Smartcardomleiding configureren via het Extern bureaublad-protocol

Tip

Dit artikel wordt gedeeld voor services en producten die gebruikmaken van het Remote Desktop Protocol (RDP) om externe toegang te bieden tot Windows-bureaubladen en -apps.

Selecteer een product met behulp van de knoppen bovenaan dit artikel om de relevante inhoud weer te geven.

U kunt het omleidingsgedrag van smartcardapparaten van een lokaal apparaat naar een externe sessie configureren via rdp (Remote Desktop Protocol).

Voor Azure Virtual Desktop raden we u aan smartcardomleiding in te schakelen op uw sessiehosts met behulp van Microsoft Intune of groepsbeleid en vervolgens omleiding te beheren met behulp van de RDP-eigenschappen van de hostgroep.

Voor Windows 365 kunt u uw cloud-pc's configureren met behulp van Microsoft Intune of groepsbeleid.

Voor Microsoft Dev Box kunt u uw ontwikkelvakken configureren met behulp van Microsoft Intune of groepsbeleid.

Dit artikel bevat informatie over de ondersteunde omleidingsmethoden en het configureren van het omleidingsgedrag voor smartcardapparaten. Zie Omleiding via het Extern bureaublad-protocol voor meer informatie over hoe omleiding werkt.

Vereisten

Voordat u smartcardomleiding kunt configureren, hebt u het volgende nodig:

• Een bestaande hostgroep met sessiehosts.

• Een Microsoft Entra ID-account waaraan minimaal de ingebouwde RBAC-rollen (Op rollen gebaseerd toegangsbeheer) op de hostgroep zijn toegewezen.

• Een bestaande cloud-pc.

• Een bestaande dev box.

• Een smartcardapparaat dat beschikbaar is op uw lokale apparaat.

• Als u Microsoft Intune wilt configureren, hebt u het volgende nodig:

  • Microsoft Entra ID account waaraan de ingebouwde RBAC-rol beleid en profielbeheerder is toegewezen.
  • Een groep met de apparaten die u wilt configureren.

• Als u groepsbeleid wilt configureren, hebt u het volgende nodig:

  • Een domeinaccount dat gemachtigd is om groepsbeleid-objecten te maken of te bewerken.
  • Een beveiligingsgroep of organisatie-eenheid (OE) met de apparaten die u wilt configureren.

• U moet verbinding maken met een externe sessie vanuit een ondersteunde app en platform. Als u omleidingsondersteuning in Windows App en de app Extern bureaublad wilt bekijken, raadpleegt u Functies van Windows App op verschillende platforms en apparaten vergelijken en Functies van extern bureaublad-apps op verschillende platforms en apparaten vergelijken.

Smartcardomleiding

Configuratie van een sessiehost met behulp van Microsoft Intune of groepsbeleid, of het instellen van een RDP-eigenschap in een hostgroep bepaalt de mogelijkheid om smartcardapparaten om te leiden van een lokaal apparaat naar een externe sessie, die onderhevig is aan een prioriteitsvolgorde.

De standaardconfiguratie is:

• Windows-besturingssysteem: Omleiding van smartcards wordt niet geblokkeerd.
• RDP-eigenschappen van Azure Virtual Desktop-hostgroep: Smartcardapparaten worden van het lokale apparaat omgeleid naar de externe sessie.
• Resulterend standaardgedrag: Smartcardapparaten worden omgeleid van het lokale apparaat naar de externe sessie.

Belangrijk

Let op bij het configureren van omleidingsinstellingen, omdat de meest beperkende instelling het resulterende gedrag is. Als u bijvoorbeeld smartcardomleiding uitschakelt op een sessiehost met Microsoft Intune of groepsbeleid, maar deze inschakelt met de RDP-eigenschap van de hostgroep, wordt omleiding uitgeschakeld.

De configuratie van een cloud-pc bepaalt de mogelijkheid om smartcardapparaten om te leiden van een lokaal apparaat naar een externe sessie en wordt ingesteld met behulp van Microsoft Intune of groepsbeleid.

De standaardconfiguratie is:

• Windows-besturingssysteem: Omleiding van smartcards wordt niet geblokkeerd.
• Windows 365: Smartcardomleiding is ingeschakeld.
• Resulterend standaardgedrag: Smartcardapparaten worden omgeleid van het lokale apparaat naar de externe sessie.

De configuratie van een ontwikkelvak bepaalt de mogelijkheid om smartcardapparaten om te leiden van een lokaal apparaat naar een externe sessie en wordt ingesteld met behulp van Microsoft Intune of groepsbeleid.

De standaardconfiguratie is:

• Windows-besturingssysteem: Omleiding van smartcards wordt niet geblokkeerd.
• Microsoft Dev Box: Smartcard-omleiding is ingeschakeld.
• Resulterend standaardgedrag: Smartcardapparaten worden omgeleid van het lokale apparaat naar de externe sessie.

Smartcardapparaatomleiding configureren met RDP-eigenschappen van hostgroep

Met de instelling smartcard-omleiding van de Azure Virtual Desktop-hostgroep bepaalt u of smartcards van een lokaal apparaat moeten worden omgeleid naar een externe sessie. De bijbehorende RDP-eigenschap is redirectsmartcards:i:<value>. Zie Ondersteunde RDP-eigenschappen voor meer informatie.

Smartcardomleiding configureren met RDP-eigenschappen van hostgroep:

1. Meld u aan bij Azure Portal.

2. Typ Azure Virtual Desktop in de zoekbalk en selecteer het overeenkomende service-item.

3. Selecteer Hostpools en selecteer vervolgens de hostgroep die u wilt configureren.

4. Selecteer RDP-eigenschappen en selecteer vervolgens Apparaatomleiding.

   

5. Voor smartcardomleiding selecteert u de vervolgkeuzelijst en selecteert u een van de volgende opties:

   • Het smartcardapparaat op de lokale computer is niet beschikbaar in een externe sessie
   • Het smartcardapparaat op de lokale computer is beschikbaar in een externe sessie (standaard)
   • Niet geconfigureerd

6. Klik op Opslaan.

7. Als u de configuratie wilt testen, maakt u verbinding met een externe sessie en gebruikt u vervolgens een toepassing of website waarvoor uw smartcard is vereist. Controleer of de smartcard beschikbaar is en werkt zoals verwacht.

Omleiding van smartcardapparaten configureren met behulp van Microsoft Intune of groepsbeleid

Omleiding van smartcardapparaten configureren met behulp van Microsoft Intune of groepsbeleid

Selecteer het relevante tabblad voor uw scenario.

Microsoft Intune

Omleiding van smartcardapparaten toestaan of uitschakelen met behulp van Microsoft Intune:

1. Meld je aan bij het Microsoft Intune-beheercentrum.

2. Maak of bewerk een configuratieprofiel voor Windows 10 en nieuwere apparaten, met het profieltype Instellingencatalogus.

3. Blader in de instellingenkiezer naar Beheersjablonen>Windows-onderdelen>Extern bureaublad-services>Extern bureaublad Sessiehost>Apparaat en resourceomleiding.

   

4. Schakel het selectievakje voor Omleiding van smartcardapparaten niet toestaan in en sluit vervolgens de instellingenkiezer.

5. Vouw de categorie Beheersjablonen uit en schakel vervolgens de schakelaar in voor Omleiding van smartcardapparaten niet toestaan, afhankelijk van uw vereisten:

   • Als u omleiding van smartcardapparaten wilt toestaan, zet u de schakelaar op Uitgeschakeld.

   • Als u omleiding van smartcardapparaten wilt uitschakelen, zet u de schakelaar op Ingeschakeld.

6. Selecteer Volgende.

7. Optioneel: selecteer op het tabblad Bereiktags een bereiktag om het profiel te filteren. Zie Op rollen gebaseerd toegangsbeheer (RBAC) en bereiktags gebruiken voor gedistribueerde ITvoor meer informatie over bereiktags.

8. Selecteer op het tabblad Toewijzingen de groep met de computers die een externe sessie bieden die u wilt configureren en selecteer vervolgens Volgende.

9. Controleer op het tabblad Controleren en maken de instellingen en selecteer vervolgens Maken.

10. Zodra het beleid van toepassing is op de computers die een externe sessie bieden, start u deze opnieuw op om de instellingen van kracht te laten worden.

Groepsbeleid

Omleiding van smartcardapparaten toestaan of uitschakelen met behulp van groepsbeleid:

1. Open de groepsbeleid Beheerconsole op een apparaat dat u gebruikt om het Active Directory-domein te beheren.

2. Maak of bewerk een beleid dat is gericht op de computers die een externe sessie bieden die u wilt configureren.

3. Navigeer naar Computerconfiguratiebeleid>>Beheersjablonen>Windows-onderdelen>Extern bureaublad-services>Extern bureaublad Sessiehost>Apparaat en resourceomleiding.

   

4. Dubbelklik op de beleidsinstelling Niet toestaan dat smartcardapparaten worden geopend.

   • Als u omleiding van smartcardapparaten wilt toestaan, selecteert u Uitgeschakeld of Niet geconfigureerd en selecteert u vervolgens OK.

   • Als u omleiding van smartcardapparaten wilt uitschakelen, selecteert u Ingeschakeld en selecteert u vervolgens OK.

5. Zorg ervoor dat het beleid wordt toegepast op de computers die een externe sessie bieden en start ze opnieuw op om de instellingen van kracht te laten worden.

Omleiding van smartcards testen

Omleiding van smartcards testen:

1. Maak verbinding met een externe sessie met behulp van de Windows-app of de app Extern bureaublad op een platform dat smartcardomleiding ondersteunt. Zie Functies van Windows App op verschillende platforms en apparaten vergelijken enFuncties van extern bureaublad-apps op verschillende platforms en apparaten vergelijken voor meer informatie.

2. Controleer of uw smartcards beschikbaar zijn in de externe sessie. Voer de volgende opdracht uit in de externe sessie in de opdrachtprompt of vanaf een PowerShell-prompt.

   certutil -scinfo
   

   Als smartcardomleiding werkt, start de uitvoer op dezelfde manier als de volgende uitvoer:

   The Microsoft Smart Card Resource Manager is running.
   Current reader/card status:
   Readers: 2
     0: Windows Hello for Business 1
     1: Yubico YubiKey OTP+FIDO+CCID 0
   --- Reader: Windows Hello for Business 1
   --- Status: SCARD_STATE_PRESENT | SCARD_STATE_INUSE
   --- Status: The card is being shared by a process.
   ---   Card: Identity Device (Microsoft Generic Profile)
   ---    ATR:
           aa bb cc dd ee ff 00 11  22 33 44 55 66 77 88 99   ;.........AB12..
           ab                                                 .
   
   --- Reader: Yubico YubiKey OTP+FIDO+CCID 0
   --- Status: SCARD_STATE_PRESENT | SCARD_STATE_UNPOWERED
   --- Status: The card is available for use.
   ---   Card: Identity Device (NIST SP 800-73 [PIV])
   ---    ATR:
           aa bb cc dd ee ff 00 11  22 33 44 55 66 77 88 99   ;.........34yz..
           ab                                                 .
   
   [continued...]
   

3. Open en gebruik een toepassing of website waarvoor uw smartcard is vereist. Controleer of de smartcard beschikbaar is en werkt zoals verwacht.

Verwante onderwerpen

• Omleiding via het Extern bureaublad-protocol.
• Ondersteunde RDP-eigenschappen.
• Vergelijk Windows App functies op verschillende platforms en apparaten.
• Functies van extern bureaublad-apps op verschillende platforms en apparaten vergelijken.