Herstellen einer Verbindung mit einem remote Microsoft Entra verbundenen Gerät
Windows unterstützt Remoteverbindungen mit Geräten, die mit Active Directory verknüpft sind, sowie Geräten, die über das Remotedesktopprotokoll (RDP) mit Microsoft Entra ID verbunden sind.
- Ab Windows 10, Version 1809 können Sie biometrische Daten verwenden, um sich bei einer Remotedesktopsitzung zu authentifizieren.
- Ab Windows 10/11 können Sie mit dem installierten Update 2022-10 Microsoft Entra Authentifizierung verwenden, um eine Verbindung mit dem Remotegerät Microsoft Entra herzustellen.
Voraussetzungen
- Auf beiden Geräten (lokal und remote) muss eine unterstützte Version von Windows ausgeführt werden.
- Remotegerät muss über die Option Verbindung mit diesem PC herstellen und von einem anderen Gerät aus verwenden, indem die Option Remotedesktop-App unter Einstellungen>System-Remotedesktop> ausgewählt ist.
- Es wird empfohlen, die Option Geräte zum Verwenden der Authentifizierung auf Netzwerkebene zum Herstellen einer Verbindung zu verwenden auszuwählen.
- Wenn der Benutzer, der das Gerät in Microsoft Entra ID eingebunden hat, der einzige ist, der eine Remoteverbindung herstellen wird, ist keine weitere Konfiguration erforderlich. Damit mehr Benutzer oder Gruppen remote eine Verbindung mit dem Gerät herstellen können, müssen Sie Benutzer zur Gruppe Remotedesktopbenutzer auf dem Remotegerät hinzufügen.
- Stellen Sie sicher , dass Remote Credential Guard auf dem Gerät, das Sie zum Herstellen einer Verbindung mit dem Remotegerät verwenden, deaktiviert ist.
Herstellen einer Verbindung mit Microsoft Entra-Authentifizierung
Microsoft Entra Authentifizierung kann auf den folgenden Betriebssystemen sowohl für das lokale als auch für das Remotegerät verwendet werden:
- Windows 11 mit 2022-10 kumulativen Updates für Windows 11 (KB5018418) oder höher installiert.
- Windows 10 Version 20H2 oder höher mit 2022-10 kumulativer Updates für Windows 10 (KB5018410) oder höher.
- Windows Server 2022 mit dem kumulativen Update 2022-10 für das Microsoft Server-Betriebssystem (KB5018421) oder höher installiert.
Es ist nicht erforderlich, dass das lokale Gerät einer Domäne oder Microsoft Entra ID hinzugefügt wird. Daher können Sie mit dieser Methode eine Verbindung mit dem Remotegerät Microsoft Entra verbinden, von dem aus:
- Microsoft Entra oderMicrosoft Entra hybrid eingebundenes Gerät.
- In Active Directory eingebundenes Gerät.
- Arbeitsgruppengerät.
Microsoft Entra-Authentifizierung kann auch verwendet werden, um eine Verbindung mit Microsoft Entra hybrid eingebundenen Geräten herzustellen.
So stellen Sie eine Verbindung mit dem Remotecomputer her:
Starten Sie die Remotedesktopverbindung über Windows Search oder durch Ausführen
mstsc.exevon .Wählen Sie auf der Registerkarte Erweitertdie Option Webkonto zum Anmelden beim Remotecomputer verwenden aus. Diese Option entspricht der
enablerdsaadauthRDP-Eigenschaft. Weitere Informationen finden Sie unter Unterstützte RDP-Eigenschaften mit Remotedesktopdiensten.Geben Sie den Namen des Remotecomputers an, und wählen Sie Verbinden aus.
Hinweis
Die IP-Adresse kann nicht verwendet werden, wenn die Option Webkonto zum Anmelden beim Remotecomputer verwenden verwendet wird. Der Name muss mit dem Hostnamen des Remotegeräts in Microsoft Entra ID übereinstimmen und netzwerkadressierbar sein und in die IP-Adresse des Remotegeräts aufgelöst werden.
Wenn Sie zur Eingabe von Anmeldeinformationen aufgefordert werden, geben Sie Ihren Benutzernamen im
user@domain.comFormat an.Sie werden dann aufgefordert, die Remotedesktopverbindung zuzulassen, wenn Sie eine Verbindung mit einem neuen PC herstellen. Microsoft Entra speichert bis zu 15 Hosts für 30 Tage, bevor es erneut aufgefordert wird. Wenn dieses Dialogfeld angezeigt wird, wählen Sie Ja aus, um eine Verbindung herzustellen.
Wichtig
Wenn Ihr organization konfiguriert wurde und Microsoft Entra bedingten Zugriff verwendet, muss Ihr Gerät die Anforderungen für bedingten Zugriff erfüllen, um eine Verbindung mit dem Remotecomputer zu ermöglichen. Richtlinien für bedingten Zugriff mit Gewährungssteuerelementen und Sitzungssteuerelementen können für den kontrollierten Zugriff auf die Anwendung Microsoft-Remotedesktop (a4a365df-50f1-4397-bc59-1a1564b8bb9c) angewendet werden.
Trennen der Verbindung, wenn die Sitzung gesperrt ist
Der Windows-Sperrbildschirm in der Remotesitzung unterstützt keine Microsoft Entra Authentifizierungstoken oder kennwortlose Authentifizierungsmethoden wie FIDO-Schlüssel. Die fehlende Unterstützung für diese Authentifizierungsmethoden bedeutet, dass Benutzer ihre Bildschirme in einer Remotesitzung nicht entsperren können. Wenn Sie versuchen, eine Remotesitzung entweder über eine Benutzeraktion oder eine Systemrichtlinie zu sperren, wird die Sitzung stattdessen getrennt, und der Dienst sendet eine Nachricht an den Benutzer, die erklärt, dass die Verbindung getrennt wurde.
Durch das Trennen der Sitzung wird auch sichergestellt, dass Microsoft Entra ID die anwendbaren Richtlinien für bedingten Zugriff neu auswertet, wenn die Verbindung nach einer Zeit der Inaktivität neu gestartet wird.
Herstellen einer Verbindung ohne Microsoft Entra-Authentifizierung
Standardmäßig verwendet RDP keine Microsoft Entra-Authentifizierung, auch wenn dies vom Remote-PC unterstützt wird. Mit dieser Methode können Sie eine Verbindung mit dem remote Microsoft Entra verbundenen Gerät herstellen:
- Microsoft Entra oderMicrosoft Entra hybrid eingebundenes Gerät mit Windows 10 Version 1607 oder höher.
- Microsoft Entra registriertes Gerät mit Windows 10 Version 2004 oder höher.
Hinweis
Sowohl das lokale als auch das Remotegerät müssen sich im gleichen Microsoft Entra Mandanten befinden. Microsoft Entra B2B-Gäste werden für Remotedesktop nicht unterstützt.
So stellen Sie eine Verbindung mit dem Remotecomputer her:
- Starten Sie die Remotedesktopverbindung über Windows Search oder durch Ausführen
mstsc.exevon . - Geben Sie den Namen des Remotecomputers an.
- Wenn Sie zur Eingabe von Anmeldeinformationen aufgefordert werden, geben Sie Ihren Benutzernamen im
user@domain.comFormat oderAzureAD\user@domain.coman.
Tipp
Wenn Sie Ihren Benutzernamen im domain\user Format angeben, erhalten Sie möglicherweise eine Fehlermeldung, die angibt, dass der Anmeldeversuch fehlgeschlagen ist, mit der Meldung Remotecomputer ist Microsoft Entra verknüpft. Wenn Sie sich bei Ihrem Geschäftskonto anmelden, versuchen Sie, Ihre geschäftliche E-Mail-Adresse zu verwenden.
Hinweis
Bei Geräten, auf denen Windows 10 Version 1703 oder früher ausgeführt wird, muss sich der Benutzer zuerst beim Remotegerät anmelden, bevor er eine Remoteverbindung versucht.
Unterstützte Konfigurationen
In dieser Tabelle sind die unterstützten Konfigurationen für die Remoteverbindung mit einem Microsoft Entra verbundenen Gerät aufgeführt, ohne Microsoft Entra Authentifizierung zu verwenden:
| Kriterien | Clientbetriebssystem | Unterstützte Anmeldeinformationen |
|---|---|---|
| RDP von Microsoft Entra registrierten Gerät | Windows 10, Version 2004 oder höher | Kennwort, intelligente Karte |
| RDP von Microsoft Entra eingebundenen Gerät | Windows 10, Version 1607 oder höher | Kennwort, intelligente Karte Windows Hello for Business Zertifikatvertrauensstellung |
| RDP von Microsoft Entra hybrid eingebundenen Gerät | Windows 10, Version 1607 oder höher | Kennwort, intelligente Karte Windows Hello for Business Zertifikatvertrauensstellung |
Hinweis
Wenn auf dem RDP-Client Windows Server 2016 oder Windows Server 2019 ausgeführt wird, muss er die Verwendung von Onlineidentitäten zulassen, um eine Verbindung mit Microsoft Entra verbundenen Geräten herstellen zu können.
Hinweis
Wenn der Gruppe Remotedesktopbenutzer auf einem Windows-Gerät eine Microsoft Entra Gruppe hinzugefügt wird, wird sie nicht berücksichtigt, wenn sich der Benutzer, der der Microsoft Entra Gruppe angehört, über RDP anmeldet. Dies führt dazu, dass die Remoteverbindung nicht hergestellt werden kann. In diesem Szenario sollte die Authentifizierung auf Netzwerkebene deaktiviert sein, um die Verbindung zuzulassen.
Hinzufügen von Benutzern zur Gruppe "Remotedesktopbenutzer"
Die Gruppe Remotedesktopbenutzer wird verwendet, um Benutzern und Gruppen Berechtigungen zum Herstellen einer Remoteverbindung mit dem Gerät zu erteilen. Benutzer können entweder manuell oder über MDM-Richtlinien hinzugefügt werden:
Manuelles Hinzufügen von Benutzern:
Sie können einzelne Microsoft Entra Konten für Remoteverbindungen angeben, indem Sie den folgenden Befehl ausführen, wobei
<userUPN>der UPN des Benutzers ist, z. B.user@domain.com:net localgroup "Remote Desktop Users" /add "AzureAD\<userUPN>"Um diesen Befehl ausführen zu können, müssen Sie Mitglied der lokalen Administratorgruppe sein. Andernfalls wird möglicherweise ein Fehler ähnlich wie angezeigt
There is no such global user or group: <name>.Hinzufügen von Benutzern mithilfe der Richtlinie:
Ab Windows 10 Version 2004 können Sie den Remotedesktopbenutzern Benutzer mithilfe von MDM-Richtlinien hinzufügen, wie unter Verwalten der lokalen Administratorgruppe auf Microsoft Entra verbundenen Geräten beschrieben.
Verwandte Artikel
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für