Настройка перенаправления WebAuthn по протоколу удаленного рабочего стола

Совет

Эта статья доступна для служб и продуктов, использующих протокол удаленного рабочего стола (RDP) для предоставления удаленного доступа к рабочим столам и приложениям Windows.

Выберите продукт с помощью кнопок в верхней части этой статьи, чтобы отобразить соответствующее содержимое.

Вы можете настроить поведение перенаправления запросов WebAuthn из удаленного сеанса на локальное устройство по протоколу удаленного рабочего стола (RDP). Перенаправление WebAuthn обеспечивает проверку подлинности без пароля в сеансе с помощью Windows Hello для бизнеса или устройств безопасности, таких как ключи FIDO.

Для Виртуального рабочего стола Azure рекомендуется включить перенаправление WebAuthn на узлах сеансов с помощью Microsoft Intune или групповая политика, а затем управлять перенаправлением с помощью свойств RDP пула узлов.

Для Windows 365 облачные компьютеры можно настроить с помощью Microsoft Intune или групповая политика.

Для Microsoft Dev Box можно настроить поля разработки с помощью Microsoft Intune или групповая политика.

В этой статье содержатся сведения о поддерживаемых методах перенаправления и настройке поведения перенаправления для запросов WebAuthn. Дополнительные сведения о том, как работает перенаправление, см. в статье Перенаправление по протоколу удаленного рабочего стола.

Предварительные условия

Перед настройкой перенаправления WebAuthn необходимо:

• Существующий пул узлов с узлами сеансов.

• Учетная запись Microsoft Entra ID, которая как минимум назначается встроенным ролям управления доступом на основе ролей (RBAC) в пуле узлов.

• Существующий облачный компьютер.

• Существующее поле разработки.

• Локальное устройство Windows с Windows Hello для бизнеса или устройство безопасности, например USB-ключ FIDO.

• Чтобы настроить Microsoft Intune, вам потребуется:

  • Microsoft Entra ID учетную запись, которому назначена встроенная роль диспетчера политик и профилей RBAC.
  • Группа, содержащая устройства, которые требуется настроить.

• Чтобы настроить групповая политика, вам потребуется следующее:

  • Учетная запись домена, которая имеет разрешение на создание или изменение групповая политика объектов.
  • Группа безопасности или подразделение, содержащее устройства, которые нужно настроить.

• Необходимо подключиться к удаленному сеансу из поддерживаемого приложения и платформы. Сведения о поддержке перенаправления в Windows App и приложении удаленного рабочего стола см. в разделах Сравнение функций Windows App на разных платформах и устройствах и Сравнение функций приложений удаленного рабочего стола на разных платформах и устройствах.

Перенаправление WebAuthn

Настройка узла сеанса с использованием Microsoft Intune или групповая политика или установка свойства RDP в пуле узлов управляет возможностью перенаправлять запросы WebAuthn из удаленного сеанса на локальное устройство, в соответствии с порядком приоритета.

Конфигурация по умолчанию:

• Операционная система Windows: запросы WebAuthn не блокируются.
• Свойства RDP пула узлов Виртуального рабочего стола Azure: запросы WebAuthn в удаленном сеансе перенаправляются на локальный компьютер.

Важно!

Позаботьтесь о настройке параметров перенаправления, так как наиболее ограничительным параметром является результирующий поведению. Например, если отключить перенаправление WebAuthn на узле сеансов с Microsoft Intune или групповая политика, но включить его с помощью свойства RDP пула узлов, перенаправление будет отключено.

Конфигурация облачного компьютера управляет возможностью перенаправления запросов WebAuthn между удаленным сеансом и локальным устройством и настраивается с помощью Microsoft Intune или групповая политика.

Конфигурация по умолчанию:

• Операционная система Windows: запросы WebAuthn не блокируются. Windows 365 включает перенаправление WebAuthn.

Конфигурация поля разработки управляет возможностью перенаправления запросов WebAuthn между удаленным сеансом и локальным устройством и задается с помощью Microsoft Intune или групповая политика.

Конфигурация по умолчанию:

• Операционная система Windows: запросы WebAuthn не блокируются. Windows 365 включает перенаправление WebAuthn.

Настройка перенаправления WebAuthn с помощью свойств RDP пула узлов

Параметр перенаправления WebAuthn пула узлов Виртуального рабочего стола Azure определяет, следует ли перенаправлять запросы WebAuthn между удаленным сеансом и локальным устройством. Соответствующее свойство RDP имеет значение redirectwebauthn:i:<value>. Дополнительные сведения см. в разделе Поддерживаемые свойства RDP.

Чтобы настроить перенаправление WebAuthn с помощью свойств RDP пула узлов, выполните следующие действия:

1. Войдите на портал Azure.

2. В строке поиска введите Виртуальный рабочий стол Azure и выберите соответствующую запись службы.

3. Выберите Пулы узлов, а затем выберите пул узлов, который требуется настроить.

4. Выберите Свойства RDP, а затем — Перенаправление устройств.

   

5. Для перенаправления WebAuthn выберите раскрывающийся список, а затем выберите один из следующих вариантов:

   • Запросы WebAuthn в удаленном сеансе не перенаправляются на локальный компьютер
   • Запросы WebAuthn в удаленном сеансе перенаправляются на локальный компьютер (по умолчанию)
   • Не настроено

6. Выберите Сохранить.

7. Чтобы протестировать конфигурацию, выполните действия, описанные в статье Тестирование перенаправления WebAuthn.

Настройка перенаправления WebAuthn с помощью Microsoft Intune или групповая политика

Настройка перенаправления WebAuthn с помощью Microsoft Intune или групповая политика

Выберите соответствующую вкладку для своего сценария.

Microsoft Intune

Чтобы разрешить или отключить перенаправление WebAuthn с помощью Microsoft Intune:

1. Войдите в Центр администрирования Microsoft Intune.

2. Создайте или измените профиль конфигурации для устройств Windows 10 и более поздних версий с типом профиля каталога параметров.

3. В окне выбора параметров перейдите в раздел Административные шаблоны>Компоненты Удаленных рабочих>столов Службы удаленных рабочих>столов Узел> удаленных рабочих столовУстройство и перенаправление ресурсов.

   

4. Установите флажок Не разрешать перенаправление WebAuthn, а затем закройте средство выбора параметров.

5. Разверните категорию Административные шаблоны , а затем переключите параметр Не разрешать перенаправление WebAuthn в положение Включено или Отключено в зависимости от ваших требований:

   • Чтобы разрешить перенаправление WebAuthn, переключите переключатель в положение Отключено.

   • Чтобы отключить перенаправление WebAuthn, установите переключатель в положение Включено.

6. Нажмите кнопку Далее.

7. Необязательно. На вкладке Теги области выберите тег область, чтобы отфильтровать профиль. Дополнительные сведения о тегах областей см. в статье Использование управления доступом на основе ролей (RBAC) и тегов области для распределенных ИТ.

8. На вкладке Назначения выберите группу, содержащую компьютеры, предоставляющие удаленный сеанс, который требуется настроить, а затем нажмите кнопку Далее.

9. На вкладке Просмотр и создание просмотрите параметры, а затем выберите Создать.

10. После применения политики к компьютерам, предоставляющим удаленный сеанс, перезапустите их, чтобы параметры вступили в силу.

Групповая политика

Чтобы разрешить или отключить перенаправление WebAuthn с помощью групповая политика:

1. Откройте консоль управления групповая политика на устройстве, используемом для управления доменом Active Directory.

2. Создайте или измените политику, предназначенную для компьютеров, предоставляющих удаленный сеанс, который требуется настроить.

3. Перейдите в разделПолитики>конфигурации> компьютераАдминистративные шаблоны>Компоненты>Windows Службы удаленных рабочих столов> Узел >сеансов удаленных рабочих столови перенаправление ресурсов.

   

4. Дважды щелкните параметр политики Запретить перенаправление WebAuthn , чтобы открыть его.

   • Чтобы разрешить перенаправление WebAuthn, выберите Отключено или Не настроено, а затем нажмите кнопку ОК.

   • Чтобы отключить перенаправление WebAuthn, выберите Включено, а затем нажмите кнопку ОК.

5. Убедитесь, что политика применяется к компьютерам, предоставляющим удаленный сеанс, а затем перезапустите их, чтобы параметры вступили в силу.

Тестирование перенаправления WebAuthn

После включения перенаправления WebAuthn выполните следующие действия:

1. Если вы используете USB-ключ безопасности, сначала убедитесь, что он подключен.

2. Подключитесь к удаленному сеансу с помощью приложения Windows или приложения удаленного рабочего стола на платформе, поддерживающей перенаправление WebAuthn. Дополнительные сведения см. в разделах Сравнение функций Windows App на разных платформах и устройствах иСравнение функций приложений удаленного рабочего стола на разных платформах и устройствах.

3. В удаленном сеансе откройте веб-сайт в окне InPrivate, который использует проверку подлинности WebAuthn, например Windows App для веб-браузеров по адресу https://windows.cloud.microsoft/.

4. Выполните процесс входа. Когда проверка подлинности использует Windows Hello для бизнеса или ключ безопасности, вы увидите Безопасность Windows запрос на выполнение проверки подлинности, как показано на следующем рисунке при использовании локального устройства Windows.

   Запрос Безопасность Windows находится на локальном устройстве и накладывает удаленный сеанс, указывая, что перенаправление WebAuthn работает.

   

Связанные материалы

• Перенаправление по протоколу удаленного рабочего стола.
• Поддерживаемые свойства RDP.
• Сравнение Windows App функций на разных платформах и устройствах.
• Сравнение функций приложения удаленного рабочего стола на разных платформах и устройствах.