Verbinden mit einem PC, der Mitglied des Remote Azure Active Directory ist

Gilt für

  • Windows 10
  • Windows 11

Seit seiner Veröffentlichung unterstützt Windows 10 Remoteverbindungen mit PCs, die in Active Directory eingebunden sind. Ab Windows10, Version 1607, können Sie auch eine Verbindung zu einem Remotecomputer herstellen, der Mitglied einer Azure Active Directory (Azure AD)-Domäne ist. Ab Windows 10, Version 1809 können Sie biometrische Daten verwenden, um sich bei einer Remotedesktopsitzung zu authentifizieren.

Remotedesktopverbindungsclient.

Einrichtung

  • Auf beiden PCs (lokal und remote) muss Windows 10 Version 1607 oder höher ausgeführt werden. Remoteverbindungen mit einem in Azure AD eingebundenen PC, auf dem frühere Versionen von Windows 10 ausgeführt werden, werden nicht unterstützt.
  • Ihr lokaler PC (von dem aus Sie eine Verbindung herstellen) muss entweder in Azure AD oder hybrid in Azure AD eingebunden sein, wenn Windows 10, Version 1607 und höher, oder Azure AD registriert ist, wenn Windows 10, Version 2004 und höher, verwendet wird. Remoteverbindungen mit einem in Azure AD eingebundenen PC von einem nicht verbundenen Gerät oder einem nicht Windows 10 Gerät werden nicht unterstützt.
  • Der lokale PC und der Remote-PC müssen sich im selben Azure AD-Mandanten befinden. Azure AD B2B-Gäste werden für Remotedesktop nicht unterstützt.

Stellen Sie sicher, dass Remote Credential Guard, ein neues Feature in Windows 10 Version 1607, auf dem Client-PC, den Sie zum Herstellen einer Verbindung mit dem Remote-PC verwenden, deaktiviert ist.

  • Auf dem PC, mit dem Sie eine Verbindung herstellen möchten:

    1. Öffnen Sie die Systemeigenschaften für den Remote-PC.

    2. Aktivieren Sie Remoteverbindung mit diesem Computer zulassen , und wählen Sie Verbindungen nur von Computern zulassen, auf denen Remotedesktop mit Authentifizierung auf Netzwerkebene ausgeführt wird.

      Zulassen von Remoteverbindungen mit diesem Computer.

    3. Wenn der Benutzer, der den PC mit Azure AD verknüpft hat, der einzige benutzer ist, der eine Remoteverbindung herstellen wird, ist keine andere Konfiguration erforderlich. Damit mehr Benutzer oder Gruppen eine Verbindung mit dem PC herstellen können, müssen Sie Remoteverbindungen für die angegebenen Benutzer oder Gruppen zulassen. Benutzer können entweder manuell oder über MDM-Richtlinien hinzugefügt werden:

      • Manuelles Hinzufügen von Benutzern

        Sie können einzelne Azure AD-Konten für Remoteverbindungen angeben, indem Sie das folgende PowerShell-Cmdlet ausführen:

        net localgroup "Remote Desktop Users" /add "AzureAD\the-UPN-attribute-of-your-user"
        

        Dabei ist das UPN-attribut-of-your-user der Name des Benutzerprofils in C:\Users, das basierend auf dem DisplayName-Attribut in Azure AD erstellt wird.

        Um diesen PowerShell-Befehl ausführen zu können, müssen Sie Mitglied der lokalen Administratorgruppe sein. Andernfalls erhalten Sie einen Fehler wie im folgenden Beispiel:

        • für rein cloudbasierten Benutzer: "Es gibt keinen solchen globalen Benutzer oder eine solche Gruppe : Name"
        • für synchronisierten Benutzer: "Es gibt keinen solchen globalen Benutzer oder eine solche Gruppe : Name"

        Hinweis

        Bei Geräten, auf denen Windows 10 Version 1703 oder früher ausgeführt wird, muss sich der Benutzer zuerst beim Remotegerät anmelden, bevor er eine Remoteverbindung versucht.

        Ab Windows 10 Version 1709 können Sie der Gruppe Administratoren auf einem Gerät unter Einstellungen weitere Azure AD-Benutzer hinzufügen und Remoteanmeldeinformationen auf Administratoren beschränken. Wenn ein Problem beim Herstellen einer Remoteverbindung besteht, stellen Sie sicher, dass beide Geräte mit Azure AD verknüpft sind und dass TPM auf beiden Geräten ordnungsgemäß funktioniert.

      • Hinzufügen von Benutzern mithilfe einer Richtlinie

        Ab Windows 10 Version 2004 können Sie den Remotedesktopbenutzern Benutzer mithilfe von MDM-Richtlinien hinzufügen, wie unter Verwalten der lokalen Administratorgruppe auf in Azure AD eingebundenen Geräten beschrieben.

        Tipp

        Wenn Sie eine Verbindung mit dem Remote-PC herstellen, geben Sie ihren Kontonamen im folgenden Format ein: AzureAD\yourloginid@domain.com.

        Hinweis

        Wenn Sie keine Verbindung mit Remotedesktopverbindung 6.0 herstellen können, müssen Sie die neuen Features von RDP 6.0 deaktivieren und zu RDP 5.0 zurückkehren, indem Sie einige Änderungen an der RDP-Datei vornehmen. Weitere Informationen finden Sie in diesem Supportartikel.

Unterstützte Konfigurationen

In der folgenden Tabelle sind die unterstützten Konfigurationen für die Remoteverbindung mit einem in Azure AD eingebundenen PC aufgeführt:

Kriterien RDP von einem bei Azure AD registrierten Gerät RDP von einem in Azure AD eingebundenen Gerät RDP von einem in Azure AD hybrid eingebundenen Gerät
Clientbetriebssysteme Windows 10, Version 2004 und höher Windows 10, Version 1607 und höher Windows 10, Version 1607 und höher
Unterstützte Anmeldeinformationen Kennwort, Smartcard Kennwort, Smartcard, Windows Hello for Business Zertifikatvertrauensstellung Kennwort, Smartcard, Windows Hello for Business Zertifikatvertrauensstellung

Hinweis

Wenn auf dem RDP-Client Windows Server 2016 oder Windows Server 2019 ausgeführt wird, muss er für die Verwendung von Onlineidentitäten PKU2U-Authentifizierungsanforderungen (Public Key Cryptography Based User-to-User) zulassen, um eine Verbindung mit in Azure Active Directory eingebundenen PCs herstellen zu können.

Hinweis

Wenn eine Azure Active Directory-Gruppe der Gruppe "Remotedesktopbenutzer" auf einem Windows-Gerät hinzugefügt wird, wird sie nicht honoriert, wenn sich der Benutzer, der der Azure AD-Gruppe angehört, sich über das Remotedesktopprotokoll anmeldet (er kann sich nicht über die Remotedesktopverbindung anmelden). In diesem Szenario sollte die Authentifizierung auf Netzwerkebene deaktiviert sein, um die Verbindung auszuführen.

Verwandte Themen

Verwenden von Remotedesktop