Configurar o redirecionamento do WebAuthn por meio do protocolo RDP

Dica

Este artigo é compartilhado com serviços e produtos que usam o protocolo RDP (RDP) para fornecer acesso remoto a áreas de trabalho e aplicativos do Windows.

Selecione um produto usando os botões na parte superior deste artigo para mostrar o conteúdo relevante.

Você pode configurar o comportamento de redirecionamento de solicitações WebAuthn de uma sessão remota para um dispositivo local por meio do protocolo RDP. O redirecionamento WebAuthn possibilita a autenticação sem senha na sessão usando o Windows Hello para Empresas ou dispositivos de segurança, como chaves FIDO.

Para a Área de Trabalho Virtual do Azure, recomendamos que você habilite o redirecionamento WebAuthn em seus hosts de sessão usando o Microsoft Intune ou a Política de Grupo e, em seguida, controle o redirecionamento usando as propriedades do RDP do pool de host.

Para o Windows 365, você pode configurar seus PCs na nuvem usando o Microsoft Intune ou a Política de Grupo.

Para o Computador de Desenvolvimento da Microsoft, você pode configurar seus computadores de desenvolvimento usando o Microsoft Intune ou a Política de Grupo.

Este artigo fornece informações sobre os métodos de redirecionamento com suporte e como configurar o comportamento de redirecionamento para solicitações WebAuthn. Para saber mais sobre como o redirecionamento funciona, consulte Redirecionamento pelo Protocolo RDP.

Pré-requisitos

Antes de configurar o redirecionamento WebAuthn, você precisa de:

• Um pool de hosts existente com os hosts da sessão.

• Uma conta do Microsoft Entra ID que recebe as funções internas RBAC (controle de acesso baseado em função) do Colaborador do Pool de Hosts de Virtualização da Área de Trabalho no pool de hosts, no mínimo.

• Um PC na nuvem existente.

• Um computador de desenvolvimento existente.

• Um dispositivo Windows local com o Windows Hello para Empresas ou um dispositivo de segurança como uma chave USB FIDO já configurado.

• Para configurar o Microsoft Intune, você precisa de:

  • Uma conta do Microsoft Entra ID atribuída à função interna RBAC do Gerenciador de Políticas e Perfis.
  • Um grupo que contém os dispositivos que você deseja configurar.

• Para configurar a Política de Grupo, você precisa de:

  • Uma conta de domínio que tenha permissão para criar ou editar objetos da Política de Grupo.
  • Um grupo de segurança ou UO (unidade organizacional) contendo os dispositivos que você deseja configurar.

• Você precisa se conectar a uma sessão remota de um aplicativo e uma plataforma com suporte. Para exibir o suporte ao redirecionamento no Aplicativo do Windows e no aplicativo de Área de Trabalho Remota, consulte Comparar os recursos do Aplicativo do Windows entre plataformas e dispositivos e Comparar os recursos do aplicativo de Área de Trabalho Remota entre plataformas e dispositivos.

Redirecionamento do WebAuthn

A configuração de um host da sessão usando o Microsoft Intune ou a Política de Grupo ou a configuração de uma propriedade do RDP em um pool de host controla a capacidade de redirecionar solicitações WebAuthn de uma sessão remota para um dispositivo local, que está sujeita a uma ordem de prioridade.

A configuração padrão é:

• Sistema operacional Windows: as solicitações WebAuthn não são bloqueadas.
• Propriedades de RDP do pool de host da Área de Trabalho Virtual do Azure: as solicitações WebAuthn na sessão remota são redirecionadas para o computador local.

Importante

Tenha cuidado ao definir as configurações de redirecionamento, pois a configuração mais restritiva é o comportamento resultante. Por exemplo, se você desabilitar o redirecionamento WebAuthn em um host da sessão com o Microsoft Intune ou a Política de Grupo, mas habilitá-lo com a propriedade do RDP do pool de host, o redirecionamento será desabilitado.

A configuração de um PC na nuvem controla a capacidade de redirecionar solicitações WebAuthn entre a sessão remota e o dispositivo local e é definida usando o Microsoft Intune ou a Política de Grupo.

A configuração padrão é:

• Sistema operacional Windows: as solicitações WebAuthn não são bloqueadas. O Windows 365 habilita o redirecionamento WebAuthn.

A configuração de um computador de desenvolvimento controla a capacidade de redirecionar solicitações WebAuthn entre a sessão remota e o dispositivo local e é definida usando o Microsoft Intune ou a Política de Grupo.

A configuração padrão é:

• Sistema operacional Windows: as solicitações WebAuthn não são bloqueadas. O Windows 365 habilita o redirecionamento WebAuthn.

Configurar o redirecionamento WebAuthn usando as propriedades de RDP do pool de host:

A configuração redirecionamento WebAuthn do pool de host da Área de Trabalho Virtual do Azure controla se as solicitações WebAuthn devem ou não ser redirecionadas entre a sessão remota e o dispositivo local. A propriedade do RDP correspondente é redirectwebauthn:i:<value>. Para obter mais informações, confira Propriedades do RDP com suporte.

Para configurar o redirecionamento WebAuthn usando as propriedades do RDP do pool de host:

1. Entre no portal do Azure.

2. Na barra de pesquisa, digite Área de Trabalho Virtual do Azure e selecione a entrada de serviço correspondente.

3. Selecione Pools de host e, em seguida, selecione o pool de hosts que você deseja configurar.

4. Selecione Propriedades do RDP e, em seguida, escolha Redirecionamento de dispositivo.

   

5. Para redirecionamento WebAuthn, selecione a lista suspensa e, em seguida, selecione uma das seguintes opções:

   • As solicitações WebAuthn na sessão remota não são redirecionadas para o computador local
   • As solicitações WebAuthn na sessão remota não são redirecionadas para o computador local (padrão)
   • Não configurado

6. Selecione Salvar.

7. Para testar a configuração, siga as etapas no Testar o redirecionamento WebAuthn.

Configurar o redirecionamento WebAuthn usando o Microsoft Intune ou a Política de Grupo

Configurar o redirecionamento WebAuthn usando o Microsoft Intune ou a Política de Grupo

Selecione a guia relevante ao seu cenário.

Microsoft Intune

Para permitir ou desabilitar o redirecionamento WebAuthn usando o Microsoft Intune:

1. Entre no Centro de administração do Microsoft Intune.

2. Crie ou edite um perfil de configuração para dispositivos Windows 10 e posteriores, com o tipo de perfil Modelos e o modelo Modelos Administrativos.

3. Na guia Configurações, navegue até Configuração do computador>Componentes do Windows>Serviços de Área de Trabalho Remota>Host da Sessão da Área de Trabalho Remota>Redirecionamento de Recurso e Dispositivo e selecione Não permitir redirecionamento WebAuthn.

   

4. Selecione Não permitir o redirecionamento WebAuthn. No painel separado do painel que é aberto:

   • Para permitir o redirecionamento WebAuthn, selecione Desabilitado ou Não configurado e selecione OK.

   • Para desabilitar o redirecionamento WebAuthn, selecione Habilitado e, em seguida, selecione OK.

5. Selecione Avançar.

6. Opcional: na guia Marcas de escopo, selecione uma marca de escopo para filtrar o perfil. Saiba mais sobre marcas de escopo, confira Usar RBAC (controle de acesso baseado em função) e marcas de escopo para TI distribuída.

7. Na guia Atribuições, selecione o grupo que contém os computadores que fornecem uma sessão remota que você deseja configurar e selecione Avançar.

8. Na guia Revisar + criar, revise as configurações e selecione Criar.

9. Depois que a política se aplicar aos computadores que fornecem uma sessão remota, reinicie-os para que as configurações entrem em vigor.

Política de Grupo

Para permitir ou desabilitar o redirecionamento WebAuthn usando a Política de Grupo:

1. Abra o console de Gerenciamento de Política de Grupo no dispositivo usado para gerenciar o domínio do Active Directory.

2. Crie ou edite uma política direcionada aos computadores que fornecem uma sessão remota que você deseja configurar.

3. Navegue até Configuração do Computador>Políticas>Modelos Administrativos>Componentes do Windows>Serviços de Área de Trabalho Remota>Host da Sessão da Área de Trabalho Remota>Redirecionamento de Dispositivo e Recurso.

   

4. Clique duas vezes na configuração de política Não permitir redirecionamento WebAuthn para abri-la.

   • Para permitir o redirecionamento WebAuthn, selecione Desabilitado ou Não configurado e selecione OK.

   • Para desabilitar o redirecionamento WebAuthn, selecione Habilitado e, em seguida, selecione OK.

5. Verifique se a política foi aplicada aos computadores que fornecem uma sessão remota e reinicie-os para que as configurações entrem em vigor.

Testar o redirecionamento WebAuthn

Depois de habilitar o redirecionamento WebAuthn, para testá-lo:

1. Se você estiver usando uma chave de segurança USB, verifique se ela está plugada primeiro.

2. Conecte-se a uma sessão remota usando o aplicativo do Windows ou o aplicativo de Área de Trabalho Remota em uma plataforma que dá suporte ao redirecionamento WebAuthn. Para obter mais informações, confira Comparar recursos do aplicativo do Windows entre plataformas e dispositivos e Comparar os recursos do aplicativo de Área de Trabalho Remota em plataformas e dispositivos.

3. Na sessão remota, abra um site em uma janela InPrivate que usa a autenticação WebAuthn, como o aplicativo do Windows para navegadores da Web em https://windows.cloud.microsoft/.

4. Siga o processo de entrada. Quando a autenticação se trata de usar o Windows Hello para Empresas ou a chave de segurança, você deverá ver um prompt de Segurança do Windows para concluir a autenticação, conforme mostrado na imagem a seguir ao usar um dispositivo local do Windows.

   O prompt de Segurança do Windows está no dispositivo local e se sobrepõe a sessão remota, indicando que o redirecionamento WebAuthn está funcionando.

   

Conteúdo relacionado

• Redirecionamento pelo protocolo RDP.
• Propriedades do protocolo RDP com suporte.
• Compare os recursos do aplicativo do Windows entre plataformas e dispositivos.
• Compare os recursos do aplicativo da Área de Trabalho Remota entre plataformas e dispositivos.