelů, přesměrování se zakáže.

Konfigurace cloudového počítače řídí možnost přesměrovávání zařízení čipových karet z místního zařízení do vzdálené relace a nastavuje se pomocí Microsoft Intune nebo Zásady skupiny.

Výchozí konfigurace je:

• Operační systém Windows: Přesměrování čipové karty není blokováno.
• Windows 365: Přesměrování čipové karty je povolené.
• Výsledné výchozí chování: Zařízení s čipovou kartou se přesměrují z místního zařízení do vzdálené relace.

Konfigurace vývojového pole řídí možnost přesměrovávání zařízení čipových karet z místního zařízení do vzdálené relace a nastavuje se pomocí Microsoft Intune nebo Zásady skupiny.

Výchozí konfigurace je:

• Operační systém Windows: Přesměrování čipové karty není blokováno.
• Microsoft Dev Box: Přesměrování čipové karty je povolené.
• Výsledné výchozí chování: Zařízení s čipovou kartou se přesměrují z místního zařízení do vzdálené relace.

Konfigurace přesměrování zařízení čipové karty pomocí vlastností protokolu RDP fondu hostitelů

Nastavení přesměrování čipové karty ve fondu hostitelů Azure Virtual Desktopu určuje, jestli se má čipová karta přesměrovat z místního zařízení do vzdálené relace. Odpovídající vlastnost RDP je redirectsmartcards:i:<value>. Další informace najdete v tématu Podporované vlastnosti protokolu RDP.

Konfigurace přesměrování čipové karty pomocí vlastností protokolu RDP fondu hostitelů:

1. Přihlaste se na portál Microsoft Azure.

2. Do vyhledávacího panelu zadejte Azure Virtual Desktop a vyberte odpovídající položku služby.

3. Vyberte Fondy hostitelů a pak vyberte fond hostitelů, který chcete nakonfigurovat.

4. Vyberte Vlastnosti protokolu RDP a pak vyberte Přesměrování zařízení.

   

5. V části Přesměrování čipové karty vyberte rozevírací seznam a pak vyberte jednu z následujících možností:

   • Zařízení čipové karty v místním počítači není ve vzdálené relaci k dispozici
   • Zařízení s čipovou kartou v místním počítači je dostupné ve vzdálené relaci (výchozí)
   • Nenakonfigurováno

6. Vyberte Uložit.

7. Pokud chcete otestovat konfiguraci, připojte se ke vzdálené relaci a pak použijte aplikaci nebo web, který vyžaduje čipovou kartu. Ověřte, že je čipová karta dostupná a funguje podle očekávání.

Konfigurace přesměrování zařízení čipové karty pomocí Microsoft Intune nebo Zásady skupiny

Konfigurace přesměrování zařízení čipové karty pomocí Microsoft Intune nebo Zásady skupiny

Vyberte kartu relevantní pro váš scénář.

Microsoft Intune

Pokud chcete povolit nebo zakázat přesměrování zařízení pomocí čipové karty pomocí Microsoft Intune:

1. Přihlaste se k Centru pro správu Microsoft 365.

2. Vytvořte nebo upravte konfigurační profil pro Windows 10 a novější zařízení s typem profilu katalogu Nastavení.

3. Ve výběru nastavení přejděte na Šablony> pro správuSoučásti>systému Windows Vzdálená plocha Vzdálená>plocha Vzdálené plochy Zařízení hostitele> relacea Přesměrování prostředků.

   

4. Zaškrtněte políčko Nepovolit přesměrování zařízení pomocí čipové karty a pak zavřete výběr nastavení.

5. Rozbalte kategorii Šablony pro správu a pak v závislosti na vašich požadavcích přepněte přepínač na Nepovolit přesměrování zařízení s čipovou kartou:

   • Pokud chcete povolit přesměrování zařízení s čipovou kartou, přepněte přepínač na Zakázáno.

   • Pokud chcete přesměrování zařízení pomocí čipové karty zakázat, přepněte přepínač na Povoleno.

6. Vyberte Další.

7. Volitelné: Na kartě Značky oboru vyberte značku oboru, která profil vyfiltruje. Další informace najdete v: Použití řízení přístupu na základě role (RBAC) a značek oboru pro distribuované IT.

8. Na kartě Přiřazení vyberte skupinu obsahující počítače poskytující vzdálenou relaci, kterou chcete nakonfigurovat, a pak vyberte Další.

9. Na kartě Zkontrolovat a vytvořit zkontrolujte nastavení a pak vyberte Vytvořit.

10. Jakmile se zásada použije pro počítače poskytující vzdálenou relaci, restartujte je, aby se nastavení projevilo.

Zásady skupiny

Povolení nebo zakázání přesměrování zařízení pomocí čipové karty pomocí Zásady skupiny:

1. Otevřete konzolu pro správu Zásady skupiny na zařízení, které používáte ke správě domény služby Active Directory.

2. Vytvořte nebo upravte zásadu, která cílí na počítače poskytující vzdálenou relaci, kterou chcete nakonfigurovat.

3. Přejděte naZásady>konfigurace> počítačeŠablony pro správu>Součásti>systému Windows Vzdálená plocha Vzdálená>plocha Hostitel>zařízení relace vzdálené plochy a přesměrování prostředků.

   

4. Poklikejte na nastavení zásad Nepovolit přesměrování zařízení pomocí čipové karty .

   • Pokud chcete povolit přesměrování zařízení pomocí čipové karty, vyberte Zakázáno nebo Nenakonfigurováno a pak vyberte OK.

   • Pokud chcete zakázat přesměrování zařízení s čipovou kartou, vyberte Povoleno a pak vyberte OK.

5. Ujistěte se, že jsou zásady použity na počítače poskytující vzdálenou relaci, a pak je restartujte, aby se nastavení projevilo.

Test přesměrování čipové karty

Testování přesměrování čipové karty:

1. Připojte se ke vzdálené relaci pomocí aplikace Windows nebo vzdálené plochy na platformě, která podporuje přesměrování čipových karet. Další informace najdete v tématech Porovnání funkcí Windows App mezi platformami a zařízeními aPorovnání funkcí aplikace Vzdálená plocha napříč platformami a zařízeními.

2. Zkontrolujte, jestli jsou vaše čipové karty dostupné ve vzdálené relaci. Ve vzdálené relaci na příkazovém řádku nebo na příkazovém řádku PowerShellu spusťte následující příkaz.

   certutil -scinfo
   

   Pokud přesměrování čipové karty funguje, výstup se spustí podobně jako následující výstup:

   The Microsoft Smart Card Resource Manager is running.
   Current reader/card status:
   Readers: 2
     0: Windows Hello for Business 1
     1: Yubico YubiKey OTP+FIDO+CCID 0
   --- Reader: Windows Hello for Business 1
   --- Status: SCARD_STATE_PRESENT | SCARD_STATE_INUSE
   --- Status: The card is being shared by a process.
   ---   Card: Identity Device (Microsoft Generic Profile)
   ---    ATR:
           aa bb cc dd ee ff 00 11  22 33 44 55 66 77 88 99   ;.........AB12..
           ab                                                 .
   
   --- Reader: Yubico YubiKey OTP+FIDO+CCID 0
   --- Status: SCARD_STATE_PRESENT | SCARD_STATE_UNPOWERED
   --- Status: The card is available for use.
   ---   Card: Identity Device (NIST SP 800-73 [PIV])
   ---    ATR:
           aa bb cc dd ee ff 00 11  22 33 44 55 66 77 88 99   ;.........34yz..
           ab                                                 .
   
   [continued...]
   

3. Otevřete a použijte aplikaci nebo web, který vyžaduje vaši čipovou kartu. Ověřte, že je čipová karta dostupná a funguje podle očekávání.

Související obsah

• Přesměrování přes protokol RDP (Remote Desktop Protocol).
• Podporované vlastnosti protokolu RDP
• Porovnejte Windows App funkce napříč platformami a zařízeními.
• Porovnejte funkce aplikace Vzdálená plocha na různých platformách a zařízeních.