你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
提示
本文针对使用远程桌面协议 (RDP) 提供对 Windows 桌面和应用的远程访问的服务和产品共享。
使用本文顶部的按钮选择产品以显示相关内容。
可以通过远程桌面协议 (RDP) 配置从本地设备到远程会话的智能卡设备的重定向行为。
对于 Azure 虚拟桌面,我们建议使用 Microsoft Intune 或 组策略 在会话主机上启用智能卡重定向,然后使用主机池 RDP 属性控制重定向。
对于Windows 365,可以使用 Microsoft Intune 或 组策略 配置云电脑。
对于 Microsoft Dev Box,可以使用 Microsoft Intune 或 组策略 配置开发箱。
本文提供有关支持的重定向方法以及如何为智能卡设备配置重定向行为的信息。 若要详细了解重定向的工作原理,请参阅 通过远程桌面协议进行重定向。
先决条件
在配置智能卡重定向之前,需要:
具有会话主机的现有主机池。
分配桌面虚拟化主机池参与者内置基于角色的访问控制 (RBAC) 主机池角色的Microsoft Entra ID帐户。
- 现有的云电脑。
- 现有开发箱。
本地设备上可用的智能卡设备。
若要配置Microsoft Intune,需要:
- Microsoft Entra ID分配有策略和配置文件管理器内置 RBAC 角色的帐户。
- 包含要配置的设备的组。
若要配置组策略,需要:
- 有权创建或编辑组策略对象的域帐户。
- 安全组或组织单位 (OU) ,其中包含要配置的设备。
需要从受支持的应用和平台连接到远程会话。 若要查看Windows App和远程桌面应用中的重定向支持,请参阅跨平台和设备比较Windows App功能和跨平台和设备比较远程桌面应用功能。
智能卡重定向
使用 Microsoft Intune 或 组策略 配置会话主机,或在主机池上设置 RDP 属性,可控制将智能卡设备从本地设备重定向到远程会话的能力,该会话受优先级顺序约束。
默认配置为:
- Windows作系统:不会阻止智能卡重定向。
- Azure 虚拟桌面主机池 RDP 属性:智能卡设备从本地设备重定向到远程会话。
- 结果默认行为:智能卡设备从本地设备重定向到远程会话。
重要
在配置重定向设置时要小心,因为最严格的设置是结果行为。 例如,如果在具有Microsoft Intune或组策略的会话主机上禁用智能卡重定向,但使用主机池 RDP 属性启用它,则会禁用重定向。
云电脑的配置控制将智能卡设备从本地设备重定向到远程会话的能力,并使用Microsoft Intune或组策略进行设置。
默认配置为:
- Windows作系统:不会阻止智能卡重定向。
- Windows 365:已启用智能卡重定向。
- 结果默认行为:智能卡设备从本地设备重定向到远程会话。
开发箱的配置控制将智能卡设备从本地设备重定向到远程会话的能力,并使用Microsoft Intune或组策略进行设置。
默认配置为:
- Windows作系统:不会阻止智能卡重定向。
- Microsoft Dev Box:已启用智能卡重定向。
- 结果默认行为:智能卡设备从本地设备重定向到远程会话。
使用主机池 RDP 属性配置智能卡设备重定向
Azure 虚拟桌面主机池设置智能卡重定向控制是否将智能卡从本地设备重定向到远程会话。 相应的 RDP 属性为 redirectsmartcards:i:<value>。 有关详细信息,请参阅 支持的 RDP 属性。
若要使用主机池 RDP 属性配置智能卡重定向,请执行以下作:
登录 Azure 门户。
在搜索栏中,键入 Azure 虚拟桌面 并选择匹配的服务条目。
选择“ 主机池”,然后选择要配置的主机池。
选择 “RDP 属性”,然后选择“ 设备重定向”。
对于“智能卡重定向”,请选择下拉列表,然后选择以下选项之一:
- 本地计算机上的智能卡设备在远程会话中不可用
- 本地计算机上的智能卡设备在远程会话中可用, (默认)
- 未配置
选择“保存”。
若要测试配置,请连接到远程会话,然后使用需要智能卡的应用程序或网站。 验证智能卡是否可用并按预期工作。
使用 Microsoft Intune 或 组策略 配置智能卡设备重定向
使用 Microsoft Intune 或 组策略 配置智能卡设备重定向
选择方案的相关选项卡。
若要使用 Microsoft Intune 启用或禁用智能卡设备重定向,请执行以下作:
使用“设置”目录配置文件类型为Windows 10及更高版本的设备创建或编辑配置文件。
在设置选取器中,浏览到 管理模板>Windows 组件>远程桌面服务>远程桌面会话主机>设备和资源重定向。
选中“不允许智能卡设备重定向”框,然后关闭设置选取器。
展开“管理模板”类别,然后切换“不允许智能卡设备重定向”开关,具体取决于你的要求:
若要允许智能卡设备重定向,请将开关切换为“已禁用”。
若要禁用智能卡设备重定向,请将开关切换为“已启用”。
选择 下一步。
可选:在“ 作用域标记 ”选项卡上,选择范围标记以筛选配置文件。 有关范围标记的详细信息,请参阅对分布式 IT 使用基于角色的访问控制 (RBAC) 和范围标记。
在“ 分配 ”选项卡上,选择包含提供要配置的远程会话的计算机的组,然后选择“ 下一步”。
在“ 查看 + 创建 ”选项卡上,查看设置,然后选择“ 创建”。
策略应用于提供远程会话的计算机后,重启这些计算机,使设置生效。
测试智能卡重定向
测试智能卡重定向:
在支持智能卡重定向的平台上,使用窗口应用或远程桌面应用连接到远程会话。 有关详细信息,请参阅跨平台和设备比较Windows App功能和跨平台和设备比较远程桌面应用功能。
检查智能卡是否在远程会话中可用。 在命令提示符或 PowerShell 提示符的远程会话中运行以下命令。
certutil -scinfo如果智能卡重定向正常工作,输出将启动,类似于以下输出:
The Microsoft Smart Card Resource Manager is running. Current reader/card status: Readers: 2 0: Windows Hello for Business 1 1: Yubico YubiKey OTP+FIDO+CCID 0 --- Reader: Windows Hello for Business 1 --- Status: SCARD_STATE_PRESENT | SCARD_STATE_INUSE --- Status: The card is being shared by a process. --- Card: Identity Device (Microsoft Generic Profile) --- ATR: aa bb cc dd ee ff 00 11 22 33 44 55 66 77 88 99 ;.........AB12.. ab . --- Reader: Yubico YubiKey OTP+FIDO+CCID 0 --- Status: SCARD_STATE_PRESENT | SCARD_STATE_UNPOWERED --- Status: The card is available for use. --- Card: Identity Device (NIST SP 800-73 [PIV]) --- ATR: aa bb cc dd ee ff 00 11 22 33 44 55 66 77 88 99 ;.........34yz.. ab . [continued...]打开并使用需要智能卡的应用程序或网站。 验证智能卡是否可用并按预期工作。