WebAuthn-omleiding configureren via het Extern bureaublad-protocol

Tip

Dit artikel wordt gedeeld voor services en producten die gebruikmaken van het Remote Desktop Protocol (RDP) om externe toegang te bieden tot Windows-bureaubladen en -apps.

Selecteer een product met behulp van de knoppen bovenaan dit artikel om de relevante inhoud weer te geven.

U kunt het omleidingsgedrag van WebAuthn-aanvragen van een externe sessie naar een lokaal apparaat configureren via rdp (Remote Desktop Protocol). WebAuthn-omleiding maakt verificatie zonder wachtwoord in de sessie mogelijk met behulp van Windows Hello voor Bedrijven of beveiligingsapparaten zoals FIDO-sleutels.

Voor Azure Virtual Desktop raden we u aan WebAuthn-omleiding in te schakelen op uw sessiehosts met behulp van Microsoft Intune of groepsbeleid en vervolgens omleiding te beheren met behulp van de RDP-eigenschappen van de hostgroep.

Voor Windows 365 kunt u uw cloud-pc's configureren met behulp van Microsoft Intune of groepsbeleid.

Voor Microsoft Dev Box kunt u uw ontwikkelvakken configureren met behulp van Microsoft Intune of groepsbeleid.

Dit artikel bevat informatie over de ondersteunde omleidingsmethoden en het configureren van het omleidingsgedrag voor WebAuthn-aanvragen. Zie Omleiding via het Extern bureaublad-protocol voor meer informatie over hoe omleiding werkt.

Vereisten

Voordat u WebAuthn-omleiding kunt configureren, hebt u het volgende nodig:

• Een bestaande hostgroep met sessiehosts.

• Een Microsoft Entra ID-account waaraan minimaal de ingebouwde RBAC-rollen (Op rollen gebaseerd toegangsbeheer) op de hostgroep zijn toegewezen.

• Een bestaande cloud-pc.

• Een bestaande dev box.

• Een lokaal Windows-apparaat met Windows Hello voor Bedrijven of een beveiligingsapparaat zoals een FIDO USB-sleutel die al is geconfigureerd.

• Als u Microsoft Intune wilt configureren, hebt u het volgende nodig:

  • Microsoft Entra ID account waaraan de ingebouwde RBAC-rol beleid en profielbeheerder is toegewezen.
  • Een groep met de apparaten die u wilt configureren.

• Als u groepsbeleid wilt configureren, hebt u het volgende nodig:

  • Een domeinaccount dat gemachtigd is om groepsbeleid-objecten te maken of te bewerken.
  • Een beveiligingsgroep of organisatie-eenheid (OE) met de apparaten die u wilt configureren.

• U moet verbinding maken met een externe sessie vanuit een ondersteunde app en platform. Als u omleidingsondersteuning in Windows App en de app Extern bureaublad wilt bekijken, raadpleegt u Functies van Windows App op verschillende platforms en apparaten vergelijken en Functies van extern bureaublad-apps op verschillende platforms en apparaten vergelijken.

WebAuthn-omleiding

Configuratie van een sessiehost met behulp van Microsoft Intune of groepsbeleid, of het instellen van een RDP-eigenschap in een hostgroep bepaalt de mogelijkheid om WebAuthn-aanvragen van een externe sessie om te leiden naar een lokaal apparaat, waarvoor een prioriteitsvolgorde geldt.

De standaardconfiguratie is:

• Windows-besturingssysteem: WebAuthn-aanvragen worden niet geblokkeerd.
• RDP-eigenschappen van Azure Virtual Desktop-hostgroep: WebAuthn-aanvragen in de externe sessie worden omgeleid naar de lokale computer.

Belangrijk

Let op bij het configureren van omleidingsinstellingen, omdat de meest beperkende instelling het resulterende gedrag is. Als u bijvoorbeeld WebAuthn-omleiding uitschakelt op een sessiehost met Microsoft Intune of groepsbeleid, maar deze inschakelt met de RDP-eigenschap hostgroep, wordt omleiding uitgeschakeld.

De configuratie van een cloud-pc bepaalt de mogelijkheid om WebAuthn-aanvragen om te leiden tussen de externe sessie en het lokale apparaat en wordt ingesteld met behulp van Microsoft Intune of groepsbeleid.

De standaardconfiguratie is:

• Windows-besturingssysteem: WebAuthn-aanvragen worden niet geblokkeerd. Windows 365 schakelt WebAuthn-omleiding in.

De configuratie van een ontwikkelvak bepaalt de mogelijkheid om WebAuthn-aanvragen om te leiden tussen de externe sessie en het lokale apparaat en wordt ingesteld met behulp van Microsoft Intune of groepsbeleid.

De standaardconfiguratie is:

• Windows-besturingssysteem: WebAuthn-aanvragen worden niet geblokkeerd. Windows 365 schakelt WebAuthn-omleiding in.

WebAuthn-omleiding configureren met RDP-eigenschappen van hostgroep

Met de instelling WebAuthn-omleiding van de Azure Virtual Desktop-hostgroep wordt bepaald of WebAuthn-aanvragen moeten worden omgeleid tussen de externe sessie en het lokale apparaat. De bijbehorende RDP-eigenschap is redirectwebauthn:i:<value>. Zie Ondersteunde RDP-eigenschappen voor meer informatie.

WebAuthn-omleiding configureren met RDP-eigenschappen van hostgroep:

1. Meld u aan bij Azure Portal.

2. Typ Azure Virtual Desktop in de zoekbalk en selecteer het overeenkomende service-item.

3. Selecteer Hostpools en selecteer vervolgens de hostgroep die u wilt configureren.

4. Selecteer RDP-eigenschappen en selecteer vervolgens Apparaatomleiding.

   

5. Voor WebAuthn-omleiding selecteert u de vervolgkeuzelijst en selecteert u een van de volgende opties:

   • WebAuthn-aanvragen in de externe sessie worden niet omgeleid naar de lokale computer
   • WebAuthn-aanvragen in de externe sessie worden omgeleid naar de lokale computer (standaard)
   • Niet geconfigureerd

6. Klik op Opslaan.

7. Als u de configuratie wilt testen, volgt u de stappen in WebAuthn-omleiding testen.

WebAuthn-omleiding configureren met behulp van Microsoft Intune of groepsbeleid

WebAuthn-omleiding configureren met behulp van Microsoft Intune of groepsbeleid

Selecteer het relevante tabblad voor uw scenario.

Microsoft Intune

WebAuthn-omleiding toestaan of uitschakelen met behulp van Microsoft Intune:

1. Meld je aan bij het Microsoft Intune-beheercentrum.

2. Maak of bewerk een configuratieprofiel voor Windows 10 en nieuwere apparaten, met het profieltype Instellingencatalogus.

3. Blader in de instellingenkiezer naar Beheersjablonen>Windows-onderdelen>Extern bureaublad-services>Extern bureaublad Sessiehost>Apparaat en resourceomleiding.

   

4. Schakel het selectievakje voor WebAuthn-omleiding niet toestaan in en sluit vervolgens de instellingenkiezer.

5. Vouw de categorie Beheersjablonen uit en zet de schakeloptie voor WebAuthn-omleiding niet toestaan op Ingeschakeld of Uitgeschakeld, afhankelijk van uw vereisten:

   • Als u WebAuthn-omleiding wilt toestaan, zet u de schakeloptie op Uitgeschakeld.

   • Als u WebAuthn-omleiding wilt uitschakelen, zet u de schakelaar op Ingeschakeld.

6. Selecteer Volgende.

7. Optioneel: selecteer op het tabblad Bereiktags een bereiktag om het profiel te filteren. Zie Op rollen gebaseerd toegangsbeheer (RBAC) en bereiktags gebruiken voor gedistribueerde ITvoor meer informatie over bereiktags.

8. Selecteer op het tabblad Toewijzingen de groep met de computers die een externe sessie bieden die u wilt configureren en selecteer vervolgens Volgende.

9. Controleer op het tabblad Controleren en maken de instellingen en selecteer vervolgens Maken.

10. Zodra het beleid van toepassing is op de computers die een externe sessie bieden, start u deze opnieuw op om de instellingen van kracht te laten worden.

Groepsbeleid

WebAuthn-omleiding toestaan of uitschakelen met behulp van groepsbeleid:

1. Open de groepsbeleid Beheerconsole op een apparaat dat u gebruikt om het Active Directory-domein te beheren.

2. Maak of bewerk een beleid dat is gericht op de computers die een externe sessie bieden die u wilt configureren.

3. Navigeer naar Computerconfiguratiebeleid>>Beheersjablonen>Windows-onderdelen>Extern bureaublad-services>Extern bureaublad Sessiehost>Apparaat en resourceomleiding.

   

4. Dubbelklik op de beleidsinstelling WebAuthn-omleiding niet toestaan om deze te openen.

   • Als u WebAuthn-omleiding wilt toestaan, selecteert u Uitgeschakeld of Niet geconfigureerd en selecteert u vervolgens OK.

   • Als u WebAuthn-omleiding wilt uitschakelen, selecteert u Ingeschakeld en vervolgens OK.

5. Zorg ervoor dat het beleid wordt toegepast op de computers die een externe sessie bieden en start ze opnieuw op om de instellingen van kracht te laten worden.

WebAuthn-omleiding testen

Zodra u WebAuthn-omleiding hebt ingeschakeld, test u deze als volgende:

1. Als u een USB-beveiligingssleutel gebruikt, controleert u of deze eerst is aangesloten.

2. Maak verbinding met een externe sessie met behulp van de Windows-app of de app Extern bureaublad op een platform dat ondersteuning biedt voor WebAuthn-omleiding. Zie Functies van Windows App op verschillende platforms en apparaten vergelijken enFuncties van extern bureaublad-apps op verschillende platforms en apparaten vergelijken voor meer informatie.

3. Open in de externe sessie een website in een InPrivate-venster dat gebruikmaakt van WebAuthn-verificatie, zoals Windows App voor webbrowsers op https://windows.cloud.microsoft/.

4. Volg het aanmeldingsproces. Wanneer de verificatie Windows Hello voor Bedrijven of de beveiligingssleutel gaat gebruiken, ziet u een Windows-beveiliging prompt om de verificatie te voltooien, zoals wordt weergegeven in de volgende afbeelding wanneer u een lokaal Windows-apparaat gebruikt.

   De Windows-beveiliging prompt bevindt zich op het lokale apparaat en overlays van de externe sessie, wat aangeeft dat WebAuthn-omleiding werkt.

   

Verwante onderwerpen

• Omleiding via het Extern bureaublad-protocol.
• Ondersteunde RDP-eigenschappen.
• Vergelijk Windows App functies op verschillende platforms en apparaten.
• Functies van extern bureaublad-apps op verschillende platforms en apparaten vergelijken.