Управление параметрами перенаправления приложений Windows с помощью Microsoft Intune

Вы можете управлять тем, будут ли локальные ресурсы, такие как камеры, микрофоны, хранилище и буфер обмена перенаправлены в удаленный сеанс из Виртуального рабочего стола Azure, Windows 365 и Microsoft Dev Box. Прежде чем это сделать, требование соответствия безопасности локального устройства является обязательным условием для управления параметрами перенаправления локальных устройств. Дополнительные сведения см. в статье Требование обеспечения безопасности локального клиентского устройства с помощью Microsoft Intune и условного доступа Microsoft Entra.

На высоком уровне вы управляете параметрами перенаправления для приложения Windows на клиентском устройстве с помощью политик конфигурации приложений Intune. Эти политики работают вместе с политиками защиты приложений Intune и политиками условного доступа , которые уже были настроены при необходимости соответствия безопасности локального клиентского устройства. Фильтры можно использовать для целевых пользователей и устройств на основе определенных критериев.

Пример сценария

Ниже приведен пример сценария, в котором пользователям в группе разрешено перенаправление дисков при подключении с корпоративного устройства Windows, но перенаправление дисков запрещено на корпоративном устройстве iOS или iPadOS или Android.

Значения, указанные в фильтрах и политиках, зависят от ваших требований, поэтому необходимо определить, что лучше всего подходит для вашей организации.

Чтобы достичь этого сценария, выполните указанные ниже действия.

1. Убедитесь, что параметры узлов сеансов и пулов узлов, а также облачные ПК или среды для разработки настроены для разрешения перенаправления дисков.

2. Создайте два фильтра:

   1. Один из управляемых приложений для управляемых устройств iOS/iPadOS.
   2. Одно управляемое приложение для управляемых устройств Android.

3. Создайте две политики защиты приложений, одну для iOS/iPadOS и одну для Android.

4. Создайте три политики конфигурации приложения:

   1. iOS/iPadOS:
      1. Одна политика управляемых устройств для идентификации зарегистрированной учетной записи пользователя и идентификатора устройства.
      2. Одна политика управляемых приложений с отключенным перенаправлением диска. Назначьте фильтр для iOS/iPadOS, созданного на шаге 2.
   2. Android: один для управляемых приложений для устройств Android с отключенным перенаправлением дисков. Назначьте фильтр для Android, созданный на шаге 2.

Предпосылки

Прежде чем настроить параметры перенаправления на локальном клиентском устройстве с помощью Intune и условного доступа, вам потребуется:

• Чтобы выполнить шаги, описанные в разделе "Обеспечение соответствия безопасности локальных клиентских устройств требованиям с помощью Microsoft Intune и Microsoft Entra Conditional Access". Все предварительные требования, указанные в этой статье, относятся и к этой статье.

• Существуют дополнительные предварительные требования Intune для настройки политик защиты приложений и политик условного доступа. Дополнительные сведения можно найти здесь

  • Используйте политики условного доступа на основе приложений с Intune.

Создание политики конфигурации приложений для управляемых устройств iOS/iPadOS

Для устройств iOS/iPadOS, управляемых только, необходимо создать политику конфигурации приложений для управляемых устройств для приложения Windows. Этот шаг не нужен для Android.

Чтобы создать и применить политику конфигурации приложений для управляемых устройств, выполните действия, описанные в разделе "Добавление политик конфигурации приложений для управляемых устройств iOS/iPadOS" и используйте следующие параметры:

• На вкладке "Основные сведения" для целевого приложения выберите Windows App Mobile из списка. Необходимо добавить приложение в Intune из App Store , чтобы он отображался в этом списке.

• На вкладке "Параметры" в раскрывающемся списке "Параметры конфигурации" выберите "Использовать конструктор конфигураций", а затем введите следующие параметры, как показано ниже:

  Ключ конфигурации	Тип значения	Параметр конфигурации
  IntuneMAMUPN	Струна	{{userprincipalname}}
  IntuneMAMOID	Струна	{{userid}}
  IntuneMAMDeviceID	Струна	{{deviceID}}

• На вкладке "Назначения" назначьте политику группе безопасности, содержащей пользователей для применения политики. Чтобы политика вступила в силу, необходимо применить политику к группе пользователей. Для каждой группы можно выбрать фильтр, который будет более конкретным в целевой политике конфигурации приложения.

Создание политики конфигурации приложений для управляемых приложений

Мы рекомендуем создать отдельную политику конфигурации приложений для управляемых приложений для iOS/iPadOS и Android, так как возможности политики конфигурации приложений могут меняться со временем между платформами.

При необходимости создайте дополнительные политики конфигурации приложений, если требования к перенаправлению устройств отличаются между группами пользователей. Например, блокировать перенаправление дисков для пользователей из Финансового отдела и блокировать перенаправление дисков и буфера обмена для пользователей из отдела Маркетинга.

Чтобы создать и применить политику конфигурации приложений для управляемых приложений, выполните действия, описанные в политиках конфигурации приложений для управляемых приложений Intune, и используйте следующие параметры:

• На вкладке "Основные сведения" выберите "Выбрать общедоступные приложения", найдите и выберите приложение Windows, а затем нажмите кнопку "Выбрать". Только для Android, если приложение Windows еще не отображается, введите вместо него удаленный рабочий стол . Это связано с временем развертывания Intune. Оба приложения используют один и тот же идентификатор com.microsoft.rdc.androidxпакета, поэтому политики конфигурации приложений применяются к обоим приложениям независимо от имени приложения, которое вы видите в консоли Intune.

• На вкладке "Параметры" разверните общие параметры конфигурации, а затем введите следующие пары имен и значений для каждого параметра перенаправления, который вы хотите настроить точно так же, как показано ниже. Эти значения соответствуют свойствам RDP, перечисленным в поддерживаемых свойствах RDP, но синтаксис отличается:

  Имя	Описание	Ценность
  audiocapturemode	Указывает, включено ли перенаправление ввода звука.	0: звукозапись с локального устройства отключена. 1: запись звука с локального устройства и перенаправление в звуковое приложение в удаленном сеансе включена.
  camerastoredirect	Определяет, включена ли перенаправление камеры.	0: перенаправление камеры отключено. 1: включено перенаправление камеры
  drivestoredirect	Определяет, включено ли перенаправление дисковода.	0: перенаправление диска отключено. 1: включен перенаправление диска.
  redirectclipboard	Определяет, включено ли перенаправление буфера обмена.	0: перенаправление буфера обмена на локальном устройстве отключено в удаленном сеансе. 1: перенаправление буфера обмена на локальном устройстве включено в удаленном сеансе.

  Ниже приведен пример того, как должны выглядеть параметры:

  

• На вкладке "Назначения" назначьте политику группе безопасности, содержащей пользователей для применения политики. Чтобы политика вступила в силу, необходимо применить политику к группе пользователей. Для каждой группы можно выбрать фильтр, который будет более конкретным в целевой политике конфигурации приложения.

Проверка конфигурации

Теперь, когда вы настроили Intune и условный доступ для управления перенаправлением устройств для приложения Windows, убедитесь, что конфигурация перенаправления работает должным образом, подключившись к удаленному сеансу. Необходимо проверить как управляемое, так и неуправляемое устройство для каждой платформы в зависимости от настроенных политик.