Управление параметрами перенаправления приложений Windows с помощью Microsoft Intune

Вы можете управлять тем, будут ли локальные ресурсы, такие как камеры, микрофоны, хранилище и буфер обмена перенаправлены в удаленный сеанс из Виртуального рабочего стола Azure, Windows 365 и Microsoft Dev Box. Прежде чем это сделать, требование соответствия безопасности локального устройства является обязательным условием для управления параметрами перенаправления локальных устройств. Дополнительные сведения см. в статье Требование обеспечения безопасности локального клиентского устройства с помощью Microsoft Intune и условного доступа Microsoft Entra.

На высоком уровне вы управляете параметрами перенаправления для приложения Windows на клиентском устройстве с помощью политик конфигурации приложений Intune. Эти политики работают вместе с политиками защиты приложений Intune и политиками условного доступа , которые уже были настроены при необходимости соответствия безопасности локального клиентского устройства. Фильтры можно использовать для целевых пользователей и устройств на основе определенных критериев.

В сочетании с требованием соответствия безопасности локального устройства можно достичь следующих сценариев:

  • Примените параметры перенаправления на более детальном уровне в зависимости от заданных критериев. Например, может потребоваться иметь разные параметры в зависимости от того, в какой группе безопасности находится пользователь, операционная система устройства, которое они используют, или если пользователи используют как корпоративные, так и личные устройства для доступа к удаленному сеансу.

  • Предоставьте дополнительный уровень защиты от неправильно настроенного перенаправления в пуле узлов или узле сеансов.

  • Примените дополнительные параметры безопасности к приложению Windows и приложению удаленного рабочего стола, например, требовать ПИН-код, блокировать сторонние клавиатуры и ограничивать операции вырезания, копирования и вставки между другими приложениями на клиентском устройстве.

Если параметры перенаправления на клиентском устройстве конфликтуют со свойствами RDP пула узлов и узлом сеанса для виртуального рабочего стола Azure или облачного компьютера для Windows 365, тем более строгим параметром между этими двумя вступает в силу. Например, если узел сеанса запрещает перенаправление дисков и клиентское устройство, разрешающее перенаправление дисков, перенаправление диска запрещено. Если параметры перенаправления на узле сеанса и клиентском устройстве одинаковы, поведение перенаправления согласовано.

Это важно

Настройка параметров перенаправления на клиентском устройстве не является заменой правильной настройки пулов узлов и узлов сеансов на основе ваших требований. Использование Microsoft Intune для настройки приложения Windows и приложения удаленного рабочего стола может не подходить для рабочих нагрузок, требующих более высокого уровня безопасности.

Рабочие нагрузки с более высокими требованиями к безопасности должны продолжать устанавливать перенаправление в пуле узлов или узле сеансов, где все пользователи пула узлов будут иметь ту же конфигурацию перенаправления. Рекомендуется решение защиты от потери данных (DLP), а перенаправление должно быть отключено на узлах сеансов, когда это возможно, чтобы минимизировать возможности потери данных.

Пример сценария

Ниже приведен пример сценария, в котором пользователям в группе разрешено перенаправление дисков при подключении с корпоративного устройства Windows, но перенаправление дисков запрещено на корпоративном устройстве iOS или iPadOS или Android.

Значения, указанные в фильтрах и политиках, зависят от ваших требований, поэтому необходимо определить, что лучше всего подходит для вашей организации.

Чтобы достичь этого сценария, выполните указанные ниже действия.

  1. Убедитесь, что параметры узлов сеансов и пулов узлов, а также облачные ПК или среды для разработки настроены для разрешения перенаправления дисков.

  2. Создайте два фильтра:

    1. Один из управляемых приложений для управляемых устройств iOS/iPadOS.
    2. Одно управляемое приложение для управляемых устройств Android.

  3. Создайте две политики защиты приложений, одну для iOS/iPadOS и одну для Android.

  4. Создайте три политики конфигурации приложения:

    1. iOS/iPadOS:
      1. Одна политика управляемых устройств для идентификации зарегистрированной учетной записи пользователя и идентификатора устройства.
      2. Одна политика управляемых приложений с отключенным перенаправлением диска. Назначьте фильтр для iOS/iPadOS, созданного на шаге 2.
    2. Android: один для управляемых приложений для устройств Android с отключенным перенаправлением дисков. Назначьте фильтр для Android, созданный на шаге 2.

Предпосылки

Прежде чем настроить параметры перенаправления на локальном клиентском устройстве с помощью Intune и условного доступа, вам потребуется:

Создание политики конфигурации приложений для управляемых устройств iOS/iPadOS

Для устройств iOS/iPadOS, управляемых только, необходимо создать политику конфигурации приложений для управляемых устройств для приложения Windows. Этот шаг не нужен для Android.

Это важно

Для iOS/iPadOS для применения типа управления устройствами к управляемым устройствам Intune требуются дополнительные параметры конфигурации приложения. Дополнительные сведения см. в разделе "Типы управления устройствами".

Начиная с сентябрьского выпуска службы Intune (2409), значения конфигурации приложений IntuneMAMUPN, IntuneMAMOID и IntuneMAMDeviceID автоматически отправляются в управляемые приложения на устройствах iOS/iPadOS для определенных приложений, включая Windows App.

Чтобы создать и применить политику конфигурации приложений для управляемых устройств, выполните действия, описанные в разделе "Добавление политик конфигурации приложений для управляемых устройств iOS/iPadOS" и используйте следующие параметры:

  • На вкладке "Основные сведения" для целевого приложения выберите Windows App Mobile из списка. Необходимо добавить приложение в Intune из App Store , чтобы он отображался в этом списке.

  • На вкладке "Параметры" в раскрывающемся списке "Параметры конфигурации" выберите "Использовать конструктор конфигураций", а затем введите следующие параметры, как показано ниже:

    Ключ конфигурации Тип значения Параметр конфигурации
    IntuneMAMUPN Струна {{userprincipalname}}
    IntuneMAMOID Струна {{userid}}
    IntuneMAMDeviceID Струна {{deviceID}}

  • На вкладке "Назначения" назначьте политику группе безопасности, содержащей пользователей для применения политики. Чтобы политика вступила в силу, необходимо применить политику к группе пользователей. Для каждой группы можно выбрать фильтр, который будет более конкретным в целевой политике конфигурации приложения.

Создание политики конфигурации приложений для управляемых приложений

Мы рекомендуем создать отдельную политику конфигурации приложений для управляемых приложений для iOS/iPadOS и Android, так как возможности политики конфигурации приложений могут меняться со временем между платформами.

При необходимости создайте дополнительные политики конфигурации приложений, если требования к перенаправлению устройств отличаются между группами пользователей. Например, блокировать перенаправление дисков для пользователей из Финансового отдела и блокировать перенаправление дисков и буфера обмена для пользователей из отдела Маркетинга.

Чтобы создать и применить политику конфигурации приложений для управляемых приложений, выполните действия, описанные в политиках конфигурации приложений для управляемых приложений Intune, и используйте следующие параметры:

  • На вкладке "Основные сведения" выберите "Выбрать общедоступные приложения", найдите и выберите приложение Windows, а затем нажмите кнопку "Выбрать". Только для Android, если приложение Windows еще не отображается, введите вместо него удаленный рабочий стол . Это связано с временем развертывания Intune. Оба приложения используют один и тот же идентификатор com.microsoft.rdc.androidxпакета, поэтому политики конфигурации приложений применяются к обоим приложениям независимо от имени приложения, которое вы видите в консоли Intune.

  • На вкладке "Параметры" разверните общие параметры конфигурации, а затем введите следующие пары имен и значений для каждого параметра перенаправления, который вы хотите настроить точно так же, как показано ниже. Эти значения соответствуют свойствам RDP, перечисленным в поддерживаемых свойствах RDP, но синтаксис отличается:

    Имя Описание Ценность
    audiocapturemode Указывает, включено ли перенаправление ввода звука. 0: звукозапись с локального устройства отключена.

    1: запись звука с локального устройства и перенаправление в звуковое приложение в удаленном сеансе включена.
    camerastoredirect Определяет, включена ли перенаправление камеры. 0: перенаправление камеры отключено.

    1: включено перенаправление камеры
    drivestoredirect Определяет, включено ли перенаправление дисковода. 0: перенаправление диска отключено.

    1: включен перенаправление диска.
    redirectclipboard Определяет, включено ли перенаправление буфера обмена. 0: перенаправление буфера обмена на локальном устройстве отключено в удаленном сеансе.

    1: перенаправление буфера обмена на локальном устройстве включено в удаленном сеансе.

    Ниже приведен пример того, как должны выглядеть параметры:

    Снимок экрана: пары

  • На вкладке "Назначения" назначьте политику группе безопасности, содержащей пользователей для применения политики. Чтобы политика вступила в силу, необходимо применить политику к группе пользователей. Для каждой группы можно выбрать фильтр, который будет более конкретным в целевой политике конфигурации приложения.

Проверка конфигурации

Теперь, когда вы настроили Intune и условный доступ для управления перенаправлением устройств для приложения Windows, убедитесь, что конфигурация перенаправления работает должным образом, подключившись к удаленному сеансу. Необходимо проверить как управляемое, так и неуправляемое устройство для каждой платформы в зависимости от настроенных политик.

  • Last updated on