通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

通过远程桌面协议配置 WebAuthn 重定向

提示

本文针对使用远程桌面协议 (RDP) 提供对 Windows 桌面和应用的远程访问的服务和产品共享。

使用本文顶部的按钮选择产品以显示相关内容。

可以通过远程桌面协议 (RDP) 配置从远程会话到本地设备的 WebAuthn 请求的重定向行为。 WebAuthn 重定向使用Windows Hello 企业版或 FIDO 密钥等安全设备启用会话内无密码身份验证

对于 Azure 虚拟桌面,建议使用 Microsoft Intune 或 组策略 在会话主机上启用 WebAuthn 重定向,然后使用主机池 RDP 属性控制重定向。

对于Windows 365,可以使用 Microsoft Intune 或 组策略 配置云电脑。

对于 Microsoft Dev Box,可以使用 Microsoft Intune 或 组策略 配置开发箱。

本文提供有关支持的重定向方法以及如何为 WebAuthn 请求配置重定向行为的信息。 若要详细了解重定向的工作原理,请参阅 通过远程桌面协议进行重定向

先决条件

在配置 WebAuthn 重定向之前,需要:

  • 具有会话主机的现有主机池。

  • 分配桌面虚拟化主机池参与者内置基于角色的访问控制 (RBAC) 主机池角色的Microsoft Entra ID帐户。

  • 现有的云电脑。
  • 现有开发箱。

  • 具有Windows Hello 企业版的本地 Windows 设备或已配置 FIDO USB 密钥等安全设备。

  • 若要配置Microsoft Intune,需要:

  • 若要配置组策略,需要:

    • 有权创建或编辑组策略对象的域帐户。
    • 安全组或组织单位 (OU) ,其中包含要配置的设备。

  • 需要从受支持的应用和平台连接到远程会话。 若要查看Windows App和远程桌面应用中的重定向支持,请参阅跨平台和设备比较Windows App功能和跨平台和设备比较远程桌面应用功能

WebAuthn 重定向

使用 Microsoft Intune 或 组策略 配置会话主机,或在主机池上设置 RDP 属性,可控制将 WebAuthn 请求从远程会话重定向到本地设备的能力,而本地设备受优先级顺序约束。

默认配置为:

  • Windows作系统:不会阻止 WebAuthn 请求。
  • Azure 虚拟桌面主机池 RDP 属性:远程会话中的 WebAuthn 请求将重定向到本地计算机。

重要

在配置重定向设置时要小心,因为最严格的设置是结果行为。 例如,如果在具有Microsoft Intune或组策略的会话主机上禁用 WebAuthn 重定向,但使用主机池 RDP 属性启用该重定向,则会禁用重定向。

云电脑的配置控制在远程会话和本地设备之间重定向 WebAuthn 请求的能力,并使用Microsoft Intune或组策略进行设置。

默认配置为:

  • Windows作系统:不会阻止 WebAuthn 请求。 Windows 365启用 WebAuthn 重定向。

开发箱的配置控制在远程会话和本地设备之间重定向 WebAuthn 请求的能力,并使用Microsoft Intune或组策略进行设置。

默认配置为:

  • Windows作系统:不会阻止 WebAuthn 请求。 Windows 365启用 WebAuthn 重定向。

使用主机池 RDP 属性配置 WebAuthn 重定向

Azure 虚拟桌面主机池设置 WebAuthn 重定向 控制是否在远程会话和本地设备之间重定向 WebAuthn 请求。 相应的 RDP 属性为 redirectwebauthn:i:<value>。 有关详细信息,请参阅 支持的 RDP 属性

若要使用主机池 RDP 属性配置 WebAuthn 重定向,请执行以下作:

  1. 登录 Azure 门户

  2. 在搜索栏中,键入 Azure 虚拟桌面 并选择匹配的服务条目。

  3. 选择“ 主机池”,然后选择要配置的主机池。

  4. 选择 “RDP 属性”,然后选择“ 设备重定向”。

    显示Azure 门户中的“主机池设备重定向”选项卡的屏幕截图。

  5. 对于 “WebAuthn 重定向”,请选择下拉列表,然后选择以下选项之一:

    • 远程会话中的 WebAuthn 请求不会重定向到本地计算机
    • 远程会话中的 WebAuthn 请求将重定向到本地计算机 , (默认)
    • 未配置

  6. 选择“保存”

  7. 若要测试配置,请按照 测试 WebAuthn 重定向中的步骤作。

使用 Microsoft Intune 或 组策略 配置 WebAuthn 重定向

使用 Microsoft Intune 或 组策略 配置 WebAuthn 重定向

选择方案的相关选项卡。

若要使用 Microsoft Intune 允许或禁用 WebAuthn 重定向,请执行以下作:

  1. 登录到 Microsoft Intune 管理中心

  2. 使用“设置”目录配置文件类型为Windows 10及更高版本的设备创建或编辑配置文件。

  3. 在设置选取器中,浏览到 管理模板>Windows 组件>远程桌面服务>远程桌面会话主机>设备和资源重定向

    显示Microsoft Intune门户中的设备和资源重定向选项的屏幕截图。

  4. 选中“ 不允许 WebAuthn 重定向”框,然后关闭设置选取器。

  5. 展开 “管理模板” 类别,然后将“ 不允许 WebAuthn 重定向 ”开关切换为 “已启用”“已禁用”,具体取决于你的要求:

    • 若要允许 WebAuthn 重定向,请将开关切换为 “已禁用”。

    • 若要禁用 WebAuthn 重定向,请将开关切换为 “已启用”。

  6. 选择 下一步

  7. 可选:在“ 作用域标记 ”选项卡上,选择范围标记以筛选配置文件。 有关范围标记的详细信息,请参阅对分布式 IT 使用基于角色的访问控制 (RBAC) 和范围标记

  8. 在“ 分配 ”选项卡上,选择包含提供要配置的远程会话的计算机的组,然后选择“ 下一步”。

  9. 在“ 查看 + 创建 ”选项卡上,查看设置,然后选择“ 创建”。

  10. 策略应用于提供远程会话的计算机后,重启这些计算机,使设置生效。

测试 WebAuthn 重定向

启用 WebAuthn 重定向后,测试它:

  1. 如果使用的是 USB 安全密钥,请确保先插入 USB 安全密钥。

  2. 在支持 WebAuthn 重定向的平台上使用窗口应用或远程桌面应用连接到远程会话。 有关详细信息,请参阅跨平台和设备比较Windows App功能和跨平台和设备比较远程桌面应用功能

  3. 在远程会话中,在 InPrivate 窗口中打开一个使用 WebAuthn 身份验证的网站,例如,在 https://windows.cloud.microsoft/处为 Web 浏览器Windows App。

  4. 按照登录过程进行作。 当身份验证使用Windows Hello 企业版或安全密钥时,应看到Windows 安全中心提示完成身份验证,如下图所示,使用 Windows 本地设备时。

    Windows 安全中心提示在本地设备上,并覆盖远程会话,指示 WebAuthn 重定向正常工作。

    显示从远程会话到本地设备的 WebAuthn 请求的屏幕截图。

相关内容