Conexión a un dispositivo unido a Microsoft Entra remoto

Windows admite conexiones remotas a dispositivos unidos a Active Directory, así como dispositivos unidos a Microsoft Entra ID mediante el Protocolo de Escritorio remoto (RDP).

Requisitos previos

  • Ambos dispositivos (local y remoto) deben ejecutar una versión compatible de Windows.
  • El dispositivo remoto debe tener la opción Conectar y usar este equipo desde otro dispositivo mediante la opción De escritorio remoto seleccionada en Configuración>del sistema>de Escritorio remoto.
    • Se recomienda seleccionar la opción Requerir que los dispositivos usen la autenticación de nivel de red para conectarse .
  • Si el usuario que se unió al dispositivo para Microsoft Entra ID es el único que se va a conectar de forma remota, no se necesita ninguna otra configuración. Para permitir que más usuarios o grupos se conecten al dispositivo de forma remota, debe agregar usuarios al grupo Usuarios de Escritorio remoto en el dispositivo remoto.
  • Asegúrese de que Credential Guard remoto está desactivado en el dispositivo que usa para conectarse al dispositivo remoto.

Conexión con la autenticación de Microsoft Entra

Microsoft Entra autenticación se puede usar en los siguientes sistemas operativos para el dispositivo local y remoto:

No hay ningún requisito para que el dispositivo local se una a un dominio o Microsoft Entra ID. Como resultado, este método permite conectarse al dispositivo remoto Microsoft Entra unido desde:

Microsoft Entra autenticación también se puede usar para conectarse a Microsoft Entra dispositivos unidos híbridos.

Para conectarse al equipo remoto:

  • Inicie la conexión a Escritorio remoto desde Windows Search o ejecute mstsc.exe.

  • Seleccione Usar una cuenta web para iniciar sesión en la opción equipo remoto en la pestaña Opciones avanzadas . Esta opción es equivalente a la enablerdsaadauth propiedad RDP. Para obtener más información, consulte Propiedades de RDP compatibles con Servicios de Escritorio remoto.

  • Especifique el nombre del equipo remoto y seleccione Conectar.

    Nota

    No se puede usar la dirección IP cuando se usa la opción Usar una cuenta web para iniciar sesión en el equipo remoto . El nombre debe coincidir con el nombre de host del dispositivo remoto en Microsoft Entra ID y ser direccionable a la red, resolviendo a la dirección IP del dispositivo remoto.

  • Cuando se le soliciten credenciales, especifique el nombre de usuario en user@domain.com formato.

  • A continuación, se le pedirá que permita la conexión al escritorio remoto al conectarse a un equipo nuevo. Microsoft Entra recuerda hasta 15 hosts durante 30 días antes de volver a preguntar. Si ve este diálogo, seleccione para conectarse.

Importante

Si la organización ha configurado y usa Microsoft Entra acceso condicional, el dispositivo debe cumplir los requisitos de acceso condicional para permitir la conexión al equipo remoto. Las directivas de acceso condicional con controles de concesión y controles de sesión se pueden aplicar a la aplicación Escritorio remoto de Microsoft (a4a365df-50f1-4397-bc59-1a1564b8bb9c) para el acceso controlado.

Desconexión cuando se bloquea la sesión

La pantalla de bloqueo de Windows de la sesión remota no admite Microsoft Entra tokens de autenticación ni métodos de autenticación sin contraseña, como las claves FIDO. La falta de compatibilidad con estos métodos de autenticación significa que los usuarios no pueden desbloquear sus pantallas en una sesión remota. Cuando intenta bloquear una sesión remota, ya sea mediante la acción del usuario o la directiva del sistema, la sesión se desconecta y el servicio envía un mensaje al usuario explicando que se ha desconectado.

La desconexión de la sesión también garantiza que, cuando se vuelva a iniciar la conexión después de un período de inactividad, Microsoft Entra ID vuelva a evaluar las directivas de acceso condicional aplicables.

Conexión sin autenticación Microsoft Entra

De forma predeterminada, RDP no usa Microsoft Entra autenticación, incluso si el equipo remoto lo admite. Este método le permite conectarse al dispositivo remoto Microsoft Entra unido desde:

Nota

Tanto el dispositivo local como el remoto deben estar en el mismo inquilino Microsoft Entra. Microsoft Entra invitados B2B no son compatibles con Escritorio remoto.

Para conectarse al equipo remoto:

  • Inicie la conexión a Escritorio remoto desde Windows Search o ejecute mstsc.exe.
  • Especifique el nombre del equipo remoto.
  • Cuando se le soliciten credenciales, especifique el nombre de usuario en user@domain.com formato o AzureAD\user@domain.com .

Sugerencia

Si especifica el nombre de usuario en domain\user formato, puede recibir un error que indica que se produjo un error en el intento de inicio de sesión con el mensaje Máquina remota Microsoft Entra unida. Si inicia sesión en su cuenta profesional, pruebe a usar su dirección de correo electrónico profesional.

Nota

Para los dispositivos que ejecutan Windows 10, versión 1703 o anterior, el usuario debe iniciar sesión primero en el dispositivo remoto antes de intentar conexiones remotas.

Configuraciones admitidas

En esta tabla se enumeran las configuraciones admitidas para conectarse de forma remota a un dispositivo unido a Microsoft Entra sin usar Microsoft Entra autenticación:

Criterios Sistema operativo cliente Credenciales admitidas
RDP desde Microsoft Entra dispositivo registrado Windows 10, versión 2004 o posterior Contraseña, tarjeta inteligente
RDP desde Microsoft Entra dispositivo unido Windows 10, versión 1607 o posterior Contraseña, tarjeta inteligente, Windows Hello para empresas confianza de certificado
RDP desde Microsoft Entra dispositivo unido híbrido Windows 10, versión 1607 o posterior Contraseña, tarjeta inteligente, Windows Hello para empresas confianza de certificado

Nota

Si el cliente RDP ejecuta Windows Server 2016 o Windows Server 2019, para poder conectarse a Microsoft Entra dispositivos unidos, debe permitir que las solicitudes de autenticación de usuario a usuario basado en criptografía de clave pública (PKU2U) usen identidades en línea.

Nota

Cuando se agrega un grupo de Microsoft Entra al grupo Usuarios de Escritorio remoto en un dispositivo Windows, no se respeta cuando el usuario que pertenece a la Microsoft Entra grupo inicia sesión a través de RDP, lo que produce un error al establecer la conexión remota. En este escenario, la autenticación de nivel de red debe deshabilitarse para permitir la conexión.

Agregar usuarios al grupo Usuarios de Escritorio remoto

El grupo Usuarios de Escritorio remoto se usa para conceder permisos a usuarios y grupos para conectarse de forma remota al dispositivo. Los usuarios se pueden agregar manualmente o a través de directivas MDM:

  • Agregar usuarios manualmente:

    Puede especificar cuentas de Microsoft Entra individuales para conexiones remotas mediante la ejecución del siguiente comando, donde <userUPN> es el UPN del usuario, por ejemplouser@domain.com:

    net localgroup "Remote Desktop Users" /add "AzureAD\<userUPN>"

    Para ejecutar este comando, debe ser miembro del grupo administradores local. De lo contrario, es posible que vea un error similar a There is no such global user or group: <name>.

  • Agregar usuarios mediante la directiva:

    A partir de Windows 10, versión 2004, puede agregar usuarios a los usuarios de Escritorio remoto mediante directivas MDM, como se describe en Administración del grupo de administradores locales en dispositivos unidos a Microsoft Entra.

Cómo usar Escritorio remoto