Konfigurace přesměrování čipové karty přes protokol Remote Desktop Protocol
Článek
Tip
Tento článek je sdílený pro služby a produkty, které používají protokol RDP (Remote Desktop Protocol) k poskytování vzdáleného přístupu k desktopům a aplikacím Windows.
Vyberte produkt pomocí tlačítek v horní části tohoto článku, abyste zobrazili relevantní obsah.
Můžete nakonfigurovat chování přesměrování zařízení čipové karty z místního zařízení do vzdálené relace přes protokol RDP (Remote Desktop Protocol).
Pro Azure Virtual Desktop doporučujeme povolit přesměrování čipových karet na hostitelích relací pomocí Microsoft Intune nebo zásad skupiny a pak řídit přesměrování pomocí vlastností RDP fondu hostitelů.
Pro Windows 365 můžete cloudové počítače nakonfigurovat pomocí Microsoft Intune nebo zásad skupiny.
Pro Microsoft Dev Box můžete nakonfigurovat vývojová pole pomocí Microsoft Intune nebo zásad skupiny.
Tento článek obsahuje informace o podporovaných metodách přesměrování a o tom, jak nakonfigurovat chování přesměrování pro zařízení s čipovou kartou. Další informace o tom, jak přesměrování funguje, najdete v tématu Přesměrování přes protokol Remote Desktop Protocol.
Požadavky
Než budete moct nakonfigurovat přesměrování čipové karty, potřebujete:
Konfigurace hostitele relace pomocí Microsoft Intune nebo zásad skupiny nebo nastavení vlastnosti RDP ve fondu hostitelů řídí schopnost přesměrovat zařízení čipových karet z místního zařízení do vzdálené relace, která podléhá pořadí priority.
Výchozí konfigurace je:
Operační systém Windows: Přesměrování čipové karty není blokováno.
Vlastnosti RDP fondu hostitelů služby Azure Virtual Desktop: Zařízení s čipovou kartou se přesměrují z místního zařízení do vzdálené relace.
Výsledné výchozí chování: Zařízení s čipovou kartou se přesměrují z místního zařízení do vzdálené relace.
Důležité
Při konfiguraci nastavení přesměrování dbejte na to, že nejvíce omezující nastavení je výsledné chování. Pokud například zakážete přesměrování čipových karet na hostiteli relace pomocí Microsoft Intune nebo zásad skupiny, ale povolíte ho s vlastností RDP fondu hostitelů, přesměrování se zakáže.
Konfigurace cloudového počítače řídí schopnost přesměrovat zařízení čipových karet z místního zařízení do vzdálené relace a je nastavená pomocí Microsoft Intune nebo zásad skupiny.
Výchozí konfigurace je:
Operační systém Windows: Přesměrování čipové karty není blokováno.
Windows 365: Je povolené přesměrování čipové karty.
Výsledné výchozí chování: Zařízení s čipovou kartou se přesměrují z místního zařízení do vzdálené relace.
Konfigurace vývojového pole řídí schopnost přesměrovat zařízení čipových karet z místního zařízení do vzdálené relace a je nastavená pomocí Microsoft Intune nebo zásad skupiny.
Výchozí konfigurace je:
Operační systém Windows: Přesměrování čipové karty není blokováno.
Microsoft Dev Box: Přesměrování čipové karty je povolené.
Výsledné výchozí chování: Zařízení s čipovou kartou se přesměrují z místního zařízení do vzdálené relace.
Konfigurace přesměrování zařízení čipové karty pomocí vlastností protokolu RDP fondu hostitelů
Fond hostitelů Azure Virtual Desktopu, který nastavuje přesměrování čipové karty, určuje, jestli se má čipová karta přesměrovat z místního zařízení do vzdálené relace. Odpovídající vlastnost RDP je redirectsmartcards:i:<value>. Další informace naleznete v tématu Podporované vlastnosti protokolu RDP.
Konfigurace přesměrování čipové karty pomocí vlastností protokolu RDP fondu hostitelů:
Na panelu hledání zadejte Azure Virtual Desktop a vyberte odpovídající položku služby.
Vyberte fondy hostitelů a pak vyberte fond hostitelů, který chcete nakonfigurovat.
Vyberte Vlastnosti protokolu RDP a pak vyberte Přesměrování zařízení.
V případě přesměrování čipové karty vyberte rozevírací seznam a pak vyberte jednu z následujících možností:
Zařízení čipové karty v místním počítači není ve vzdálené relaci k dispozici.
Zařízení čipové karty v místním počítači je dostupné ve vzdálené relaci (výchozí)
Nenakonfigurováno
Zvolte Uložit.
K otestování konfigurace se připojte ke vzdálené relaci a pak použijte aplikaci nebo web, který vyžaduje vaši čipovou kartu. Ověřte, že je čipová karta dostupná a funguje podle očekávání.
Konfigurace přesměrování zařízení čipové karty pomocí Microsoft Intune nebo zásad skupiny
Konfigurace přesměrování zařízení čipové karty pomocí Microsoft Intune nebo zásad skupiny
V nástroji pro výběr nastavení přejděte do šablon pro>správu součásti>vzdálené plochy Vzdálená>plocha Služby vzdálené plochy zařízení hostitele relace>a přesměrování prostředků.
Zaškrtněte políčko Nepovolit přesměrování zařízení čipové karty a pak zavřete výběr nastavení.
Rozbalte kategorii Šablony pro správu a v závislosti na vašich požadavcích přepněte přepínač Pro nepovolit přesměrování zařízení s čipovou kartou:
Pokud chcete povolit přesměrování zařízení s čipovou kartou, přepněte přepínač na Zakázáno.
Pokud chcete zakázat přesměrování zařízení čipové karty, přepněte přepínač na Povoleno.
Na kartě Přiřazení vyberte skupinu obsahující počítače poskytující vzdálenou relaci, kterou chcete konfigurovat, a pak vyberte Další.
Na kartě Zkontrolovat a vytvořit zkontrolujte nastavení a pak vyberte Vytvořit.
Jakmile se zásada vztahuje na počítače poskytující vzdálenou relaci, restartujte je, aby se nastavení projevilo.
Povolení nebo zakázání přesměrování zařízení s čipovou kartou pomocí zásad skupiny:
Otevřete konzolu pro správu zásad skupiny na zařízení, které používáte ke správě domény služby Active Directory.
Vytvořte nebo upravte zásadu, která cílí na počítače poskytující vzdálenou relaci, kterou chcete nakonfigurovat.
Přejděte na šablony pro správu zásad>konfigurace>počítače, které jsou součástí>systému Windows Součásti>vzdálené plochy Vzdálená plocha, zařízení hostitele relace>vzdálené plochy>a přesměrování prostředků.
Poklikejte na nastavení zásad Nepovolit přesměrování zařízení čipové karty, aby se otevřelo.
Pokud chcete povolit přesměrování zařízení čipové karty, vyberte Zakázáno nebo Nenakonfigurováno a pak vyberte OK.
Pokud chcete zakázat přesměrování zařízení s čipovou kartou, vyberte Povoleno a pak vyberte OK.
Ujistěte se, že se zásady použijí na počítače poskytující vzdálenou relaci, a potom je restartujte, aby se nastavení projevilo.
Zkontrolujte, jestli jsou čipové karty dostupné ve vzdálené relaci. Spusťte následující příkaz ve vzdálené relaci v příkazovém řádku nebo z příkazového řádku PowerShellu.
certutil -scinfo
Pokud přesměrování čipové karty funguje, spustí se výstup podobný následujícímu výstupu:
The Microsoft Smart Card Resource Manager is running.
Current reader/card status:
Readers: 2
0: Windows Hello for Business 1
1: Yubico YubiKey OTP+FIDO+CCID 0
--- Reader: Windows Hello for Business 1
--- Status: SCARD_STATE_PRESENT | SCARD_STATE_INUSE
--- Status: The card is being shared by a process.
--- Card: Identity Device (Microsoft Generic Profile)
--- ATR:
aa bb cc dd ee ff 00 11 22 33 44 55 66 77 88 99 ;.........AB12..
ab .
--- Reader: Yubico YubiKey OTP+FIDO+CCID 0
--- Status: SCARD_STATE_PRESENT | SCARD_STATE_UNPOWERED
--- Status: The card is available for use.
--- Card: Identity Device (NIST SP 800-73 [PIV])
--- ATR:
aa bb cc dd ee ff 00 11 22 33 44 55 66 77 88 99 ;.........34yz..
ab .
[continued...]
Otevřete a použijte aplikaci nebo web, který vyžaduje čipovou kartu. Ověřte, že je čipová karta dostupná a funguje podle očekávání.