Configuración del redireccionamiento de tarjetas inteligentes a través del protocolo de Escritorio remoto

Sugerencia

Este artículo se comparte con los servicios y productos que usan el Protocolo de Escritorio remoto (RDP) para proporcionar acceso remoto a aplicaciones y escritorios de Windows.

Seleccione un producto con los botones de la parte superior de este artículo para mostrar el contenido pertinente.

Puede configurar el comportamiento de redireccionamiento de los dispositivos de tarjeta inteligente desde un dispositivo local a una sesión remota a través del Protocolo de Escritorio remoto (RDP).

Para Azure Virtual Desktop, se recomienda habilitar el redireccionamiento de tarjetas inteligentes en los hosts de sesión mediante Microsoft Intune o directiva de grupo y, a continuación, controlar el redireccionamiento mediante las propiedades rdp del grupo de hosts.

Para Windows 365, puede configurar los equipos en la nube mediante Microsoft Intune o directiva de grupo.

Para Microsoft Dev Box, puede configurar los cuadros de desarrollo mediante Microsoft Intune o directiva de grupo.

En este artículo se proporciona información sobre los métodos de redirección admitidos y cómo configurar el comportamiento de redireccionamiento para dispositivos de tarjetas inteligentes. Para obtener más información sobre cómo funciona el redireccionamiento, consulte Redirección a través del protocolo de Escritorio remoto.

Requisitos previos

Para poder configurar el redireccionamiento de tarjetas inteligentes, necesita:

• Un grupo de hosts existente con hosts de sesión.

• Una cuenta de Microsoft Entra ID a la que se asignan los roles de colaborador del grupo de hosts de virtualización de escritorio integrado (RBAC) en el grupo de hosts como mínimo.

• Un equipo en la nube existente.

• Un cuadro de desarrollo existente.

• Un dispositivo de tarjeta inteligente disponible en el dispositivo local.

• Para configurar Microsoft Intune, necesita:

  • Microsoft Entra ID cuenta a la que se asigna el rol RBAC integrado administrador de directivas y perfiles.
  • Un grupo que contiene los dispositivos que desea configurar.

• Para configurar directiva de grupo, necesita:

  • Una cuenta de dominio que tiene permiso para crear o editar objetos directiva de grupo.
  • Grupo de seguridad o unidad organizativa (OU) que contiene los dispositivos que desea configurar.

• Debe conectarse a una sesión remota desde una aplicación y plataforma compatibles. Para ver la compatibilidad con el redireccionamiento en Windows App y la aplicación escritorio remoto, consulte Comparación de características Windows App entre plataformas y dispositivos y Comparación de características de aplicaciones de Escritorio remoto entre plataformas y dispositivos.

Redirección de tarjetas inteligentes

La configuración de un host de sesión mediante Microsoft Intune o directiva de grupo, o la configuración de una propiedad RDP en un grupo de hosts rige la capacidad de redirigir dispositivos de tarjeta inteligente desde un dispositivo local a una sesión remota, que está sujeta a un orden de prioridad.

La configuración predeterminada es:

• Sistema operativo Windows: el redireccionamiento de tarjetas inteligentes no está bloqueado.
• Propiedades RDP del grupo de hosts de Azure Virtual Desktop: los dispositivos de tarjeta inteligente se redirigen desde el dispositivo local a la sesión remota.
• Comportamiento predeterminado resultante: los dispositivos de tarjeta inteligente se redirigen desde el dispositivo local a la sesión remota.

Importante

Tenga cuidado al configurar la configuración de redireccionamiento, ya que la configuración más restrictiva es el comportamiento resultante. Por ejemplo, si deshabilita el redireccionamiento de tarjetas inteligentes en un host de sesión con Microsoft Intune o directiva de grupo, pero lo habilita con la propiedad RDP del grupo de hosts, el redireccionamiento se deshabilita.

La configuración de un equipo en la nube rige la capacidad de redirigir dispositivos de tarjeta inteligente desde un dispositivo local a una sesión remota y se establece mediante Microsoft Intune o directiva de grupo.

La configuración predeterminada es:

• Sistema operativo Windows: el redireccionamiento de tarjetas inteligentes no está bloqueado.
• Windows 365: el redireccionamiento de tarjeta inteligente está habilitado.
• Comportamiento predeterminado resultante: los dispositivos de tarjeta inteligente se redirigen desde el dispositivo local a la sesión remota.

La configuración de un cuadro de desarrollo rige la capacidad de redirigir dispositivos de tarjeta inteligente desde un dispositivo local a una sesión remota y se establece mediante Microsoft Intune o directiva de grupo.

La configuración predeterminada es:

• Sistema operativo Windows: el redireccionamiento de tarjetas inteligentes no está bloqueado.
• Microsoft Dev Box: el redireccionamiento de tarjeta inteligente está habilitado.
• Comportamiento predeterminado resultante: los dispositivos de tarjeta inteligente se redirigen desde el dispositivo local a la sesión remota.

Configuración del redireccionamiento de dispositivos de tarjeta inteligente mediante propiedades RDP del grupo de hosts

La configuración de redireccionamiento de tarjetas inteligentes del grupo de hosts de Azure Virtual Desktop controla si se redirige la tarjeta inteligente desde un dispositivo local a una sesión remota. La propiedad RDP correspondiente es redirectsmartcards:i:<value>. Para obtener más información, vea Propiedades de RDP admitidas.

Para configurar el redireccionamiento de tarjetas inteligentes mediante las propiedades RDP del grupo de hosts:

1. Inicie sesión en el portal de Azure.

2. En la barra de búsqueda, escriba Azure Virtual Desktop y seleccione la entrada de servicio coincidente.

3. Seleccione Grupos de hosts y, a continuación, seleccione el grupo de hosts que desea configurar.

4. Seleccione Propiedades de RDP y, a continuación, redireccionamiento de dispositivos.

   

5. En Redirección de tarjetas inteligentes, seleccione la lista desplegable y, a continuación, seleccione una de las siguientes opciones:

   • El dispositivo de tarjeta inteligente del equipo local no está disponible en la sesión remota.
   • El dispositivo de tarjeta inteligente del equipo local está disponible en sesión remota (valor predeterminado)
   • Sin configurar

6. Haga clic en Guardar.

7. Para probar la configuración, conéctese a una sesión remota y, a continuación, use una aplicación o un sitio web que requiera su tarjeta inteligente. Compruebe que la tarjeta inteligente está disponible y funciona según lo esperado.

Configuración del redireccionamiento de dispositivos de tarjeta inteligente mediante Microsoft Intune o directiva de grupo

Configuración del redireccionamiento de dispositivos de tarjeta inteligente mediante Microsoft Intune o directiva de grupo

Seleccione la pestaña correspondiente para el escenario.

Microsoft Intune

Para permitir o deshabilitar el redireccionamiento del dispositivo de tarjeta inteligente mediante Microsoft Intune:

1. Inicie sesión en el Centro de administración de Microsoft Intune.

2. Cree o edite un perfil de configuración para Windows 10 y dispositivos posteriores, con el tipo de perfil de catálogo Configuración.

3. En el selector de configuración, vaya a Plantillas> administrativasComponentes de Windows Servicios>> deEscritorio remoto Dispositivo host> de sesión de Escritorio remotoy Redirección de recursos.

   

4. Active la casilla No permitir el redireccionamiento del dispositivo de tarjeta inteligente y cierre el selector de configuración.

5. Expanda la categoría Plantillas administrativas y, a continuación, cambie el modificador de No permitir el redireccionamiento del dispositivo de tarjeta inteligente, en función de sus requisitos:

   • Para permitir el redireccionamiento del dispositivo de tarjeta inteligente, cambie el modificador a Deshabilitado.

   • Para deshabilitar el redireccionamiento del dispositivo de tarjeta inteligente, cambie a Habilitado.

6. Seleccione Siguiente.

7. Opcional: en la pestaña Etiquetas de ámbito, seleccione una etiqueta de ámbito para filtrar el perfil. Para más información sobre las etiquetas de ámbito, consulte Usar control de acceso basado en roles (RBAC) y etiquetas de ámbito para TI distribuida.

8. En la pestaña Asignaciones , seleccione el grupo que contiene los equipos que proporcionan una sesión remota que desea configurar y, a continuación, seleccione Siguiente.

9. En la pestaña Revisar y crear , revise la configuración y seleccione Crear.

10. Una vez que la directiva se aplica a los equipos que proporcionan una sesión remota, reinícielos para que la configuración surta efecto.

Directiva de grupo

Para permitir o deshabilitar el redireccionamiento del dispositivo de tarjeta inteligente mediante directiva de grupo:

1. Abra la consola de administración de directiva de grupo en un dispositivo que use para administrar el dominio de Active Directory.

2. Cree o edite una directiva destinada a los equipos que proporcionan una sesión remota que desea configurar.

3. Vaya aDirectivas>de configuración> del equipoPlantillas> administrativasComponentes de Windows Servicios>> deEscritorio remotoDispositivohost> de sesión de Escritorio remotoy Redirección de recursos.

   

4. Haga doble clic en la configuración de directiva No permitir el redireccionamiento del dispositivo de tarjeta inteligente para abrirlo.

   • Para permitir el redireccionamiento del dispositivo de tarjeta inteligente, seleccione Deshabilitado o No configurado y, después, Aceptar.

   • Para deshabilitar el redireccionamiento del dispositivo de tarjeta inteligente, seleccione Habilitado y, a continuación, seleccione Aceptar.

5. Asegúrese de que la directiva se aplica a los equipos que proporcionan una sesión remota y, a continuación, reiníciela para que la configuración surta efecto.

Probar el redireccionamiento de tarjetas inteligentes

Para probar el redireccionamiento de tarjetas inteligentes:

1. Conéctese a una sesión remota mediante Window App o la aplicación escritorio remoto en una plataforma que admita el redireccionamiento de tarjetas inteligentes. Para obtener más información, consulte Comparación de características de Windows App entre plataformas y dispositivos y Comparación de características de aplicaciones de Escritorio remoto entre plataformas y dispositivos.

2. Compruebe que las tarjetas inteligentes están disponibles en la sesión remota. Ejecute el siguiente comando en la sesión remota en el símbolo del sistema o desde un símbolo del sistema de PowerShell.

   certutil -scinfo
   

   Si el redireccionamiento de tarjeta inteligente funciona, la salida se inicia de forma similar a la siguiente salida:

   The Microsoft Smart Card Resource Manager is running.
   Current reader/card status:
   Readers: 2
     0: Windows Hello for Business 1
     1: Yubico YubiKey OTP+FIDO+CCID 0
   --- Reader: Windows Hello for Business 1
   --- Status: SCARD_STATE_PRESENT | SCARD_STATE_INUSE
   --- Status: The card is being shared by a process.
   ---   Card: Identity Device (Microsoft Generic Profile)
   ---    ATR:
           aa bb cc dd ee ff 00 11  22 33 44 55 66 77 88 99   ;.........AB12..
           ab                                                 .
   
   --- Reader: Yubico YubiKey OTP+FIDO+CCID 0
   --- Status: SCARD_STATE_PRESENT | SCARD_STATE_UNPOWERED
   --- Status: The card is available for use.
   ---   Card: Identity Device (NIST SP 800-73 [PIV])
   ---    ATR:
           aa bb cc dd ee ff 00 11  22 33 44 55 66 77 88 99   ;.........34yz..
           ab                                                 .
   
   [continued...]
   

3. Abra y use una aplicación o sitio web que requiera su tarjeta inteligente. Compruebe que la tarjeta inteligente está disponible y funciona según lo esperado.

Contenido relacionado

• Redireccionamiento a través del protocolo de Escritorio remoto.
• Propiedades de RDP admitidas.
• Compare Windows App características entre plataformas y dispositivos.
• Compare las características de la aplicación de Escritorio remoto entre plataformas y dispositivos.