可以管理本地资源(如相机、麦克风、存储和剪贴板)是否从 Azure 虚拟桌面、Windows 365 和 Microsoft Dev Box 重定向到远程会话。 在执行此操作之前,要求本地设备满足安全合规性是管理本地设备重定向设置的必要条件。 有关详细信息,请参阅要求本地客户端设备符合 Microsoft Intune 和 Microsoft Entra 条件访问的安全合规性。
概括而言,使用 Intune 应用配置策略在客户端设备上管理 Windows 应用的重定向设置。 这些策略与 Intune 应用保护策略 和 条件访问策略 一起工作,这些策略在需要本地客户端设备安全符合性时已配置。 可以使用筛选器根据特定条件定位用户和设备。
结合需要确保本地设备符合安全标准,可以实现以下情景:
根据指定的条件,在更精细的级别应用重定向设置。 例如,你可能希望根据用户所在的安全组、所使用的设备的操作系统,或者用户同时使用公司设备和个人设备来访问远程会话而应用不同的设置。
针对主机池或会话主机上的错误配置重定向提供额外的保护层。
将额外的安全设置应用于 Windows 应用和远程桌面应用,例如,需要 PIN、阻止第三方键盘,以及限制客户端设备上的其他应用之间的剪切、复制和粘贴作。
如果客户端设备上的重定向设置与 Azure 虚拟桌面或适用于 Windows 365 的云电脑的主机池 RDP 属性和会话主机相冲突,则将应用两者之间限制性更高的设置。 例如,如果会话主机不允许驱动器重定向和允许驱动器重定向的客户端设备,则不允许进行驱动器重定向。 如果会话主机和客户端设备上的重定向设置相同,则重定向行为是一致的。
重要
在客户端设备上配置重定向设置不能替代根据要求正确配置主机池和会话主机。 使用 Microsoft Intune 配置 Windows App 和远程桌面应用可能不适合需要更高级别的安全性的工作负载。
具有较高安全要求的工作负载应继续在主机池或会话主机上设置重定向,其中主机池的所有用户具有相同的重定向配置。 建议使用数据丢失保护 (DLP) 解决方案,并应尽可能在会话主机上禁用重定向,以最大程度地减少数据丢失的机会。
示例方案
下面是一个示例场景:当从 Windows 企业设备连接时,允许组中的用户进行驱动器重定向,但在 iOS/iPadOS 或 Android 企业设备上则不允许驱动器重定向。
在筛选器和策略中指定的值取决于你的要求,因此你需要确定最适合你的组织的值。
若要实现此方案,请执行以下操作:
确保会话主机和主机池设置、云电脑或开发框配置为允许驱动器重定向。
创建两个筛选器:
- 一个用于托管 iOS/iPadOS 设备的托管应用。
- 一个用于托管 Android 设备的托管应用。
创建两个应用保护策略,一个用于 iOS/iPadOS,一个用于 Android。
创建三个应用配置策略:
- iOS/iPadOS:
- 一个托管设备策略,用于标识已注册的用户帐户和设备 ID。
- 一个禁用驱动器重定向的托管应用策略。 为步骤 2 中创建的 iOS/iPadOS 指定筛选器。
- Android:一个用于禁用驱动器重定向的 Android 设备的托管应用。 为步骤 2 中创建的 Android 分配筛选器。
- iOS/iPadOS:
先决条件
在使用 Intune 和条件访问在本地客户端设备上配置重定向设置之前,需要:
要完成要求本地客户端设备符合 Microsoft Intune 和 Microsoft Entra 条件访问的安全合规性中的步骤。 本文中的所有先决条件也适用于本文。
配置应用保护策略和条件访问策略时,还有更多 Intune 先决条件。 有关详细信息,请参见:
为 iOS/iPadOS 托管设备创建应用配置策略
对于仅托管的 iOS/iPadOS 设备,需要为 Windows 应用 托管设备创建应用配置策略 。 Android 不需要此步骤。
重要
对于 iOS/iPadOS,若要将设备管理类型强制实施到 Intune 托管设备,需要额外的应用配置设置。 有关详细信息,请参阅 设备管理类型。
从 Intune 的 9 月 (2409) 服务版本开始,IntuneMAMUPN、IntuneMAMOID 和 IntuneMAMDeviceID 应用配置值将自动发送到 Intune 注册的 iOS/iPadOS 设备上某些应用(包括 Windows 应用)的托管应用。
若要创建和应用适用于受管理设备的应用配置策略,请遵循添加适用于受管理 iOS/iPadOS 设备的应用配置策略中的步骤并使用以下设置:
在“ 基本信息 ”选项卡上,对于 目标应用,从列表中选择 Windows 应用移动 版。 需要 从 App Store 将应用添加到 Intune ,以便应用显示在此列表中。
在“设置”选项卡上,对于“配置设置格式”下拉列表,选择“使用配置设计器”,然后按如下所示输入以下设置:
配置键 值类型 配置值 IntuneMAMUPN字符串 {{userprincipalname}}IntuneMAMOID字符串 {{userid}}IntuneMAMDeviceID字符串 {{deviceID}}在“分配”选项卡上,将策略分配给包含要向其应用策略的用户的安全组。 必须将策略应用于用户组才能使策略生效。 对于每个组,可以选择一个筛选器,以便在确定应用配置策略目标时更具体。
为托管应用创建应用配置策略
建议为适用于 iOS/iPadOS 和 Android 的 托管应用创建单独的应用配置策略 ,因为应用配置策略功能可能会在平台之间随时间而变化。
如果设备重定向要求在用户组之间有所不同,请根据需要创建额外的应用配置策略。 例如,阻止财务用户的驱动器重定向,并阻止市场营销用户的驱动器和剪贴板重定向。
若要创建和应用适用于托管应用的应用配置策略,请遵循适用于 Intune App SDK 托管应用的应用配置策略中的步骤并使用以下设置:
在“ 基本信息 ”选项卡上,选择 “选择公共应用”,搜索并选择 “Windows 应用”,然后选择“ 选择”。 仅适用于 Android,如果 Windows 应用尚未为你显示,请改为输入 远程桌面 。 这是因为 Intune 部署时间安排。 这两个应用使用相同的包 ID
com.microsoft.rdc.androidx,因此,无论在 Intune 控制台中看到的应用名称如何,应用配置策略都适用于这两个应用。在“设置”选项卡上,展开“常规配置设置”,然后完全按所示内容为要配置的每个重定向设置输入以下名称和值对。 这些值对应于支持的 RDP 属性中列出的 RDP 属性,但语法不同:
名字 DESCRIPTION 价值 audiocapturemode指明是否已启用音频输入重定向。 0:禁用从本地设备进行音频捕获。
1:启用从本地设备进行音频捕获和重定向到远程会话中的音频应用程序。camerastoredirect确定是否启用了相机重定向。 0:摄像头重定向已禁用。
1:已启用相机重定向drivestoredirect确定是否启用了磁盘驱动器重定向。 0:禁用磁盘驱动器重定向。
1:启用磁盘驱动器重定向。redirectclipboard确定是否已启用剪贴板重定向。 0:在远程会话中禁用本地设备上的剪贴板重定向。
1:本地设备的剪贴板重定向功能在远程会话中已启用。下面是设置应如何显示的示例:
在“分配”选项卡上,将策略分配给包含要向其应用策略的用户的安全组。 必须将策略应用于用户组才能使策略生效。 对于每个组,可以选择一个筛选器,以便在确定应用配置策略目标时更具体。
验证配置
配置 Intune 和条件访问以管理 Windows 应用的设备重定向后,请通过连接到远程会话来验证重定向配置是否按预期工作。 根据您配置的策略,您应对每个平台的托管和/或非托管设备进行检查。