Configurare le impostazioni di reindirizzamento dei dispositivi client per App di Windows e l'app Desktop remoto con Microsoft Intune

Importante

Configurare le impostazioni di reindirizzamento per App di Windows e l'app Desktop remoto con Microsoft Intune è attualmente in ANTEPRIMA. Vedere le condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, in anteprima o in altro modo non ancora disponibili a livello generale.

Suggerimento

Questo articolo contiene informazioni per più prodotti che usano Remote Desktop Protocol (RDP) per fornire l'accesso remoto a desktop e applicazioni Windows.

Il reindirizzamento di risorse e periferiche dal dispositivo locale di un utente a una sessione remota da Desktop virtuale Azure o Windows 365 tramite Remote Desktop Protocol (RDP), ad esempio gli Appunti, la fotocamera e l'audio, è normalmente governato dalla configurazione centrale di un pool di host e dei relativi host di sessione. Il reindirizzamento dei dispositivi client è configurato per l'app Windows e l'app Desktop remoto usando una combinazione di criteri di configurazione delle app di Microsoft Intune, criteri di protezione delle app e accesso condizionale di Microsoft Entra nel dispositivo locale di un utente.

Queste funzionalità consentono di ottenere gli scenari seguenti:

• Applicare le impostazioni di reindirizzamento a un livello più granulare in base ai criteri specificati. Ad esempio, potrebbe essere necessario avere impostazioni diverse a seconda del gruppo di sicurezza in cui si trova un utente, del sistema operativo del dispositivo in uso o se gli utenti usano dispositivi aziendali e personali per accedere a una sessione remota.

• Fornire un ulteriore livello di protezione contro il reindirizzamento non configurato correttamente nel pool di host o nell'host di sessione.

• Applicare impostazioni di sicurezza aggiuntive alApp di Windows e all'app Desktop remoto, ad esempio, richiedono un PIN, bloccano le tastiere di terze parti e limitano le operazioni taglia, copia e incolla tra altre app nel dispositivo client.

Se le impostazioni di reindirizzamento in un dispositivo client sono in conflitto con le proprietà RDP del pool di host e l'host sessione per Desktop virtuale Azure o Cloud PC per Windows 365, l'impostazione più restrittiva tra i due diventa effettiva. Ad esempio, se l'host di sessione non consente il reindirizzamento delle unità e il dispositivo client che consente il reindirizzamento delle unità, il reindirizzamento delle unità non è consentito. Se le impostazioni di reindirizzamento nell'host sessione e nel dispositivo client sono entrambe uguali, il comportamento di reindirizzamento è coerente.

Importante

La configurazione delle impostazioni di reindirizzamento in un dispositivo client non sostituisce la configurazione corretta dei pool di host e degli host sessione in base ai requisiti. L'uso di Microsoft Intune per configurare App di Windows e l'app Desktop remoto potrebbe non essere adatta per i carichi di lavoro che richiedono un livello di sicurezza superiore.

I carichi di lavoro con requisiti di sicurezza più elevati devono continuare a impostare il reindirizzamento nel pool di host o nell'host sessione, in cui tutti gli utenti del pool di host avranno la stessa configurazione di reindirizzamento. È consigliabile una soluzione DLP (Data Loss Protection) e il reindirizzamento deve essere disabilitato negli host di sessione ogni volta che è possibile ridurre al minimo le opportunità di perdita di dati.

A livello generale sono disponibili tre aree da configurare:

• Criteri di configurazione delle app di Intune: usati per gestire le impostazioni di reindirizzamento per App di Windows e l'app Desktop remoto in un dispositivo client. Esistono due tipi di criteri di configurazione delle app; I criteri delle app gestite vengono usati per gestire le impostazioni per un'applicazione, indipendentemente dal fatto che il dispositivo client sia registrato o non registrato e che vengano usati criteri di dispositivi gestiti oltre a gestire le impostazioni in un dispositivo registrato. Usare i filtri per indirizzare gli utenti in base a criteri specifici.

• Criteri di protezione delle app di Intune: usati per specificare i requisiti di sicurezza che devono essere soddisfatti dall'applicazione e dal dispositivo client. Usare i filtri per indirizzare gli utenti in base a criteri specifici.

• Criteri di Accesso condizionale: usati per controllare l'accesso a Desktop virtuale Azure e Windows 365 solo se vengono soddisfatti i criteri impostati nei criteri di configurazione delle app e nei criteri di protezione delle app.

Piattaforme e tipi di registrazione supportati

La tabella seguente illustra l'applicazione che è possibile gestire in base alla piattaforma del dispositivo e al tipo di registrazione:

Per App di Windows:

Piattaforma del dispositivo.	Dispositivi gestiti	Dispositivi non gestiti
iOS e iPadOS

Per l'app Desktop remoto:

Piattaforma del dispositivo.	Dispositivi gestiti	Dispositivi non gestiti
iOS e iPadOS
Android

Scenari di esempio

I valori specificati nei filtri e nei criteri dipendono dai requisiti, quindi è necessario determinare il meglio per l'organizzazione. Ecco alcuni scenari di esempio di ciò che è necessario configurare per ottenerli.

Scenario 1

Gli utenti di un gruppo sono autorizzati a reindirizzare le unità durante la connessione dal dispositivo aziendale Windows, ma il reindirizzamento delle unità non è consentito nel dispositivo aziendale iOS/iPadOS o Android. Per ottenere questo scenario:

1. Assicurarsi che gli host di sessione o i PC cloud e le impostazioni dei pool di host siano configurati per consentire il reindirizzamento delle unità.

2. Creare un filtro del dispositivo per le app gestite per iOS e iPadOS e un filtro separato per Android.

3. Solo per iOS e iPadOS, creare criteri di configurazione delle app per i dispositivi gestiti.

4. Creare criteri di configurazione delle app per le app gestite con reindirizzamento unità disabilitato. È possibile creare un singolo criterio per iOS/iPadOS e Android oppure creare un criterio separato per iOS/iPadOS e Android.

5. Creare due criteri di protezione delle app, uno per iOS/iPadOS e uno per Android.

Scenario 2

Gli utenti di un gruppo che dispongono di un dispositivo Android che eseguono la versione più recente di Android sono autorizzati al reindirizzamento delle unità, ma gli stessi utenti che eseguono una versione precedente di Android non sono consentiti il reindirizzamento delle unità. Per ottenere questo scenario:

1. Assicurarsi che gli host di sessione o i PC cloud e le impostazioni dei pool di host siano configurati per consentire il reindirizzamento delle unità.

2. Creare due filtri per dispositivi:

   1. Filtro del dispositivo per le app gestite per Android, in cui la versione della versione è impostata sul numero di versione più recente di Android.

   2. Filtro del dispositivo per le app gestite per Android, in cui la versione della versione è impostata su un numero di versione precedente alla versione più recente di Android.

3. Creare due criteri di configurazione delle app:

   1. Criteri di configurazione delle app per le app gestite con reindirizzamento unità abilitato. Assegnargli uno o più gruppi con il filtro per il numero di versione più recente di Android.

   2. Criteri di configurazione delle app per le app gestite con reindirizzamento unità disabilitato. Assegnargli uno o più gruppi con il filtro per il numero di versione precedente di Android.

4. Creare criteri di protezione delle app, uno combinato per iOS/iPadOS e Android.

Scenario 3

Gli utenti di un gruppo che usano un dispositivo iOS/iPadOS non gestito per connettersi a una sessione remota sono consentiti reindirizzamenti degli Appunti, ma gli stessi utenti che usano un dispositivo Android non gestito non sono consentiti reindirizzamenti degli Appunti. Per ottenere questo scenario:

1. Assicurarsi che gli host di sessione o i PC cloud e le impostazioni dei pool di host siano configurati per consentire il reindirizzamento degli Appunti.

2. Creare due filtri per dispositivi:

   1. Filtro del dispositivo per le app gestite per iOS e iPadOS, in cui il tipo di gestione dei dispositivi non è gestito.

   2. Filtro del dispositivo per le app gestite per Android, in cui il tipo di gestione dei dispositivi non è gestito.

3. Creare due criteri di configurazione delle app:

   1. Criteri di configurazione delle app per le app gestite con reindirizzamento appunti abilitato. Assegnargli uno o più gruppi con il filtro per i dispositivi iOS o iPadOS non gestiti.

   2. Criteri di configurazione delle app per le app gestite con reindirizzamento appunti disabilitato. Assegnargli uno o più gruppi con il filtro per i dispositivi Android non gestiti.

4. Creare criteri di protezione delle app, uno combinato per iOS/iPadOS e Android.

Impostazioni dei criteri consigliate

Ecco alcune impostazioni dei criteri consigliate da usare con Intune e l'accesso condizionale. Le impostazioni usate devono essere basate sulle proprie esigenze.

• Intune:

  • Disabilitare tutto il reindirizzamento nei dispositivi personali.
  • Richiedere l'accesso al PIN all'app.
  • Blocca tastiere di terze parti.
  • Specificare una versione minima del sistema operativo del dispositivo.
  • Specificare un numero minimo di versione di App di Windows e/o dell'app Desktop remoto.
  • Bloccare i dispositivi jailbroken/rooted.
  • Richiedere una soluzione MTD (Mobile Threat Defense) nei dispositivi senza minacce rilevate.

• Accesso condizionale:

  • Bloccare l'accesso a meno che non vengano soddisfatti i criteri impostati nei criteri di gestione delle applicazioni mobili di Intune.
  • Concedere l'accesso, richiedendo una o più delle opzioni seguenti:
    • Richiedere l'autenticazione a più fattori.
    • Richiedere un criterio di protezione delle app di Intune.

Prerequisiti

Prima di poter configurare le impostazioni di reindirizzamento in un dispositivo client usando Microsoft Intune e l'accesso condizionale, è necessario:

• Un pool di host esistente con host di sessione o PC cloud.

• Almeno un gruppo di sicurezza contenente gli utenti a cui applicare i criteri.

• Per usare l'app Desktop remoto con dispositivi registrati in iOS e iPadOS, è necessario aggiungere ogni app a Intune dall'App Store. Per altre informazioni, vedere Aggiungere app dello Store iOS a Microsoft Intune.

• Un dispositivo client che esegue una delle versioni seguenti di App di Windows o dell'app Desktop remoto:

  • Per App di Windows:

    • iOS e iPadOS: 10.5.2 o versione successiva.

  • App Desktop remoto:

    • iOS e iPadOS: 10.5.8 o versione successiva.
    • Android 10.0.19.1279 o versioni successive.

• Esistono altri prerequisiti di Intune per la configurazione dei criteri di configurazione delle app, dei criteri di protezione delle app e dei criteri di accesso condizionale. Per altre informazioni, vedi:

  • Criteri di configurazione app di Microsoft Intune.
  • Come creare e assegnare criteri di protezione delle app.
  • Usare i criteri di accesso condizionale basato su app con Intune.

Creare un filtro app gestito

Creando un filtro app gestito, è possibile applicare le impostazioni di reindirizzamento solo quando i criteri impostati nel filtro vengono confrontati, consentendo di restringere l'ambito di assegnazione di un criterio. Se non si configura un filtro, le impostazioni di reindirizzamento si applicano a tutti gli utenti. Ciò che si specifica in un filtro dipende dai requisiti.

Per informazioni sui filtri e su come crearli, vedere Usare i filtri quando si assegnano app, criteri e profili in Microsoft Intune e Proprietà del filtro delle app gestite.

Creare criteri di configurazione delle app per i dispositivi gestiti

Per i dispositivi iOS e iPadOS registrati solo, è necessario creare criteri di configurazione delle app per i dispositivi gestiti per l'app Desktop remoto.

Per creare e applicare criteri di configurazione delle app per i dispositivi gestiti, seguire la procedura descritta in Aggiungere criteri di configurazione delle app per i dispositivi iOS/iPadOS gestiti e usare le impostazioni seguenti:

• Nella scheda Dati principali per app mirate selezionare l'app Desktop remoto per dispositivi mobili nell'elenco. È necessario aver aggiunto l'app a Intune dall'App Store per visualizzarla in questo elenco.

• Nella scheda Impostazioni, per l'elenco a discesa Formato impostazioni di configurazione selezionare Usa designer configurazione, quindi immettere le impostazioni seguenti esattamente come mostrato:

  Chiave di configurazione	Tipo di valore	Valore di configurazione
  IntuneMAMUPN	String	{{userprincipalname}}
  IntuneMAMOID	String	{{userid}}
  IntuneMAMDeviceID	String	{{deviceID}}

• Nella scheda Assegnazioni assegnare i criteri al gruppo di sicurezza contenente gli utenti a cui applicare i criteri. È necessario applicare i criteri a un gruppo di utenti per rendere effettivo il criterio. Per ogni gruppo, è possibile selezionare facoltativamente un filtro in modo da essere più specifici nel targeting dei criteri di configurazione dell'app.

Creare criteri di configurazione delle app per le app gestite

È necessario creare un criterio di configurazione delle app per le app gestite per App di Windows e l'app Desktop remoto, che consentono di specificare le impostazioni di configurazione.

Per creare e applicare criteri di configurazione delle app per le app gestite, seguire la procedura descritta in Criteri di configurazione delle app per le app gestite di Intune App SDK e usare le impostazioni seguenti:

• Nella scheda Dati principali eseguire le operazioni seguenti, a seconda che tu abbia come destinazione App di Windows o l'app Desktop remoto

  • Per App di Windows selezionare Seleziona app personalizzate, quindi per ID Bundle o pacchetto immettere com.microsoft.rdc.apple e per piattaforma selezionare OS/iPadOS.

  • Per l'app Desktop remoto selezionare Seleziona app pubbliche, quindi cercare e selezionare Desktop remoto per ogni piattaforma di destinazione.

• Nella scheda Impostazioni espandere Impostazioni di configurazione generali, quindi immettere le coppie nome e valore seguenti per ogni impostazione di reindirizzamento che si desidera configurare esattamente come mostrato. Questi valori corrispondono alle proprietà RDP elencate in Proprietà RDP supportate, ma la sintassi è diversa:

  Nome	Descrizione	Valore
  audiocapturemode	indica se il reindirizzamento dell'input audio è abilitato.	0: l'acquisizione audio dal dispositivo locale è disabilitata. 1: l'acquisizione dell'audio dal dispositivo locale e il reindirizzamento a un'applicazione audio nella sessione remota sono abilitati.
  camerastoredirect	Determina se il reindirizzamento della fotocamera è abilitato.	0: il reindirizzamento della fotocamera è disabilitato. 1: il reindirizzamento della fotocamera è abilitato.
  drivestoredirect	Determina se il reindirizzamento dell'unità disco è abilitato.	0: il reindirizzamento dell'unità disco è disabilitato. 1: il reindirizzamento dell'unità disco è abilitato.
  redirectclipboard	Determina se il reindirizzamento degli Appunti è abilitato.	0: il reindirizzamento degli Appunti nel dispositivo locale è disabilitato nella sessione remota. 1: il reindirizzamento degli Appunti nel dispositivo locale è abilitato nella sessione remota.

  Ecco un esempio dell'aspetto delle impostazioni:

  

• Nella scheda Assegnazioni assegnare i criteri al gruppo di sicurezza contenente gli utenti a cui applicare i criteri. È necessario applicare i criteri a un gruppo di utenti per rendere effettivo il criterio. Per ogni gruppo, è possibile selezionare facoltativamente un filtro in modo da essere più specifici nel targeting dei criteri di configurazione dell'app.

Creare criteri di protezione delle app

È necessario creare un criterio di protezione delle app per App di Windows e l'app Desktop remoto, che consentono di controllare l'accesso ai dati e la condivisione dei dati da parte delle app nei dispositivi mobili.

Per creare e applicare criteri di protezione delle app, seguire la procedura descritta in Come creare e assegnare criteri di protezione delle app e usare le impostazioni seguenti. È necessario creare criteri di protezione delle app per ogni piattaforma di destinazione.

• Nella scheda App eseguire le operazioni seguenti, a seconda che tu abbia come destinazione App di Windows o l'app Desktop remoto

  • Per App di Windows in iOS/iPadOS selezionare Seleziona app personalizzate, quindi per ID Bundle o pacchetto immettere com.microsoft.rdc.apple.

  • Per l'app Desktop remoto selezionare Seleziona app pubbliche, quindi cercare e selezionare Desktop remoto.

• Nella scheda Protezione dati, solo le impostazioni seguenti sono rilevanti per App di Windows e l'app Desktop remoto. Le altre impostazioni non si applicano come App di Windows e l'app Desktop remoto interagiscono con l'host sessione e non con i dati nell'app. Nei dispositivi mobili, le tastiere non approvate sono una fonte di registrazione e furto di tasti.

  • Per iOS e iPadOS è possibile configurare le impostazioni seguenti:

    • Limita le operazioni taglia, copia e incolla tra altre app
    • Tastiere di terze parti

  • Per Android è possibile configurare le impostazioni seguenti:

    • Limita le operazioni taglia, copia e incolla tra altre app
    • Acquisizione di schermata e Assistente Google
    • Tastiere approvate

  Suggerimento

  Se si disabilita il reindirizzamento degli Appunti in un criterio di configurazione dell'app, è necessario impostare Limita taglia, copia e incolla tra altre app su Bloccato.

• Nella scheda Avvio condizionale è consigliabile aggiungere le condizioni seguenti:

  Condizione	Tipo di condizione	Valore	Azione
  Versione minima dell'app	Condizione dell'app	In base alle esigenze.	Blocca accesso
  Versione minima del sistema operativo	Condizione del dispositivo	In base alle esigenze.	Blocca accesso
  Servizio MTD primario	Condizione del dispositivo	In base alle esigenze. È necessario configurare il connettore MTD. Per Microsoft Defender per endpoint, configurare Microsoft Defender per endpoint in Intune.	Blocca accesso
  Livello di minaccia massimo consentito del dispositivo	Condizione del dispositivo	Protetto	Blocca accesso

  Per informazioni dettagliate sulla versione, vedere Novità di Windows App, Novità del client Desktop remoto per iOS e iPadOSe Novità del client Desktop remoto per Android e Chrome OS.

  Per altre informazioni sulle impostazioni disponibili, vedere Avvio condizionale nelle impostazioni dei criteri di protezione delle app iOS e Avvio condizionale nelle impostazioni dei criteri di protezione delle app Android.

• Nella scheda Assegnazioni assegnare i criteri al gruppo di sicurezza contenente gli utenti a cui applicare i criteri. È necessario applicare i criteri a un gruppo di utenti per rendere effettivo il criterio. Per ogni gruppo, è possibile selezionare facoltativamente un filtro in modo da essere più specifici nel targeting dei criteri di configurazione dell'app.

Creare criteri di accesso condizionale

La creazione di un criterio di accesso condizionale consente di limitare l'accesso a una sessione remota solo quando vengono applicati criteri di protezione delle app con App di Windows e l'app Desktop remoto. Se si crea un secondo criterio di accesso condizionale, è anche possibile bloccare l'accesso usando un Web browser.

Per creare e applicare criteri di accesso condizionale, seguire i passaggi descritti in Configurare i criteri di accesso condizionale basato su app con Intune. Le impostazioni seguenti forniscono un esempio, ma è consigliabile modificarle in base alle esigenze:

1. Per il primo criterio per concedere l'accesso a una sessione remota solo quando vengono applicati criteri di protezione delle app con App di Windows e l'app Desktop remoto:

   • Per Assegnazioni includere il gruppo di sicurezza contenente gli utenti a cui applicare i criteri. È necessario applicare i criteri a un gruppo di utenti per rendere effettivo il criterio.

   • Per Risorse di destinazione, selezionare per applicare i criteri alle app cloud, quindi per Includi, selezionare Selezionare le app. Cercare e selezionare Desktop virtuale Azure e Windows 365. Desktop virtuale Azure è presente nell'elenco solo se il provider di risorse è stato registratoMicrosoft.DesktopVirtualization in una sottoscrizione nel tenant di Microsoft Entra.

   • Per Condizioni:

     • Selezionare Piattaforme del dispositivo, quindi includere iOS e Android.
     • Selezionare App client, quindi includere App per dispositivi mobili e client desktop.

   • Per Controlli di accesso, selezionare Concedi accesso, quindi selezionare la casella Richiedi criteri di protezione delle app e selezionare il pulsante di opzione per Richiedi tutti i controlli selezionati.

   • Per Abilita criterio, impostarlo su On.

2. Per il secondo criterio per bloccare l'accesso a una sessione remota tramite un Web browser:

   • Per Assegnazioni includere il gruppo di sicurezza contenente gli utenti a cui applicare i criteri. È necessario applicare i criteri a un gruppo di utenti per rendere effettivo il criterio.

   • Per Risorse di destinazione, selezionare per applicare i criteri alle app cloud, quindi per Includi, selezionare Selezionare le app. Cercare e selezionare Desktop virtuale Azure e Windows 365. Desktop virtuale Azure è presente nell'elenco solo se il provider di risorse è stato registratoMicrosoft.DesktopVirtualization in una sottoscrizione nel tenant di Microsoft Entra. L'app cloud per Windows 365 copre anche Microsoft Dev Box.

   • Per Condizioni:

     • Selezionare Piattaforme del dispositivo, quindi includere iOS e Android.
     • Selezionare App client, quindi includere Browser.

   • Per Controlli di accesso, selezionare Blocca accesso, quindi selezionare il pulsante di opzione per Richiedi tutti i controlli selezionati.

   • Per Abilita criterio, impostarlo su On.

Verificare la configurazione

Dopo aver configurato Intune per gestire il reindirizzamento dei dispositivi nei dispositivi personali, è possibile verificare la configurazione connettendosi a una sessione remota. Ciò che è necessario testare dipende dal fatto che i criteri configurati vengano applicati ai dispositivi registrati o non registrati, alle piattaforme e alle impostazioni di reindirizzamento e protezione dei dati impostate. Verificare che sia possibile eseguire solo le azioni che è possibile eseguire con le corrispondenze previste.

Problemi noti

La configurazione delle impostazioni di reindirizzamento per App di Windows e l'app Desktop remoto in un dispositivo client che usa Microsoft Intune presenta la limitazione seguente:

• Quando si configura il reindirizzamento dei dispositivi client per l'app Desktop remoto in iOS e iPadOS, le richieste di autenticazione a più fattori (MFA) potrebbero rimanere bloccate in un ciclo. Uno scenario comune di questo problema si verifica quando l'app Desktop remoto viene eseguita in un iPhone registrato in Intune e lo stesso iPhone viene usato per ricevere richieste MFA dall'app Microsoft Authenticator durante l'accesso all'app Desktop remoto. Per risolvere questo problema, usare l'app Desktop remoto in un dispositivo diverso dal dispositivo usato per ricevere richieste MFA, ad esempio un iPad. Questo problema non si verifica con App di Windows.