Compartir a través de

通过远程桌面协议配置 WebAuthn 重定向

提示

本文适用于使用远程桌面协议 (RDP) 提供对 Windows 桌面和应用的远程访问的服务和产品。

使用本文顶部的按钮选择产品以显示相关内容。

可以配置 WebAuthn 请求通过远程桌面协议 (RDP) 从远程会话到本地设备的重定向行为。 WebAuthn 重定向支持使用 Windows Hello 企业版或安全设备(如 FIDO 密钥)的会话内无密码身份验证

对于 Azure 虚拟桌面,我们建议使用组策略在会话主机上启用 WebAuthn 重定向,然后使用主机池 RDP 属性控制重定向。

对于 Windows 365,你可以使用组策略配置云电脑。

对于 Microsoft Dev Box,你可以使用组策略配置开发箱。

本文介绍受支持的重定向方法,并介绍如何配置 WebAuthn 请求的重定向行为。 若要详细了解重定向的工作原理,请参阅通过远程桌面协议重定向

先决条件

在配置 WebAuthn 重定向之前,需要具备以下项:

  • 具有会话主机的主机池。

  • 一个 Microsoft Entra ID 帐户,至少分配有主机池上内置的桌面虚拟化主机池参与者这一基于角色的访问控制 (RBAC) 角色。

  • 现有的云电脑。
  • 现有的开发箱。
  • 已配置 Windows Hello 企业版或安全设备(如 FIDO USB 密钥)的本地 Windows 设备。

  • 要配置组策略,需要:

    • 有权创建或编辑组策略对象的域帐户。
    • 一个包含要配置的设备的安全组或组织单位 (OU)。
  • 需要从受支持的应用和平台连接到远程会话。 若要查看 Windows 应用和远程桌面应用中的重定向支持,请参阅跨平台和设备比较 Windows 应用功能跨平台和设备比较远程桌面应用功能

WebAuthn 重定向

通过使用组策略配置会话主机或在主机池上设置 RDP 属性,可控制将 WebAuthn 请求从远程会话重定向到本地设备的功能,这受优先级顺序的约束。

默认配置为:

  • Windows 操作系统:WebAuthn 请求不会被阻止
  • Azure 虚拟桌面主机池 RDP 属性:远程会话中的 WebAuthn 请求将重定向到本地计算机

重要

配置重定向设置时要小心,因为这会导致最具限制性的设置。 例如,如果你使用组策略在会话主机上禁用 WebAuthn 重定向,但使用主机池 RDP 属性启用它,则会禁用重定向。

云电脑的配置控制将在远程会话和本地设备之间重定向 WebAuthn 请求的功能,并且使用组策略进行设置。

默认配置为:

  • Windows 操作系统:WebAuthn 请求不会被阻止。 Windows 365 启用 WebAuthn 重定向。

开发箱的配置控制将在远程会话和本地设备之间重定向 WebAuthn 请求的功能,并且使用组策略进行设置。

默认配置为:

  • Windows 操作系统:WebAuthn 请求不会被阻止。 Windows 365 启用 WebAuthn 重定向。

使用主机池 RDP 属性配置 WebAuthn 重定向

名为“WebAuthn 重定向”的 Azure 虚拟桌面主机池设置控制是否在远程会话和本地设备之间重定向 WebAuthn 请求。 相应的 RDP 属性为 redirectwebauthn:i:<value>。 有关详细信息,请参阅支持的 RDP 属性

若要使用主机池 RDP 属性配置 WebAuthn 重定向,请执行以下操作:

  1. 登录到 Azure 门户

  2. 在搜索栏中,键入“Azure 虚拟桌面”,然后选择匹配的服务条目。

  3. 选择“主机池”,然后选择要配置的主机池

  4. 选择“RDP 属性”,然后选择“设备重定向”。

    显示 Azure 门户中“主机池设备重定向”选项卡的屏幕截图。

  5. 对于“WebAuthn 重定向”,请选择下拉列表,然后选择以下选项之一:

    • 远程会话中的 WebAuthn 请求不会重定向到本地计算机
    • 远程会话中的 WebAuthn 请求将重定向到本地计算机(默认)
    • 未配置
  6. 选择“保存”。

  7. 若要测试配置,请按照测试 WebAuthn 重定向中的步骤操作。

使用组策略配置 WebAuthn 重定向

使用组策略配置 WebAuthn 重定向

选择方案的相关选项卡。

若要使用组策略启用或禁用 WebAuthn 重定向,请执行以下操作:

  1. 在你用于管理 Active Directory 域的设备上打开“组策略管理”控制台。

  2. 创建或编辑面向提供你要配置的远程会话的计算机的策略。

  3. 导航到“计算机配置”>“策略”>“管理模板”>“Windows 组件”>“远程桌面服务”>“远程桌面会话主机”>“设备和资源重定向”。

    显示组策略编辑器中的设备和资源重定向选项的屏幕截图。

  4. 双击“不允许 WebAuthn 重定向”策略设置将其打开。

    • 若要启用 WebAuthn 重定向,请选择“已禁用”或“未配置”,然后选择“确定”。

    • 若要禁用 WebAuthn 重定向,请选择“已启用”,然后选择“确定”。

  5. 确保将策略应用于提供远程会话的计算机,然后重启这些计算机,使设置生效。

测试 WebAuthn 重定向

如果要在启用 WebAuthn 重定向后测试它:

  1. 如果使用的是 USB 安全密钥,请先确保已插入。

  2. 在支持 WebAuthn 重定向的平台上,使用 Windows 应用或远程桌面应用连接到远程会话。 有关详细信息,请参阅跨平台和设备比较 Windows 应用功能跨平台和设备比较远程桌面应用功能

  3. 在远程会话中,在使用 WebAuthn 身份验证的 InPrivate 窗口中打开一个网站,例如 https://windows.cloud.microsoft/ 处的 Windows App for Web 浏览器。

  4. 按照登录过程操作。 当使用 Windows Hello 企业版或安全密钥进行身份验证时,你应该会看到一个完成身份验证的 Windows 安全提示,如下图所示(使用 Windows 本地设备时)。

    Windows 安全提示出现在本地设备上,并覆盖了远程会话,表明 WebAuthn 重定向正在运行。

    显示从远程会话到本地设备的 WebAuthn 请求的屏幕截图。