WebAuthn-omleiding configureren via het Remote Desktop Protocol

Tip

Dit artikel wordt gedeeld voor services en producten die gebruikmaken van Remote Desktop Protocol (RDP) om externe toegang te bieden tot Windows-bureaubladen en -apps.

Selecteer een product met de knoppen bovenaan dit artikel om de relevante inhoud weer te geven.

U kunt het omleidingsgedrag van WebAuthn-aanvragen van een externe sessie naar een lokaal apparaat configureren via remote Desktop Protocol (RDP). WebAuthn-omleiding maakt verificatie zonder wachtwoord zonder sessie mogelijk met behulp van Windows Hello voor Bedrijven of beveiligingsapparaten zoals FIDO-sleutels.

Voor Azure Virtual Desktop raden we u aan webauthn-omleiding in te schakelen op uw sessiehosts met Behulp van Microsoft Intune of Groepsbeleid en vervolgens omleiding te beheren met behulp van de RDP-eigenschappen van de hostgroep.

Voor Windows 365 kunt u uw cloud-pc's configureren met Behulp van Microsoft Intune of Groepsbeleid.

Voor Microsoft Dev Box kunt u uw ontwikkelvakken configureren met Behulp van Microsoft Intune of Groepsbeleid.

Dit artikel bevat informatie over de ondersteunde omleidingsmethoden en het configureren van het omleidingsgedrag voor WebAuthn-aanvragen. Zie Omleiding via het Remote Desktop Protocol voor meer informatie over hoe omleiding werkt.

Vereisten

Voordat u WebAuthn-omleiding kunt configureren, hebt u het volgende nodig:

• Een bestaande hostgroep met sessiehosts.

• Een Microsoft Entra ID-account waaraan de ingebouwde RBAC-rollen (Op rollen gebaseerd toegangsbeheer) voor de hostgroep zijn toegewezen voor inzender voor desktopvirtualisatiehosts.

• Een bestaande cloud-pc.

• Een bestaand ontwikkelvak.

• Een lokaal Windows-apparaat met Windows Hello voor Bedrijven of een beveiligingsapparaat zoals een FIDO USB-sleutel die al is geconfigureerd.

• Voor het configureren van Microsoft Intune hebt u het volgende nodig:

  • Microsoft Entra ID-account waaraan de ingebouwde RBAC-rol beleids- en profielbeheerder is toegewezen.
  • Een groep met de apparaten die u wilt configureren.

• Als u Groepsbeleid wilt configureren, hebt u het volgende nodig:

  • Een domeinaccount met machtigingen voor het maken of bewerken van groepsbeleidsobjecten.
  • Een beveiligingsgroep of organisatie-eenheid (OE) met de apparaten die u wilt configureren.

• U moet verbinding maken met een externe sessie vanuit een ondersteunde app en platform. Als u omleidingsondersteuning wilt weergeven in de Windows-app en de app Extern bureaublad, raadpleegt u Functies van Windows-apps vergelijken op platforms en apparaten en vergelijkt u de functies van de Extern bureaublad-app op verschillende platforms en apparaten.

WebAuthn-omleiding

Configuratie van een sessiehost met Behulp van Microsoft Intune of Groepsbeleid, of het instellen van een RDP-eigenschap op een hostgroep bepaalt de mogelijkheid om WebAuthn-aanvragen van een externe sessie om te leiden naar een lokaal apparaat, waarvoor een prioriteitsvolgorde geldt.

De standaardconfiguratie is:

• Windows-besturingssysteem: WebAuthn-aanvragen worden niet geblokkeerd.
• RDP-eigenschappen van azure Virtual Desktop-hostgroep: WebAuthn-aanvragen in de externe sessie worden omgeleid naar de lokale computer.

Belangrijk

Zorg ervoor dat bij het configureren van omleidingsinstellingen de meest beperkende instelling het resulterende gedrag is. Als u bijvoorbeeld WebAuthn-omleiding uitschakelt op een sessiehost met Microsoft Intune of Groepsbeleid, maar deze inschakelt met de rdP-eigenschap van de hostgroep, wordt omleiding uitgeschakeld.

De configuratie van een cloud-pc bepaalt de mogelijkheid om WebAuthn-aanvragen om te leiden tussen de externe sessie en het lokale apparaat en wordt ingesteld met Behulp van Microsoft Intune of Groepsbeleid.

De standaardconfiguratie is:

• Windows-besturingssysteem: WebAuthn-aanvragen worden niet geblokkeerd. Windows 365 schakelt webauthn-omleiding in.

De configuratie van een ontwikkelvak bepaalt de mogelijkheid om WebAuthn-aanvragen om te leiden tussen de externe sessie en het lokale apparaat en wordt ingesteld met Behulp van Microsoft Intune of Groepsbeleid.

De standaardconfiguratie is:

• Windows-besturingssysteem: WebAuthn-aanvragen worden niet geblokkeerd. Windows 365 schakelt webauthn-omleiding in.

WebAuthn-omleiding configureren met RDP-eigenschappen van hostgroep

Met de hostgroep van Azure Virtual Desktop wordt bepaald of webauthn-aanvragen tussen de externe sessie en het lokale apparaat moeten worden omgeleid . De bijbehorende RDP-eigenschap is redirectwebauthn:i:<value>. Zie Ondersteunde RDP-eigenschappen voor meer informatie.

WebAuthn-omleiding configureren met behulp van RDP-eigenschappen van de hostgroep:

1. Meld u aan bij het Azure-portaal.

2. Typ Azure Virtual Desktop in de zoekbalk en selecteer de overeenkomende servicevermelding.

3. Selecteer Hostgroepen en selecteer vervolgens de hostgroep die u wilt configureren.

4. Selecteer RDP-eigenschappen en selecteer vervolgens Apparaatomleiding.

   

5. Selecteer voor WebAuthn-omleiding de vervolgkeuzelijst en selecteer vervolgens een van de volgende opties:

   • WebAuthn-aanvragen in de externe sessie worden niet omgeleid naar de lokale computer
   • WebAuthn-aanvragen in de externe sessie worden omgeleid naar de lokale computer (standaard)
   • Niet geconfigureerd

6. Selecteer Opslaan.

7. Volg de stappen in WebAuthn-omleiding testen om de configuratie te testen.

WebAuthn-omleiding configureren met Behulp van Microsoft Intune of Groepsbeleid

WebAuthn-omleiding configureren met Behulp van Microsoft Intune of Groepsbeleid

Selecteer het relevante tabblad voor uw scenario.

Microsoft Intune

WebAuthn-omleiding via Microsoft Intune toestaan of uitschakelen:

1. Meld u aan bij het Microsoft Intune-beheercentrum.

2. Maak of bewerk een configuratieprofiel voor Windows 10- en hogerapparaten met het profieltype Instellingencatalogus.

3. Blader in de instellingenkiezer naar Beheersjablonen>windows-onderdelen>Extern bureaublad-services>Extern bureaublad-sessiehostapparaat>en resourceomleiding.

   

4. Schakel het selectievakje ' WebAuthn-omleiding niet toestaan' in en sluit vervolgens de instellingenkiezer.

5. Vouw de categorie Beheersjablonen uit en schakel de schakeloptie voor WebAuthn-omleiding niet naar Ingeschakeld of Uitgeschakeld in, afhankelijk van uw vereisten:

   • Als u WebAuthn-omleiding wilt toestaan, schakelt u de schakeloptie in op Uitgeschakeld en selecteert u OK.

   • Als u WebAuthn-omleiding wilt uitschakelen, schakelt u de schakeloptie in op Ingeschakeld en selecteert u OK.

6. Selecteer Volgende.

7. Optioneel: Selecteer op het tabblad Bereiktags een bereiktag om het profiel te filteren. Zie Op rollen gebaseerd toegangsbeheer (RBAC) en bereiktags gebruiken voor gedistribueerde IT voor meer informatie over bereiktags.

8. Selecteer op het tabblad Toewijzingen de groep met de computers die een externe sessie bieden die u wilt configureren en selecteer vervolgens Volgende.

9. Controleer op het tabblad Controleren en maken de instellingen en selecteer Vervolgens Maken.

10. Zodra het beleid van toepassing is op de computers die een externe sessie bieden, start u deze opnieuw op zodat de instellingen van kracht worden.

Groepsbeleid

WebAuthn-omleiding toestaan of uitschakelen met behulp van groepsbeleid:

1. Open de console Groepsbeleidsbeheer op het apparaat dat u gebruikt om het Active Directory-domein te beheren.

2. Maak of bewerk een beleid dat is gericht op de computers die een externe sessie bieden die u wilt configureren.

3. Navigeer naar Beheersjablonen voor computerconfiguratiebeleid>>>voor Windows-onderdelen>Extern bureaublad-services>Extern bureaublad-sessiehostapparaat>en resourceomleiding.

   

4. Dubbelklik op de beleidsinstelling Toestaan dat WebAuthn-omleiding niet wordt geopend.

   • Als u WebAuthn-omleiding wilt toestaan, selecteert u Uitgeschakeld of Niet geconfigureerd en selecteert u VERVOLGENS OK.

   • Als u WebAuthn-omleiding wilt uitschakelen, selecteert u Ingeschakeld en selecteert u VERVOLGENS OK.

5. Zorg ervoor dat het beleid wordt toegepast op de computers die een externe sessie bieden en start deze vervolgens opnieuw op zodat de instellingen van kracht worden.

WebAuthn-omleiding testen

Nadat u WebAuthn-omleiding hebt ingeschakeld, kunt u het volgende testen:

1. Als u een USB-beveiligingssleutel gebruikt, controleert u eerst of deze is aangesloten.

2. Maak verbinding met een externe sessie met behulp van windows-app of de app Extern bureaublad op een platform dat ondersteuning biedt voor webauthn-omleiding. Zie Functies van Windows-apps vergelijken op verschillende platforms en apparaten en de functies van de app Extern bureaublad vergelijken op verschillende platforms en apparaten voor meer informatie.

3. Open in de externe sessie een website in een InPrivate-venster dat gebruikmaakt van WebAuthn-verificatie, zoals Windows App voor webbrowsers op https://windows.cloud.microsoft/.

4. Volg het aanmeldingsproces. Wanneer de verificatie wordt gebruikt Windows Hello voor Bedrijven of de beveiligingssleutel, ziet u een Windows-beveiliging prompt om de verificatie te voltooien, zoals wordt weergegeven in de volgende afbeelding wanneer u een lokaal Windows-apparaat gebruikt.

   De Windows-beveiliging prompt bevindt zich op het lokale apparaat en overlays van de externe sessie, waarmee wordt aangegeven dat WebAuthn-omleiding werkt.

   

Gerelateerde inhoud

• Omleiding via het Remote Desktop Protocol.
• Ondersteunde RDP-eigenschappen.
• Vergelijk windows-app-functies op verschillende platforms en apparaten.
• Vergelijk de functies van de App Extern bureaublad op verschillende platforms en apparaten.