Správa nastavení přesměrování aplikací pro Windows pomocí Microsoft Intune

Můžete spravovat, jestli se místní prostředky, jako jsou kamery, mikrofony, úložiště a schránka, přesměrují do vzdálené relace z Azure Virtual Desktopu, Windows 365 a Microsoft Dev Boxu. Než to uděláte, je vyžadování dodržování předpisů zabezpečení místního zařízení nutností pro správu nastavení přesměrování lokálního zařízení. Další informace najdete v tématu Vyžadování dodržování předpisů zabezpečení místních klientských zařízení s Microsoft Intune a podmíněným přístupem Microsoft Entra.

Na vysoké úrovni spravujete nastavení přesměrování pro aplikaci pro Windows na klientském zařízení pomocí zásad konfigurace aplikací Intune. Tyto zásady fungují společně se zásadami ochrany aplikací Intune a zásadami podmíněného přístupu , které už byly nakonfigurované při vyžadování dodržování předpisů zabezpečení místních klientských zařízení. Filtry můžete použít k cílení uživatelů a zařízení na základě konkrétních kritérií.

V kombinaci s vyžadováním dodržování předpisů zabezpečení místního zařízení můžete dosáhnout následujících scénářů:

Nastavení přesměrování použijte na podrobnější úrovni na základě zadaných kritérií. Můžete například chtít mít různá nastavení v závislosti na tom, ve které skupině zabezpečení je uživatel, operační systém zařízení, které používá, nebo pokud uživatelé používají firemní i osobní zařízení pro přístup ke vzdálené relaci.
Poskytněte další vrstvu ochrany před chybně nakonfigurovaným přesměrováním na fondu hostitelů nebo hostitele relace.
U aplikací pro Windows a aplikací Vzdálená plocha můžete použít další nastavení zabezpečení, například vyžadovat PIN kód, blokovat klávesnice třetích stran a omezit operace vyjmutí, kopírování a vkládání mezi jinými aplikacemi na klientském zařízení.

Pokud nastavení přesměrování na klientském zařízení koliduje s vlastnostmi protokolu RDP fondu hostitelů a hostitelem relace pro Azure Virtual Desktop nebo Cloud PC pro Windows 365, projeví se omezující nastavení mezi těmito dvěma zařízeními. Pokud například hostitel relace zakáže přesměrování jednotky a klientské zařízení povolí přesměrování jednotky, přesměrování jednotky je zakázáno. Pokud jsou nastavení přesměrování na hostiteli relace i na klientském zařízení stejné, chování přesměrování je konzistentní.

Důležité

Konfigurace nastavení přesměrování na klientském zařízení není náhradou za správnou konfiguraci fondů hostitelů a hostitelů relací na základě vašich požadavků. Použití Microsoft Intune ke konfiguraci aplikace pro Windows a aplikace Vzdálená plocha nemusí být vhodné pro úlohy vyžadující vyšší úroveň zabezpečení.

Úlohy s vyššími požadavky na zabezpečení by měly i nadále nastavovat přesměrování u fondu hostitelů nebo hostitele relací, kdy by všichni uživatelé fondu hostitelů měli stejnou konfiguraci přesměrování. Doporučuje se řešení ochrany před únikem informací a přesměrování by se mělo zakázat na hostitelích relací, kdykoli je to možné, aby se minimalizovaly příležitosti ke ztrátě dat.

Ukázkový scénář

Tady je ukázkový scénář, ve kterém mají uživatelé ve skupině povolené přesměrování jednotek při připojování z podnikového zařízení s Windows, ale přesměrování jednotky je na podnikovém zařízení s iOSem/iPadOS nebo Androidem zakázané.

Hodnoty, které zadáte v filtrech a zásadách, závisí na vašich požadavcích, takže je potřeba určit, co je pro vaši organizaci nejvhodnější.

K dosažení tohoto scénáře:

Ujistěte se, že jsou nastavení hostitelů relací a fondů hostitelů, cloudové počítače nebo vývojářská pole nakonfigurována tak, aby umožňovala přesměrování disků.
Vytvořte dva filtry:
1. Jedna pro spravované aplikace pro spravovaná zařízení s iOSem/iPadOS.
2. Jedna pro spravované aplikace pro spravovaná zařízení s Androidem.
Vytvořte dvě zásady ochrany aplikací, jednu pro iOS/iPadOS a jednu pro Android.
Vytvořte tři zásady konfigurace aplikací:
1. iOS/iPadOS:
  1. Zásada pro spravovaná zařízení, která identifikuje zaregistrovaný uživatelský účet a ID zařízení.
  2. Jedna zásada spravovaných aplikací se zakázaným přesměrováním jednotky Přiřaďte filtr pro iOS/iPadOS vytvořený v kroku 2.
2. Android: Jedna pro spravované aplikace pro zařízení s Androidem se zakázaným přesměrováním jednotky. Přiřaďte filtr pro Android vytvořený v kroku 2.

Požadavky

Než budete moct nakonfigurovat nastavení přesměrování na místním klientském zařízení pomocí Intune a podmíněného přístupu, potřebujete:

Pro dokončení kroků v Vyžadování souladu místních klientských zařízení se zabezpečením pomocí Microsoft Intune a podmíněného přístupu Microsoft Entra. Všechny požadavky v tomto článku platí i pro tento článek.
Existují další požadavky Intune pro konfiguraci zásad ochrany aplikací a zásad podmíněného přístupu. Další informace najdete tady:
- Použijte zásady podmíněného přístupu založené na aplikacích s Intune.

Vytvoření zásad konfigurace aplikací pro zařízení spravovaná s iOSem nebo iPadOS

Pro zařízení s iOS/iPadOS, která jsou jenom spravovaná, je potřeba vytvořit zásady konfigurace aplikací pro Windows na spravovaná zařízení. Tento krok není nutný pro Android.

Důležité

Pro iOS/iPadOS se vyžaduje další nastavení konfigurace aplikací, aby se pro zařízení spravovaná pomocí Intune vynucuje typ správy zařízení. Další informace naleznete v tématu Typy správy zařízení.

Od zářijové verze služby Intune (2409) se hodnoty konfigurace aplikací IntuneMAMUPN, IntuneMAMOID a IntuneMAMDeviceID automaticky odesílají do spravovaných aplikací na zařízeních zapsaných do systému Intune s iOSem/iPadOS pro určité aplikace, včetně Windows App.

Pokud chcete vytvořit a použít zásady konfigurace aplikací pro spravovaná zařízení, postupujte podle pokynů v tématu Přidání zásad konfigurace aplikací pro spravovaná zařízení s iOS/iPadOS a použijte následující nastavení:

Na kartě Základy pro cílovou aplikaci vyberte ze seznamu Windows App Mobile. Aplikaci musíte přidat do Intune z App Storu , aby se zobrazila v tomto seznamu.
Na kartě Nastavení vyberte v rozevíracím seznamu Formát nastavení konfigurace možnost Použít návrháře konfigurace a zadejte následující nastavení přesně tak, jak je znázorněno:

Konfigurační klíč Typ hodnoty Hodnota konfigurace

IntuneMAMUPN Řetězec {{userprincipalname}}

IntuneMAMOID Řetězec {{userid}}

IntuneMAMDeviceID Řetězec {{deviceID}}
Na kartě Přiřazení přiřaďte zásadu skupině zabezpečení obsahující uživatele, na které se mají zásady použít. Aby se zásady projevily, musíte je použít na skupinu uživatelů. Pro každou skupinu můžete volitelně vybrat filtr, který bude konkrétnější v cílení zásad konfigurace aplikace.

Konfigurační klíč	Typ hodnoty	Hodnota konfigurace
`IntuneMAMUPN`	Řetězec	`{{userprincipalname}}`
`IntuneMAMOID`	Řetězec	`{{userid}}`
`IntuneMAMDeviceID`	Řetězec	`{{deviceID}}`

Vytvoření zásad konfigurace aplikací pro spravované aplikace

Doporučujeme vytvořit samostatné zásady konfigurace aplikací pro spravované aplikace pro iOS/iPadOS a Android, protože možnosti zásad konfigurace aplikací se můžou v průběhu času mezi platformami měnit.

Pokud se požadavky na přesměrování zařízení liší mezi skupinami uživatelů, vytvořte podle potřeby další zásady konfigurace aplikací. Můžete například blokovat přesměrování jednotky pro finanční uživatele a blokovat přesměrování jednotky a schránky pro uživatele marketingu.

Pokud chcete vytvořit a použít zásady konfigurace aplikací pro spravované aplikace, postupujte podle kroků v zásadách konfigurace aplikací pro spravované aplikace Intune App SDK a použijte následující nastavení:

Na kartě Základy vyberte Vybrat veřejné aplikace, vyhledejte a vyberte aplikaci pro Windows a pak vyberte Vybrat. Pro Android: Pokud se aplikace pro Windows ještě nezobrazuje, zadejte místo toho Remote Desktop. Důvodem je načasování nasazení Intune. Obě aplikace používají stejné ID com.microsoft.rdc.androidxbalíčku, takže zásady konfigurace aplikací platí pro obě aplikace bez ohledu na název aplikace, který vidíte v konzole Intune.

Na kartě Nastavení rozbalte položku Obecné nastavení konfigurace a zadejte následující páry názvů a hodnot pro každé nastavení přesměrování, které chcete nakonfigurovat přesně tak, jak je znázorněno. Tyto hodnoty odpovídají vlastnostem protokolu RDP uvedeným v podporovaných vlastnostech protokolu RDP, ale syntaxe se liší:

Název	Popis	Hodnota
`audiocapturemode`	Určuje, jestli je povolené přesměrování zvukového vstupu.	`0`: Záznam zvuku z místního zařízení je zakázaný. `1`: Je povolen záznam zvuku z místního zařízení a přesměrování do zvukové aplikace ve vzdálené relaci.
`camerastoredirect`	Určuje, jestli je povolené přesměrování fotoaparátu.	`0`: Přesměrování kamery je zakázané. `1`: Přesměrování fotoaparátu je povolené.
`drivestoredirect`	Určuje, zda je povolené přesměrování diskové jednotky.	`0`: Přesměrování diskové jednotky je zakázané. `1`: Je povoleno přesměrování diskové jednotky.
`redirectclipboard`	Určuje, jestli je povolené přesměrování schránky.	`0`: Přesměrování schránky na místním zařízení je ve vzdálené relaci zakázané. `1`: Přesměrování schránky na místním zařízení je povolené ve vzdálené relaci.

Tady je příklad, jak by nastavení mělo vypadat:

Snímek obrazovky znázorňující dvojice názvů a hodnot přesměrování v Intune.

Na kartě Přiřazení přiřaďte zásadu skupině zabezpečení obsahující uživatele, na které se mají zásady použít. Aby se zásady projevily, musíte je použít na skupinu uživatelů. Pro každou skupinu můžete volitelně vybrat filtr, který bude konkrétnější v cílení zásad konfigurace aplikace.

Ověření konfigurace

Teď, když jste nakonfigurovali Intune a podmíněný přístup ke správě přesměrování zařízení pro aplikaci pro Windows, ověřte, že konfigurace přesměrování funguje podle očekávání, a to připojením ke vzdálené relaci. Měli byste zkontrolovat z řízeného a/nebo neřízeného zařízení pro každou platformu v závislosti na zásadách, které jste nakonfigurovali.

Váš názor

Byla tato stránka užitečná?

Last updated on 2025-05-30