Azure Virtual Desktop 現已支援情境式重新導向(公開預覽),引入依據使用者身分、裝置合規性與網路條件,在伺服器端動態控制剪貼簿、磁碟機、印表機與 USB 重新導向行為的能力。此更新從根本上改變了組織在混合式與 BYOD 環境中防範資料外洩的方式 — 以在連線時評估的細緻、具工作階段感知能力的決策,取代了靜態、主機集區層級的重新導向政策。

以下是此功能的作用、運作方式,以及為何它是今年最重要的 AVD 安全更新之一。


變更內容:從靜態到動態重新導向控制

迄今為止,Azure Virtual Desktop 重新導向政策存在一個二分法限制:對連線到某個主機集區的所有人一律套用相同設定。若剪貼簿複製貼上被封鎖,則在所有裝置上的每位使用者都會被封鎖 — 無論是合規的公司筆電還是個人 BYOD 手機皆然。替代方案 — 為受管理與未受管理裝置維護各自獨立的主機集區 — 帶來了許多組織認為不切實際的營運負荷與使用者管理複雜度。

情境式重新導向透過在工作階段層級引入驗證情境評估來解決此問題。IT 系統管理員現在可以定義能夠適應每次連線信任層級的重新導向政策:

  • 合規、受管理的公司裝置 — 正常允許重新導向
  • 未受管理的 BYOD 或不合規裝置 — 限制或封鎖重新導向
  • 不同的使用者角色 — 承包商與合作夥伴可能會看到與全職員工不同的重新導向行為

此邏輯在每次連線嘗試時於伺服器端評估,並以 Microsoft Entra Conditional Access 驗證情境作為政策引擎。

技術架構

此功能透過直接的三層工作流程運作:

  1. Conditional Access 驗證情境 — 系統管理員在 Microsoft Entra ID 中建立 Conditional Access 政策,定義驗證情境,例如「需要合規裝置」或「需要受管理裝置」。此政策會指派給使用者群組,並指定滿足驗證情境的條件。

  2. 主機集區 RDP 屬性繫結 — 在 Azure Virtual Desktop 主機集區屬性中,系統管理員在 Device redirection 索引標籤設定個別重新導向(剪貼簿、磁碟機、印表機、USB)。系統管理員不再選擇二分法的啟用/停用切換,而是選取 “Dynamically configure using authentication context” 並選擇適當的驗證情境。

  3. 執行階段評估 — 當使用者連線到主機集區時,Azure Virtual Desktop 會評估驗證情境。若裝置滿足 Conditional Access 政策(例如已 Intune 註冊、合規且健康),則允許重新導向。若不滿足,則限制或封鎖重新導向。

結果:一個主機集區同時服務兩種群體並呈現不同的重新導向行為,無需任何用戶端設定,也不需額外的工作階段主機管理。


為何這對企業 IT 至關重要

BYOD 不再需要妥協

BYOD 一直是 AVD 部署的緊張點。組織希望支援個人裝置以提升彈性並節省成本,但未受管理裝置上未受限制的重新導向所帶來的資料外洩風險令人無法接受。標準解決方案 — 全面封鎖 — 會損害受管理裝置使用者的體驗,他們無法選擇進入較高信任層級。

情境式重新導向消除了此取捨。組織現在可以:

  • 允許公司受管理裝置的剪貼簿複製貼上,同時封鎖 BYOD 連線的剪貼簿
  • 為配備合規硬體的桌面工作者啟用 USB 重新導向,同時限制個人筆電上的遠端工作者
  • 僅允許合規、已加入網域端點的磁碟機重新導向,同時封鎖未受管理個人裝置的磁碟機重新導向

全部來自單一主機集區與單一組工作階段主機映像。

與 Microsoft Zero Trust 策略一致

此功能是 Zero Trust 原則「永不信任、始終驗證、強制最小權限」的直接延伸。早期 AVD 安全更新(2025 年 7 月預設重新導向鎖定、權杖保護 GA)專注於靜態強化,而情境式重新導向則引入動態信任評估。

它也代表了先前各自獨立的 Microsoft 安全投資的匯流:

安全層先前做法搭配情境式重新導向
身分識別Microsoft Entra Conditional Access(僅驗證)CA 延伸至工作階段行為
裝置Intune 合規政策(裝置管理)合規狀態決定重新導向能力
網路Conditional Access 位置政策(可從何處連線?)網路信任層級影響可執行的操作
工作階段靜態 RDP 屬性(對所有人一致)依連線動態評估 RDP

降低支援與營運負擔

營運影響不應被低估。先前透過操作多個主機集區來區分受管理與未受管理裝置的組織,現在可以進行整合。較少的主機集區意味著:

  • 降低映像管理負荷
  • 透過較少的應用程式群組簡化應用程式指派
  • 降低監控與警示複雜度
  • 加速 BYOD 使用者上線

組織應採取的行動

1. 檢視您目前的重新導向策略

稽核您現有的重新導向政策。找出您因安全因素而停用重新導向的主機集區,並評估情境式控制是否允許您為合規裝置重新啟用重新導向。這對於服務公司與 BYOD 使用者混合群體的主機集區尤為相關。

2. 確保授權已就位

情境式重新導向需要 Conditional Access 驗證情境,其提供於 Microsoft Entra ID P1 或 P2。確認您的租用戶授權支援您計劃實作的政策。

3. 規劃您的驗證情境架構

在啟用此功能前設計您的驗證情境。典型結構可能包含:

  • “AVD-CompliantDevice” — 需要 Intune 註冊 + 合規
  • “AVD-ManagedDevice” — 需要混合式 AD Join 或 Entra Join
  • “AVD-TrustedLocation” — 需要公司網路或信任的 IP 範圍

每個情境對應至特定的重新導向允許範圍。保持情境數量可控,以避免政策蔓延。

4. 先在驗證主機集區中實作

在正式環境推行前,先在驗證或試點環境中測試此功能。針對每種重新導向類型,從合規與不合規裝置驗證行為。Microsoft 文件提供了涵蓋剪貼簿、磁碟機、印表機與 USB 測試的詳細驗證指引。

5. 與使用者溝通

BYOD 使用者將體驗到與公司裝置使用者不同的功能 — 剪貼簿限制、檔案傳輸限制與印表機可用性差異。主動溝通可避免混淆與支援工單。考慮發布一份簡單的對照表,顯示每種裝置類型可執行與無法執行的操作。

6. 監控並反覆調整

使用 Azure Virtual Desktop Insights 監控連線模式與重新導向行為。注意:

  • 與缺少重新導向相關的支援工單
  • 影子 IT 變通做法(使用者利用第三方工具)
  • 對額外合規路徑或例外處理的要求

未變更的部分

  • 現有 RDP 屬性設定保持不變 — 情境式重新導向依重新導向類型選擇啟用
  • 2025 年 7 月預設重新導向鎖定(預設為新主機集區停用重新導向)不變 — 此為互補能力,而非取代
  • 用戶端重新導向強制執行(群組政策與 Intune 設定目錄)仍獨立運作,並可覆寫或補充伺服器端控制
  • 非 Windows 用戶端 — 情境式重新導向支援 Windows、Web、Android、iOS 與 macOS Windows App 用戶端
  • AVD for US Government — 此功能在政府雲端的可用時間表尚未公布
  • 成本 — 此功能不額外收取 Azure Virtual Desktop 費用(適用標準授權與 Conditional Access P1/P2 授權)

更宏觀的視角

情境式重新導向代表了 Azure Virtual Desktop 安全性的成熟里程碑。該平台在安全旅程中歷經三個階段:

階段 1 — 基準強化(2024–2025): 預設重新導向鎖定(2025 年 7 月)、強制 TLS 1.2+、權杖保護 GA,以及 RDP Shortpath 安全改進。這些是一致套用的廣泛、靜態安全控制。

階段 2 — Conditional Access 匯流(2025–2026): AVD 連線的 Microsoft Entra 登入頻率、瀏覽器中 Windows App 的 MAM 支援,以及現在的情境式重新導向。Microsoft 的身分識別與安全基礎結構日益延伸至遠端桌面工作階段層。

階段 3 — 自適應安全(預期中): 發展方向指向真正的自適應工作階段安全 — 依據使用者行為異常偵測、風險分數與威脅情報摘要即時調整的政策。情境式重新導向是此演進的基礎。

對於評估 AVD 作為主要人力平台的組織,此更新解決了一項長期疑慮:「我們如何在不清弱受管理裝置體驗的情況下安全處理 BYOD 存取?」答案現已在公開預覽中提供。


需要協助掌握 Azure Virtual Desktop 變更嗎? Big Hat Group 協助組織設計、部署與管理 AVD 環境 — 包含重新導向策略、Conditional Access 政策架構與 BYOD 安全規劃。聯絡我們以評估情境式重新導向如何強化您的 AVD 安全態勢。

Big Hat Group 是 Microsoft 合作夥伴,專精於 Azure Virtual Desktop、現代化端點管理與 Microsoft 365 部署。