Konfigurera WebAuthn-omdirigering via Remote Desktop Protocol

Tips

Den här artikeln delas för tjänster och produkter som använder Remote Desktop Protocol (RDP) för att ge fjärråtkomst till Windows-skrivbord och -appar.

Välj en produkt med hjälp av knapparna överst i den här artikeln för att visa relevant innehåll.

Du kan konfigurera omdirigeringsbeteendet för WebAuthn-begäranden från en fjärrsession till en lokal enhet via Remote Desktop Protocol (RDP). WebAuthn-omdirigering möjliggör lösenordsfri autentisering under sessionen med hjälp av Windows Hello för företag eller säkerhetsenheter som FIDO-nycklar.

För Azure Virtual Desktop rekommenderar vi att du aktiverar WebAuthn-omdirigering på sessionsvärdarna med hjälp av Microsoft Intune eller grupprincip och sedan styr omdirigeringen med hjälp av RDP-egenskaperna för värdpoolen.

För Windows 365 kan du konfigurera dina molndatorer med hjälp av Microsoft Intune eller grupprincip.

För Microsoft Dev Box kan du konfigurera dina utvecklingsrutor med hjälp av Microsoft Intune eller grupprincip.

Den här artikeln innehåller information om de omdirigeringsmetoder som stöds och hur du konfigurerar omdirigeringsbeteendet för WebAuthn-begäranden. Mer information om hur omdirigering fungerar finns i Omdirigering över Remote Desktop Protocol.

Förhandskrav

Innan du kan konfigurera WebAuthn-omdirigering behöver du:

• En befintlig värdpool med sessionsvärdar.

• Ett Microsoft Entra ID konto som har tilldelats rbac-roller (Desktop Virtualization Host Pool Contributor) för rollbaserad åtkomstkontroll på värdpoolen som ett minimum.

• En befintlig molndator.

• En befintlig utvecklingsruta.

• En lokal Windows-enhet med Windows Hello för företag eller en säkerhetsenhet som en FIDO USB-nyckel som redan har konfigurerats.

• För att konfigurera Microsoft Intune behöver du:

  • Microsoft Entra ID konto som har tilldelats den inbyggda RBAC-rollen princip- och profilhanterare.
  • En grupp som innehåller de enheter som du vill konfigurera.

• För att konfigurera grupprincip behöver du:

  • Ett domänkonto som har behörighet att skapa eller redigera grupprincip objekt.
  • En säkerhetsgrupp eller organisationsenhet (OU) som innehåller de enheter som du vill konfigurera.

• Du måste ansluta till en fjärrsession från en app och plattform som stöds. Om du vill visa omdirigeringsstöd i Windows App och fjärrskrivbordsappen läser du Jämföra Windows App funktioner mellan plattformar och enheter och Jämför funktioner för fjärrskrivbordsappar mellan plattformar och enheter.

WebAuthn-omdirigering

Konfiguration av en sessionsvärd med hjälp av Microsoft Intune eller grupprincip, eller inställning av en RDP-egenskap i en värdpool, styr möjligheten att omdirigera WebAuthn-begäranden från en fjärrsession till en lokal enhet, vilket är föremål för en prioritetsordning.

Standardkonfigurationen är:

• Windows-operativsystem: WebAuthn-begäranden blockeras inte.
• RDP-egenskaper för Azure Virtual Desktop-värdpoolen: WebAuthn-begäranden i fjärrsessionen omdirigeras till den lokala datorn.

Viktigt

Var försiktig när du konfigurerar omdirigeringsinställningar eftersom den mest restriktiva inställningen är det resulterande beteendet. Om du till exempel inaktiverar WebAuthn-omdirigering på en sessionsvärd med Microsoft Intune eller grupprincip, men aktiverar den med värdpoolens RDP-egenskap, inaktiveras omdirigering.

Konfigurationen av en molndator styr möjligheten att omdirigera WebAuthn-begäranden mellan fjärrsessionen och den lokala enheten och anges med hjälp av Microsoft Intune eller grupprincip.

Standardkonfigurationen är:

• Windows-operativsystem: WebAuthn-begäranden blockeras inte. Windows 365 aktiverar WebAuthn-omdirigering.

Konfigurationen av en utvecklingsruta styr möjligheten att omdirigera WebAuthn-begäranden mellan fjärrsessionen och den lokala enheten och anges med hjälp av Microsoft Intune eller grupprincip.

Standardkonfigurationen är:

• Windows-operativsystem: WebAuthn-begäranden blockeras inte. Windows 365 aktiverar WebAuthn-omdirigering.

Konfigurera WebAuthn-omdirigering med hjälp av RDP-egenskaper för värdpool

Inställningen WebAuthn-omdirigering för Azure Virtual Desktop-värdpoolen styr om WebAuthn-begäranden ska omdirigeras mellan fjärrsessionen och den lokala enheten. Motsvarande RDP-egenskap är redirectwebauthn:i:<value>. Mer information finns i RDP-egenskaper som stöds.

Så här konfigurerar du WebAuthn-omdirigering med hjälp av RDP-egenskaper för värdpoolen:

1. Logga in på Azure-portalen.

2. I sökfältet skriver du Azure Virtual Desktop och väljer matchande tjänstpost.

3. Välj Värdpooler och välj sedan den värdpool som du vill konfigurera.

4. Välj RDP-egenskaper och välj sedan Enhetsomdirigering.

   

5. För WebAuthn-omdirigering väljer du listrutan och väljer sedan något av följande alternativ:

   • WebAuthn-begäranden i fjärrsessionen omdirigeras inte till den lokala datorn
   • WebAuthn-begäranden i fjärrsessionen omdirigeras till den lokala datorn (standard)
   • Inte konfigurerad

6. Välj Spara.

7. Testa konfigurationen genom att följa stegen i Testa WebAuthn-omdirigering.

Konfigurera WebAuthn-omdirigering med hjälp av Microsoft Intune eller grupprincip

Konfigurera WebAuthn-omdirigering med hjälp av Microsoft Intune eller grupprincip

Välj relevant flik för ditt scenario.

Microsoft Intune

Så här tillåter eller inaktiverar du WebAuthn-omdirigering med hjälp av Microsoft Intune:

1. Logga in på Microsoft Intune administrationscenter.

2. Skapa eller redigera en konfigurationsprofil för Windows 10 och senare enheter med profiltypen Inställningskatalog.

3. I inställningsväljaren bläddrar du till Administrativa mallarWindows-komponenter>Fjärrskrivbordstjänster>Fjärrskrivbord> Sessionsvärdenhet >och Resursomdirigering.

   

4. Markera kryssrutan Tillåt inte omdirigering av WebAuthn och stäng sedan inställningsväljaren.

5. Expandera kategorin Administrativa mallar och växla sedan växeln för Tillåt inte WebAuthn-omdirigering till Aktiverad eller Inaktiverad, beroende på dina krav:

   • Om du vill tillåta WebAuthn-omdirigering växlar du växeln till Inaktiverad.

   • Om du vill inaktivera omdirigering av WebAuthn växlar du växeln till Aktiverad.

6. Välj Nästa.

7. Valfritt: På fliken Omfångstaggar väljer du en omfångstagg för att filtrera profilen. Mer information om omfångstaggar finns i Använda rollbaserad åtkomstkontroll (RBAC) och omfångstaggar för distribuerade IT-.

8. På fliken Tilldelningar väljer du den grupp som innehåller datorerna som tillhandahåller en fjärrsession som du vill konfigurera och väljer sedan Nästa.

9. På fliken Granska + skapa granskar du inställningarna och väljer sedan Skapa.

10. När principen gäller för de datorer som tillhandahåller en fjärrsession startar du om dem för att inställningarna ska börja gälla.

Grupprincip

Så här tillåter eller inaktiverar du WebAuthn-omdirigering med hjälp av grupprincip:

1. Öppna grupprincip-hanteringskonsolen på en enhet som du använder för att hantera Active Directory-domänen.

2. Skapa eller redigera en princip som riktar sig till de datorer som tillhandahåller en fjärrsession som du vill konfigurera.

3. Gå till Datorkonfigurationsprinciper>>Administrativa mallarWindows-komponenter>Fjärrskrivbordstjänster>>Fjärrskrivbord Sessionsvärdenhet>och Omdirigering av resurser.

   

4. Dubbelklicka på principinställningen Tillåt inte webauthn-omdirigering att öppna den.

   • Om du vill tillåta omdirigering av WebAuthn väljer du Inaktiverad eller Inte konfigurerad och sedan OK.

   • Om du vill inaktivera WebAuthn-omdirigering väljer du Aktiverad och sedan OK.

5. Se till att principen tillämpas på de datorer som tillhandahåller en fjärrsession och starta sedan om dem för att inställningarna ska börja gälla.

Testa WebAuthn-omdirigering

När du aktiverar WebAuthn-omdirigering kan du testa det:

1. Om du använder en USB-säkerhetsnyckel kontrollerar du att den är ansluten först.

2. Anslut till en fjärrsession med windowsappen eller fjärrskrivbordsappen på en plattform som stöder WebAuthn-omdirigering. Mer information finns i Jämför Windows App funktioner mellan plattformar och enheter och Jämför fjärrskrivbordsappfunktioner mellan plattformar och enheter.

3. I fjärrsessionen öppnar du en webbplats i ett InPrivate-fönster som använder WebAuthn-autentisering, till exempel Windows App för webbläsare på https://windows.cloud.microsoft/.

4. Följ inloggningsprocessen. När autentiseringen kommer att använda Windows Hello för företag eller säkerhetsnyckeln bör du se en Windows-säkerhet fråga om att slutföra autentiseringen, som du ser i följande bild när du använder en lokal Windows-enhet.

   Den Windows-säkerhet frågan finns på den lokala enheten och lägger över fjärrsessionen, vilket indikerar att WebAuthn-omdirigering fungerar.

   

Relaterat innehåll

• Omdirigering över Fjärrskrivbordsprotokollet.
• RDP-egenskaper som stöds.
• Jämför Windows App funktioner mellan plattformar och enheter.
• Jämför funktioner för fjärrskrivbordsappar mellan plattformar och enheter.