Настройка перенаправления смарт-карт по протоколу удаленного рабочего стола

Совет

Эта статья предоставляется для служб и продуктов, использующих протокол удаленного рабочего стола (RDP) для обеспечения удаленного доступа к рабочим столам и приложениям Windows.

Выберите продукт с помощью кнопок в верхней части этой статьи, чтобы отобразить соответствующее содержимое.

Вы можете настроить поведение перенаправления устройств смарт-карт с локального устройства на удаленный сеанс по протоколу удаленного рабочего стола (RDP).

Для виртуального рабочего стола Azure рекомендуется включить перенаправление смарт-карт на узлах сеансов с помощью Microsoft Intune или групповой политики, а затем управлять перенаправлением с помощью свойств RDP пула узлов.

Для Windows 365 можно настроить облачные компьютеры с помощью Microsoft Intune или групповой политики.

Для Microsoft Dev Box можно настроить поля разработки с помощью Microsoft Intune или групповой политики.

В этой статье содержатся сведения о поддерживаемых методах перенаправления и настройке поведения перенаправления для устройств смарт-карт. Дополнительные сведения о том, как работает перенаправление, см. в статье "Перенаправление по протоколу удаленного рабочего стола".

Необходимые компоненты

Прежде чем настроить перенаправление смарт-карт, вам потребуется:

• Существующий пул узлов с узлами сеансов.

• Учетная запись идентификатора Microsoft Entra, назначенная ролью участника пула узлов виртуализации рабочих столов, встроенного в пул узлов на основе ролей (RBAC) в пуле узлов как минимум.

• Существующий облачный компьютер.

• Существующее поле разработки.

• Устройство смарт-карты, доступное на локальном устройстве.

• Чтобы настроить Microsoft Intune, вам потребуется:

  • Учетная запись идентификатора Microsoft Entra, назначенная встроенной роли диспетчера политик и профилей RBAC.
  • Группа, содержащая устройства, которые требуется настроить.

• Чтобы настроить групповую политику, вам потребуется:

  • Учетная запись домена с разрешением на создание или изменение объектов групповой политики.
  • Группа безопасности или подразделение (OU), содержащая устройства, которые требуется настроить.

• Необходимо подключиться к удаленному сеансу из поддерживаемого приложения и платформы. Сведения о поддержке перенаправления в приложении Windows и приложении удаленного рабочего стола см. в статье "Сравнение функций приложений Windows на разных платформах и устройствах" и "Сравнение функций приложения удаленного рабочего стола" на разных платформах и устройствах.

Перенаправление смарт-карт

Настройка узла сеанса с помощью Microsoft Intune или групповой политики или настройка свойства RDP в пуле узлов определяет возможность перенаправления устройств смарт-карты с локального устройства на удаленный сеанс, который имеет приоритет.

Конфигурация по умолчанию:

• Операционная система Windows: перенаправление смарт-карт не блокируется.
• Свойства пула узлов виртуального рабочего стола Azure: устройства смарт-карты перенаправляются с локального устройства на удаленный сеанс.
• Результатом поведения по умолчанию: устройства смарт-карты перенаправляются с локального устройства на удаленный сеанс.

Внимание

При настройке параметров перенаправления следует учитывать, так как наиболее строгий параметр является результативным поведением. Например, если отключить перенаправление смарт-карт на узле сеанса с помощью Microsoft Intune или групповой политики, но включить его с помощью свойства RDP пула узлов, перенаправление отключено.

Настройка облачного компьютера управляет возможностью перенаправления устройств смарт-карты с локального устройства на удаленный сеанс и устанавливается с помощью Microsoft Intune или групповой политики.

Конфигурация по умолчанию:

• Операционная система Windows: перенаправление смарт-карт не блокируется.
• Windows 365: включена перенаправление смарт-карт.
• Результатом поведения по умолчанию: устройства смарт-карты перенаправляются с локального устройства на удаленный сеанс.

Настройка поля разработки управляет возможностью перенаправления устройств смарт-карты с локального устройства на удаленный сеанс и устанавливается с помощью Microsoft Intune или групповой политики.

Конфигурация по умолчанию:

• Операционная система Windows: перенаправление смарт-карт не блокируется.
• Microsoft Dev Box: включена перенаправление смарт-карт.
• Результатом поведения по умолчанию: устройства смарт-карты перенаправляются с локального устройства на удаленный сеанс.

Настройка перенаправления устройств смарт-карты с помощью свойств RDP пула узлов

Пул узлов виртуального рабочего стола Azure определяет , следует ли перенаправлять смарт-карту с локального устройства на удаленный сеанс. Соответствующее свойство RDP имеет значение redirectsmartcards:i:<value>. Дополнительные сведения см. в разделе "Поддерживаемые свойства RDP".

Чтобы настроить перенаправление смарт-карт с помощью свойств RDP пула узлов:

1. Войдите на портал Azure.

2. В строке поиска введите Виртуальный рабочий стол Azure и выберите соответствующую запись службы.

3. Выберите пулы узлов, а затем выберите пул узлов, который требуется настроить.

4. Выберите свойства RDP, а затем выберите перенаправление устройств.

   

5. Для перенаправления смарт-карт выберите раскрывающийся список, а затем выберите один из следующих вариантов:

   • Устройство смарт-карты на локальном компьютере недоступно в удаленном сеансе
   • Устройство смарт-карты на локальном компьютере доступно в удаленном сеансе (по умолчанию)
   • Не настроено

6. Выберите Сохранить.

7. Чтобы проверить конфигурацию, подключитесь к удаленному сеансу, а затем используйте приложение или веб-сайт, требующий смарт-карты. Убедитесь, что смарт-карта доступна и работает должным образом.

Настройка перенаправления устройств смарт-карты с помощью Microsoft Intune или групповой политики

Настройка перенаправления устройств смарт-карты с помощью Microsoft Intune или групповой политики

Выберите соответствующую вкладку для вашего сценария.

Microsoft Intune

Чтобы разрешить или отключить перенаправление устройств смарт-карты с помощью Microsoft Intune:

1. Войдите в Центр администрирования Microsoft Intune.

2. Создайте или измените профиль конфигурации для устройств Windows 10 и более поздних версий с типом профиля каталога параметров.

3. В средство выбора параметров перейдите к административным шаблонам>компонентов Windows Components>Remote Desktop Services>Remote Desktop Host>Device and Resource Redirection.

   

4. Установите флажок "Запретить перенаправление устройств смарт-карты", а затем закройте средство выбора параметров.

5. Разверните категорию административных шаблонов, а затем переключите переключатель для перенаправления устройств смарт-карты в зависимости от ваших требований:

   • Чтобы разрешить перенаправление устройств смарт-карты, переключите переключатель на "Отключено", а затем нажмите кнопку "ОК".

   • Чтобы отключить перенаправление устройства смарт-карты, переключите переключатель на "Включено", а затем нажмите кнопку "ОК".

6. Выберите Далее.

7. Необязательно. На вкладке тегов области выберите тег области для фильтрации профиля. Дополнительные сведения о тегах области см. в разделе "Использование управления доступом на основе ролей" (RBAC) и тегов областей для распределенной ИТ-службы.

8. На вкладке "Назначения" выберите группу, содержащую компьютеры , предоставляющие удаленный сеанс, который требуется настроить, а затем нажмите кнопку "Далее".

9. На вкладке "Просмотр и создание " просмотрите параметры, а затем нажмите кнопку "Создать".

10. После применения политики к компьютерам, предоставляющим удаленный сеанс, перезапустите их, чтобы параметры вступили в силу.

Групповая политика

Чтобы разрешить или отключить перенаправление устройств смарт-карты с помощью групповой политики:

1. Откройте консоль управления групповыми политиками на устройстве, используемом для управления доменом Active Directory.

2. Создайте или измените политику, предназначенную для компьютеров, предоставляющих удаленный сеанс, который требуется настроить.

3. Перейдите к административным шаблонам политик>конфигурации>компьютеров>Windows Components>Remote Desktop Services>Remote Desktop Host>Device and Resource Redirection.

   

4. Дважды щелкните параметр политики Не разрешать перенаправление устройства смарт-карты, чтобы открыть его.

   • Чтобы разрешить перенаправление устройств смарт-карты, нажмите кнопку "Отключено " или "Не настроено", а затем нажмите кнопку "ОК".

   • Чтобы отключить перенаправление устройств смарт-карты, нажмите кнопку "Включено", а затем нажмите кнопку "ОК".

5. Убедитесь, что политика применяется к компьютерам, предоставляющим удаленный сеанс, а затем перезапустите их, чтобы параметры вступили в силу.

Проверка перенаправления смарт-карт

Чтобы проверить перенаправление смарт-карт, выполните приведенные ниже действия.

1. Подключитесь к удаленному сеансу с помощью приложения Окна или приложения удаленного рабочего стола на платформе, поддерживающей перенаправление смарт-карт. Дополнительные сведения см. в статье "Сравнение функций приложений Windows на разных платформах и устройствах " и "Сравнение функций приложения удаленного рабочего стола" на разных платформах и устройствах.

2. Проверьте наличие смарт-карт в удаленном сеансе. Выполните следующую команду в удаленном сеансе в командной строке или из командной строки PowerShell.

   certutil -scinfo
   

   Если перенаправление смарт-карты работает, выходные данные начинаются примерно так:

   The Microsoft Smart Card Resource Manager is running.
   Current reader/card status:
   Readers: 2
     0: Windows Hello for Business 1
     1: Yubico YubiKey OTP+FIDO+CCID 0
   --- Reader: Windows Hello for Business 1
   --- Status: SCARD_STATE_PRESENT | SCARD_STATE_INUSE
   --- Status: The card is being shared by a process.
   ---   Card: Identity Device (Microsoft Generic Profile)
   ---    ATR:
           aa bb cc dd ee ff 00 11  22 33 44 55 66 77 88 99   ;.........AB12..
           ab                                                 .
   
   --- Reader: Yubico YubiKey OTP+FIDO+CCID 0
   --- Status: SCARD_STATE_PRESENT | SCARD_STATE_UNPOWERED
   --- Status: The card is available for use.
   ---   Card: Identity Device (NIST SP 800-73 [PIV])
   ---    ATR:
           aa bb cc dd ee ff 00 11  22 33 44 55 66 77 88 99   ;.........34yz..
           ab                                                 .
   
   [continued...]
   

3. Откройте и используйте приложение или веб-сайт, требующий смарт-карты. Убедитесь, что смарт-карта доступна и работает должным образом.

Связанный контент

• Перенаправление по протоколу удаленного рабочего стола.
• Поддерживаемые свойства RDP.
• Сравнение функций приложений Windows на разных платформах и устройствах.
• Сравнение функций приложения удаленного рабочего стола на разных платформах и устройствах.