Konfigurace nastavení přesměrování klientských zařízení pro aplikaci pro Windows a aplikaci Vzdálená plocha pomocí Microsoft Intune

Důležité

Konfigurace nastavení přesměrování pro aplikaci pro Windows a aplikace Vzdálená plocha pomocí Microsoft Intune je aktuálně ve verzi PREVIEW. Právní podmínky, které platí pro funkce Azure, které jsou ve verzi beta, verzi Preview nebo které zatím nejsou veřejně dostupné, najdete v Dodatečných podmínkách použití pro Microsoft Azure verze Preview.

Tip

Tento článek obsahuje informace pro více produktů, které používají protokol RDP (Remote Desktop Protocol) k poskytování vzdáleného přístupu k desktopům a aplikacím Windows.

Přesměrování prostředků a periferních zařízení z místního zařízení uživatele na vzdálenou relaci z Azure Virtual Desktopu nebo Windows 365 pomocí protokolu RDP (Remote Desktop Protocol), jako je schránka, kamera a zvuk, se obvykle řídí centrální konfigurací fondu hostitelů a hostitelů relací. Přesměrování klientských zařízení se konfiguruje pro aplikaci pro Windows a aplikaci Vzdálená plocha pomocí kombinace zásad konfigurace aplikací Microsoft Intune, zásad ochrany aplikací a podmíněného přístupu Microsoft Entra na místním zařízení uživatele.

Tyto funkce umožňují dosáhnout následujících scénářů:

• Nastavení přesměrování použijte na podrobnější úrovni na základě zadaných kritérií. Můžete například chtít mít různá nastavení v závislosti na tom, ve které skupině zabezpečení je uživatel, operační systém zařízení, které používá, nebo pokud uživatelé používají firemní i osobní zařízení pro přístup ke vzdálené relaci.

• Poskytněte další vrstvu ochrany před chybně nakonfigurovaným přesměrováním na fondu hostitelů nebo hostitele relace.

• U aplikací pro Windows a aplikací Vzdálená plocha můžete použít další nastavení zabezpečení, například vyžadovat PIN kód, blokovat klávesnice třetích stran a omezit operace vyjmutí, kopírování a vkládání mezi jinými aplikacemi na klientském zařízení.

Pokud nastavení přesměrování na klientském zařízení koliduje s vlastnostmi protokolu RDP fondu hostitelů a hostitelem relace pro Azure Virtual Desktop nebo Cloud PC pro Windows 365, projeví se omezující nastavení mezi těmito dvěma zařízeními. Pokud například hostitel relace zakáže přesměrování jednotky a klientské zařízení povolí přesměrování jednotky, přesměrování jednotky je zakázáno. Pokud jsou nastavení přesměrování na hostiteli relace i na klientském zařízení stejné, chování přesměrování je konzistentní.

Důležité

Konfigurace nastavení přesměrování na klientském zařízení není náhradou za správnou konfiguraci fondů hostitelů a hostitelů relací na základě vašich požadavků. Použití Microsoft Intune ke konfiguraci aplikace pro Windows a aplikace Vzdálená plocha nemusí být vhodné pro úlohy vyžadující vyšší úroveň zabezpečení.

Úlohy s vyššími požadavky na zabezpečení by měly i nadále nastavovat přesměrování u fondu hostitelů nebo hostitele relací, kdy by všichni uživatelé fondu hostitelů měli stejnou konfiguraci přesměrování. Doporučuje se řešení ochrany před únikem informací a přesměrování by se mělo zakázat na hostitelích relací, kdykoli je to možné, aby se minimalizovaly příležitosti ke ztrátě dat.

Na vysoké úrovni existují tři oblasti, které je potřeba nakonfigurovat:

• Zásady konfigurace aplikací Intune: Slouží ke správě nastavení přesměrování pro aplikaci pro Windows a aplikace Vzdálená plocha na klientském zařízení. Existují dva typy zásad konfigurace aplikací; Zásady spravovaných aplikací slouží ke správě nastavení aplikace, ať už je klientské zařízení zaregistrované nebo nezaregistrované, a zásady spravovaných zařízení se používají k správě nastavení na zaregistrovaných zařízeních. Pomocí filtrů můžete cílit na uživatele na základě konkrétních kritérií.

• Zásady ochrany aplikací Intune: Slouží k určení požadavků na zabezpečení, které musí aplikace a klientské zařízení splnit. Pomocí filtrů můžete cílit na uživatele na základě konkrétních kritérií.

• Zásady podmíněného přístupu: Slouží k řízení přístupu k Azure Virtual Desktopu a Windows 365 jenom v případě, že jsou splněna kritéria nastavená v zásadách konfigurace aplikací a zásadách ochrany aplikací.

Podporované platformy a typy registrací

Následující tabulka ukazuje, kterou aplikaci můžete spravovat na základě platformy zařízení a typu registrace:

Aplikace pro Windows:

Platforma zařízení	Spravovaná zařízení	Nespravovaná zařízení
iOS a iPadOS

Pro aplikaci Vzdálená plocha:

Platforma zařízení	Spravovaná zařízení	Nespravovaná zařízení
iOS a iPadOS
Android

Ukázkové scénáře

Hodnoty, které zadáte v filtrech a zásadách, závisí na vašich požadavcích, takže je potřeba určit, co je pro vaši organizaci nejvhodnější. Tady je několik ukázkových scénářů, které je potřeba nakonfigurovat, abyste je dosáhli.

Scénář 1

Uživatelé ve skupině mají povolené přesměrování jednotek při připojování z podnikového zařízení s Windows, ale přesměrování jednotky je na podnikovém zařízení s iOSem/iPadOS nebo Androidem zakázané. K dosažení tohoto scénáře:

1. Ujistěte se, že jsou hostitelé relací nebo cloudové počítače a nastavení fondů hostitelů nakonfigurované tak, aby umožňovalo přesměrování jednotky.

2. Vytvořte filtr zařízení pro spravované aplikace pro iOS a iPadOS a samostatný filtr pro Android.

3. Jenom pro iOS a iPadOS vytvořte zásady konfigurace aplikací pro spravovaná zařízení.

4. Vytvořte zásadu konfigurace aplikace pro spravované aplikace se zakázaným přesměrováním jednotky. Můžete vytvořit jednu zásadu pro iOS/iPadOS i Android nebo vytvořit samostatnou zásadu pro iOS/iPadOS a Android.

5. Vytvořte dvě zásady ochrany aplikací, jednu pro iOS/iPadOS a jednu pro Android.

Scénář 2

Uživatelé ve skupině, která má zařízení s Androidem s nejnovější verzí Androidu, mají povolené přesměrování jednotek, ale stejní uživatelé, na kterých běží starší verze Androidu, jsou nepovolení přesměrování disku. K dosažení tohoto scénáře:

1. Ujistěte se, že jsou hostitelé relací nebo cloudové počítače a nastavení fondů hostitelů nakonfigurované tak, aby umožňovalo přesměrování jednotky.

2. Vytvořte dva filtry zařízení:

   1. Filtr zařízení pro spravované aplikace pro Android, kde je verze nastavená na nejnovější číslo verze Androidu.

   2. Filtr zařízení pro spravované aplikace pro Android, kde je verze nastavená na číslo verze starší než nejnovější verze Androidu.

3. Vytvořte dvě zásady konfigurace aplikací:

   1. Zásady konfigurace aplikací pro spravované aplikace s povoleným přesměrováním jednotky Přiřaďte jí jednu nebo více skupin s filtrem pro nejnovější číslo verze Androidu.

   2. Zásady konfigurace aplikací pro spravované aplikace se zakázaným přesměrováním jednotky Přiřaďte jí jednu nebo více skupin s filtrem pro starší číslo verze Androidu.

4. Vytvořte zásady ochrany aplikací v kombinaci pro iOS/iPadOS a Android.

Scénář 3

Uživatelé ve skupině používající nespravované zařízení s iOS/iPadOS pro připojení ke vzdálené relaci mají povolené přesměrování schránky, ale stejní uživatelé, kteří používají nespravované zařízení s Androidem, jsou nepovolení přesměrování schránky. K dosažení tohoto scénáře:

1. Ujistěte se, že jsou hostitelé relací nebo cloudové počítače a nastavení fondů hostitelů nakonfigurované tak, aby umožňovalo přesměrování schránky.

2. Vytvořte dva filtry zařízení:

   1. Filtr zařízení pro spravované aplikace pro iOS a iPadOS, kde je typ správy zařízení nespravovaný.

   2. Filtr zařízení pro spravované aplikace pro Android, kde je typ správy zařízení nespravovaný.

3. Vytvořte dvě zásady konfigurace aplikací:

   1. Zásady konfigurace aplikací pro spravované aplikace s povoleným přesměrováním schránky Přiřaďte jí jednu nebo více skupin s filtrem pro nespravovaná zařízení s iOSem nebo iPadOS.

   2. Zásady konfigurace aplikací pro spravované aplikace se zakázaným přesměrováním schránky Přiřaďte jí jednu nebo více skupin s filtrem pro nespravovaná zařízení s Androidem.

4. Vytvořte zásady ochrany aplikací v kombinaci pro iOS/iPadOS a Android.

Doporučená nastavení zásad

Tady je několik doporučených nastavení zásad, která byste měli použít s Intune a podmíněným přístupem. Nastavení, která používáte, by měla být založená na vašich požadavcích.

• Intune:

  • Zakažte všechna přesměrování na osobních zařízeních.
  • Vyžadovat přístup PIN k aplikaci.
  • Blokování klávesnic třetích stran
  • Zadejte minimální verzi operačního systému zařízení.
  • Zadejte minimální číslo verze aplikace pro Windows nebo vzdálené plochy.
  • Blokovat zařízení s jailbreakem nebo rootem
  • Vyžadovat řešení ochrany před mobilními hrozbami (MTD) na zařízeních bez zjištěných hrozeb.

• Podmíněný přístup:

  • Blokovat přístup, pokud nejsou splněna kritéria nastavená v zásadách správy mobilních aplikací Intune.
  • Udělte přístup, který vyžaduje jednu nebo více následujících možností:
    • Vyžadovat vícefaktorové ověřování.
    • Vyžaduje zásadu ochrany aplikací Intune.

Požadavky

Před konfigurací nastavení přesměrování na klientském zařízení pomocí Microsoft Intune a podmíněného přístupu potřebujete:

• Existující fond hostitelů s hostiteli relací nebo cloudovými počítači.

• Alespoň jedna skupina zabezpečení obsahující uživatele, na které se zásady použijí.

• Pokud chcete používat aplikaci Vzdálená plocha s zaregistrovanými zařízeními v iOSu a iPaduOS, musíte přidat každou aplikaci do Intune z App Storu. Další informace najdete v tématu Přidání aplikací z obchodu pro iOS do Microsoft Intune.

• Klientské zařízení s některou z následujících verzí aplikace pro Windows nebo aplikace Vzdálená plocha:

  • Aplikace pro Windows:

    • iOS a iPadOS: 10.5.2 nebo novější.

  • Aplikace Vzdálená plocha:

    • iOS a iPadOS: 10.5.8 nebo novější.
    • Android: 10.0.19.1279 nebo novější.

• Existují další požadavky Intune pro konfiguraci zásad konfigurace aplikací, zásad ochrany aplikací a zásad podmíněného přístupu. Další informace naleznete v tématu:

  • Zásady konfigurace aplikací pro Microsoft Intune
  • Jak vytvořit a přiřadit zásady ochrany aplikací
  • Použijte zásady podmíněného přístupu založené na aplikacích s Intune.

Vytvoření filtru spravované aplikace

Když vytvoříte filtr spravované aplikace, můžete použít nastavení přesměrování jenom v případě, že se kritéria nastavená ve filtru shodují a umožní vám zúžit rozsah přiřazení zásad. Pokud filtr nenakonfigurujete, nastavení přesměrování platí pro všechny uživatele. To, co zadáte ve filtru, závisí na vašich požadavcích.

Informace o filtrech a jejich vytváření najdete v tématu Použití filtrů při přiřazování aplikací, zásad a profilů ve vlastnostech filtru spravovaných aplikací v Microsoft Intune.

Vytvoření zásad konfigurace aplikace pro spravovaná zařízení

Pro zařízení s iOSem a iPadOS, která jsou zaregistrovaná jenom, je potřeba vytvořit zásady konfigurace aplikací pro spravovaná zařízení pro aplikaci Vzdálená plocha.

Pokud chcete vytvořit a použít zásady konfigurace aplikací pro spravovaná zařízení, postupujte podle pokynů v tématu Přidání zásad konfigurace aplikací pro spravovaná zařízení s iOS/iPadOS a použijte následující nastavení:

• Na kartě Základy pro cílovou aplikaci vyberte ze seznamu aplikaci Vzdálená plocha Mobile. Aplikaci musíte přidat do Intune z App Storu, aby se zobrazila v tomto seznamu.

• Na kartě Nastavení vyberte v rozevíracím seznamu Formát nastavení konfigurace možnost Použít návrháře konfigurace a zadejte následující nastavení přesně tak, jak je znázorněno:

  Klíč konfigurace	Typ hodnoty	Hodnota konfigurace
  IntuneMAMUPN	String	{{userprincipalname}}
  IntuneMAMOID	Řetězcové	{{userid}}
  IntuneMAMDeviceID	Řetězcové	{{deviceID}}

• Na kartě Přiřazení přiřaďte zásadu skupině zabezpečení obsahující uživatele, na které se mají zásady použít. Zásady musíte použít pro skupinu uživatelů, aby se zásady projevily. Pro každou skupinu můžete volitelně vybrat filtr, který bude konkrétnější v cílení zásad konfigurace aplikace.

Vytvoření zásad konfigurace aplikací pro spravované aplikace

Potřebujete vytvořit zásadu konfigurace aplikace pro spravované aplikace pro aplikaci pro Windows a aplikaci Vzdálená plocha, která umožňuje zadat nastavení konfigurace.

Pokud chcete vytvořit a použít zásady konfigurace aplikací pro spravované aplikace, postupujte podle kroků v zásadách konfigurace aplikací pro spravované aplikace Intune App SDK a použijte následující nastavení:

• Na kartě Základy proveďte následující kroky v závislosti na tom, jestli cílíte na aplikaci pro Windows nebo na aplikaci Vzdálená plocha.

  • V případě aplikace pro Windows vyberte Vybrat vlastní aplikace a pak jako ID balíčku zadejte com.microsoft.rdc.apple a pro platformu vyberte iOS/iPadOS.

  • V případě aplikace Vzdálená plocha vyberte Vybrat veřejné aplikace a pak vyhledejte a vyberte Vzdálenou plochu pro každou platformu, na kterou chcete cílit.

• Na kartě Nastavení rozbalte položku Obecné nastavení konfigurace a zadejte následující páry názvů a hodnot pro každé nastavení přesměrování, které chcete nakonfigurovat přesně tak, jak je znázorněno. Tyto hodnoty odpovídají vlastnostem protokolu RDP uvedeným v podporovaných vlastnostech protokolu RDP, ale syntaxe se liší:

  Název	Popis	Hodnota
  audiocapturemode	Určuje, jestli je povolené přesměrování zvukového vstupu.	0: Záznam zvuku z místního zařízení je zakázaný. 1: Je povolen záznam zvuku z místního zařízení a přesměrování do zvukové aplikace ve vzdálené relaci.
  camerastoredirect	Určuje, jestli je povolené přesměrování fotoaparátu.	0: Přesměrování kamery je zakázané. 1: Je povolené přesměrování fotoaparátu.
  drivestoredirect	Určuje, zda je povolené přesměrování diskové jednotky.	0: Přesměrování diskové jednotky je zakázané. 1: Je povoleno přesměrování diskové jednotky.
  redirectclipboard	Určuje, jestli je povolené přesměrování schránky.	0: Přesměrování schránky na místním zařízení je ve vzdálené relaci zakázané. 1: Přesměrování schránky na místním zařízení je povolené ve vzdálené relaci.

  Tady je příklad, jak by nastavení mělo vypadat:

  

• Na kartě Přiřazení přiřaďte zásadu skupině zabezpečení obsahující uživatele, na které se mají zásady použít. Zásady musíte použít pro skupinu uživatelů, aby se zásady projevily. Pro každou skupinu můžete volitelně vybrat filtr, který bude konkrétnější v cílení zásad konfigurace aplikace.

Vytvoření zásad ochrany aplikací

Potřebujete vytvořit zásady ochrany aplikací pro aplikaci pro Windows a aplikaci Vzdálená plocha, které umožňují řídit, jak se k datům přistupuje a sdílí aplikace na mobilních zařízeních.

Pokud chcete vytvořit a použít zásady ochrany aplikací, postupujte podle pokynů v tématu Vytvoření a přiřazení zásad ochrany aplikací a použití následujících nastavení. Musíte vytvořit zásady ochrany aplikací pro každou platformu, na kterou chcete cílit.

• Na kartě Aplikace proveďte následující kroky v závislosti na tom, jestli cílíte na aplikaci pro Windows nebo na aplikaci Vzdálená plocha.

  • V případě aplikace pro Windows v iOS/iPadOS vyberte Vybrat vlastní aplikace a pak jako ID balíčku nebo balíčku zadejte com.microsoft.rdc.apple.

  • V případě aplikace Vzdálená plocha vyberte Vybrat veřejné aplikace a pak vyhledejte a vyberte Vzdálená plocha.

• Na kartě Ochrana dat platí jenom následující nastavení pro aplikaci pro Windows a aplikaci Vzdálená plocha. Ostatní nastavení se nevztahují na aplikaci pro Windows a aplikaci Vzdálená plocha s hostitelem relace a ne s daty v aplikaci. Na mobilních zařízeních jsou neschválené klávesnice zdrojem protokolování a krádeže klávesových zkratek.

  • Pro iOS a iPadOS můžete nakonfigurovat následující nastavení:

    • Omezení vyjmutí, kopírování a vkládání mezi jinými aplikacemi
    • Klávesnice třetích stran

  • Pro Android můžete nakonfigurovat následující nastavení:

    • Omezení vyjmutí, kopírování a vkládání mezi jinými aplikacemi
    • Snímek obrazovky a Google Assistant
    • Schválené klávesnice

  Tip

  Pokud v zásadách konfigurace aplikace zakážete přesměrování schránky, měli byste nastavit možnost Omezit vyjmutí, kopírování a vložení mezi jinými aplikacemi na blokované.

• Na kartě Podmíněné spuštění doporučujeme přidat následující podmínky:

  Podmínka	Typ podmínky	Hodnota	Akce
  Minimální verze aplikace	Podmínka aplikace	Na základě vašich požadavků.	Blokování přístupu
  Minimální verze operačního systému	Podmínka zařízení	Na základě vašich požadavků.	Blokování přístupu
  Primární služba MTD	Podmínka zařízení	Na základě vašich požadavků. Konektor MTD musí být nastavený. Pro Microsoft Defender for Endpoint nakonfigurujte Microsoft Defender for Endpoint v Intune.	Blokování přístupu
  Maximální povolená úroveň hrozeb pro zařízení	Podmínka zařízení	Zabezpečení	Blokování přístupu

  Podrobnosti o verzi najdete v tématu Co je nového v aplikaci pro Windows, co je nového v klientovi Vzdálené plochy pro iOS a iPadOS a co je nového v klientovi Vzdálené plochy pro Android a Chrome OS.

  Další informace o dostupných nastaveních najdete v tématu Podmíněné spuštění v nastavení zásad ochrany aplikací pro iOS a Podmíněné spuštění v nastavení zásad ochrany aplikací pro Android.

• Na kartě Přiřazení přiřaďte zásadu skupině zabezpečení obsahující uživatele, na které se mají zásady použít. Zásady musíte použít pro skupinu uživatelů, aby se zásady projevily. Pro každou skupinu můžete volitelně vybrat filtr, který bude konkrétnější v cílení zásad konfigurace aplikace.

Vytvořte zásady podmíněného přístupu

Vytvoření zásady podmíněného přístupu umožňuje omezit přístup ke vzdálené relaci jenom v případech, kdy se u aplikace pro Windows a aplikace Vzdálená plocha použijí zásady ochrany aplikací. Pokud vytvoříte druhou zásadu podmíněného přístupu, můžete přístup zablokovat také pomocí webového prohlížeče.

Pokud chcete vytvořit a použít zásady podmíněného přístupu, postupujte podle pokynů v tématu Nastavení zásad podmíněného přístupu na základě aplikací v Intune. Následující nastavení poskytují příklad, ale měli byste je upravit na základě vašich požadavků:

1. První zásada pro udělení přístupu ke vzdálené relaci pouze v případě, že se zásady ochrany aplikací použijí s aplikací pro Windows a aplikací Vzdálená plocha:

   • U přiřazení zahrňte skupinu zabezpečení obsahující uživatele, na které se mají zásady použít. Zásady musíte použít pro skupinu uživatelů, aby se zásady projevily.

   • U cílových prostředků vyberte, že chcete zásadu použít u cloudových aplikací, a pak v části Zahrnout vyberte Vybrat aplikace. Vyhledejte a vyberte Azure Virtual Desktop a Windows 365. Azure Virtual Desktop máte v seznamu jenom v případě, že jste ve svém tenantovi Microsoft Entra zaregistrovali Microsoft.DesktopVirtualization poskytovatele prostředků v předplatném .

   • Podmínky:

     • Vyberte platformy zařízení a pak zahrňte iOS a Android.
     • Vyberte Klientské aplikace a pak připojte mobilní aplikace a desktopové klienty.

   • U řízení přístupu zaškrtněte políčko Udělit přístup, zaškrtněte políčko Vyžadovat zásady ochrany aplikací a vyberte přepínač Vyžadovat všechny vybrané ovládací prvky.

   • Pokud chcete povolit zásadu, nastavte ji na Zapnuto.

2. Aby druhá zásada blokovala přístup ke vzdálené relaci pomocí webového prohlížeče:

   • U přiřazení zahrňte skupinu zabezpečení obsahující uživatele, na které se mají zásady použít. Zásady musíte použít pro skupinu uživatelů, aby se zásady projevily.

   • U cílových prostředků vyberte, že chcete zásadu použít u cloudových aplikací, a pak v části Zahrnout vyberte Vybrat aplikace. Vyhledejte a vyberte Azure Virtual Desktop a Windows 365. Azure Virtual Desktop máte v seznamu jenom v případě, že jste ve svém tenantovi Microsoft Entra zaregistrovali Microsoft.DesktopVirtualization poskytovatele prostředků v předplatném . Cloudová aplikace pro Windows 365 se zabývá také Microsoft Dev Boxem.

   • Podmínky:

     • Vyberte platformy zařízení a pak zahrňte iOS a Android.
     • Vyberte Klientské aplikace a pak zahrňte Prohlížeč.

   • U ovládacích prvků accessu vyberte Blokovat přístup a pak vyberte přepínač Vyžadovat všechny vybrané ovládací prvky.

   • Pokud chcete povolit zásadu, nastavte ji na Zapnuto.

Ověření konfigurace

Teď, když nakonfigurujete Intune pro správu přesměrování zařízení na osobních zařízeních, můžete konfiguraci ověřit připojením ke vzdálené relaci. To, co byste měli testovat, závisí na tom, jestli jste nakonfigurovali zásady pro zaregistrovaná nebo nezaregistrovaná zařízení, které platformy a nastavení přesměrování a ochrany dat jste nastavili. Ověřte, že můžete provádět pouze akce, které můžete provést, aby odpovídaly tomu, co očekáváte.

Známé problémy

Konfigurace nastavení přesměrování pro aplikaci pro Windows a aplikaci Vzdálená plocha na klientském zařízení pomocí Microsoft Intune má následující omezení:

• Když nakonfigurujete přesměrování klientského zařízení pro aplikaci Vzdálená plocha v iOSu a iPaduOS, můžou se požadavky vícefaktorového ověřování (MFA) zaseknout ve smyčce. K běžným scénářům tohoto problému dochází, když se aplikace Vzdálená plocha spouští na zaregistrovaném iPhonu v Intune a stejný iPhone se používá k přijímání žádostí MFA z aplikace Microsoft Authenticator při přihlašování k aplikaci Vzdálená plocha. Pokud chcete tento problém vyřešit, použijte aplikaci Vzdálená plocha na jiném zařízení, než které se používá k příjmu požadavků MFA, jako je iPad. K tomuto problému nedochází u aplikace pro Windows.