Configurar o redirecionamento WebAuthn através do Protocolo de Ambiente de Trabalho Remoto

Dica

Este artigo é partilhado para serviços e produtos que utilizam o Protocolo RDP (Remote Desktop Protocol) para fornecer acesso remoto a aplicações e ambientes de trabalho do Windows.

Selecione um produto com os botões na parte superior deste artigo para mostrar o conteúdo relevante.

Pode configurar o comportamento de redirecionamento de pedidos WebAuthn de uma sessão remota para um dispositivo local através do Protocolo RDP (Remote Desktop Protocol). O redirecionamento WebAuthn permite a autenticação sem palavra-passe na sessão com dispositivos Windows Hello para Empresas ou de segurança, como chaves FIDO.

Para o Azure Virtual Desktop, recomendamos que ative o redirecionamento WebAuthn nos anfitriões de sessão com Microsoft Intune ou Política de Grupo e, em seguida, controle o redirecionamento com as propriedades RDP do conjunto de anfitriões.

Por Windows 365, pode configurar os seus PCs na Cloud com Microsoft Intune ou Política de Grupo.

Para o Microsoft Dev Box, pode configurar as suas caixas de programador com Microsoft Intune ou Política de Grupo.

Este artigo fornece informações sobre os métodos de redirecionamento suportados e como configurar o comportamento de redirecionamento para pedidos WebAuthn. Para saber mais sobre como funciona o redirecionamento, veja Redirecionamento através do Protocolo de Ambiente de Trabalho Remoto.

Pré-requisitos

Antes de poder configurar o redirecionamento WebAuthn, precisa de:

• Um conjunto de anfitriões existente com anfitriões de sessão.

• Uma conta Microsoft Entra ID atribuída às funções de controlo de acesso baseado em funções (RBAC) incorporadas contribuidor do Conjunto de Anfitriões de Virtualização de Ambiente de Trabalho no conjunto de anfitriões como mínimo.

• Um PC na Cloud existente.

• Uma caixa de programador existente.

• Um dispositivo Windows local com Windows Hello para Empresas ou um dispositivo de segurança, como uma chave USB FIDO já configurada.

• Para configurar Microsoft Intune, precisa de:

  • Microsoft Entra ID conta à qual é atribuída a função RBAC incorporada gestor de Políticas e Perfis.
  • Um grupo que contém os dispositivos que pretende configurar.

• Para configurar Política de Grupo, precisa de:

  • Uma conta de domínio com permissão para criar ou editar objetos Política de Grupo.
  • Um grupo de segurança ou unidade organizacional (UO) que contém os dispositivos que pretende configurar.

• Tem de se ligar a uma sessão remota a partir de uma aplicação e plataforma suportadas. Para ver o suporte de redirecionamento no Windows App e na aplicação Ambiente de Trabalho Remoto, veja Comparar funcionalidades de Windows App entre plataformas e dispositivos e Comparar funcionalidades da aplicação Ambiente de Trabalho Remoto entre plataformas e dispositivos.

Redirecionamento de WebAuthn

A configuração de um anfitrião de sessão com Microsoft Intune ou Política de Grupo ou a definição de uma propriedade RDP num conjunto de anfitriões governa a capacidade de redirecionar pedidos WebAuthn de uma sessão remota para um dispositivo local, que está sujeito a uma ordem de prioridade.

A configuração predefinida é:

• Sistema operativo Windows: os pedidos WebAuthn não são bloqueados.
• Propriedades RDP do conjunto de anfitriões do Azure Virtual Desktop: os pedidos WebAuthn na sessão remota são redirecionados para o computador local.

Importante

Tenha cuidado ao configurar as definições de redirecionamento, uma vez que a definição mais restritiva é o comportamento resultante. Por exemplo, se desativar o redirecionamento WebAuthn num anfitrião de sessão com Microsoft Intune ou Política de Grupo, mas ativá-lo com a propriedade RDP do conjunto de anfitriões, o redirecionamento será desativado.

A configuração de um PC na Cloud governa a capacidade de redirecionar pedidos WebAuthn entre a sessão remota e o dispositivo local e é definida com Microsoft Intune ou Política de Grupo.

A configuração predefinida é:

• Sistema operativo Windows: os pedidos WebAuthn não são bloqueados. Windows 365 ativa o redirecionamento webAuthn.

A configuração de uma caixa de programador regula a capacidade de redirecionar pedidos WebAuthn entre a sessão remota e o dispositivo local e é definida com Microsoft Intune ou Política de Grupo.

A configuração predefinida é:

• Sistema operativo Windows: os pedidos WebAuthn não são bloqueados. Windows 365 ativa o redirecionamento webAuthn.

Configurar o redirecionamento WebAuthn com propriedades RDP do conjunto de anfitriões

A definição do conjunto de anfitriões do Azure Virtual Desktop WebAuthn controla se pretende redirecionar pedidos WebAuthn entre a sessão remota e o dispositivo local. A propriedade RDP correspondente é redirectwebauthn:i:<value>. Para obter mais informações, veja Propriedades RDP suportadas.

Para configurar o redirecionamento WebAuthn com as propriedades RDP do conjunto de anfitriões:

1. Entre no portal do Azure.

2. Na barra de pesquisa, escreva Azure Virtual Desktop e selecione a entrada de serviço correspondente.

3. Selecione Conjuntos de anfitriões e, em seguida, selecione o conjunto de anfitriões que pretende configurar.

4. Selecione Propriedades do RDP e, em seguida, selecione Redirecionamento de dispositivos.

   

5. Para redirecionamento WebAuthn, selecione a lista pendente e, em seguida, selecione uma das seguintes opções:

   • Os pedidos WebAuthn na sessão remota não são redirecionados para o computador local
   • Os pedidos WebAuthn na sessão remota são redirecionados para o computador local (predefinição)
   • Não configurado

6. Selecione Salvar.

7. Para testar a configuração, siga os passos em Testar o redirecionamento de WebAuthn.

Configurar o redirecionamento webAuthn com Microsoft Intune ou Política de Grupo

Configurar o redirecionamento webAuthn com Microsoft Intune ou Política de Grupo

Selecione o separador relevante para o seu cenário.

Microsoft Intune

Para permitir ou desativar o redirecionamento webAuthn com Microsoft Intune:

1. Entre no Centro de administração do Microsoft Intune.

2. Crie ou edite um perfil de configuração para dispositivos Windows 10 e posteriores, com o tipo de perfil de catálogo Definições.

3. No seletor de definições, navegue para Modelos administrativos Componentes>do Windows Serviços> de Ambiente deTrabalho Remoto Anfitrião>de Sessões> de Ambiente de Trabalho RemotoDispositivo e Redirecionamento de Recursos.

   

4. Selecione a caixa Não permitir redirecionamento WebAuthn e, em seguida, feche o seletor de definições.

5. Expanda a categoria Modelos administrativos e, em seguida, alterne o seletor para Não permitir redirecionamento WebAuthn para Ativado ou Desativado, consoante os seus requisitos:

   • Para permitir o redirecionamento de WebAuthn, mude o seletor para Desativado.

   • Para desativar o redirecionamento de WebAuthn, mude o seletor para Ativado.

6. Selecione Avançar.

7. Opcional: no separador Etiquetas de âmbito , selecione uma etiqueta de âmbito para filtrar o perfil. Para obter mais informações sobre os rótulos de escopo, consulte Usar o controle de acesso com base na função e nos rótulos de escopo da TI distribuída.

8. No separador Atribuições , selecione o grupo que contém os computadores que fornecem uma sessão remota que pretende configurar e, em seguida, selecione Seguinte.

9. No separador Rever + criar , reveja as definições e, em seguida, selecione Criar.

10. Assim que a política se aplicar aos computadores que fornecem uma sessão remota, reinicie-os para que as definições entrem em vigor.

Política de grupo

Para permitir ou desativar o redirecionamento webAuthn com Política de Grupo:

1. Abra a consola de Gestão de Política de Grupo num dispositivo que utiliza para gerir o domínio do Active Directory.

2. Crie ou edite uma política destinada aos computadores que fornecem uma sessão remota que pretende configurar.

3. Navegue para Políticas de Configuração> do ComputadorModelos>Administrativos Componentes> doWindows Serviços>> de Ambiente deTrabalho Remoto Anfitrião de Sessões> de Ambiente de Trabalho RemotoDispositivo e Redirecionamento de Recursos.

   

4. Faça duplo clique na definição de política Não permitir que o redirecionamento WebAuthn o abra.

   • Para permitir o redirecionamento webAuthn, selecione Desativado ou Não configurado e, em seguida, selecione OK.

   • Para desativar o redirecionamento WebAuthn, selecione Ativado e, em seguida, selecione OK.

5. Certifique-se de que a política é aplicada aos computadores que fornecem uma sessão remota e, em seguida, reinicie-as para que as definições entrem em vigor.

Testar o redirecionamento de WebAuthn

Depois de ativar o redirecionamento WebAuthn, teste-o:

1. Se estiver a utilizar uma chave de segurança USB, certifique-se de que está ligada primeiro.

2. Ligue-se a uma sessão remota através da Aplicação Windows ou da aplicação Ambiente de Trabalho Remoto numa plataforma que suporte o redirecionamento WebAuthn. Para obter mais informações, veja Comparar funcionalidades de Windows App entre plataformas e dispositivos e Comparar funcionalidades de aplicações de Ambiente de Trabalho Remoto entre plataformas e dispositivos.

3. Na sessão remota, abra um site numa janela InPrivate que utilize a autenticação WebAuthn, como Windows App para browsers em https://windows.cloud.microsoft/.

4. Siga o processo de início de sessão. Quando a autenticação for utilizada Windows Hello para Empresas ou a chave de segurança, deverá ver um pedido de Segurança do Windows para concluir a autenticação, conforme mostrado na imagem seguinte ao utilizar um dispositivo local do Windows.

   O pedido de Segurança do Windows está no dispositivo local e sobrepõe-se à sessão remota, o que indica que o redirecionamento WebAuthn está a funcionar.

   

Conteúdo relacionado

• Redirecionamento através do Protocolo de Ambiente de Trabalho Remoto.
• Propriedades RDP suportadas.
• Compare Windows App funcionalidades entre plataformas e dispositivos.
• Compare as funcionalidades da aplicação Ambiente de Trabalho Remoto entre plataformas e dispositivos.