A Windows-alkalmazások átirányítási beállításainak kezelése a Microsoft Intune-nal

Szabályozhatja, hogy a rendszer átirányítja-e a helyi erőforrásokat, például a kamerákat, a mikrofonokat, a tárterületet és a vágólapot egy távoli munkamenetbe az Azure Virtual Desktopból, a Windows 365-ből és a Microsoft Dev Boxból. Ehhez a helyi eszközbiztonsági megfelelőség megkövetelése előfeltétele a helyi eszközátirányítási beállítások kezelésének. További információkért lásd: Helyi ügyféleszköz biztonsági megfelelőség megkövetelése a Microsoft Intune és a Microsoft Entra feltételes hozzáféréssel.

Magas szinten az Intune-alkalmazáskonfigurációs szabályzatok használatával kezelheti a Windows-alkalmazás átirányítási beállításait egy ügyféleszközön. Ezek a szabályzatok az Intune alkalmazásvédelmi szabályzatai és a feltételes hozzáférési szabályzatok mellett működnek, amelyek már konfigurálva voltak a helyi ügyféleszköz biztonsági megfelelőségének megkövetelésekor. Szűrők használatával meghatározott feltételek alapján célozhatja meg a felhasználókat és az eszközöket.

A helyi eszközbiztonsági megfelelőség megkövetelése esetén a következő forgatókönyveket valósíthatja meg:

• Az átirányítási beállításokat részletesebben alkalmazhatja a megadott feltételek alapján. Előfordulhat például, hogy különböző beállításokat szeretne használni attól függően, hogy a felhasználó melyik biztonsági csoportban van, milyen operációs rendszert használ, vagy ha a felhasználók vállalati és személyes eszközöket is használnak egy távoli munkamenet eléréséhez.

• További védelmi réteget biztosít a gazdagépkészlet vagy munkamenet-gazdagép helytelenül konfigurált átirányítása ellen.

• További biztonsági beállításokat alkalmazhat a Windows appra és a Távoli asztali alkalmazásra, például PIN-kódot igényelhet, letilthatja a külső billentyűzeteket, és korlátozhatja a kivágási, másolási és beillesztési műveleteket az ügyféleszköz más alkalmazásai között.

Ha egy ügyféleszköz átirányítási beállításai ütköznek az Azure Virtual Desktop gazdagépkészletének RDP-tulajdonságaival és munkamenet-gazdagépével, illetve a Windows 365-höz készült felhőbeli PC-vel, a kettő között a szigorúbb beállítás lép érvénybe. Ha például a munkamenet-gazdagép letiltja a meghajtó átirányítását, és az ügyféleszköz engedélyezi a meghajtó átirányítását, a meghajtó átirányítása nem engedélyezett. Ha a munkamenet-gazdagép és az ügyféleszköz átirányítási beállításai megegyeznek, az átirányítási viselkedés konzisztens.

Fontos

Az átirányítási beállítások ügyféleszközön való konfigurálása nem helyettesíti a gazdagépkészletek és munkamenet-gazdagépek igény szerinti megfelelő konfigurálását. Előfordulhat, hogy a Microsoft Intune-nal konfigurálja a Windows-alkalmazást és a távoli asztali alkalmazást a magasabb szintű biztonságot igénylő számítási feladatokhoz.

A magasabb biztonsági követelményekkel rendelkező számítási feladatoknak továbbra is átirányítást kell beállítaniuk a gazdagépkészletben vagy a munkamenet-gazdagépen, ahol a gazdagépkészlet összes felhasználója ugyanazzal az átirányítási konfigurációval rendelkezik. Ajánlott adatveszteség-védelmi (DLP) megoldás használata, és az átirányítást le kell tiltani a munkamenet-gazdagépeken, amikor csak lehetséges, hogy minimalizálja az adatvesztés lehetőségét.

Példaforgatókönyv

Az alábbi példaforgatókönyvben a csoport felhasználóinak engedélyezve van a meghajtó átirányítása a Windows vállalati eszközükről való csatlakozáskor, de a meghajtó átirányítása nem engedélyezett az iOS/iPadOS vagy androidos vállalati eszközükön.

A szűrőkben és szabályzatokban megadott értékek a követelményektől függnek, ezért meg kell határoznia, hogy mi a legjobb a szervezet számára.

Ennek a forgatókönyvnek az elérése érdekében:

1. Győződjön meg arról, hogy a munkamenet-gazdagépek, a gazdagépkészletek beállításai, a felhőbeli számítógépek vagy a fejlesztői gépek úgy vannak konfigurálva, hogy engedélyezve legyen a meghajtó átirányítás.

2. Két szűrő létrehozása:

   1. Egy felügyelt alkalmazás felügyelt iOS/iPadOS-eszközökhöz.
   2. Felügyelt androidos eszközökhöz készült alkalmazások egyike.

3. Hozzon létre két alkalmazásvédelmi szabályzatot, egyet iOS-hez/iPadOS-hez és egyet Androidhoz.

4. Három alkalmazáskonfigurációs szabályzat létrehozása:

   1. iOS/iPadOS:
      1. Egy felügyelt eszközszabályzat a regisztrált felhasználói fiók és az eszközazonosító azonosításához.
      2. Egy felügyelt alkalmazásszabályzat, amely letiltotta a meghajtó átirányítását. Rendelje hozzá az iOS/iPadOS szűrőt, amelyet a 2. lépésben hozott létre.
   2. Android: egy felügyelt alkalmazásokhoz androidos eszközökhöz, amelyeken a meghajtó átirányítása le van tiltva. Rendelje hozzá a 2. lépésben létrehozott Android-szűrőt.

Előfeltételek

Mielőtt konfigurálhatja az átirányítási beállításokat egy helyi ügyféleszközön az Intune és a feltételes hozzáférés használatával, a következőkre van szüksége:

• A helyi ügyféleszköz-biztonsági megfelelőség megkövetelése a Microsoft Intune-nal és a Microsoft Entra Feltételes hozzáféréssel című témakörben leírt lépések végrehajtásához. A cikkben szereplő összes előfeltétel erre a cikkre is vonatkozik.

• Az alkalmazásvédelmi szabályzatok és a feltételes hozzáférési szabályzatok konfigurálásának további Intune-előfeltételei is vannak. További információk:

  • Alkalmazásalapú feltételes hozzáférési szabályzatok használata az Intune-nal.

Alkalmazáskonfigurációs szabályzat létrehozása iOS/iPadOS által felügyelt eszközökhöz

A csak felügyelt iOS/iPadOS-eszközök esetén létre kell hoznia egy alkalmazáskonfigurációs szabályzatot a Windows App felügyelt eszközeihez . Ez a lépés androidos esetén nem szükséges.

Fontos

Az iOS/iPadOS esetén az Eszközkezelés típus az Intune által felügyelt eszközökre való kényszerítéséhez további alkalmazáskonfigurációs beállításokra van szükség. További információ: Eszközfelügyeleti típusok.

Az Intune szeptemberi (2409-es) szolgáltatáskiadásától kezdve bizonyos alkalmazások, köztük a Windows App, esetében a rendszer automatikusan elküldi az alkalmazáskonfigurációs értékeket az Intune-ban regisztrált iOS/iPadOS-eszközökön lévő felügyelt alkalmazásoknak, beleértve a IntuneMAMUPNIntuneMAMOID és IntuneMAMDeviceID értékeket.

Ha alkalmazáskonfigurációs szabályzatot szeretne létrehozni és alkalmazni felügyelt eszközökhöz, kövesse az Alkalmazáskonfigurációs szabályzatok hozzáadása felügyelt iOS/iPadOS-eszközökhöz című cikket, és használja az alábbi beállításokat:

• Az Alapszintű beállítások lapon a célzott alkalmazáshoz válassza a Windows App Mobile lehetőséget a listából. Ahhoz, hogy megjelenjen ebben a listában, hozzá kell adnia az alkalmazást az Intune-hoz az App Store-ból .

• A Beállítások lap Konfigurációs beállítások formátum legördülő listájában válassza a Konfigurációtervező használata lehetőséget, majd adja meg a következő beállításokat pontosan az ábrán látható módon:

  Konfigurációs kulcs	Érték típusa	Konfigurációs érték
  IntuneMAMUPN	Lánc	{{userprincipalname}}
  IntuneMAMOID	Lánc	{{userid}}
  IntuneMAMDeviceID	Lánc	{{deviceID}}

• A Hozzárendelések lapon rendelje hozzá a házirendet ahhoz a biztonsági csoporthoz, amely a felhasználókat tartalmazza a szabályzat alkalmazásához. A szabályzat érvénybe léptetéséhez a szabályzatot felhasználók egy csoportjára kell alkalmaznia. Minden csoporthoz kiválaszthat egy szűrőt, amely pontosabb az alkalmazáskonfigurációs szabályzat célzásában.

Alkalmazáskonfigurációs szabályzat létrehozása felügyelt alkalmazásokhoz

Javasoljuk, hogy hozzon létre egy külön alkalmazáskonfigurációs szabályzatot az iOS/iPadOS és androidos felügyelt alkalmazásokhoz, mivel az alkalmazáskonfigurációs szabályzat képességei idővel változhatnak a platformok között.

Szükség szerint hozzon létre további alkalmazáskonfigurációs szabályzatokat, ha az eszközátirányítási követelmények eltérnek a felhasználók csoportjaitól. Például letilthatja a meghajtó átirányítását a Pénzügyi felhasználók számára, és letilthatja a meghajtó- és vágólap-átirányítást a marketingfelhasználók számára.

Ha alkalmazáskonfigurációs szabályzatot szeretne létrehozni és alkalmazni felügyelt alkalmazásokhoz, kövesse az Intune App SDK által felügyelt alkalmazások alkalmazáskonfigurációs szabályzatainak lépéseit, és használja az alábbi beállításokat:

• Az Alapszintű beállítások lapon válassza a Nyilvános alkalmazások kiválasztása lehetőséget, keresse meg és válassza a Windows appot, majd válassza a Kiválasztás lehetőséget. Csak Android esetén, ha a Windows Alkalmazás még nem jelenik meg Önnek, írja be helyette a Távoli asztal lehetőséget. Ennek oka az Intune üzembe helyezési időzítése. Mindkét alkalmazás ugyanazt a csomagazonosítót com.microsoft.rdc.androidxhasználja, így az alkalmazáskonfigurációs szabályzatok mindkét alkalmazásra érvényesek az Intune-konzolon látható alkalmazásnévtől függetlenül.

• A Beállítások lapon bontsa ki az Általános konfigurációs beállítások elemet, majd adja meg a következő nevet és értékpárt minden olyan átirányítási beállításhoz, amelyet pontosan az ábrán látható módon szeretne konfigurálni. Ezek az értékek a támogatott RDP-tulajdonságokon felsorolt RDP-tulajdonságoknak felelnek meg, de a szintaxis eltérő:

  Név	Leírás	Érték
  audiocapturemode	Azt jelzi, hogy engedélyezve van-e a hangbemenet átirányítása.	0: A helyi eszközről származó hangrögzítés le van tiltva. 1: A helyi eszközről történő hangrögzítés és a távoli munkamenetben lévő hangalkalmazásba való átirányítás engedélyezve van.
  camerastoredirect	Meghatározza, hogy engedélyezve van-e a kamera átirányítása.	0: A kamera átirányítása le van tiltva. 1: A kamera átirányítása engedélyezve van
  drivestoredirect	Meghatározza, hogy engedélyezve van-e a lemezmeghajtó-átirányítás.	0: A lemezmeghajtó átirányítása le van tiltva. 1: A lemezmeghajtó átirányítása engedélyezve van.
  redirectclipboard	Meghatározza, hogy engedélyezve van-e a vágólap átirányítása.	0: A vágólap átirányítása a helyi eszközön le van tiltva a távoli munkamenetben. 1: A vágólap átirányítása helyi eszközön engedélyezve van a távoli munkamenetben.

  Íme egy példa a beállítások megjelenésére:

  

• A Hozzárendelések lapon rendelje hozzá a házirendet ahhoz a biztonsági csoporthoz, amely a felhasználókat tartalmazza a szabályzat alkalmazásához. A szabályzat érvénybe léptetéséhez a szabályzatot felhasználók egy csoportjára kell alkalmaznia. Minden csoporthoz kiválaszthat egy szűrőt, amely pontosabb az alkalmazáskonfigurációs szabályzat célzásában.

A konfiguráció ellenőrzése

Most, hogy konfigurálta az Intune-t és a feltételes hozzáférést a Windows App eszközátirányításának kezeléséhez, ellenőrizze, hogy az átirányítási konfiguráció a vártnak megfelelően működik-e egy távoli munkamenethez való csatlakozással. A beállított szabályok alapján minden platform esetében ellenőrizze felügyelt és/vagy nem felügyelt eszközről is.