Configuración del redireccionamiento de WebAuthn a través del Protocolo de escritorio remoto

Sugerencia

Este artículo se comparte para servicios y productos que usan el Protocolo de escritorio remoto (RDP) para proporcionar acceso remoto a escritorios y aplicaciones de Windows.

Seleccione un producto con los botones de la parte superior de este artículo para mostrar el contenido pertinente.

Puede configurar el comportamiento de redireccionamiento de las solicitudes de WebAuthn desde una sesión remota a un dispositivo local a través del Protocolo de escritorio remoto (RDP). El redireccionamiento de WebAuthn permite la autenticación en sesión sin contraseña usando Windows Hello para empresas o dispositivos de seguridad como las claves FIDO.

Para Azure Virtual Desktop, le recomendamos que habilite el redireccionamiento de WebAuthn en sus hosts de sesión utilizando Microsoft Intune o la directiva de grupo, y después controle el redireccionamiento utilizando las propiedades de RDP del grupo de hosts.

Para Windows 365, puede configurar los PC en la nube mediante Microsoft Intune o la directiva de grupo.

En el caso de Microsoft Dev Box, puede configurar sus equipos de desarrollo usando Microsoft Intune o directivas de grupo.

En este artículo se proporciona información sobre los métodos de redireccionamiento admitidos y cómo configurar el comportamiento de redireccionamiento para las solicitudes de WebAuthn. Para más información sobre cómo funciona el redireccionamiento, consulte Redireccionamiento a través del Protocolo de escritorio remoto.

Requisitos previos

Para poder configurar el redireccionamiento de WebAuthn, necesita lo siguiente:

• Un grupo de hosts existente con hosts de sesión.

• Una cuenta de Id. de Microsoft Entra asignada a los roles integrados de control de acceso basado en rol (RBAC) del grupo de hosts de Desktop Virtualization en el grupo de hosts como mínimo.

• Un PC en la nube existente.

• Un equipo de desarrollo existente.

• Un dispositivo Windows local con Windows Hello para empresas o un dispositivo de seguridad como una clave USB FIDO ya configurada.

• Para configurar Microsoft Intune, necesita:

  • Cuenta de Microsoft Entra ID a la que se asigna la función RBAC integrada de administrador de directivas y perfiles.
  • Un grupo que contiene los dispositivos que quiere configurar.

• Para configurar la directiva de grupo, se necesita:

  • Una cuenta de dominio que tenga permiso para crear o editar objetos de directiva de grupo.
  • Un grupo de seguridad o una unidad organizativa (UO) que contenga los dispositivos que quiera configurar.

• Necesita conectarse a una sesión remota desde una aplicación y una plataforma compatibles. Para ver la compatibilidad con el redireccionamiento en la aplicación de Windows y en la aplicación Escritorio remoto, consulte Comparar las características de la aplicación de Windows en distintas plataformas y dispositivos y Comparar las características de la aplicación Escritorio remoto en distintas plataformas y dispositivos.

Redireccionamiento de WebAuthn

La configuración de un host de sesión mediante Microsoft Intune o directivas de grupo, o el establecimiento de una propiedad de RDP en un grupo de hosts rige la capacidad de redirigir las solicitudes de WebAuthn de una sesión remota a un dispositivo local, lo que está sujeto a un orden de prioridad.

La configuración predeterminada es la siguiente:

• Sistema operativo Windows: las solicitudes de WebAuthn no están bloqueadas.
• Propiedades de RDP del grupo de hosts de Azure Virtual Desktop: las solicitudes de WebAuthn en la sesión remota se redirigen al equipo local.

Importante

Tenga cuidado al establecer la configuración de redireccionamiento, ya que el comportamiento resultante es el más restrictivo. Por ejemplo, si deshabilita el redireccionamiento de WebAuthn en un host de sesión con Microsoft Intune o la directiva de grupo, pero la habilita con la propiedad de RDP del grupo de hosts, el redireccionamiento se deshabilitará.

La configuración de un PC en la nube rige la capacidad de redirigir las solicitudes de WebAuthn entre la sesión remota y el dispositivo local, y se establece usando Microsoft Intune o la directiva de grupo.

La configuración predeterminada es la siguiente:

• Sistema operativo Windows: las solicitudes de WebAuthn no están bloqueadas. Windows 365 habilita el redireccionamiento de WebAuthn.

La configuración de un equipo de desarrollo rige la capacidad de redirigir las solicitudes de WebAuthn entre la sesión remota y el dispositivo local, y se establece usando Microsoft Intune o la directiva de grupo.

La configuración predeterminada es la siguiente:

• Sistema operativo Windows: las solicitudes de WebAuthn no están bloqueadas. Windows 365 habilita el redireccionamiento de WebAuthn.

Configuración de el redireccionamiento de WebAuthn usando las propiedades de RDP del grupo de hosts

La configuración del grupo de hosts de Azure Virtual Desktop Redireccionamiento de WebAuthn controla si se redirigen las solicitudes de WebAuthn entre la sesión remota y el dispositivo local. La propiedad de RDP correspondiente es redirectwebauthn:i:<value>. Para más información, consulte Propiedades de RDP compatibles.

Para configurar el redireccionamiento de WebAuthn usando las propiedades de RDP del grupo de hosts:

1. Inicie sesión en Azure Portal.

2. En la barra de búsqueda, escriba Azure Virtual Desktop y seleccione la entrada de servicio coincidente.

3. Vaya a Grupos de hosts y, a continuación, seleccione el grupo de hosts que quiere usar.

4. Seleccione Propiedades de RDP y después seleccione Redireccionamiento de dispositivos.

   

5. Para Redireccionamiento de WebAuthn, seleccione la lista desplegable y, después, una de las siguientes opciones:

   • Las solicitudes de WebAuthn en la sesión remota no se redirigen al equipo local
   • Las solicitudes de WebAuthn en la sesión remota se redirigen al equipo local (predeterminado)
   • No configurado

6. Seleccione Guardar.

7. Para probar la configuración, siga los pasos indicados en Prueba de redireccionamiento de WebAuthn.

Configuración del redireccionamiento de WebAuthn mediante Microsoft Intune o directiva de grupo

Configuración del redireccionamiento de WebAuthn mediante Microsoft Intune o directiva de grupo

Seleccione la pestaña correspondiente a su escenario.

Microsoft Intune

Para permitir o deshabilitar el redireccionamiento de WebAuthn usando Microsoft Intune:

1. Inicie sesión en el Centro de administración de Microsoft Intune.

2. Cree o edite un perfil de configuración para Windows 10 y dispositivos posteriores, con el tipo de perfil Catálogo de configuración.

3. En el selector de configuración, vaya a Plantillas administrativas>Componentes de Windows>Servicios de Escritorio remoto>Host de sesión de Escritorio remoto>Redirección de dispositivos y recursos.

   

4. Active la casilla No permitir el redireccionamiento de WebAuthn y, a continuación, cierre el selector de configuración.

5. Expanda la categoría Plantillas administrativas y, a continuación, active el modificador de No permitir el redireccionamiento de WebAuthn a Habilitado o Deshabilitado, según sus requisitos:

   • Para permitir el redireccionamiento de WebAuthn, cambie el modificador a Deshabilitado y seleccione Aceptar.

   • Para deshabilitar el redireccionamiento de WebAuthn, cambie al modificador a Habilitado y, a continuación, seleccione Aceptar.

6. Seleccione Siguiente.

7. Opcional: en la pestaña Etiquetas de ámbito, seleccione una etiqueta de ámbito para filtrar el perfil. Para obtener más información sobre las etiquetas de ámbito, consulte Utilizar el control de acceso basado en funciones (RBAC) y las etiquetas de alcance para la TI distribuida.

8. En la pestaña Asignaciones, seleccione el grupo que contiene los ordenadores que proporcionan una sesión remota que desea configurar y, a continuación, seleccione Siguiente.

9. En la pestaña Revisar y crear, examine la configuración y seleccione Crear.

10. Una vez que la directiva se aplica a los ordenadores que proporcionan una sesión remota, reiníciela para que la configuración surta efecto.

Directiva de grupo

Para permitir o deshabilitar el redireccionamiento de WebAuthn usando la directiva de grupo:

1. Abra la consola de Administración de directivas de grupo en el dispositivo que use para administrar el dominio de Active Directory.

2. Cree o edite una directiva destinada a los ordenadores que proporcionan una sesión remota que desea configurar.

3. Vaya hasta Configuración del equipo>Directivas>Plantillas administrativas>Componentes de Windows>Servicios de Escritorio remoto>Host de sesión de Escritorio remoto>Redireccionamiento de dispositivos y recursos.

   

4. Haga doble clic en la configuración de la directiva No permitir el redireccionamiento de WebAuthn para abrirla.

   • Para permitir el redireccionamiento de WebAuthn, seleccione Deshabilitado o No configurado, después seleccione Aceptar.

   • Para deshabilitar el redireccionamiento de WebAuthn, seleccione Habilitado y, a continuación, seleccione Aceptar.

5. Asegúrese de que la directiva se aplica a los equipos que proporcionan una sesión remota y, después, reinícielos para que la configuración surta efecto.

Prueba de redireccionamiento de WebAuthn

Una vez que habilite el redireccionamiento de WebAuthn, para probarlo:

1. Si usa una clave de seguridad USB, asegúrese de que está conectada primero.

2. Conéctese a una sesión remota usando la aplicación de Windows o la aplicación de Escritorio remoto en una plataforma compatible con el redireccionamiento de WebAuthn. Para más información, consulte Comparar las características de la aplicación de Windows en distintas plataformas y dispositivos y Comparar las características de la aplicación de Escritorio remoto en distintas plataformas y dispositivos.

3. En la sesión remota, abra un sitio web en una ventana InPrivate que use autenticación de WebAuthn, como la aplicación de Windows para exploradores web en https://windows.cloud.microsoft/.

4. Siga el proceso de inicio de sesión. Cuando llegue el momento de autenticación para usar Windows Hello para empresas o la clave de seguridad, debería ver una solicitud de Seguridad de Windows para finalizar la autenticación, como se muestra en la siguiente imagen cuando se usa un dispositivo local de Windows.

   La solicitud de Seguridad de Windows está en el dispositivo local y se superpone a la sesión remota, lo que indica que el redireccionamiento de WebAuthn está funcionando.

   

Contenido relacionado

• Redireccionamiento a través del Protocolo de escritorio remoto.
• Propiedades de RDP compatibles.
• Comparación de las características de la aplicación de Windows entre plataformas y dispositivos.
• Comparación de las características de la aplicación de Escritorio remoto en distintas plataformas y dispositivos.