透過遠端桌面通訊協定設定 WebAuthn 重新導向

提示

本文適用於使用遠端桌面通訊協定 (RDP) 來提供 Windows 桌面和應用程式遠端存取的服務和產品。

使用本文頂端的按鈕來選取產品，以顯示相關內容。

您可以透過遠端桌面通訊協定 (RDP) ，設定從遠端會話到本機裝置的 WebAuthn 要求重新導向行為。 WebAuthn 重新導向可使用 FIDO 金鑰等 Windows Hello 企業版 或安全性裝置，啟用會話內無密碼驗證。

針對 Azure 虛擬桌面，建議您使用 Microsoft Intune 或 群組原則 在工作階段主機上啟用 WebAuthn 重新導向，然後使用主機集區 RDP 屬性來控制重新導向。

針對 Windows 365，您可以使用 Microsoft Intune 或 群組原則 來設定雲端電腦。

針對 Microsoft Dev Box，您可以使用 Microsoft Intune 或 群組原則 來設定開發人員方塊。

本文提供支援的重新導向方法，以及如何設定 WebAuthn 要求重新導向行為的相關信息。 若要深入瞭解重新導向的運作方式，請參閱 透過遠端桌面通訊協定重新導向。

必要條件

設定 WebAuthn 重新導向之前，您需要：

• 具有會話主機的現有主機集區。

• 指派桌面虛擬主機集區參與者內建角色型訪問控制的 Microsoft Entra ID 帳戶， (主機集區上的 RBAC) 角色。

• 現有的雲端電腦。

• 現有的開發人員方塊。

• 具有 Windows Hello 企業版 或已設定 FIDO USB 金鑰等安全性裝置的本機 Windows 裝置。

• 若要設定 Microsoft Intune，您需要：

  • Microsoft Entra ID 指派原則和配置檔管理員內建 RBAC 角色的帳戶。
  • 包含您要設定之裝置的群組。

• 若要設定 群組原則，您需要：

  • 有權建立或編輯 群組原則 物件的網域帳戶。
  • 包含您要設定之裝置的安全組或組織單位 (OU) 。

• 您需要從支援的應用程式和平台連線到遠端工作階段。 若要檢視 Windows App 和遠端桌面應用程式中的重新導向支援，請參閱比較跨平臺和裝置的 Windows App 功能和比較跨平臺和裝置的遠端桌面應用程式功能。

WebAuthn 重新導向

使用 Microsoft Intune 或 群組原則 來設定會話主機，或在主機集區上設定 RDP 屬性，可控管將 WebAuthn 要求從遠端會話重新導向至本機裝置的功能，而這會依優先順序排序。

預設組態為：

• Windows作系統：不會封鎖 WebAuthn 要求。
• Azure 虛擬桌面主機集區 RDP 屬性：遠端會話中的 WebAuthn 要求會重新導向至本機電腦。

重要事項

設定重新導向設定時請小心，因為最嚴格的設定是結果行為。 例如，如果您在具有 Microsoft Intune 或 群組原則 的會話主機上停用 WebAuthn 重新導向，但使用主機集區 RDP 屬性加以啟用，則會停用重新導向。

雲端電腦的設定可控管在遠端會話與本機裝置之間重新導向 WebAuthn 要求的能力，並使用 Microsoft Intune 或 群組原則 來設定。

預設組態為：

• Windows作系統：不會封鎖 WebAuthn 要求。 Windows 365 啟用 WebAuthn 重新導向。

開發方塊的設定可控管在遠端會話與本機裝置之間重新導向 WebAuthn 要求的能力，並使用 Microsoft Intune 或 群組原則 來設定。

預設組態為：

• Windows作系統：不會封鎖 WebAuthn 要求。 Windows 365 啟用 WebAuthn 重新導向。

使用主機集區 RDP 屬性設定 WebAuthn 重新導向

Azure 虛擬桌面主機集區設定 WebAuthn 重新導向 可控制是否要在遠端會話與本機裝置之間重新導向 WebAuthn 要求。 對應的 RDP 屬性為 redirectwebauthn:i:<value>。 如需詳細資訊，請參閱 支援的 RDP 屬性。

若要使用主機集區 RDP 屬性來設定 WebAuthn 重新導向：

1. 登入 Azure 入口網站。

2. 在搜尋列中，輸入 Azure 虛擬桌面 ，然後選取相符的服務專案。

3. 選取 [主機集區]，然後選取您要設定的主機集區。

4. 選 取 [RDP 屬性]，然後選取 [ 裝置重新導向]。

   

5. 針對 [WebAuthn 重新導向]，選取下拉式清單，然後選取下列其中一個選項：

   • 遠程會話中的 WebAuthn 要求不會重新導向至本機電腦
   • 遠程會話中的 WebAuthn 要求會重新導向至本機電腦 (預設)
   • 未設定

6. 選取 [儲存]。

7. 若要測試設定，請遵循 測試 WebAuthn 重新導向中的步驟。

使用 Microsoft Intune 或 群組原則 設定 WebAuthn 重新導向

使用 Microsoft Intune 或 群組原則 設定 WebAuthn 重新導向

選取您案例的相關索引標籤。

Microsoft Intune

若要使用下 Microsoft Intune 來允許或停用 WebAuthn 重新導向：

1. 登入 Microsoft Intune 系統管理中心。

2. 使用 [設定] 目錄配置檔類型，建立或編輯Windows 10 和更新版本裝置的組態配置檔。

3. 在設定選擇器中，流覽至 [系統管理範>本][Windows 元件>遠端桌面服務>遠端桌面會話主機>裝置和資源重新導向]。

   

4. 核取 [不允許 WebAuthn 重新導向] 方塊，然後關閉設定選擇器。

5. 展開 [ 系統管理範本] 類別，然後根據您的需求，將 [不允許 WebAuthn 重新導向 ] 的切換開關切換為 [ 已啟用 ] 或 [ 已停用]：

   • 若要允許 WebAuthn 重新導向，請將切換開關切換為 [ 已停用]。

   • 若要停用 WebAuthn 重新導向，請將切換開關切換為 [已啟用]。

6. 選取 [下一步]。

7. 選用：在 [ 範圍卷標] 索引標籤 上，選取範圍標籤以篩選配置檔。 如需範圍標籤的詳細資訊，請參閱針對分散式 IT 使用角色型存取控制 (RBAC) 和範圍標籤。

8. 在 [ 指派] 索引標籤 上，選取包含提供您要設定之遠端會話之計算機的群組，然後選取 [ 下一步]。

9. 在 [ 檢閱 + 建立] 索引標籤上檢閱設定，然後選取 [ 建立]。

10. 一旦原則套用至提供遠端會話的計算機，請重新啟動它們，讓設定生效。

群組原則

若要使用下列項目允許或停用 WebAuthn 重新導向 群組原則：

1. 在您用來管理 Active Directory 網域的裝置上開啟 群組原則 管理控制台。

2. 建立或編輯以提供您想要設定之遠端會話的電腦為目標的原則。

3. 流覽至 [計算機設定>原則>] [系統管理範>本] [Windows 元件>] [遠端桌面服務>] [遠端桌面會話主機>裝置] 和 [資源重新導向]。

   

4. 按兩下原則設定 [不允許WebAuthn 重新導向 ] 來開啟它。

   • 若要允許 WebAuthn 重新導向，請選取 [已 停 用] 或 [ 未設定]，然後選取 [ 確定]。

   • 若要停用 WebAuthn 重新導向，請選取 [ 已啟用]，然後選取 [ 確定]。

5. 請確定原則已套用至提供遠端會話的計算機，然後重新啟動這些原則，讓設定生效。

測試 WebAuthn 重新導向

啟用 WebAuthn 重新導向之後，請進行測試：

1. 如果您使用 USB 安全性金鑰，請先確定它已插入。

2. 在支援 WebAuthn 重新導向的平臺上，使用視窗應用程式或遠端桌面應用程式連線到遠端工作階段。 如需詳細資訊，請參閱比較跨平臺和裝置 Windows App 功能和比較跨平臺和裝置的遠端桌面應用程式功能。

3. 在遠端工作階段中，在使用 WebAuthn 驗證的 InPrivate 視窗中開啟網站，例如 ，Windows App 網頁瀏覽器的 。https://windows.cloud.microsoft/

4. 遵循登入程式。 當驗證開始使用 Windows Hello 企業版 或安全性密鑰時，您應該會看到 Windows 安全性 提示以完成驗證，如下圖中使用 Windows 本機裝置時所示。

   Windows 安全性 提示是在本機裝置上，並重迭遠端會話，表示WebAuthn重新導向正在運作。

   

相關內容

• 透過遠端桌面通訊協定重新導向。
• 支援的 RDP 屬性。
• 比較跨平臺和裝置 Windows App 功能。
• 比較跨平臺和裝置的遠端桌面應用程式功能。