Compartir a través de

Conexión a un dispositivo remoto unido a Microsoft Entra

Windows admite conexiones remotas a dispositivos unidos a Active Directory, así como dispositivos unidos a Microsoft Entra ID mediante el Protocolo de Escritorio remoto (RDP).

Requisitos previos

  • Ambos dispositivos (local y remoto) deben ejecutar una versión compatible de Windows.
  • El dispositivo remoto debe tener la opción Conectar y usar este equipo desde otro dispositivo mediante la opción De escritorio remoto seleccionada en Configuración>del sistema>de Escritorio remoto.
    • Seleccione La opción Requerir dispositivos para usar la autenticación de nivel de red para conectarse se recomienda.
  • Si el usuario que unió el dispositivo a Microsoft Entra ID es el único que se va a conectar de forma remota, no se necesita ninguna otra configuración. Para permitir que más usuarios o grupos se conecten al dispositivo de forma remota, debe agregar usuarios al grupo Usuarios de Escritorio remoto en el dispositivo remoto.
  • Asegúrese de que Credential Guard remoto está desactivado en el dispositivo que usa para conectarse al dispositivo remoto.

Conexión con la autenticación de Microsoft Entra

La autenticación de Microsoft Entra se puede usar en los siguientes sistemas operativos para el dispositivo local y remoto:

No es necesario que el dispositivo local se una a un dominio o al identificador de Microsoft Entra. Como resultado, este método le permite conectarse al dispositivo remoto unido a Microsoft Entra desde:

La autenticación de Microsoft Entra también se puede usar para conectarse a dispositivos unidos híbridos a Microsoft Entra.

Para conectarse al equipo remoto:

  • Inicie la conexión a Escritorio remoto desde Windows Search o ejecute mstsc.exe.

  • Seleccione Usar una cuenta web para iniciar sesión en la opción equipo remoto en la pestaña Opciones avanzadas . Esta opción es equivalente a la enablerdsaadauth propiedad RDP. Para obtener más información, consulte Propiedades de RDP compatibles con Servicios de Escritorio remoto.

  • Especifique el nombre del equipo remoto y seleccione Conectar.

    Nota

    No se puede usar la dirección IP cuando se usa la opción Usar una cuenta web para iniciar sesión en el equipo remoto . El nombre debe coincidir con el nombre de host del dispositivo remoto en Microsoft Entra ID y ser direccionable a la red, resolviendo a la dirección IP del dispositivo remoto.

  • Cuando se le soliciten credenciales, especifique el nombre de usuario en user@domain.com formato.

  • A continuación, se le pedirá que permita la conexión al escritorio remoto al conectarse a un equipo nuevo. Microsoft Entra recuerda hasta 15 hosts durante 30 días antes de volver a preguntar. Si ve este diálogo, seleccione para conectarse.

Importante

Si su organización ha configurado y usa el acceso condicional de Microsoft Entra, el dispositivo debe cumplir los requisitos de acceso condicional para permitir la conexión al equipo remoto. Las directivas de acceso condicional con controles de concesión y controles de sesión se pueden aplicar a la aplicación Microsoft Remote Desktop (a4a365df-50f1-4397-bc59-1a1564b8bb9c) para el acceso controlado.

Desconexión cuando se bloquea la sesión

La pantalla de bloqueo de Windows de la sesión remota no admite tokens de autenticación de Microsoft Entra ni métodos de autenticación sin contraseña, como las claves FIDO. La falta de compatibilidad con estos métodos de autenticación significa que los usuarios no pueden desbloquear sus pantallas en una sesión remota. Cuando intenta bloquear una sesión remota, ya sea mediante la acción del usuario o la directiva del sistema, la sesión se desconecta y el servicio envía un mensaje al usuario explicando que se ha desconectado.

La desconexión de la sesión también garantiza que, cuando se vuelva a iniciar la conexión después de un período de inactividad, el identificador de Microsoft Entra vuelva a evaluar las directivas de acceso condicional aplicables.

Conexión sin autenticación de Microsoft Entra

De forma predeterminada, RDP no usa la autenticación de Microsoft Entra, incluso si el equipo remoto lo admite. Este método le permite conectarse al dispositivo remoto unido a Microsoft Entra desde:

Nota

Tanto el dispositivo local como el remoto deben estar en el mismo inquilino de Microsoft Entra. Los invitados de Microsoft Entra B2B no son compatibles con Escritorio remoto.

Para conectarse al equipo remoto:

  • Inicie la conexión a Escritorio remoto desde Windows Search o ejecute mstsc.exe.
  • Especifique el nombre del equipo remoto.
  • Cuando se le soliciten credenciales, especifique el nombre de usuario en user@domain.com formato o AzureAD\user@domain.com .

Sugerencia

Si especifica su nombre de usuario en domain\user formato, puede recibir un error que indica que se produjo un error en el intento de inicio de sesión con el mensaje Máquina remota está unido a Microsoft Entra. Si inicia sesión en su cuenta profesional, pruebe a usar su dirección de correo electrónico profesional.

Nota

Para los dispositivos que ejecutan Windows 10, versión 1703 o anterior, el usuario debe iniciar sesión en el dispositivo remoto primero antes de intentar conexiones remotas.

Configuraciones admitidas

En esta tabla se enumeran las configuraciones admitidas para conectarse de forma remota a un dispositivo unido a Microsoft Entra sin usar la autenticación de Microsoft Entra:

Criterios Sistema operativo cliente Credenciales admitidas
RDP desde un dispositivo registrado de Microsoft Entra Windows 10, versión 2004 o posterior Contraseña, tarjeta inteligente
RDP desde un dispositivo unido a Microsoft Entra Windows 10, versión 1607 o posterior Contraseña, tarjeta inteligente, confianza de certificados de Windows Hello para empresas
RDP desde un dispositivo unido híbrido a Microsoft Entra Windows 10, versión 1607 o posterior Contraseña, tarjeta inteligente, confianza de certificados de Windows Hello para empresas

Nota

Si el cliente RDP ejecuta Windows Server 2016 o Windows Server 2019, para poder conectarse a dispositivos unidos a Microsoft Entra, debe permitir que las solicitudes de autenticación de usuario a usuario basado en criptografía de clave pública (PKU2U) usen identidades en línea.

Nota

Cuando se agrega un grupo de Microsoft Entra al grupo Usuarios de Escritorio remoto en un dispositivo Windows, no se respeta cuando el usuario que pertenece al grupo Microsoft Entra inicia sesión a través de RDP, lo que produce un error al establecer la conexión remota. En este escenario, la autenticación de nivel de red debe deshabilitarse para permitir la conexión.

Agregar usuarios al grupo Usuarios de Escritorio remoto

El grupo Usuarios de Escritorio remoto se usa para conceder permisos a usuarios y grupos para conectarse de forma remota al dispositivo. Los usuarios se pueden agregar manualmente o a través de directivas MDM:

  • Agregar usuarios manualmente:

    Puede especificar cuentas de Microsoft Entra individuales para conexiones remotas mediante la ejecución del siguiente comando, donde <userUPN> es el UPN del usuario, por ejemplo user@domain.com:

    net localgroup "Remote Desktop Users" /add "AzureAD\<userUPN>"

    Para ejecutar este comando, debe ser miembro del grupo administradores local. De lo contrario, es posible que vea un error similar a There is no such global user or group: <name>.

  • Agregar usuarios mediante la directiva:

    A partir de Windows 10, versión 2004, puede agregar usuarios a los usuarios de Escritorio remoto mediante directivas MDM, como se describe en Cómo administrar el grupo de administradores locales en dispositivos unidos a Microsoft Entra.

Cómo usar Escritorio remoto