Konfigurace přesměrování čipové karty přes protokol Remote Desktop Protocol

Tip

Tento článek je sdílený pro služby a produkty, které používají protokol RDP (Remote Desktop Protocol) k poskytování vzdáleného přístupu k desktopům a aplikacím Windows.

Vyberte produkt pomocí tlačítek v horní části tohoto článku, abyste zobrazili relevantní obsah.

Můžete nakonfigurovat chování přesměrování zařízení čipové karty z místního zařízení do vzdálené relace přes protokol RDP (Remote Desktop Protocol).

Pro Azure Virtual Desktop doporučujeme povolit přesměrování čipových karet na hostitelích relací pomocí Microsoft Intune nebo zásad skupiny a pak řídit přesměrování pomocí vlastností RDP fondu hostitelů.

Pro Windows 365 můžete cloudové počítače nakonfigurovat pomocí Microsoft Intune nebo zásad skupiny.

Pro Microsoft Dev Box můžete nakonfigurovat vývojová pole pomocí Microsoft Intune nebo zásad skupiny.

Tento článek obsahuje informace o podporovaných metodách přesměrování a o tom, jak nakonfigurovat chování přesměrování pro zařízení s čipovou kartou. Další informace o tom, jak přesměrování funguje, najdete v tématu Přesměrování přes protokol Remote Desktop Protocol.

Požadavky

Než budete moct nakonfigurovat přesměrování čipové karty, potřebujete:

• Existující fond hostitelů s hostiteli relací.

• Účet ID Microsoft Entra, který má přiřazené předdefinované role řízení přístupu na základě role (RBAC) přispěvatele fondu hostitelů virtualizace plochy jako minimum.

• Existující Cloud PC.

• Existující vývojové pole.

• Zařízení s čipovou kartou dostupné na místním zařízení.

• Ke konfiguraci Microsoft Intune potřebujete:

  • Účet Microsoft Entra ID přiřazený předdefinované roli RBAC správce zásad a profilů.
  • Skupina obsahující zařízení, která chcete nakonfigurovat.

• Ke konfiguraci zásad skupiny potřebujete:

  • Účet domény, který má oprávnění k vytváření nebo úpravě objektů zásad skupiny.
  • Skupina zabezpečení nebo organizační jednotka obsahující zařízení, která chcete konfigurovat.

• Musíte se připojit ke vzdálené relaci z podporované aplikace a platformy. Pokud chcete zobrazit podporu přesměrování v aplikaci pro Windows a v aplikaci Vzdálená plocha, přečtěte si téma Porovnání funkcí aplikací pro Windows napříč platformami a zařízeními a porovnání funkcí aplikace Vzdálená plocha napříč platformami a zařízeními.

Přesměrování čipové karty

Konfigurace hostitele relace pomocí Microsoft Intune nebo zásad skupiny nebo nastavení vlastnosti RDP ve fondu hostitelů řídí schopnost přesměrovat zařízení čipových karet z místního zařízení do vzdálené relace, která podléhá pořadí priority.

Výchozí konfigurace je:

• Operační systém Windows: Přesměrování čipové karty není blokováno.
• Vlastnosti RDP fondu hostitelů služby Azure Virtual Desktop: Zařízení s čipovou kartou se přesměrují z místního zařízení do vzdálené relace.
• Výsledné výchozí chování: Zařízení s čipovou kartou se přesměrují z místního zařízení do vzdálené relace.

Důležité

Při konfiguraci nastavení přesměrování dbejte na to, že nejvíce omezující nastavení je výsledné chování. Pokud například zakážete přesměrování čipových karet na hostiteli relace pomocí Microsoft Intune nebo zásad skupiny, ale povolíte ho s vlastností RDP fondu hostitelů, přesměrování se zakáže.

Konfigurace cloudového počítače řídí schopnost přesměrovat zařízení čipových karet z místního zařízení do vzdálené relace a je nastavená pomocí Microsoft Intune nebo zásad skupiny.

Výchozí konfigurace je:

• Operační systém Windows: Přesměrování čipové karty není blokováno.
• Windows 365: Je povolené přesměrování čipové karty.
• Výsledné výchozí chování: Zařízení s čipovou kartou se přesměrují z místního zařízení do vzdálené relace.

Konfigurace vývojového pole řídí schopnost přesměrovat zařízení čipových karet z místního zařízení do vzdálené relace a je nastavená pomocí Microsoft Intune nebo zásad skupiny.

Výchozí konfigurace je:

• Operační systém Windows: Přesměrování čipové karty není blokováno.
• Microsoft Dev Box: Přesměrování čipové karty je povolené.
• Výsledné výchozí chování: Zařízení s čipovou kartou se přesměrují z místního zařízení do vzdálené relace.

Konfigurace přesměrování zařízení čipové karty pomocí vlastností protokolu RDP fondu hostitelů

Fond hostitelů Azure Virtual Desktopu, který nastavuje přesměrování čipové karty, určuje, jestli se má čipová karta přesměrovat z místního zařízení do vzdálené relace. Odpovídající vlastnost RDP je redirectsmartcards:i:<value>. Další informace naleznete v tématu Podporované vlastnosti protokolu RDP.

Konfigurace přesměrování čipové karty pomocí vlastností protokolu RDP fondu hostitelů:

1. Přihlaste se k portálu Azure.

2. Na panelu hledání zadejte Azure Virtual Desktop a vyberte odpovídající položku služby.

3. Vyberte fondy hostitelů a pak vyberte fond hostitelů, který chcete nakonfigurovat.

4. Vyberte Vlastnosti protokolu RDP a pak vyberte Přesměrování zařízení.

   

5. V případě přesměrování čipové karty vyberte rozevírací seznam a pak vyberte jednu z následujících možností:

   • Zařízení čipové karty v místním počítači není ve vzdálené relaci k dispozici.
   • Zařízení čipové karty v místním počítači je dostupné ve vzdálené relaci (výchozí)
   • Nenakonfigurováno

6. Zvolte Uložit.

7. K otestování konfigurace se připojte ke vzdálené relaci a pak použijte aplikaci nebo web, který vyžaduje vaši čipovou kartu. Ověřte, že je čipová karta dostupná a funguje podle očekávání.

Konfigurace přesměrování zařízení čipové karty pomocí Microsoft Intune nebo zásad skupiny

Konfigurace přesměrování zařízení čipové karty pomocí Microsoft Intune nebo zásad skupiny

Vyberte příslušnou kartu pro váš scénář.

Microsoft Intune

Povolení nebo zakázání přesměrování zařízení s čipovou kartou pomocí Microsoft Intune:

1. Přihlaste se do Centra pro správu Microsoft Intune.

2. Vytvořte nebo upravte konfigurační profil pro zařízení s Windows 10 a novějším s typem profilu katalogu Nastavení.

3. V nástroji pro výběr nastavení přejděte do šablon pro>správu součásti>vzdálené plochy Vzdálená>plocha Služby vzdálené plochy zařízení hostitele relace>a přesměrování prostředků.

   

4. Zaškrtněte políčko Nepovolit přesměrování zařízení čipové karty a pak zavřete výběr nastavení.

5. Rozbalte kategorii Šablony pro správu a v závislosti na vašich požadavcích přepněte přepínač Pro nepovolit přesměrování zařízení s čipovou kartou:

   • Pokud chcete povolit přesměrování zařízení čipové karty, přepněte přepínač na Zakázáno a pak vyberte OK.

   • Pokud chcete zakázat přesměrování zařízení s čipovou kartou, přepněte přepínač na Povoleno a pak vyberte OK.

6. Vyberte Další.

7. Volitelné: Na kartě Značky oboru vyberte značku oboru, která profil vyfiltruje. Další informace o značkách oboru najdete v tématu Použití řízení přístupu na základě role (RBAC) a značek oboru pro distribuované IT.

8. Na kartě Přiřazení vyberte skupinu obsahující počítače poskytující vzdálenou relaci, kterou chcete konfigurovat, a pak vyberte Další.

9. Na kartě Zkontrolovat a vytvořit zkontrolujte nastavení a pak vyberte Vytvořit.

10. Jakmile se zásada vztahuje na počítače poskytující vzdálenou relaci, restartujte je, aby se nastavení projevilo.

Zásady skupiny

Povolení nebo zakázání přesměrování zařízení s čipovou kartou pomocí zásad skupiny:

1. Na zařízení, které používáte ke správě domény služby Active Directory, otevřete konzolu pro správu zásad skupiny.

2. Vytvořte nebo upravte zásadu, která cílí na počítače poskytující vzdálenou relaci, kterou chcete nakonfigurovat.

3. Přejděte na šablony pro správu zásad>konfigurace>počítače, které jsou součástí>systému Windows Součásti>vzdálené plochy Vzdálená plocha, zařízení hostitele relace>vzdálené plochy>a přesměrování prostředků.

   

4. Poklikejte na nastavení zásad Nepovolit přesměrování zařízení čipové karty, aby se otevřelo.

   • Pokud chcete povolit přesměrování zařízení čipové karty, vyberte Zakázáno nebo Nenakonfigurováno a pak vyberte OK.

   • Pokud chcete zakázat přesměrování zařízení s čipovou kartou, vyberte Povoleno a pak vyberte OK.

5. Ujistěte se, že se zásady použijí na počítače poskytující vzdálenou relaci, a potom je restartujte, aby se nastavení projevilo.

Testování přesměrování čipové karty

Otestování přesměrování čipové karty:

1. Připojte se ke vzdálené relaci pomocí aplikace Windows nebo aplikace Vzdálená plocha na platformě, která podporuje přesměrování čipové karty. Další informace najdete v tématu Porovnání funkcí aplikací pro Windows napříč platformami a zařízeními a porovnání funkcí aplikací Vzdálená plocha napříč platformami a zařízeními.

2. Zkontrolujte, jestli jsou čipové karty dostupné ve vzdálené relaci. Spusťte následující příkaz ve vzdálené relaci v příkazovém řádku nebo z příkazového řádku PowerShellu.

   certutil -scinfo
   

   Pokud přesměrování čipové karty funguje, spustí se výstup podobný následujícímu výstupu:

   The Microsoft Smart Card Resource Manager is running.
   Current reader/card status:
   Readers: 2
     0: Windows Hello for Business 1
     1: Yubico YubiKey OTP+FIDO+CCID 0
   --- Reader: Windows Hello for Business 1
   --- Status: SCARD_STATE_PRESENT | SCARD_STATE_INUSE
   --- Status: The card is being shared by a process.
   ---   Card: Identity Device (Microsoft Generic Profile)
   ---    ATR:
           aa bb cc dd ee ff 00 11  22 33 44 55 66 77 88 99   ;.........AB12..
           ab                                                 .
   
   --- Reader: Yubico YubiKey OTP+FIDO+CCID 0
   --- Status: SCARD_STATE_PRESENT | SCARD_STATE_UNPOWERED
   --- Status: The card is available for use.
   ---   Card: Identity Device (NIST SP 800-73 [PIV])
   ---    ATR:
           aa bb cc dd ee ff 00 11  22 33 44 55 66 77 88 99   ;.........34yz..
           ab                                                 .
   
   [continued...]
   

3. Otevřete a použijte aplikaci nebo web, který vyžaduje čipovou kartu. Ověřte, že je čipová karta dostupná a funguje podle očekávání.

Související obsah

• Přesměrování přes protokol Remote Desktop Protocol.
• Podporované vlastnosti protokolu RDP
• Porovnejte funkce aplikací pro Windows napříč platformami a zařízeními.
• Porovnejte funkce aplikace Vzdálená plocha napříč platformami a zařízeními.