Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Du kan hantera om lokala resurser som kameror, mikrofoner, lagring och Urklipp omdirigeras till en fjärrsession från Azure Virtual Desktop, Windows 365 och Microsoft Dev Box. Innan du kan göra detta är det en förutsättning att kräva lokal enhetssäkerhetsefterlevnad för att hantera inställningar för omdirigering av lokala enheter. För mer information, se Krav på säkerhetsefterlevnad för lokala klientenheter med Microsoft Intune och Microsoft Entra villkorad åtkomst.
På hög nivå hanterar du omdirigeringsinställningar för Windows App på en klientenhet med hjälp av Intune-appkonfigurationsprinciper. Dessa principer fungerar tillsammans med Intune-appskyddsprinciper och principer för villkorsstyrd åtkomst som redan har konfigurerats när lokala klientenheters säkerhetsefterlevnad krävs. Du kan använda filter för att rikta in dig på användare och enheter baserat på specifika kriterier.
I kombination med krav på lokal enhetssäkerhetsefterlevnad kan du uppnå följande scenarier:
Tillämpa omdirigeringsinställningar på en mer detaljerad nivå baserat på kriterier som du anger. Du kanske till exempel vill ha olika inställningar beroende på vilken säkerhetsgrupp en användare befinner sig i, vilket operativsystem de använder eller om användarna använder både företags- och personliga enheter för att komma åt en fjärrsession.
Ge ett extra skydd mot felkonfigurerad omdirigering på värdpoolen eller sessionsvärden.
Använd extra säkerhetsinställningar för Windows-appen och fjärrskrivbordsappen, till exempel kräva en PIN-kod, blockera tangentbord från tredje part och begränsa åtgärderna klipp ut, kopiera och klistra in mellan andra appar på klientenheten.
Om omdirigeringsinställningarna på en klientenhet är i konflikt med värdpoolens RDP-egenskaper och sessionsvärden för Azure Virtual Desktop eller Cloud PC för Windows 365 börjar den mer restriktiva inställningen mellan de två gälla. Om sessionsvärden till exempel inte tillåter omdirigering av enheter och klientenheten tillåter omdirigering av enheter, tillåts inte omdirigering av enheter. Om omdirigeringsinställningarna på sessionsvärden och klientenheten båda är desamma är omdirigeringsbeteendet konsekvent.
Viktigt!
Att konfigurera omdirigeringsinställningar på en klientenhet ersätter inte korrekt konfiguration av värdpooler och sessionsvärdar baserat på dina krav. Att använda Microsoft Intune för att konfigurera Windows-appen och fjärrskrivbordsappen kanske inte lämpar sig för arbetsbelastningar som kräver en högre säkerhetsnivå.
Arbetsbelastningar med högre säkerhetskrav bör fortsätta att ange omdirigering på värdpoolen eller sessionsvärden, där alla användare av värdpoolen skulle ha samma omdirigeringskonfiguration. En DLP-lösning (Data Loss Protection) rekommenderas och omdirigering bör inaktiveras på sessionsvärdar när det är möjligt för att minimera risken för dataförlust.
Exempelscenario
Här är ett exempelscenario där användare i en grupp tillåts omdirigering av enheter när de ansluter från sina Windows-företagsenheter, men omdirigering av enheter tillåts inte på företagets iOS/iPadOS- eller Android-företagsenhet.
De värden som du anger i filter och principer beror på dina krav, så du måste bestämma vad som är bäst för din organisation.
För att uppnå det här scenariot:
Kontrollera att dina sessionsvärdar och värdpooler, molndatorer eller utvecklingslådor är konfigurerade för att tillåta omdirigering av enheter.
Skapa två filter:
- En för hanterade appar för hanterade iOS/iPadOS-enheter.
- En för hanterade appar för hanterade Android-enheter.
Skapa två appskyddsprinciper, en för iOS/iPadOS och en för Android.
Skapa tre appkonfigurationsprinciper:
- iOS/iPadOS:
- En princip för hanterade enheter för att identifiera det registrerade användarkontot och enhets-ID:t.
- En policy för hanterade appar med diskomdirigering inaktiverad. Tilldela filtret för iOS/iPadOS som skapades i steg 2.
- Android: en för hanterade appar för Android-enheter med enhetsomdirigering inaktiverad. Tilldela filtret för Android som skapades i steg 2.
- iOS/iPadOS:
Förutsättningar
Innan du kan konfigurera omdirigeringsinställningar på en lokal klientenhet med intune och villkorlig åtkomst behöver du:
Slutför stegen i Kräv lokal klientenhetssäkerhetsefterlevnad med Microsoft Intune och Microsoft Entra Conditional Access. Alla förutsättningar i den artikeln gäller även för den här artikeln.
Det finns fler Krav för Intune för att konfigurera appskyddsprinciper och principer för villkorsstyrd åtkomst. Mer information finns i:
Skapa en appkonfigurationsprincip för iOS/iPadOS-hanterade enheter
För iOS/iPadOS-enheter som endast hanteras måste du skapa en appkonfigurationsprincip för hanterade enheter för Windows App. Det här steget är inte nödvändigt för Android.
Viktigt!
För iOS/iPadOS krävs extra appkonfigurationsinställningar för att enhetshanteringstypen ska tillämpas på Intune-hanterade enheter. Mer information finns i Enhetshanteringstyper.
Från och med Intunes tjänstversion i september (2409) skickas konfigurationsvärdena IntuneMAMUPN, IntuneMAMOID och IntuneMAMDeviceID app automatiskt till hanterade program på Intune-registrerade iOS/iPadOS-enheter för vissa appar, inklusive Windows App.
Om du vill skapa och tillämpa en appkonfigurationsprincip för hanterade enheter följer du stegen i Lägg till appkonfigurationsprinciper för hanterade iOS/iPadOS-enheter och använder följande inställningar:
På fliken Grundläggande inställningar väljer du Windows App Mobile i listan för målappen. Du måste ha lagt till appen i Intune från App Store för att den ska visas i den här listan.
På fliken Inställningar går du till listrutan Format för konfigurationsinställningar och väljer Använd konfigurationsdesigner och anger sedan följande inställningar exakt som visas:
Konfigurationsnyckel Värdetyp Konfigurationsvärde IntuneMAMUPNSträng {{userprincipalname}}IntuneMAMOIDSträng {{userid}}IntuneMAMDeviceIDSträng {{deviceID}}På fliken Tilldelningar tilldelar du principen till den säkerhetsgrupp som innehåller de användare som principen ska tillämpas på. Du måste tillämpa principen på en grupp användare för att principen ska börja gälla. För varje grupp kan du välja ett filter som ska vara mer specifikt i appkonfigurationsprincipens mål.
Skapa en appkonfigurationsprincip för hanterade appar
Vi rekommenderar att du skapar en separat appkonfigurationsprincip för hanterade appar för iOS/iPadOS och Android eftersom funktionerna för appkonfigurationsprinciper kan ändras över tid mellan plattformarna.
Skapa extra appkonfigurationsprinciper efter behov om omdirigeringskraven skiljer sig mellan användargrupper. Du kan till exempel blockera omdirigering av enheter för ekonomianvändare och blockera omdirigering av enheter och urklipp för marknadsföringsanvändare.
Om du vill skapa och tillämpa en appkonfigurationsprincip för hanterade appar följer du stegen i Appkonfigurationsprinciper för Intune App SDK-hanterade appar och använder följande inställningar:
På fliken Grundläggande väljer du Välj offentliga appar, söker efter och väljer Windows-app och väljer sedan Välj. Endast för Android anger du Fjärrskrivbord i stället om Windows-appen inte visas ännu. Detta beror på tidpunkten för Intune-distributionen. Båda apparna använder samma paket-ID
com.microsoft.rdc.androidx, så appkonfigurationsprinciper gäller för båda apparna oavsett vilket appnamn du ser i Intune-konsolen.På fliken Inställningar expanderar du Allmänna konfigurationsinställningar och anger sedan följande namn och värdepar för varje omdirigeringsinställning som du vill konfigurera exakt som det visas. Dessa värden motsvarar RDP-egenskaperna som anges i RDP-egenskaper som stöds, men syntaxen är annorlunda:
Namn Beskrivning Värde audiocapturemodeAnger om omdirigering av ljudindata är aktiverat. 0: Ljudinspelning från den lokala enheten är inaktiverad.
1: Ljudinspelning från den lokala enheten och omdirigering till ett ljudprogram i fjärrsessionen är aktiverat.camerastoredirectAvgör om kameraomdirigering är aktiverat. 0: Kameraomdirigering är inaktiverat.
1: Kameraomdirigering är aktiveratdrivestoredirectAvgör om omdirigering av diskenheter är aktiverat. 0: Omdirigering av diskenheter är inaktiverat.
1: Omdirigering av diskenheter är aktiverat.redirectclipboardAvgör om omdirigering av Urklipp är aktiverat. 0: Omdirigering av urklipp på den lokala enheten är inaktiverad under fjärrsessionen.
1: Omdirigering av urklipp på den lokala enheten är aktiverad i fjärrsessionen.Här är ett exempel på hur inställningarna ska se ut:
På fliken Tilldelningar tilldelar du principen till den säkerhetsgrupp som innehåller de användare som principen ska tillämpas på. Du måste tillämpa principen på en grupp användare för att principen ska börja gälla. För varje grupp kan du välja ett filter som ska vara mer specifikt i appkonfigurationsprincipens mål.
Kontrollera konfigurationen
Nu när du har konfigurerat Intune och villkorlig åtkomst för att hantera omdirigering av enheter för Windows App kontrollerar du att omdirigeringskonfigurationen fungerar som förväntat genom att ansluta till en fjärrsession. Du bör kontrollera från både en hanterad och/eller ohanterad enhet för varje plattform, beroende på vilka principer du har konfigurerat.