Política CSP – RemoteDesktopServices
Dica
Este CSP contém políticas apoiadas pelo ADMX que exigem um formato SyncML especial para habilitar ou desabilitar. Você deve especificar o tipo de dados no SyncML como <Format>chr</Format>
. Para obter detalhes, consulte Noções básicas sobre políticas apoiadas pelo ADMX.
A carga do SyncML deve ser codificada por XML; para essa codificação XML, há uma variedade de codificadores online que você pode usar. Para evitar codificar a carga, você pode usar a CDATA se o MDM der suporte a ela. Para obter mais informações, confira Seções CDATA.
Importante
Esse CSP contém algumas configurações que estão em desenvolvimento e só se aplicam Windows Insider Preview builds. Essas configurações estão sujeitas a alterações e podem ter dependências de outros recursos ou serviços em versão prévia.
AllowUsersToConnectRemotely
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1703 [10.0.15063] e posterior |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/AllowUsersToConnectRemotely
Essa configuração de política permite configurar o acesso remoto aos computadores usando os Serviços de Área de Trabalho Remota.
Se você habilitar essa configuração de política, os usuários que são membros do grupo Usuários de Área de Trabalho Remota no computador de destino poderão se conectar remotamente ao computador de destino usando os Serviços de Área de Trabalho Remota.
Se você desabilitar essa configuração de política, os usuários não poderão se conectar remotamente ao computador de destino usando os Serviços de Área de Trabalho Remota. O computador de destino manterá quaisquer conexões atuais, mas não aceitará novas conexões de entrada.
Se você não configurar essa configuração de política, os Serviços de Área de Trabalho Remota usarão a configuração da Área de Trabalho Remota no computador de destino para determinar se a conexão remota é permitida. Essa configuração é encontrada na guia Controle Remoto na folha De propriedades do sistema. Por padrão, conexões remotas não são permitidas.
Observação
Você pode limitar quais clientes podem se conectar remotamente usando os Serviços de Área de Trabalho Remota configurando a configuração de política em Configuração do Computador\Modelos Administrativos\Componentes do Windows\Serviços de Área de Trabalho Remota\Host de Sessão da Área de Trabalho Remota\Segurança\Exigir autenticação do usuário para conexões remotas usando Autenticação de Nível de Rede.
Você pode limitar o número de usuários que podem se conectar simultaneamente configurando a configuração de política em Configuração do Computador\Modelos Administrativos\Componentes do Windows\Serviços de Área de Trabalho Remota\Host de Sessão de Área de Trabalho Remota\Connections\Limite número de conexões ou configurando a configuração de política Máximo Connections usando o Provedor WMI do Host de Sessão da Área de Trabalho Remota.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | chr (cadeia de caracteres) |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
Nome | Valor |
---|---|
Nome | TS_DISABLE_CONNECTIONS |
Nome Amigável | Permitir que os usuários se conectem remotamente usando os Serviços de Área de Trabalho Remota |
Localização | Configuração do Computador |
Caminho | Host > de Sessão da Área de Trabalho Remota dos Serviços > de Área de Trabalho Remota dos Componentes > do Windows Connections |
Nome da Chave do Registro | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
Nome do Arquivo ADMX | TerminalServer.admx |
ClientConnectionEncryptionLevel
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1703 [10.0.15063] e posterior |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/ClientConnectionEncryptionLevel
Especifica se é necessário o uso de um nível de criptografia específico para proteger as comunicações entre computadores cliente e servidores host de sessão RD durante conexões RDP (Protocolo de Área de Trabalho Remota). Essa política só se aplica quando você está usando a criptografia RDP nativa. No entanto, a criptografia RDP nativa (em oposição à criptografia SSL) não é recomendada. Essa política não se aplica à criptografia SSL.
- Se você habilitar essa configuração de política, todas as comunicações entre clientes e servidores host de sessão RD durante conexões remotas devem usar o método de criptografia especificado nesta configuração. Por padrão, o nível de criptografia é definido como Alto. Os seguintes métodos de criptografia estão disponíveis:
Alta: a configuração Alta criptografa os dados enviados do cliente para o servidor e do servidor para o cliente usando criptografia forte de 128 bits. Use esse nível de criptografia em ambientes que contêm apenas clientes de 128 bits (por exemplo, clientes que executam Conexão de Área de Trabalho Remota). Os clientes que não dão suporte a esse nível de criptografia não podem se conectar a servidores host de sessão RD.
Compatível com o cliente: a configuração compatível com o cliente criptografa os dados enviados entre o cliente e o servidor com a força máxima da chave suportada pelo cliente. Use esse nível de criptografia em ambientes que incluem clientes que não dão suporte à criptografia de 128 bits.
Baixa: a configuração Baixa criptografa apenas os dados enviados do cliente para o servidor usando criptografia de 56 bits.
- Se você desabilitar ou não configurar essa configuração, o nível de criptografia a ser usado para conexões remotas com servidores host de sessão rd não será imposto por meio de Política de Grupo.
Importante.
A conformidade FIPS pode ser configurada por meio da criptografia do sistema. Use algoritmos compatíveis com FIPS para criptografia, hash e configurações de assinatura em Política de Grupo (em Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança). A configuração compatível com FIPS criptografa e descriptografa dados enviados do cliente para o servidor e do servidor para o cliente, com os algoritmos de criptografia FIPS (Federal Information Processing Standard) 140, usando módulos criptográficos da Microsoft. Use esse nível de criptografia quando as comunicações entre clientes e servidores do Host de Sessão RD exigem o nível mais alto de criptografia.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | chr (cadeia de caracteres) |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
Nome | Valor |
---|---|
Nome | TS_ENCRYPTION_POLICY |
Nome Amigável | Definir o nível de criptografia de conexão do cliente |
Localização | Configuração do Computador |
Caminho | Segurança do Host > de Sessão da Área de Trabalho Remota dos Serviços > de Área de Trabalho Remota dos Componentes > do Windows |
Nome da Chave do Registro | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
Nome do Arquivo ADMX | TerminalServer.admx |
DisconnectOnLockLegacyAuthn
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/DisconnectOnLockLegacyAuthn
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | chr (cadeia de caracteres) |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
Nome | Valor |
---|---|
Nome | TS_DISCONNECT_ON_LOCK_POLICY |
Nome do Arquivo ADMX | terminalserver.admx |
DisconnectOnLockMicrosoftIdentityAuthn
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/DisconnectOnLockMicrosoftIdentityAuthn
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | chr (cadeia de caracteres) |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
Nome | Valor |
---|---|
Nome | TS_DISCONNECT_ON_LOCK_AAD_POLICY |
Nome do Arquivo ADMX | terminalserver.admx |
DoNotAllowDriveRedirection
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1703 [10.0.15063] e posterior |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/DoNotAllowDriveRedirection
Essa configuração de política especifica se deve impedir o mapeamento de unidades do cliente em uma sessão dos Serviços de Área de Trabalho Remota (redirecionamento de unidade).
Por padrão, um servidor host de sessão RD mapeia as unidades do cliente automaticamente após a conexão. As unidades mapeadas aparecem na árvore de pastas de sessão em Explorador de Arquivos ou Computador no formato <driveletter>
em <computername>
. Você pode usar essa configuração de política para substituir esse comportamento.
Se você habilitar essa configuração de política, o redirecionamento da unidade de cliente não será permitido em sessões dos Serviços de Área de Trabalho Remota e o redirecionamento de cópia de arquivo de área de transferência não é permitido em computadores que executam Windows XP, Windows Server 2003, Windows Server 2012 (e posterior) ou Windows 8 (e posterior).
Se você desabilitar essa configuração de política, o redirecionamento da unidade do cliente sempre será permitido. Além disso, o redirecionamento de cópia de arquivo de área de transferência sempre será permitido se o redirecionamento da área de transferência for permitido.
Se você não configurar essa configuração de política, o redirecionamento da unidade do cliente e o redirecionamento de cópia de arquivo de área de transferência não serão especificados no nível Política de Grupo.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | chr (cadeia de caracteres) |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
Nome | Valor |
---|---|
Nome | TS_CLIENT_DRIVE_M |
Nome Amigável | Não permitir o redirecionamento de unidade |
Localização | Configuração do Computador |
Caminho | Dispositivo e redirecionamento de recursos do Windows Components > Remote Desktop Services > Remote Desktop > |
Nome da Chave do Registro | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
Nome do Valor do Registro | fDisableCdm |
Nome do Arquivo ADMX | TerminalServer.admx |
DoNotAllowPasswordSaving
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1703 [10.0.15063] e posterior |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/DoNotAllowPasswordSaving
Controla se as senhas podem ser salvas neste computador na Conexão de Área de Trabalho Remota.
Se você habilitar essa configuração, a caixa de seleção de salvamento de senhas na Conexão de Área de Trabalho Remota será desabilitada e os usuários não poderão mais salvar senhas. Quando um usuário abre um arquivo RDP usando a Conexão de Área de Trabalho Remota e salva suas configurações, qualquer senha existente anteriormente no arquivo RDP será excluída.
Se você desabilitar essa configuração ou deixá-la não configurada, o usuário poderá salvar senhas usando a Conexão de Área de Trabalho Remota.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | chr (cadeia de caracteres) |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
Nome | Valor |
---|---|
Nome | TS_CLIENT_DISABLE_PASSWORD_SAVING_2 |
Nome Amigável | Não permitir que senhas sejam salvas |
Localização | Configuração do Computador |
Caminho | Cliente de conexão de área de trabalho remota dos Serviços > de Área de Trabalho Remota dos Componentes > do Windows |
Nome da Chave do Registro | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
Nome do Valor do Registro | DisablePasswordSaving |
Nome do Arquivo ADMX | TerminalServer.admx |
DoNotAllowWebAuthnRedirection
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 11, versão 22H2 [10.0.22621] e posterior |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/DoNotAllowWebAuthnRedirection
Essa configuração de política permite controlar o redirecionamento de solicitações webAuthn (autenticação web) de uma sessão de Área de Trabalho Remota para o dispositivo local. Esse redirecionamento permite que os usuários se autentiquem nos recursos dentro da sessão da Área de Trabalho Remota usando o autenticador local (por exemplo, Windows Hello para Empresas, chave de segurança ou outros).
Por padrão, a Área de Trabalho Remota permite o redirecionamento de solicitações WebAuthn.
Se você habilitar essa configuração de política, os usuários não poderão usar o autenticador local dentro da sessão da Área de Trabalho Remota.
Se você desabilitar ou não configurar essa configuração de política, os usuários poderão usar autenticadores locais dentro da sessão da Área de Trabalho Remota.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | chr (cadeia de caracteres) |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
Nome | Valor |
---|---|
Nome | TS_WEBAUTHN |
Nome Amigável | Não permitir o redirecionamento do WebAuthn |
Localização | Configuração do Computador |
Caminho | Dispositivo e redirecionamento de recursos do Windows Components > Remote Desktop Services > Remote Desktop > |
Nome da Chave do Registro | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
Nome do Valor do Registro | fDisableWebAuthn |
Nome do Arquivo ADMX | TerminalServer.admx |
LimitClientToServerClipboardRedirection
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ✅ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./User/Vendor/MSFT/Policy/Config/RemoteDesktopServices/LimitClientToServerClipboardRedirection
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/LimitClientToServerClipboardRedirection
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | chr (cadeia de caracteres) |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
Nome | Valor |
---|---|
Nome | TS_CLIENT_CLIPBOARDRESTRICTION_CS |
Nome do Arquivo ADMX | terminalserver.admx |
LimitServerToClientClipboardRedirection
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ✅ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./User/Vendor/MSFT/Policy/Config/RemoteDesktopServices/LimitServerToClientClipboardRedirection
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/LimitServerToClientClipboardRedirection
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | chr (cadeia de caracteres) |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
Nome | Valor |
---|---|
Nome | TS_CLIENT_CLIPBOARDRESTRICTION_SC |
Nome do Arquivo ADMX | terminalserver.admx |
PromptForPasswordUponConnection
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1703 [10.0.15063] e posterior |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/PromptForPasswordUponConnection
Essa configuração de política especifica se os Serviços de Área de Trabalho Remota sempre solicitam ao cliente uma senha após a conexão.
Você pode usar essa configuração para impor um prompt de senha para os usuários que fazem logon nos Serviços de Área de Trabalho Remota, mesmo que já tenham fornecido a senha no cliente de Conexão de Área de Trabalho Remota.
Por padrão, os Serviços de Área de Trabalho Remota permitem que os usuários façam logon automaticamente inserindo uma senha no cliente de Conexão de Área de Trabalho Remota.
Se você habilitar essa configuração de política, os usuários não poderão fazer logon automaticamente nos Serviços de Área de Trabalho Remota fornecendo suas senhas no cliente de Conexão de Área de Trabalho Remota. Eles são solicitados para que uma senha faça logon.
Se você desabilitar essa configuração de política, os usuários sempre poderão fazer logon nos Serviços de Área de Trabalho Remota automaticamente fornecendo suas senhas no cliente de Conexão de Área de Trabalho Remota.
Se você não configurar essa configuração de política, o logon automático não será especificado no nível Política de Grupo.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | chr (cadeia de caracteres) |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
Nome | Valor |
---|---|
Nome | TS_PASSWORD |
Nome Amigável | Sempre solicitar senha após a conexão |
Localização | Configuração do Computador |
Caminho | Segurança do Host > de Sessão da Área de Trabalho Remota dos Serviços > de Área de Trabalho Remota dos Componentes > do Windows |
Nome da Chave do Registro | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
Nome do Valor do Registro | fPromptForPassword |
Nome do Arquivo ADMX | TerminalServer.admx |
RequireSecureRPCCommunication
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1703 [10.0.15063] e posterior |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/RequireSecureRPCCommunication
Especifica se um servidor Host de Sessão da Área de Trabalho Remota requer comunicação RPC segura com todos os clientes ou permite comunicação sem segurança.
Você pode usar essa configuração para reforçar a segurança da comunicação RPC com clientes, permitindo apenas solicitações autenticadas e criptografadas.
Se o status estiver definido como Habilitado, os Serviços de Área de Trabalho Remota aceitarão solicitações de clientes RPC que dão suporte a solicitações seguras e não permitirão comunicação não segura com clientes não confiáveis.
Se o status estiver definido como Desabilitado, os Serviços de Área de Trabalho Remota sempre solicitarão segurança para todo o tráfego RPC. No entanto, a comunicação não segura é permitida para clientes RPC que não respondem à solicitação.
Se o status estiver definido como Não Configurado, a comunicação não segura será permitida.
Observação
A interface RPC é usada para administrar e configurar os Serviços de Área de Trabalho Remota.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | chr (cadeia de caracteres) |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.
Mapeamento do ADMX:
Nome | Valor |
---|---|
Nome | TS_RPC_ENCRYPTION |
Nome Amigável | Exigir comunicação RPC segura |
Localização | Configuração do Computador |
Caminho | Segurança do Host > de Sessão da Área de Trabalho Remota dos Serviços > de Área de Trabalho Remota dos Componentes > do Windows |
Nome da Chave do Registro | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
Nome do Valor do Registro | fEncryptRPCTraffic |
Nome do Arquivo ADMX | TerminalServer.admx |
Artigos relacionados
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de