Conexión a un dispositivo unido a Microsoft Entra remoto
Windows admite conexiones remotas a dispositivos unidos a Active Directory, así como dispositivos unidos a Microsoft Entra ID mediante el Protocolo de Escritorio remoto (RDP).
- A partir de Windows 10, versión 1809, puede usar la biometría para autenticarse en una sesión de escritorio remoto.
- A partir de Windows 10/11, con la actualización 2022-10 instalada, puede usar Microsoft Entra autenticación para conectarse al dispositivo Microsoft Entra remoto.
Requisitos previos
- Ambos dispositivos (local y remoto) deben ejecutar una versión compatible de Windows.
- El dispositivo remoto debe tener la opción Conectar y usar este equipo desde otro dispositivo mediante la opción De escritorio remoto seleccionada en Configuración>del sistema>de Escritorio remoto.
- Se recomienda seleccionar la opción Requerir que los dispositivos usen la autenticación de nivel de red para conectarse .
- Si el usuario que se unió al dispositivo para Microsoft Entra ID es el único que se va a conectar de forma remota, no se necesita ninguna otra configuración. Para permitir que más usuarios o grupos se conecten al dispositivo de forma remota, debe agregar usuarios al grupo Usuarios de Escritorio remoto en el dispositivo remoto.
- Asegúrese de que Credential Guard remoto está desactivado en el dispositivo que usa para conectarse al dispositivo remoto.
Conexión con la autenticación de Microsoft Entra
Microsoft Entra autenticación se puede usar en los siguientes sistemas operativos para el dispositivo local y remoto:
- Windows 11 con Novedades acumulativa de 2022-10 para Windows 11 (KB5018418) o posterior instalado.
- Windows 10, versión 20H2 o posterior con la Novedades acumulativa 2022-10 para Windows 10 (KB5018410) o posterior instalada.
- Windows Server 2022 con actualización acumulativa 2022-10 para el sistema operativo Microsoft Server (KB5018421) o posterior instalado.
No hay ningún requisito para que el dispositivo local se una a un dominio o Microsoft Entra ID. Como resultado, este método permite conectarse al dispositivo remoto Microsoft Entra unido desde:
- Microsoft Entra un dispositivo unido o Microsoft Entra híbrido.
- Dispositivo unido a Active Directory.
- Dispositivo de grupo de trabajo.
Microsoft Entra autenticación también se puede usar para conectarse a Microsoft Entra dispositivos unidos híbridos.
Para conectarse al equipo remoto:
Inicie la conexión a Escritorio remoto desde Windows Search o ejecute
mstsc.exe
.Seleccione Usar una cuenta web para iniciar sesión en la opción equipo remoto en la pestaña Opciones avanzadas . Esta opción es equivalente a la
enablerdsaadauth
propiedad RDP. Para obtener más información, consulte Propiedades de RDP compatibles con Servicios de Escritorio remoto.Especifique el nombre del equipo remoto y seleccione Conectar.
Nota
No se puede usar la dirección IP cuando se usa la opción Usar una cuenta web para iniciar sesión en el equipo remoto . El nombre debe coincidir con el nombre de host del dispositivo remoto en Microsoft Entra ID y ser direccionable a la red, resolviendo a la dirección IP del dispositivo remoto.
Cuando se le soliciten credenciales, especifique el nombre de usuario en
user@domain.com
formato.A continuación, se le pedirá que permita la conexión al escritorio remoto al conectarse a un equipo nuevo. Microsoft Entra recuerda hasta 15 hosts durante 30 días antes de volver a preguntar. Si ve este diálogo, seleccione Sí para conectarse.
Importante
Si la organización ha configurado y usa Microsoft Entra acceso condicional, el dispositivo debe cumplir los requisitos de acceso condicional para permitir la conexión al equipo remoto. Las directivas de acceso condicional con controles de concesión y controles de sesión se pueden aplicar a la aplicación Escritorio remoto de Microsoft (a4a365df-50f1-4397-bc59-1a1564b8bb9c) para el acceso controlado.
Desconexión cuando se bloquea la sesión
La pantalla de bloqueo de Windows de la sesión remota no admite Microsoft Entra tokens de autenticación ni métodos de autenticación sin contraseña, como las claves FIDO. La falta de compatibilidad con estos métodos de autenticación significa que los usuarios no pueden desbloquear sus pantallas en una sesión remota. Cuando intenta bloquear una sesión remota, ya sea mediante la acción del usuario o la directiva del sistema, la sesión se desconecta y el servicio envía un mensaje al usuario explicando que se ha desconectado.
La desconexión de la sesión también garantiza que, cuando se vuelva a iniciar la conexión después de un período de inactividad, Microsoft Entra ID vuelva a evaluar las directivas de acceso condicional aplicables.
Conexión sin autenticación Microsoft Entra
De forma predeterminada, RDP no usa Microsoft Entra autenticación, incluso si el equipo remoto lo admite. Este método le permite conectarse al dispositivo remoto Microsoft Entra unido desde:
- Microsoft Entra un dispositivo unido o Microsoft Entra híbrido mediante Windows 10, versión 1607 o posterior.
- Microsoft Entra dispositivo registrado mediante Windows 10, versión 2004 o posterior.
Nota
Tanto el dispositivo local como el remoto deben estar en el mismo inquilino Microsoft Entra. Microsoft Entra invitados B2B no son compatibles con Escritorio remoto.
Para conectarse al equipo remoto:
- Inicie la conexión a Escritorio remoto desde Windows Search o ejecute
mstsc.exe
. - Especifique el nombre del equipo remoto.
- Cuando se le soliciten credenciales, especifique el nombre de usuario en
user@domain.com
formato oAzureAD\user@domain.com
.
Sugerencia
Si especifica el nombre de usuario en domain\user
formato, puede recibir un error que indica que se produjo un error en el intento de inicio de sesión con el mensaje Máquina remota Microsoft Entra unida. Si inicia sesión en su cuenta profesional, pruebe a usar su dirección de correo electrónico profesional.
Nota
Para los dispositivos que ejecutan Windows 10, versión 1703 o anterior, el usuario debe iniciar sesión primero en el dispositivo remoto antes de intentar conexiones remotas.
Configuraciones admitidas
En esta tabla se enumeran las configuraciones admitidas para conectarse de forma remota a un dispositivo unido a Microsoft Entra sin usar Microsoft Entra autenticación:
Criterios | Sistema operativo cliente | Credenciales admitidas |
---|---|---|
RDP desde Microsoft Entra dispositivo registrado | Windows 10, versión 2004 o posterior | Contraseña, tarjeta inteligente |
RDP desde Microsoft Entra dispositivo unido | Windows 10, versión 1607 o posterior | Contraseña, tarjeta inteligente, Windows Hello para empresas confianza de certificado |
RDP desde Microsoft Entra dispositivo unido híbrido | Windows 10, versión 1607 o posterior | Contraseña, tarjeta inteligente, Windows Hello para empresas confianza de certificado |
Nota
Si el cliente RDP ejecuta Windows Server 2016 o Windows Server 2019, para poder conectarse a Microsoft Entra dispositivos unidos, debe permitir que las solicitudes de autenticación de usuario a usuario basado en criptografía de clave pública (PKU2U) usen identidades en línea.
Nota
Cuando se agrega un grupo de Microsoft Entra al grupo Usuarios de Escritorio remoto en un dispositivo Windows, no se respeta cuando el usuario que pertenece a la Microsoft Entra grupo inicia sesión a través de RDP, lo que produce un error al establecer la conexión remota. En este escenario, la autenticación de nivel de red debe deshabilitarse para permitir la conexión.
Agregar usuarios al grupo Usuarios de Escritorio remoto
El grupo Usuarios de Escritorio remoto se usa para conceder permisos a usuarios y grupos para conectarse de forma remota al dispositivo. Los usuarios se pueden agregar manualmente o a través de directivas MDM:
Agregar usuarios manualmente:
Puede especificar cuentas de Microsoft Entra individuales para conexiones remotas mediante la ejecución del siguiente comando, donde
<userUPN>
es el UPN del usuario, por ejemplouser@domain.com
:net localgroup "Remote Desktop Users" /add "AzureAD\<userUPN>"
Para ejecutar este comando, debe ser miembro del grupo administradores local. De lo contrario, es posible que vea un error similar a
There is no such global user or group: <name>
.Agregar usuarios mediante la directiva:
A partir de Windows 10, versión 2004, puede agregar usuarios a los usuarios de Escritorio remoto mediante directivas MDM, como se describe en Administración del grupo de administradores locales en dispositivos unidos a Microsoft Entra.
Artículos relacionados
Comentarios
https://aka.ms/ContentUserFeedback.
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea:Enviar y ver comentarios de