Azure Virtual Desktop 现在支持基于上下文的重定向公开预览,引入基于用户身份、设备合规性和网络条件的剪贴板、驱动器、打印机和 USB 重定向行为的动态、服务器端控制。此更新从根本上改变了组织在混合和 BYOD 环境中应对数据外泄预防的方式——用在连接时评估的精细、会话感知决策取代静态的、主机池范围的重定向策略。
以下是此功能的作用、工作原理以及为何它是今年最重要的 AVD 安全更新之一。
变化所在:从静态到动态重定向控制
到目前为止,Azure Virtual Desktop 重定向策略有一个二元限制:它们统一应用于连接到给定主机池的每个人。如果剪贴板复制粘贴被阻止,它就对每个设备上的每个用户都阻止——合规的企业笔记本电脑和个人 BYOD 手机一样。替代方案——为托管和非托管设备维护单独的主机池——引入了许多组织认为不切实际的运营开销和用户管理复杂性。
基于上下文的重定向通过在会话级引入身份验证上下文评估来解决此问题。IT 管理员现在可以定义适应每个连接信任级别的重定向策略:
- 合规的、托管的企业设备 — 正常允许重定向
- 非托管 BYOD 或不合规设备 — 限制或阻止重定向
- 不同用户角色 — 承包商和合作伙伴可能看到与全职员工不同的重定向行为
逻辑在每次连接尝试时由服务器端评估,使用 Microsoft Entra 条件访问身份验证上下文作为策略引擎。
技术架构
该功能通过一个直接的三层工作流运行:
条件访问身份验证上下文 — 管理员在 Microsoft Entra ID 中创建条件访问策略,定义身份验证上下文,如"要求合规设备"或"要求托管设备"。此策略分配给用户组并指定满足身份验证上下文的条件。
主机池 RDP 属性绑定 — 在 Azure Virtual Desktop 主机池属性中,管理员在设备重定向选项卡中配置各个重定向(剪贴板、驱动器、打印机、USB)。管理员不选择二元启用/禁用切换,而是选择**“使用身份验证上下文动态配置”**并选择适当的身份验证上下文。
运行时评估 — 当用户连接到主机池时,Azure Virtual Desktop 评估身份验证上下文。如果设备满足条件访问策略(例如,已 Intune 注册、合规且健康),则允许重定向。如果不满足,则限制或阻止重定向。
结果:一个主机池服务两类人群,具有不同重定向行为,无需客户端配置,无需额外的会话主机管理。
为什么这对企业 IT 重要
BYOD 不再妥协
BYOD 一直是 AVD 部署的紧张点。组织希望支持个人设备以获得灵活性和成本节约,但来自非托管设备上不受限制重定向的数据外泄风险是不可接受的。标准解决方案——阻止一切——会降低托管设备用户的体验,他们无法选择进入更高信任。
基于上下文的重定向消除了这种权衡。组织现在可以:
- 为企业托管设备允许剪贴板复制粘贴,同时阻止 BYOD 连接
- 为拥有合规硬件的办公桌工作人员启用 USB 重定向,同时限制个人笔记本电脑上的远程工作者
- 仅从合规的、加入域的端点授予驱动器重定向,同时阻止来自非托管个人设备的访问
全部来自单一主机池,使用单一会话主机映像集。
与 Microsoft 零信任策略对齐
此功能是零信任原则"从不信任,始终验证,强制最小权限"的直接延伸。早期 AVD 安全更新(2025 年 7 月默认重定向锁定、令牌保护 GA)专注于静态加固,基于上下文的重定向引入动态信任评估。
它还代表了先前独立的 Microsoft 安全投资的汇聚:
| 安全层 | 之前的方法 | 基于上下文的重定向后 |
|---|---|---|
| 身份 | Microsoft Entra 条件访问(仅身份验证) | CA 扩展到会话行为 |
| 设备 | Intune 合规策略(设备管理) | 合规状态控制重定向能力 |
| 网络 | 条件访问位置策略(可以从哪里连接?) | 网络信任级别影响您可以做什么 |
| 会话 | 静态 RDP 属性(对所有人统一) | 每连接动态 RDP 评估 |
减少支持和运营负担
运营影响不应被低估。以前运营多个主机池以分隔托管和非托管设备的组织现在可以整合。更少的主机池意味着:
- 减少映像管理开销
- 通过更少的应用组简化应用分配
- 降低监控和告警复杂性
- BYOD 用户更快入职
组织应该做什么
1. 审查您当前的重定向策略
审计您现有的重定向策略。识别出于安全原因已禁用重定向的主机池,评估基于上下文的控制是否能让您为合规设备重新启用它们。这对服务混合企业 BYOD 用户群体的主机池尤为相关。
2. 确保许可证到位
基于上下文的重定向需要条件访问身份验证上下文,可在 Microsoft Entra ID P1 或 P2 中获得。验证您的租户许可支持您计划实施的策略。
3. 规划您的身份验证上下文架构
在启用功能之前设计身份验证上下文。典型结构可能包括:
- “AVD-CompliantDevice” — 要求 Intune 注册 + 合规
- “AVD-ManagedDevice” — 要求混合 AD 加入或 Entra 加入
- “AVD-TrustedLocation” — 要求企业网络或受信任 IP 范围
每个上下文映射到特定的重定向允许范围。保持上下文数量可控以避免策略蔓延。
4. 先在验证主机池中实施
在生产推广之前在验证或试点环境中测试该功能。从合规和不合规设备验证每种重定向类型的行为。Microsoft 文档提供涵盖剪贴板、驱动器、打印机和 USB 测试的详细验证指南。
5. 与用户沟通
BYOD 用户将体验到与企业设备用户不同的功能——剪贴板限制、文件传输限制和打印机可用性差异。主动沟通防止混淆和支持工单。考虑发布一个简单矩阵,显示每种设备类型能做什么和不能做什么。
6. 监控和迭代
使用 Azure Virtual Desktop Insights 监控连接模式和重定向行为。关注:
- 与缺失重定向相关的支持工单
- 影子 IT 变通方案(用户利用第三方工具)
- 对额外合规路径或异常处理的请求
哪些没有变化
- 现有 RDP 属性配置保持不变——基于上下文的重定向按重定向类型可选启用
- 2025 年 7 月默认重定向锁定(默认为新主机池禁用重定向)未改变——这是补充能力,不是替代
- 客户端重定向强制(组策略和 Intune 设置目录)仍独立运行,可覆盖或补充服务器端控制
- 非 Windows 客户端——基于上下文的重定向在 Windows、Web、Android、iOS 和 macOS Windows App 客户端上受支持
- 面向美国政府的 AVD—此功能在政府云中的可用性时间表尚未公布
- 成本——此功能无额外 Azure Virtual Desktop 成本(标准许可和条件访问 P1/P2 许可适用)
更大格局
基于上下文的重定向代表了 Azure Virtual Desktop 安全故事的成熟点。该平台的安全之旅经历了三个阶段:
**阶段 1 — 基线加固(2024–2025):**默认重定向锁定(2025 年 7 月)、强制 TLS 1.2+、令牌保护 GA 和 RDP Shortpath 安全改进。这些是统一应用的广泛、静态安全控制。
**阶段 2 — 条件访问汇聚(2025–2026):**AVD 连接的 Microsoft Entra 登录频率、浏览器中 Windows App 的 MAM 支持,以及现在的基于上下文的重定向。Microsoft 的身份和安全基础设施日益扩展到远程桌面会话层。
**阶段 3 — 自适应安全(预期中):**轨迹指向真正自适应的会话安全——根据用户行为异常检测、风险评分和威胁情报源实时调整的策略。基于上下文的重定向是此演进的基础。
对于评估 AVD 作为主要劳动力平台的组织,此更新解决了一个长期关注:“如何在不降低托管设备体验的情况下安全处理 BYOD 访问?“答案现在已在公开预览中提供。
需要帮助导航 Azure Virtual Desktop 变化? Big Hat Group 帮助组织设计、部署和管理 AVD 环境——包括重定向策略、条件访问策略架构和 BYOD 安全规划。联系我们评估基于上下文的重定向如何加强您的 AVD 安全态势。
Big Hat Group 是 Microsoft 合作伙伴,专注于 Azure Virtual Desktop、现代端点管理和 Microsoft 365 部署。