Configuración del redireccionamiento de tarjetas inteligentes a través del Protocolo de escritorio remoto
Sugerencia
Este artículo se comparte para servicios y productos que usan el Protocolo de escritorio remoto (RDP) para proporcionar acceso remoto a escritorios y aplicaciones de Windows.
Seleccione un producto con los botones de la parte superior de este artículo para mostrar el contenido pertinente.
Puede configurar el comportamiento de redireccionamiento de los dispositivos de tarjeta inteligente desde un dispositivo local a una sesión remota a través del Protocolo de escritorio remoto (RDP).
Para Azure Virtual Desktop, le recomendamos que habilite el redireccionamiento de tarjetas inteligentes en sus hosts de sesión utilizando Microsoft Intune o la directiva de grupo, y después controle el redireccionamiento utilizando las propiedades de RDP del grupo de hosts.
Para Windows 365, puede configurar los PC en la nube mediante Microsoft Intune o la directiva de grupo.
En el caso de Microsoft Dev Box, puede configurar sus equipos de desarrollo usando Microsoft Intune o directivas de grupo.
En este artículo se proporciona información sobre los métodos de redireccionamiento admitidos y cómo configurar el comportamiento de redireccionamiento para los dispositivos de tarjeta inteligente. Para más información sobre cómo funciona el redireccionamiento, consulte Redireccionamiento a través del Protocolo de escritorio remoto.
Requisitos previos
Para poder configurar el redireccionamiento de tarjetas inteligentes, necesita lo siguiente:
Un grupo de hosts existente con hosts de sesión.
Una cuenta de Id. de Microsoft Entra asignada a los roles integrados de control de acceso basado en rol (RBAC) del grupo de hosts de Desktop Virtualization en el grupo de hosts como mínimo.
- Un PC en la nube existente.
- Un equipo de desarrollo existente.
Un dispositivo de tarjeta inteligente disponible en el dispositivo local.
Para configurar Microsoft Intune, necesita:
- Cuenta de Microsoft Entra ID a la que se asigna la función RBAC integrada de administrador de directivas y perfiles.
- Un grupo que contiene los dispositivos que quiere configurar.
Para configurar la directiva de grupo, necesita:
- Una cuenta de dominio que tenga permiso para crear o editar objetos de directiva de grupo.
- Un grupo de seguridad o unidad organizativa (UO) que contenga los dispositivos que quiere configurar.
Debe conectarse a una sesión remota desde una aplicación y una plataforma compatibles. Para ver la compatibilidad con el redireccionamiento en la aplicación de Windows y en la aplicación Escritorio remoto, consulte Comparar las características de la aplicación de Windows en distintas plataformas y dispositivos y Comparar las características de la aplicación Escritorio remoto en distintas plataformas y dispositivos.
Redireccionamiento de tarjetas inteligentes
La configuración de un host de sesión mediante Microsoft Intune o directivas de grupo, o el establecimiento de una propiedad de RDP en un grupo de hosts rige la capacidad de redirigir los dispositivos de tarjeta inteligente de un dispositivo local a una sesión remota, lo que está sujeto a un orden de prioridad.
La configuración predeterminada es la siguiente:
- Sistema operativo Windows: no se bloquea el redireccionamiento de tarjetas inteligentes.
- Propiedades de RDP del grupo de hosts de Azure Virtual Desktop: los dispositivos de tarjeta inteligente se redirigen del dispositivo local a la sesión remota.
- Comportamiento predeterminado resultante: los dispositivos de tarjeta inteligente se redirigen del dispositivo local a la sesión remota.
Importante
Tenga cuidado al establecer la configuración de redireccionamiento, ya que el comportamiento resultante es el más restrictivo. Por ejemplo, si deshabilita el redireccionamiento de tarjetas inteligentes en un host de sesión con Microsoft Intune o la directiva de grupo, pero lo habilita con la propiedad de RDP del grupo de hosts, el redireccionamiento se deshabilitará.
La configuración de un PC en la nube rige la capacidad de redirigir los dispositivos de tarjeta inteligente de un dispositivo local a una sesión remota, y se establece usando Microsoft Intune o la directiva de grupo.
La configuración predeterminada es la siguiente:
- Sistema operativo Windows: no se bloquea el redireccionamiento de tarjetas inteligentes.
- Windows 365: el redireccionamiento de tarjetas inteligentes está habilitada.
- Comportamiento predeterminado resultante: los dispositivos de tarjeta inteligente se redirigen del dispositivo local a la sesión remota.
La configuración de un equipo de desarrollo rige la capacidad de redirigir los dispositivos de tarjeta inteligente de un dispositivo local a una sesión remota, y se establece usando Microsoft Intune o la directiva de grupo.
La configuración predeterminada es la siguiente:
- Sistema operativo Windows: no se bloquea el redireccionamiento de tarjetas inteligentes.
- Microsoft Dev Box: el redireccionamiento de tarjetas inteligentes está habilitada.
- Comportamiento predeterminado resultante: los dispositivos de tarjeta inteligente se redirigen del dispositivo local a la sesión remota.
Configuración del redireccionamiento de dispositivos de tarjeta inteligente usando las propiedades de RDP del grupo de hosts
La configuración del grupo de hosts de Azure Virtual Desktop Redireccionamiento de tarjetas inteligentes controla si se redirigen las tarjetas inteligentes de un dispositivo local a una sesión remota. La propiedad de RDP correspondiente es redirectsmartcards:i:<value>. Para más información, consulte Propiedades de RDP compatibles.
Para configurar el redireccionamiento de tarjetas inteligentes usando las propiedades de RDP del grupo de hosts:
Inicie sesión en Azure Portal.
En la barra de búsqueda, escriba Azure Virtual Desktop y seleccione la entrada de servicio coincidente.
Vaya a Grupos de hosts y, a continuación, seleccione el grupo de hosts que quiere usar.
Seleccione Propiedades de RDP, después seleccione Redireccionamiento de dispositivos.
Para Redireccionamiento de tarjetas inteligentes, seleccione la lista desplegable y, después, una de las siguientes opciones:
- El dispositivo de tarjeta inteligente del equipo local no está disponible en la sesión remota
- El dispositivo de tarjeta inteligente del equipo local está disponible en la sesión remota (valor predeterminado)
- No configurado
Seleccione Guardar.
Para probar la configuración, conéctese a una sesión remota y, a continuación, use una aplicación o un sitio web que requiera la tarjeta inteligente. Compruebe que la tarjeta inteligente está disponible y funciona según lo previsto.
Configuración del redireccionamiento de dispositivos de tarjeta inteligente mediante Microsoft Intune o directiva de grupo
Configuración del redireccionamiento de dispositivos de tarjeta inteligente mediante Microsoft Intune o directiva de grupo
Seleccione la pestaña correspondiente a su escenario.
Para permitir o deshabilitar el redireccionamiento de dispositivos de tarjeta inteligente usando Microsoft Intune:
Inicie sesión en el Centro de administración de Microsoft Intune.
Cree o edite un perfil de configuración para Windows 10 y dispositivos posteriores, con el tipo de perfil Catálogo de configuración.
En el selector de configuración, vaya a Plantillas administrativas>Componentes de Windows>Servicios de Escritorio remoto>Host de sesión de Escritorio remoto>Redirección de dispositivos y recursos.
Active la casilla No permitir el redireccionamiento de dispositivos de tarjeta inteligente y, a continuación, cierre el selector de configuración.
Expanda la categoría Plantillas administrativas y, a continuación, cambie el modificador de No permitir el redireccionamiento de dispositivos de tarjeta inteligente, en función de sus requisitos:
Para permitir el redireccionamiento de dispositivos de tarjeta inteligente, cambie al modificador a Deshabilitado y, a continuación, seleccione Aceptar.
Para deshabilitar el redireccionamiento de dispositivos de tarjeta inteligente, cambie al modificador a Habilitado y, a continuación, seleccione Aceptar.
Seleccione Siguiente.
Opcional: en la pestaña Etiquetas de ámbito, seleccione una etiqueta de ámbito para filtrar el perfil. Para obtener más información sobre las etiquetas de ámbito, consulte Utilizar el control de acceso basado en funciones (RBAC) y las etiquetas de alcance para la TI distribuida.
En la pestaña Asignaciones, seleccione el grupo que contiene los ordenadores que proporcionan una sesión remota que desea configurar y, a continuación, seleccione Siguiente.
En la pestaña Revisar y crear, examine la configuración y seleccione Crear.
Una vez que la directiva se aplica a los ordenadores que proporcionan una sesión remota, reiníciela para que la configuración surta efecto.
Prueba del redireccionamiento de tarjetas inteligentes
Para probar el redireccionamiento de tarjetas inteligentes:
Conéctese a una sesión remota usando la aplicación de Windows o la aplicación de Escritorio remoto en una plataforma compatible con el redireccionamiento de tarjetas inteligentes. Para más información, consulte Comparar las características de la aplicación de Windows en distintas plataformas y dispositivos y Comparar las características de la aplicación de Escritorio remoto en distintas plataformas y dispositivos.
Compruebe que las tarjetas inteligentes están disponibles en la sesión remota. Ejecute el siguiente comando en la sesión remota en el símbolo del sistema o desde un símbolo del sistema de PowerShell.
certutil -scinfoSi el redireccionamiento de tarjetas inteligentes funciona, la salida comienza de forma similar a la siguiente:
The Microsoft Smart Card Resource Manager is running. Current reader/card status: Readers: 2 0: Windows Hello for Business 1 1: Yubico YubiKey OTP+FIDO+CCID 0 --- Reader: Windows Hello for Business 1 --- Status: SCARD_STATE_PRESENT | SCARD_STATE_INUSE --- Status: The card is being shared by a process. --- Card: Identity Device (Microsoft Generic Profile) --- ATR: aa bb cc dd ee ff 00 11 22 33 44 55 66 77 88 99 ;.........AB12.. ab . --- Reader: Yubico YubiKey OTP+FIDO+CCID 0 --- Status: SCARD_STATE_PRESENT | SCARD_STATE_UNPOWERED --- Status: The card is available for use. --- Card: Identity Device (NIST SP 800-73 [PIV]) --- ATR: aa bb cc dd ee ff 00 11 22 33 44 55 66 77 88 99 ;.........34yz.. ab . [continued...]Abra y use una aplicación o un sitio web que requiera la tarjeta inteligente. Compruebe que la tarjeta inteligente está disponible y funciona según lo previsto.