透過遠端桌面通訊協定設定 WebAuthn 重新導向

提示

可使用遠端桌面通訊協定 (RDP) 來提供 Windows 桌面和應用程式遠端存取的服務和產品會共用本文。

使用本文頂端的按鈕選取產品以顯示相關的內容。

您可以透過遠端桌面通訊協定 (RDP) 設定從遠端工作階段到本機裝置的 WebAuthn 要求的重新導向行為。 WebAuthn 重新導向支援使用 Windows Hello 企業版或像 FIDO 金鑰之類的安全性裝置來進行工作階段內無密碼驗證。

對於 Azure 虛擬桌面，建議您使用 Microsoft Intune 或群組原則在您的工作階段主機上啟用 WebAuthn 重新導向，然後使用主機集區 RDP 屬性來控制重新導向。

對於 Windows 365，您可以使用 Microsoft Intune 或群組原則來設定您的雲端電腦。

對於 Microsoft 開發箱，您可以使用 Microsoft Intune 或群組原則來設定您的開發箱。

本文提供有關支援的重新導向方法以及如何設定 WebAuthn 要求的重新導向行為的資訊。 若要深入了解重新導向的運作方式，請參閱透過遠端桌面通訊協定進行重新導向。

必要條件

在您可以設定 WebAuthn 重新導向之前，您需要：

• 具有工作階段主機的現有主機集區。

• 至少在主機集區上指派了桌面虛擬化主機集區參與者內建角色型存取控制 (RBAC) 角色的 Microsoft Entra ID 帳戶。

• 現有的雲端電腦。

• 現有的開發箱。

• 已設定 Windows Hello 企業版的本機 Windows 裝置，或已設定像 FIDO USB 金鑰之類的安全性裝置。

• 若要設定 Microsoft Intune，您需要：

  • 已獲指派原則和設定檔管理員內建 RBAC 角色的 Microsoft Entra ID 帳戶。
  • 包含您要設定之裝置的群組。

• 若要設定群組原則，您需要：

  • 有權建立或編輯群組原則物件的網域帳戶。
  • 包含您想要設定之裝置的安全群組或組織單位 (OU)。

• 您需要從支援的應用程式和平台連線到遠端工作階段。 若要檢視 Windows 應用程式與遠端桌面應用程式中的重新導向支援，請參閱跨平台和裝置比較 Windows 應用程式功能和跨平台和裝置比較遠端桌面應用程式功能。

WebAuthn 重新導向

使用 Microsoft Intune 或群組原則設定工作階段主機，或在主機集區上設定 RDP 屬性，可控制將 WebAuthn 要求從遠端工作階段重新導向至本機裝置的能力，這取決於優先順序。

預設設定為：

• Windows 作業系統：不會封鎖 WebAuthn 要求。
• Azure 虛擬桌面主機集區 RDP 屬性：遠端工作階段中的 WebAuthn 要求會重新導向至本機電腦。

重要

設定重新導向設定時要小心，因為最嚴格的設定是最終的行為。 例如，如果您使用 Microsoft Intune 或群組原則在工作階段主機上停用 WebAuthn 重新導向，但使用主機集區 RDP 屬性來啟用它，則會停用重新導向。

雲端電腦的設定可控制在遠端工作階段與本機裝置之間重新導向 WebAuthn 要求的能力，且會使用 Microsoft Intune 或群組原則來進行設定。

預設設定為：

• Windows 作業系統：不會封鎖 WebAuthn 要求。 Windows 365 會啟用 WebAuthn 重新導向。

開發箱的設定可控制在遠端工作階段與本機裝置之間重新導向 WebAuthn 要求的能力，且會使用 Microsoft Intune 或群組原則來進行設定。

預設設定為：

• Windows 作業系統：不會封鎖 WebAuthn 要求。 Windows 365 會啟用 WebAuthn 重新導向。

使用主機集區 RDP 屬性來設定 WebAuthn 重新導向

Azure 虛擬桌面主機集區設定 WebAuthn 重新導向可控制是否要在遠端工作階段與本機裝置之間重新導向 WebAuthn 要求。 對應的 RDP 屬性是 redirectwebauthn:i:<value>。 如需詳細資訊，請參閱支援的 RDP 屬性。

若要使用主機集區 RDP 屬性來設定 WebAuthn 重新導向：

1. 登入 Azure 入口網站。

2. 在搜尋列中輸入 Azure 虛擬桌面，並選取相符的服務項目。

3. 選取 [主機集區]，然後選取您要設定的主機集區。

4. 選取 [RDP 屬性]，然後選取 [裝置重新導向]。

   

5. 針對 [WebAuthn 重新導向]，選取下拉式清單，然後選取下列其中一個選項：

   • 遠端工作階段中的 WebAuthn 要求未重新導向到本機電腦
   • 遠端工作階段中的 WebAuthn 要求已重新導向到本機電腦 (預設)
   • 未設定

6. 選取 [儲存]。

7. 若要測試設定，請依照測試 WebAuthn 重新導向中的步驟進行。

使用 Microsoft Intune 或群組原則來設定 WebAuthn 重新導向

使用 Microsoft Intune 或群組原則來設定 WebAuthn 重新導向

選取案例相關的索引標籤。

Microsoft Intune

若要使用 Microsoft Intune 來允許或停用 WebAuthn 重新導向：

1. 登入 Microsoft Intune 系統管理中心。

2. 使用 [設定目錄] 設定檔類型，為 Windows 10 和更新版本的裝置建立或編輯組態設定檔。

3. 在設定選擇器中，瀏覽至 [系統管理範本]>[Windows 元件]>[遠端桌面服務]>[遠端桌面工作階段主機]>[裝置和資源重新導向]。

   

4. 核取 [不允許 WebAuthn 重新導向] 的方塊，然後關閉設定選擇器。

5. 展開 [系統管理範本] 類別，然後根據您的需求將 [不允許 WebAuthn 重新導向] 的開關切換為 [啟用] 或 [停用]：

   • 若要允許 WebAuthn 重新導向，請將該開關切換為 [停用]，然後選取 [確定]。

   • 若要停用 WebAuthn 重新導向，請將該開關切換為 [啟用]，然後選取 [確定]。

6. 選取 [下一步]。

7. 選用：在 [範圍標籤] 索引標籤上，選取範圍標籤以篩選設定檔。 如需範圍標籤的詳細資訊，請參閱將角色型存取控制 (RBAC) 和範圍標籤用於分散式 IT。

8. 在 [指派] 索引標籤上，確認哪些電腦提供您要設定的遠程工作階段並選取其所屬的群組，然後選取 [下一步]。

9. 在 [檢閱 + 建立] 索引標籤上檢閱設定，然後選取 [建立]。

10. 在原則套用至提供遠端工作階段的電腦後，請將電腦重新啟動，使設定生效。

群組原則

若要使用群組原則來允許或停用 WebAuthn 重新導向：

1. 在用來管理 Active Directory 網域的裝置上，開啟群組原則管理主控台。

2. 建立或編輯將提供您想要設定的遠端工作階段的電腦設為目標的原則。

3. 瀏覽至 [電腦設定]>[原則]>[系統管理範本]>[Windows 元件]>[遠端桌面服務]>[遠端桌面工作階段主機]>[裝置和資源重新導向]。

   

4. 按兩下原則設定 [不允許 WebAuthn 重新導向] 以將其開啟。

   • 若要允許 WebAuthn 重新導向，請選取 [停用] 或 [未設定]，然後選取 [確定]。

   • 若要停用 WebAuthn 重新導向，請選取 [啟用]，然後選取 [確定]。

5. 請確定該原則已套用至提供遠端工作階段的電腦，然後重新啟動它們以使設定生效。

測試 WebAuthn 重新導向

啟用 WebAuthn 重新導向後，請進行測試：

1. 如果您使用 USB 安全性金鑰，請確保先將其插入。

2. 在支援 WebAuthn 重新導向的平台上使用 Window 應用程式或遠端桌面應用程式來連線到遠端工作階段。 如需詳細資訊，請參閱跨平台和裝置比較 Windows 應用程式功能和跨平台和裝置比較遠端桌面應用程式功能。

3. 在遠端工作階段中，在使用 WebAuthn 驗證的 InPrivate 視窗中開啟一個網站 (例如位於 https://windows.cloud.microsoft/ 的適用於網頁瀏覽器的 Windows 應用程式)。

4. 請遵循登入流程。 當驗證使用 Windows Hello 企業版或安全性金鑰時，您應該會看到一個 Windows 安全性提示可以完成驗證，如下圖所示 (使用 Windows 本機裝置時)。

   Windows 安全性提示位於本機裝置上並覆蓋遠端工作階段，這表示 WebAuthn 重新導向已正常運作。

   

相關內容

• 透過遠端桌面通訊協定進行重新導向。
• 支援的 RDP 屬性。
• 比較跨平台和裝置的 Windows 應用程式功能。
• 比較跨平台和裝置的遠端桌面應用程式功能。