共用方式為


透過遠端桌面通訊協定設定 WebAuthn 重新導向

提示

本文適用於使用遠端桌面通訊協定 (RDP) 來提供 Windows 桌面和應用程式遠端存取的服務和產品。

使用本文頂端的按鈕來選取產品,以顯示相關內容。

您可以透過遠端桌面通訊協定 (RDP) ,設定從遠端會話到本機裝置的 WebAuthn 要求重新導向行為。 WebAuthn 重新導向可使用 FIDO 金鑰等 Windows Hello 企業版 或安全性裝置,啟用會話內無密碼驗證

針對 Azure 虛擬桌面,建議您使用 Microsoft Intune 或 群組原則 在工作階段主機上啟用 WebAuthn 重新導向,然後使用主機集區 RDP 屬性來控制重新導向。

針對 Windows 365,您可以使用 Microsoft Intune 或 群組原則 來設定雲端電腦。

針對 Microsoft Dev Box,您可以使用 Microsoft Intune 或 群組原則 來設定開發人員方塊。

本文提供支援的重新導向方法,以及如何設定 WebAuthn 要求重新導向行為的相關信息。 若要深入瞭解重新導向的運作方式,請參閱 透過遠端桌面通訊協定重新導向。

必要條件

設定 WebAuthn 重新導向之前,您需要:

  • 具有會話主機的現有主機集區。

  • 指派桌面虛擬主機集區參與者內建角色型訪問控制的 Microsoft Entra ID 帳戶, (主機集區上的 RBAC) 角色。

  • 現有的雲端電腦。
  • 現有的開發人員方塊。
  • 具有 Windows Hello 企業版 或已設定 FIDO USB 金鑰等安全性裝置的本機 Windows 裝置。

  • 若要設定 Microsoft Intune,您需要:

    • Microsoft Entra ID 指派原則和配置檔管理員內建 RBAC 角色的帳戶。
    • 包含您要設定之裝置的群組。
  • 若要設定 群組原則,您需要:

    • 有權建立或編輯 群組原則 物件的網域帳戶。
    • 包含您要設定之裝置的安全組或組織單位 (OU) 。
  • 您需要從支援的應用程式和平台連線到遠端工作階段。 若要檢視 Windows App 和遠端桌面應用程式中的重新導向支援,請參閱比較跨平臺和裝置的 Windows App 功能比較跨平臺和裝置的遠端桌面應用程式功能

WebAuthn 重新導向

使用 Microsoft Intune 或 群組原則 來設定會話主機,或在主機集區上設定 RDP 屬性,可控管將 WebAuthn 要求從遠端會話重新導向至本機裝置的功能,而這會依優先順序排序。

預設組態為:

  • Windows作系統:不會封鎖 WebAuthn 要求。
  • Azure 虛擬桌面主機集區 RDP 屬性:遠端會話中的 WebAuthn 要求會重新導向至本機電腦。

重要事項

設定重新導向設定時請小心,因為最嚴格的設定是結果行為。 例如,如果您在具有 Microsoft Intune 或 群組原則 的會話主機上停用 WebAuthn 重新導向,但使用主機集區 RDP 屬性加以啟用,則會停用重新導向。

雲端電腦的設定可控管在遠端會話與本機裝置之間重新導向 WebAuthn 要求的能力,並使用 Microsoft Intune 或 群組原則 來設定。

預設組態為:

  • Windows作系統:不會封鎖 WebAuthn 要求。 Windows 365 啟用 WebAuthn 重新導向。

開發方塊的設定可控管在遠端會話與本機裝置之間重新導向 WebAuthn 要求的能力,並使用 Microsoft Intune 或 群組原則 來設定。

預設組態為:

  • Windows作系統:不會封鎖 WebAuthn 要求。 Windows 365 啟用 WebAuthn 重新導向。

使用主機集區 RDP 屬性設定 WebAuthn 重新導向

Azure 虛擬桌面主機集區設定 WebAuthn 重新導向 可控制是否要在遠端會話與本機裝置之間重新導向 WebAuthn 要求。 對應的 RDP 屬性為 redirectwebauthn:i:<value>。 如需詳細資訊,請參閱 支援的 RDP 屬性

若要使用主機集區 RDP 屬性來設定 WebAuthn 重新導向:

  1. 登入 Azure 入口網站

  2. 在搜尋列中,輸入 Azure 虛擬桌面 ,然後選取相符的服務專案。

  3. 選取 [主機集區],然後選取您要設定的主機集區。

  4. 取 [RDP 屬性],然後選取 [ 裝置重新導向]

    顯示 Azure 入口網站 中主機集區裝置重新導向索引標籤的螢幕快照。

  5. 針對 [WebAuthn 重新導向],選取下拉式清單,然後選取下列其中一個選項:

    • 遠程會話中的 WebAuthn 要求不會重新導向至本機電腦
    • 遠程會話中的 WebAuthn 要求會重新導向至本機電腦 (預設)
    • 未設定
  6. 選取 [儲存]

  7. 若要測試設定,請遵循 測試 WebAuthn 重新導向中的步驟。

使用 Microsoft Intune 或 群組原則 設定 WebAuthn 重新導向

使用 Microsoft Intune 或 群組原則 設定 WebAuthn 重新導向

選取您案例的相關索引標籤。

若要使用下 Microsoft Intune 來允許或停用 WebAuthn 重新導向:

  1. 登入 Microsoft Intune 系統管理中心

  2. 使用 [設定] 目錄配置檔類型,建立或編輯Windows 10 和更新版本裝置的組態配置檔。

  3. 在設定選擇器中,流覽至 [系統管理範>本][Windows 元件>遠端桌面服務>遠端桌面會話主機>裝置和資源重新導向]

    顯示 Microsoft Intune 入口網站中裝置和資源重新導向選項的螢幕快照。

  4. 核取 [不允許 WebAuthn 重新導向] 方塊,然後關閉設定選擇器。

  5. 展開 [ 系統管理範本] 類別,然後根據您的需求,將 [不允許 WebAuthn 重新導向 ] 的切換開關切換為 [ 已啟用 ] 或 [ 已停用]:

    • 若要允許 WebAuthn 重新導向,請將切換開關切換為 [ 已停用]

    • 若要停用 WebAuthn 重新導向,請將切換開關切換為 [已啟用]

  6. 選取 [下一步]

  7. 選用:在 [ 範圍卷標] 索引標籤 上,選取範圍標籤以篩選配置檔。 如需範圍標籤的詳細資訊,請參閱針對分散式 IT 使用角色型存取控制 (RBAC) 和範圍標籤

  8. 在 [ 指派] 索引標籤 上,選取包含提供您要設定之遠端會話之計算機的群組,然後選取 [ 下一步]

  9. 在 [ 檢閱 + 建立] 索引標籤上檢閱設定,然後選取 [ 建立]

  10. 一旦原則套用至提供遠端會話的計算機,請重新啟動它們,讓設定生效。

測試 WebAuthn 重新導向

啟用 WebAuthn 重新導向之後,請進行測試:

  1. 如果您使用 USB 安全性金鑰,請先確定它已插入。

  2. 在支援 WebAuthn 重新導向的平臺上,使用視窗應用程式或遠端桌面應用程式連線到遠端工作階段。 如需詳細資訊,請參閱比較跨平臺和裝置 Windows App 功能比較跨平臺和裝置的遠端桌面應用程式功能

  3. 在遠端工作階段中,在使用 WebAuthn 驗證的 InPrivate 視窗中開啟網站,例如 ,Windows App 網頁瀏覽器的 。https://windows.cloud.microsoft/

  4. 遵循登入程式。 當驗證開始使用 Windows Hello 企業版 或安全性密鑰時,您應該會看到 Windows 安全性 提示以完成驗證,如下圖中使用 Windows 本機裝置時所示。

    Windows 安全性 提示是在本機裝置上,並重迭遠端會話,表示WebAuthn重新導向正在運作。

    顯示從遠端會話到本機裝置之 WebAuthn 要求的螢幕快照。