Настройка параметров перенаправления клиентских устройств для приложения Windows и приложения удаленного рабочего стола с помощью Microsoft Intune

Внимание

Настройка параметров перенаправления для приложения Windows и приложения удаленного рабочего стола с помощью Microsoft Intune в настоящее время доступна в предварительной версии. Юридические условия, применимые к функциям Azure, которые находятся в состоянии бета-версии, предварительной версии или иным образом еще не выпущены в общедоступной версии, см. на странице Дополнительные условия использования предварительных версий в Microsoft Azure.

Совет

В этой статье содержатся сведения о нескольких продуктах, использующих протокол удаленного рабочего стола (RDP) для обеспечения удаленного доступа к рабочим столам и приложениям Windows.

Перенаправление ресурсов и периферийных устройств с локального устройства пользователя на удаленный сеанс из виртуального рабочего стола Azure или Windows 365 с помощью протокола удаленного рабочего стола (RDP), например буфер обмена, камеры и звука, обычно регулируется центральной конфигурацией пула узлов и его узлами сеансов. Перенаправление клиентских устройств настроено для приложения Windows и приложения удаленного рабочего стола с помощью сочетания политик конфигурации приложений Microsoft Intune, политик защиты приложений и условного доступа Microsoft Entra на локальном устройстве пользователя.

Эти функции позволяют достичь следующих сценариев:

• Примените параметры перенаправления на более детальном уровне в зависимости от заданных критериев. Например, может потребоваться иметь разные параметры в зависимости от того, в какой группе безопасности находится пользователь, операционная система устройства, которое они используют, или если пользователи используют как корпоративные, так и личные устройства для доступа к удаленному сеансу.

• Предоставьте дополнительный уровень защиты от неправильно настроенного перенаправления в пуле узлов или узле сеансов.

• Примените дополнительные параметры безопасности к приложению Windows и приложению удаленного рабочего стола, например, требовать ПИН-код, блокировать сторонние клавиатуры и ограничивать операции вырезания, копирования и вставки между другими приложениями на клиентском устройстве.

Если параметры перенаправления на клиентском устройстве конфликтуют со свойствами RDP пула узлов и узлом сеанса для виртуального рабочего стола Azure или облачного компьютера для Windows 365, тем более строгим параметром между этими двумя вступает в силу. Например, если узел сеанса запрещает перенаправление дисков и клиентское устройство, разрешающее перенаправление дисков, перенаправление диска запрещено. Если параметры перенаправления на узле сеанса и клиентском устройстве одинаковы, поведение перенаправления согласовано.

Внимание

Настройка параметров перенаправления на клиентском устройстве не является заменой правильной настройки пулов узлов и узлов сеансов на основе ваших требований. Использование Microsoft Intune для настройки приложения Windows и приложения удаленного рабочего стола может не подходить для рабочих нагрузок, требующих более высокого уровня безопасности.

Рабочие нагрузки с более высокими требованиями к безопасности должны продолжать устанавливать перенаправление в пуле узлов или узле сеансов, где все пользователи пула узлов будут иметь ту же конфигурацию перенаправления. Рекомендуется решение защиты от потери данных (DLP), а перенаправление должно быть отключено на узлах сеансов, когда это возможно, чтобы минимизировать возможности потери данных.

На высоком уровне существует три области настройки:

• Политики конфигурации приложений Intune: используется для управления параметрами перенаправления для приложения Windows и приложения удаленного рабочего стола на клиентском устройстве. Существует два типа политик конфигурации приложений; Политика управляемых приложений используется для управления параметрами приложения, зарегистрированным или незарегистрируемым клиентским устройством, а политика управляемых устройств используется в дополнение к управлению параметрами зарегистрированного устройства. Используйте фильтры для целевых пользователей на основе определенных критериев.

• Политики защиты приложений Intune: используются для указания требований безопасности, которые должны соответствовать приложению и клиентскому устройству. Используйте фильтры для целевых пользователей на основе определенных критериев.

• Политики условного доступа: используется для управления доступом к виртуальному рабочему столу Azure и Windows 365, только если выполнены критерии, заданные в политиках конфигурации приложений и политиках защиты приложений.

Поддерживаемые платформы и типы регистрации

В следующей таблице показано, какое приложение можно управлять на основе платформы устройства и типа регистрации:

Для приложения Windows:

Платформа устройства	Управляемые устройства	Неуправляемые устройства
iOS и iPadOS

Для приложения удаленного рабочего стола:

Платформа устройства	Управляемые устройства	Неуправляемые устройства
iOS и iPadOS
Android

Пример сценариев

Значения, указанные в фильтрах и политиках, зависят от ваших требований, поэтому необходимо определить, что лучше всего подходит для вашей организации. Ниже приведены некоторые примеры сценариев, которые необходимо настроить для их достижения.

Сценарий 1

Пользователи в группе допускают перенаправление дисков при подключении с корпоративного устройства Windows, но перенаправление дисков запрещено на корпоративном устройстве iOS/iPadOS или Android. Чтобы достичь этого сценария, выполните указанные ниже действия.

1. Убедитесь, что узлы сеансов или облачные компьютеры и параметры пулов узлов настроены для разрешения перенаправления дисков.

2. Создайте фильтр устройств для управляемых приложений для iOS и iPadOS, а также отдельный фильтр для Android.

3. Только для iOS и iPadOS создайте политику конфигурации приложений для управляемых устройств.

4. Создайте политику конфигурации приложений для управляемых приложений с отключенным перенаправлением диска. Вы можете создать отдельную политику для iOS/iPadOS и Android или создать отдельную политику для iOS/iPadOS и Android.

5. Создайте две политики защиты приложений, одну для iOS/iPadOS и одну для Android.

Сценарий 2

Пользователи группы с устройством Android с последней версией Android разрешены перенаправление дисков, но те же пользователи, на которых устройство работает с более старой версией Android, запрещены перенаправление дисков. Чтобы достичь этого сценария, выполните указанные ниже действия.

1. Убедитесь, что узлы сеансов или облачные компьютеры и параметры пулов узлов настроены для разрешения перенаправления дисков.

2. Создайте два фильтра устройств:

   1. Фильтр устройств для управляемых приложений для Android, где версия версии установлена в качестве последней версии Android.

   2. Фильтр устройств для управляемых приложений для Android, где версия версии имеет номер версии старше последней версии Android.

3. Создайте две политики конфигурации приложений:

   1. Политика конфигурации приложений для управляемых приложений с включенным перенаправлением дисков. Назначьте ему одну или несколько групп с фильтром для последнего номера версии Android.

   2. Политика конфигурации приложений для управляемых приложений с отключенным перенаправлением диска. Назначьте ему одну или несколько групп с фильтром для более старой версии Android.

4. Создайте политику защиты приложений, объединенную для iOS/iPadOS и Android.

Сценарий 3

Пользователи в группе с неуправляемым устройством iOS/iPadOS для подключения к удаленному сеансу разрешены перенаправление буфера обмена, но те же пользователи, использующие неуправляемое устройство Android, запрещены перенаправление буфера обмена. Чтобы достичь этого сценария, выполните указанные ниже действия.

1. Убедитесь, что узлы сеансов или облачные компьютеры и параметры пулов узлов настроены для разрешения перенаправления буфера обмена.

2. Создайте два фильтра устройств:

   1. Фильтр устройств для управляемых приложений для iOS и iPadOS, где тип управления устройства неуправляем.

   2. Фильтр устройств для управляемых приложений для Android, где тип управления устройствами неуправляем.

3. Создайте две политики конфигурации приложений:

   1. Политика конфигурации приложений для управляемых приложений с включенной перенаправлением буфера обмена. Назначьте ему одну или несколько групп с фильтром для неуправляемых устройств iOS или iPadOS.

   2. Политика конфигурации приложений для управляемых приложений с отключенным перенаправлением буфера обмена. Назначьте ему одну или несколько групп фильтром для неуправляемых устройств Android.

4. Создайте политику защиты приложений, объединенную для iOS/iPadOS и Android.

Рекомендуемые параметры политики

Ниже приведены некоторые рекомендуемые параметры политики, которые следует использовать с Intune и условным доступом. Параметры, которые вы используете, должны быть основаны на ваших требованиях.

• Intune:

  • Отключите все перенаправления на личных устройствах.
  • Требовать доступ к ПИН-коду приложения.
  • Блокировать сторонние клавиатуры.
  • Укажите минимальную версию операционной системы устройства.
  • Укажите минимальный номер версии приложения Windows и (или) удаленного рабочего стола.
  • Блокировать устройства с доступом в тюрьму или корневые устройства.
  • Требовать решение для защиты от угроз мобильных устройств (MTD) без обнаруженных угроз.

• Условный доступ:

  • Блокировать доступ, если не заданы критерии в политиках управления мобильными приложениями Intune.
  • Предоставление доступа, требующее одного или нескольких следующих параметров:
    • Требовать многофакторную проверку подлинности.
    • Требовать политику защиты приложений Intune.

Необходимые компоненты

Прежде чем настроить параметры перенаправления на клиентском устройстве с помощью Microsoft Intune и условного доступа, вам потребуется:

• Существующий пул узлов с узлами сеансов или облачными компьютерами.

• По крайней мере одна группа безопасности, содержащая пользователей для применения политик.

• Чтобы использовать приложение удаленного рабочего стола с зарегистрированными устройствами на iOS и iPadOS, необходимо добавить каждое приложение в Intune из App Store. Дополнительные сведения см. в статье "Добавление приложений магазина iOS в Microsoft Intune".

• Клиентское устройство с одной из следующих версий приложения Windows или приложения удаленного рабочего стола:

  • Для приложения Windows:

    • iOS и iPadOS: 10.5.2 или более поздней версии.

  • Приложение удаленного рабочего стола:

    • iOS и iPadOS: 10.5.8 или более поздней версии.
    • Android: 10.0.19.1279 или более поздней версии.

• Существуют дополнительные предварительные требования Для настройки политик конфигурации приложений, политик защиты приложений и политик условного доступа. Дополнительные сведения см. в разделе:

  • Политики конфигурации приложений для Microsoft Intune.
  • Создание и назначение политик защиты приложений.
  • Используйте политики условного доступа на основе приложений с Intune.

Создание фильтра управляемого приложения

Создавая фильтр управляемых приложений, можно применять параметры перенаправления только при сопоставлении условий, заданных в фильтре, что позволяет сузить область назначения политики. Если фильтр не настроен, параметры перенаправления применяются ко всем пользователям. То, что вы указываете в фильтре, зависит от ваших требований.

Дополнительные сведения о фильтрах и их создании см. в разделе "Использование фильтров" при назначении приложений, политик и профилей в свойствах фильтра приложений Microsoft Intune и управляемых приложений.

Создание политики конфигурации приложения для управляемых устройств

Для устройств iOS и iPadOS, зарегистрированных только, необходимо создать политику конфигурации приложений для управляемых устройств для приложения удаленного рабочего стола.

Чтобы создать и применить политику конфигурации приложений для управляемых устройств, выполните действия, описанные в разделе "Добавление политик конфигурации приложений для управляемых устройств iOS/iPadOS" и используйте следующие параметры:

• На вкладке "Основные сведения" для целевого приложения выберите мобильное приложение удаленного рабочего стола из списка. Необходимо добавить приложение в Intune из App Store, чтобы он отображался в этом списке.

• На вкладке "Параметры" в раскрывающемся списке "Параметры конфигурации" выберите "Использовать конструктор конфигураций", а затем введите следующие параметры, как показано ниже:

  Ключ конфигурации	Тип значения	Параметр конфигурации
  IntuneMAMUPN	Строка	{{userprincipalname}}
  IntuneMAMOID	Строка	{{userid}}
  IntuneMAMDeviceID	Строка	{{deviceID}}

• На вкладке "Назначения" назначьте политику группе безопасности, содержащей пользователей для применения политики. Чтобы применить политику к группе пользователей, необходимо применить ее к политике. Для каждой группы можно выбрать фильтр, который будет более конкретным в целевой политике конфигурации приложения.

Создание политики конфигурации приложений для управляемых приложений

Необходимо создать политику конфигурации приложений для управляемых приложений для приложений Windows и приложения удаленного рабочего стола, что позволяет предоставлять параметры конфигурации.

Чтобы создать и применить политику конфигурации приложений для управляемых приложений, выполните действия, описанные в политиках конфигурации приложений для управляемых приложений Intune, и используйте следующие параметры:

• На вкладке "Основные сведения" выполните указанные ниже действия в зависимости от того, нацеливаетесь ли вы на приложение Windows или приложение удаленного рабочего стола.

  • Для приложения Windows выберите "Выбрать пользовательские приложения", а затем для идентификатора пакета или пакета, введите com.microsoft.rdc.apple и для платформы выберите iOS/iPadOS.

  • Для приложения удаленного рабочего стола выберите " Выбрать общедоступные приложения", а затем найдите и выберите удаленный рабочий стол для каждой платформы, которую вы хотите нацелить.

• На вкладке "Параметры" разверните общие параметры конфигурации, а затем введите следующие пары имен и значений для каждого параметра перенаправления, который вы хотите настроить точно так же, как показано ниже. Эти значения соответствуют свойствам RDP, перечисленным в поддерживаемых свойствах RDP, но синтаксис отличается:

  Имя	Описание	Значение
  audiocapturemode	Указывает, включено ли перенаправление ввода звука.	0: звукозапись с локального устройства отключена. 1: запись звука с локального устройства и перенаправление в звуковое приложение в удаленном сеансе включена.
  camerastoredirect	Определяет, включена ли перенаправление камеры.	0: перенаправление камеры отключено. 1: включена перенаправление камеры.
  drivestoredirect	Определяет, включена ли перенаправление диска.	0: перенаправление диска отключено. 1: включен перенаправление диска.
  redirectclipboard	Определяет, включено ли перенаправление буфера обмена.	0: перенаправление буфера обмена на локальном устройстве отключено в удаленном сеансе. 1: перенаправление буфера обмена на локальном устройстве включено в удаленном сеансе.

  Ниже приведен пример того, как должны выглядеть параметры:

  

• На вкладке "Назначения" назначьте политику группе безопасности, содержащей пользователей для применения политики. Чтобы применить политику к группе пользователей, необходимо применить ее к политике. Для каждой группы можно выбрать фильтр, который будет более конкретным в целевой политике конфигурации приложения.

Создание политики защиты приложений

Необходимо создать политику защиты приложений для приложения Windows и приложения удаленного рабочего стола, которая позволяет управлять доступом к данным и совместно использовать приложения на мобильных устройствах.

Чтобы создать и применить политику защиты приложений, выполните действия, описанные в разделе "Создание и назначение политик защиты приложений" и использование следующих параметров. Необходимо создать политику защиты приложений для каждой платформы, которую вы хотите нацелить.

• На вкладке "Приложения" выполните указанные ниже действия в зависимости от того, предназначен ли вы для приложения Windows или приложения удаленного рабочего стола.

  • Для приложения Windows в iOS/iPadOS выберите "Выбрать пользовательские приложения", а затем для идентификатора пакета или пакета введите com.microsoft.rdc.apple.

  • Для приложения удаленного рабочего стола выберите " Выбрать общедоступные приложения", а затем найдите и выберите удаленный рабочий стол.

• На вкладке "Защита данных" только следующие параметры относятся к приложению Windows и приложению удаленного рабочего стола. Другие параметры не применяются в качестве приложения Windows и приложения удаленного рабочего стола взаимодействуют с узлом сеанса, а не с данными в приложении. На мобильных устройствах неутвержденные клавиатуры являются источником ведения журнала нажатия клавиш и кражи.

  • Для iOS и iPadOS можно настроить следующие параметры:

    • Ограничение сокращения, копирования и вставки между другими приложениями
    • Сторонние клавиатуры

  • Для Android можно настроить следующие параметры:

    • Ограничение сокращения, копирования и вставки между другими приложениями
    • Снимок экрана и Google Assistant
    • Утвержденные клавиатуры

  Совет

  Если вы отключите перенаправление буфера обмена в политике конфигурации приложений, следует задать ограничение вырезания, копирования и вставки между другими приложениями в значение "Заблокировано".

• На вкладке условного запуска рекомендуется добавить следующие условия:

  Condition	Тип условия	Значение	Действие
  Минимальная версия приложения	Условие приложения	На основе ваших требований.	Заблокировать доступ
  Минимальная версия ОС	Условие устройства	На основе ваших требований.	Заблокировать доступ
  Основная служба MTD	Условие устройства	На основе ваших требований. Необходимо настроить соединитель MTD. Для Microsoft Defender для конечной точки настройте Microsoft Defender для конечной точки в Intune.	Заблокировать доступ
  Максимальный допустимый уровень угроз устройства	Условие устройства	Безопасность	Заблокировать доступ

  Дополнительные сведения о версии см. в статье "Новые возможности в приложении Windows", "Новые возможности" в клиенте удаленного рабочего стола для iOS и iPadOS, а также новые возможности клиента удаленного рабочего стола для Android и Chrome OS.

  Дополнительные сведения о доступных параметрах см. в разделе "Условный запуск" в параметрах политики защиты приложений iOS и условном запуске в параметрах политики защиты приложений Android.

• На вкладке "Назначения" назначьте политику группе безопасности, содержащей пользователей для применения политики. Чтобы применить политику к группе пользователей, необходимо применить ее к политике. Для каждой группы можно выбрать фильтр, который будет более конкретным в целевой политике конфигурации приложения.

Создание политики условного доступа

Создание политики условного доступа позволяет ограничить доступ к удаленному сеансу только в том случае, если политика защиты приложений применяется с приложением Windows и приложением удаленного рабочего стола. При создании второй политики условного доступа можно также заблокировать доступ с помощью веб-браузера.

Чтобы создать и применить политику условного доступа, выполните действия, описанные в разделе "Настройка политик условного доступа на основе приложений с помощью Intune". В следующих параметрах приведен пример, но их следует настроить на основе ваших требований:

1. Для первой политики предоставления доступа к удаленному сеансу только в том случае, если политика защиты приложений применяется с приложением Windows и приложением удаленного рабочего стола:

   • Для назначений включите группу безопасности, к ней относятся пользователи, к которых применяется политика. Чтобы применить политику к группе пользователей, необходимо применить ее к политике.

   • Для целевых ресурсов выберите применить политику к облачным приложениям, а затем для параметра "Включить" выберите "Выбрать приложения". Найдите и выберите Виртуальный рабочий стол Azure и Windows 365. В списке есть только виртуальный рабочий стол Azure, если вы зарегистрировали Microsoft.DesktopVirtualization поставщика ресурсов в подписке в клиенте Microsoft Entra.

   • Для условий:

     • Выберите платформы устройств, а затем включите iOS и Android.
     • Выберите клиентские приложения, а затем включите мобильные приложения и классические клиенты.

   • Для элементов управления доступом выберите "Предоставить доступ", а затем установите флажок "Требовать политику защиты приложений" и нажмите переключатель для "Требовать все выбранные элементы управления".

   • Чтобы включить политику, установите для нее значение "Вкл.".

2. Для второй политики блокировка доступа к удаленному сеансу с помощью веб-браузера:

   • Для назначений включите группу безопасности, к ней относятся пользователи, к которых применяется политика. Чтобы применить политику к группе пользователей, необходимо применить ее к политике.

   • Для целевых ресурсов выберите применить политику к облачным приложениям, а затем для параметра "Включить" выберите "Выбрать приложения". Найдите и выберите Виртуальный рабочий стол Azure и Windows 365. В списке есть только виртуальный рабочий стол Azure, если вы зарегистрировали Microsoft.DesktopVirtualization поставщика ресурсов в подписке в клиенте Microsoft Entra. Облачное приложение для Windows 365 также охватывает Microsoft Dev Box.

   • Для условий:

     • Выберите платформы устройств, а затем включите iOS и Android.
     • Выберите клиентские приложения, а затем включите браузер.

   • Для элементов управления доступом выберите "Блокировать доступ", а затем нажмите переключатель для "Требовать все выбранные элементы управления".

   • Чтобы включить политику, установите для нее значение "Вкл.".

Проверить конфигурацию

После настройки Intune для управления перенаправлением устройств на личных устройствах можно проверить конфигурацию, подключившись к удаленному сеансу. Что необходимо проверить, зависит от того, применяются ли настроенные политики к зарегистрированным или незарегистрированных устройствам, которые платформы, а также заданные параметры перенаправления и защиты данных. Убедитесь, что вы можете выполнять только те действия, которые можно выполнить в соответствии с ожидаемыми действиями.

Известные проблемы

Настройка параметров перенаправления для приложения Windows и приложения удаленного рабочего стола на клиентском устройстве с помощью Microsoft Intune имеет следующее ограничение:

• При настройке перенаправления клиентских устройств для приложения удаленного рабочего стола в iOS и iPadOS запросы многофакторной проверки подлинности (MFA) могут зависать в цикле. Распространенный сценарий этой проблемы возникает, когда приложение удаленного рабочего стола запускается на зарегистрированном iPhone Intune, а тот же iPhone используется для получения запросов MFA из приложения Microsoft Authenticator при входе в приложение удаленного рабочего стола. Чтобы обойти эту проблему, используйте приложение удаленного рабочего стола на другом устройстве, используемом для получения запросов MFA, таких как iPad. Эта проблема не возникает с приложением Windows.