Configurer la redirection WebAuthn via le protocole Bureau à distance

Conseil

Cet article est partagé pour les services et les produits qui utilisent le protocole RDP (Remote Desktop Protocol) pour fournir un accès à distance aux bureaux et applications Windows.

Sélectionnez un produit à l’aide des boutons en haut de cet article pour afficher le contenu approprié.

Vous pouvez configurer le comportement de redirection des requêtes WebAuthn d’une session à distance vers un appareil local via le protocole RDP (Remote Desktop Protocol). La redirection WebAuthn permet l’authentification sans mot de passe dans la session à l’aide de Windows Hello Entreprise ou d’appareils de sécurité tels que des clés FIDO.

Pour Azure Virtual Desktop, nous vous recommandons d’activer la redirection WebAuthn sur vos hôtes de session à l’aide de Microsoft Intune ou stratégie de groupe, puis de contrôler la redirection à l’aide des propriétés RDP du pool d’hôtes.

Par Windows 365, vous pouvez configurer vos PC cloud à l’aide de Microsoft Intune ou de stratégie de groupe.

Pour Microsoft Dev Box, vous pouvez configurer vos dev box à l’aide de Microsoft Intune ou de stratégie de groupe.

Cet article fournit des informations sur les méthodes de redirection prises en charge et sur la façon de configurer le comportement de redirection pour les requêtes WebAuthn. Pour en savoir plus sur le fonctionnement de la redirection, consultez Redirection via le protocole Bureau à distance.

Configuration requise

Avant de pouvoir configurer la redirection WebAuthn, vous avez besoin des éléments suivants :

• Un pool d’hôtes existant avec des hôtes de session.

• Un compte Microsoft Entra ID auquel est attribué au minimum les rôles de contrôle d’accès en fonction du rôle (RBAC) intégrés contributeur du pool d’hôtes de virtualisation de bureau sur le pool d’hôtes.

• Un PC cloud existant.

• Une dev box existante.

• Un appareil Windows local avec Windows Hello Entreprise ou un périphérique de sécurité comme une clé USB FIDO déjà configurée.

• Pour configurer Microsoft Intune, vous avez besoin des éléments suivants :

  • Microsoft Entra ID compte auquel le rôle RBAC intégré Gestionnaire de stratégies et de profils est attribué.
  • Groupe contenant les appareils que vous souhaitez configurer.

• Pour configurer stratégie de groupe, vous avez besoin des éléments suivants :

  • Un compte de domaine qui a l’autorisation de créer ou de modifier stratégie de groupe objets.
  • Un groupe de sécurité ou une unité d’organisation (UO) contenant les appareils que vous souhaitez configurer.

• Vous devez vous connecter à une session à distance à partir d’une application et d’une plateforme prises en charge. Pour afficher la prise en charge de la redirection dans Windows App et l’application Bureau à distance, consultez Comparer les fonctionnalités Windows App entre les plateformes et les appareils et Comparer les fonctionnalités de l’application Bureau à distance entre les plateformes et les appareils.

Redirection WebAuthn

La configuration d’un hôte de session à l’aide de Microsoft Intune ou de stratégie de groupe, ou la définition d’une propriété RDP sur un pool d’hôtes régit la possibilité de rediriger les requêtes WebAuthn d’une session à distance vers un appareil local, qui est soumis à un ordre de priorité.

La configuration par défaut est la suivante :

• Système d’exploitation Windows : les requêtes WebAuthn ne sont pas bloquées.
• Propriétés RDP du pool d’hôtes Azure Virtual Desktop : les requêtes WebAuthn dans la session à distance sont redirigées vers l’ordinateur local.

Importante

Faites attention lors de la configuration des paramètres de redirection, car le paramètre le plus restrictif est le comportement résultant. Par exemple, si vous désactivez la redirection WebAuthn sur un hôte de session avec Microsoft Intune ou stratégie de groupe, mais que vous l’activez avec la propriété RDP du pool d’hôtes, la redirection est désactivée.

La configuration d’un PC cloud régit la possibilité de rediriger les requêtes WebAuthn entre la session à distance et l’appareil local, et est définie à l’aide de Microsoft Intune ou stratégie de groupe.

La configuration par défaut est la suivante :

• Système d’exploitation Windows : les requêtes WebAuthn ne sont pas bloquées. Windows 365 active la redirection WebAuthn.

La configuration d’une dev box régit la possibilité de rediriger les requêtes WebAuthn entre la session à distance et l’appareil local, et est définie à l’aide de Microsoft Intune ou stratégie de groupe.

La configuration par défaut est la suivante :

• Système d’exploitation Windows : les requêtes WebAuthn ne sont pas bloquées. Windows 365 active la redirection WebAuthn.

Configurer la redirection WebAuthn à l’aide des propriétés RDP du pool d’hôtes

Le paramètre de pool d’hôtes Azure Virtual Desktop Redirection WebAuthn détermine s’il faut rediriger les requêtes WebAuthn entre la session à distance et l’appareil local. La propriété RDP correspondante est redirectwebauthn:i:<value>. Pour plus d’informations, consultez Propriétés RDP prises en charge.

Pour configurer la redirection WebAuthn à l’aide des propriétés RDP du pool d’hôtes :

1. Connectez-vous au Portail Azure.

2. Dans la barre de recherche, tapez Azure Virtual Desktop et sélectionnez l’entrée de service correspondante.

3. Sélectionnez Pools d’hôtes, puis sélectionnez le pool d’hôtes que vous souhaitez configurer.

4. Sélectionnez Propriétés RDP, puis Redirection de l’appareil.

   

5. Pour redirection WebAuthn, sélectionnez la liste déroulante, puis sélectionnez l’une des options suivantes :

   • Les requêtes WebAuthn dans la session à distance ne sont pas redirigées vers l’ordinateur local
   • Les requêtes WebAuthn dans la session à distance sont redirigées vers l’ordinateur local (par défaut)
   • Non configuré

6. Sélectionnez Enregistrer.

7. Pour tester la configuration, suivez les étapes décrites dans Tester la redirection WebAuthn.

Configurer la redirection WebAuthn à l’aide de Microsoft Intune ou stratégie de groupe

Configurer la redirection WebAuthn à l’aide de Microsoft Intune ou stratégie de groupe

Sélectionnez l’onglet approprié pour votre scénario.

Microsoft Intune

Pour autoriser ou désactiver la redirection WebAuthn à l’aide de Microsoft Intune :

1. Connectez-vous au Centre d’administration Microsoft Intune.

2. Créez ou modifiez un profil de configuration pour les appareils Windows 10 et versions ultérieures, avec le type de profil catalogue Paramètres.

3. Dans le sélecteur de paramètres, accédez à Modèles >d’administrationComposants> WindowsServices> Bureau à distance RemoteDesktop Session Host>Device and Resource Redirection.

   

4. Cochez la case Ne pas autoriser la redirection WebAuthn, puis fermez le sélecteur de paramètres.

5. Développez la catégorie Modèles d’administration , puis basculez le commutateur pour Ne pas autoriser la redirection WebAuthn sur Activé ou Désactivé, en fonction de vos besoins :

   • Pour autoriser la redirection WebAuthn, basculez le commutateur sur Désactivé.

   • Pour désactiver la redirection WebAuthn, basculez le commutateur sur Activé.

6. Sélectionnez Suivant.

7. Facultatif : sous l’onglet Balises d’étendue , sélectionnez une balise d’étendue pour filtrer le profil. Pour plus d’informations sur les balises d’étendue, voir Utiliser le contrôle d’accès en fonction du rôle (RBAC) et les balises d’étendue pour l’informatique distribuée.

8. Sous l’onglet Affectations , sélectionnez le groupe contenant les ordinateurs fournissant une session à distance que vous souhaitez configurer, puis sélectionnez Suivant.

9. Sous l’onglet Vérifier + créer , passez en revue les paramètres, puis sélectionnez Créer.

10. Une fois que la stratégie s’applique aux ordinateurs qui fournissent une session à distance, redémarrez-les pour que les paramètres prennent effet.

Stratégie de groupe

Pour autoriser ou désactiver la redirection WebAuthn à l’aide de stratégie de groupe :

1. Ouvrez la console de gestion stratégie de groupe sur un appareil que vous utilisez pour gérer le domaine Active Directory.

2. Créez ou modifiez une stratégie qui cible les ordinateurs qui fournissent une session à distance que vous souhaitez configurer.

3. Accédez à Stratégies de configuration>> de l’ordinateurModèles> d’administrationComposants> WindowsServices> Bureauà distance Services Bureau à distanceHôte de session >Et redirection des ressources.

   

4. Double-cliquez sur le paramètre de stratégie Ne pas autoriser la redirection WebAuthn à l’ouvrir.

   • Pour autoriser la redirection WebAuthn, sélectionnez Désactivé ou Non configuré, puis ok.

   • Pour désactiver la redirection WebAuthn, sélectionnez Activé, puis OK.

5. Vérifiez que la stratégie est appliquée aux ordinateurs qui fournissent une session à distance, puis redémarrez-les pour que les paramètres prennent effet.

Tester la redirection WebAuthn

Une fois que vous avez activé la redirection WebAuthn, pour la tester :

1. Si vous utilisez une clé de sécurité USB, vérifiez d’abord qu’elle est branchée.

2. Connectez-vous à une session à distance à l’aide de l’application Window Ou de l’application Bureau à distance sur une plateforme qui prend en charge la redirection WebAuthn. Pour plus d’informations, consultez Comparer Windows App fonctionnalités entre les plateformes et les appareils et Comparer les fonctionnalités de l’application Bureau à distance entre les plateformes et les appareils.

3. Dans la session à distance, ouvrez un site web dans une fenêtre InPrivate qui utilise l’authentification WebAuthn, telle que Windows App pour les navigateurs web à l’adresse https://windows.cloud.microsoft/.

4. Suivez le processus de connexion. Lorsque l’authentification utilise Windows Hello Entreprise ou la clé de sécurité, vous devez voir une invite de Sécurité Windows pour terminer l’authentification, comme illustré dans l’image suivante lors de l’utilisation d’un appareil windows local.

   L’invite Sécurité Windows se trouve sur l’appareil local et superpose la session à distance, indiquant que la redirection WebAuthn fonctionne.

   

Contenu connexe

• Redirection via le protocole Bureau à distance.
• Propriétés RDP prises en charge.
• Comparez les fonctionnalités Windows App entre les plateformes et les appareils.
• Comparez les fonctionnalités de l’application Bureau à distance entre les plateformes et les appareils.