Se connecter à un appareil distant Microsoft Entra joint

Windows prend en charge les connexions à distance aux appareils joints à Active Directory, ainsi qu’aux appareils joints à Microsoft Entra ID à l’aide du protocole RDP (Remote Desktop Protocol).

Conditions préalables

  • Les deux appareils (locaux et distants) doivent exécuter une version prise en charge de Windows.
  • L’option Se connecter à ce PC et l’utiliser à partir d’un autre appareil à l’aide de l’application Bureau à distance doit être sélectionnée sous Paramètres>Système>Bureau à distance.
    • Il est recommandé de sélectionner l’option Exiger que les appareils utilisent l’authentification au niveau du réseau pour se connecter .
  • Si l’utilisateur qui a joint l’appareil à Microsoft Entra ID est le seul à se connecter à distance, aucune autre configuration n’est nécessaire. Pour permettre à d’autres utilisateurs ou groupes de se connecter à l’appareil à distance, vous devez ajouter des utilisateurs au groupe Utilisateurs bureau à distance sur l’appareil distant.
  • Vérifiez que Remote Credential Guard est désactivé sur l’appareil que vous utilisez pour vous connecter à l’appareil distant.

Se connecter avec l’authentification Microsoft Entra

Microsoft Entra l’authentification peut être utilisée sur les systèmes d’exploitation suivants pour l’appareil local et l’appareil distant :

Il n’est pas nécessaire que l’appareil local soit joint à un domaine ou à un Microsoft Entra ID. Par conséquent, cette méthode vous permet de vous connecter à l’appareil distant Microsoft Entra joint à partir de :

Microsoft Entra l’authentification peut également être utilisée pour se connecter à Microsoft Entra appareils joints hybrides.

Pour vous connecter à l’ordinateur distant :

  • Lancez la connexion Bureau à distance à partir de Recherche Windows ou en exécutant mstsc.exe.

  • Sélectionnez Utiliser un compte web pour se connecter à l’ordinateur distant dans l’onglet Avancé . Cette option est équivalente à la enablerdsaadauth propriété RDP. Pour plus d’informations, consultez Propriétés RDP prises en charge avec les services Bureau à distance.

  • Spécifiez le nom de l’ordinateur distant, puis sélectionnez Se connecter.

    Remarque

    L’adresse IP ne peut pas être utilisée lorsque l’option Utiliser un compte web pour se connecter à l’ordinateur distant est utilisée. Le nom doit correspondre au nom d’hôte de l’appareil distant dans Microsoft Entra ID et être adressable au réseau, en résolvant l’adresse IP de l’appareil distant.

  • Lorsque vous êtes invité à entrer des informations d’identification, spécifiez votre nom d’utilisateur au user@domain.com format.

  • Vous êtes ensuite invité à autoriser la connexion Bureau à distance lors de la connexion à un nouveau PC. Microsoft Entra mémorise jusqu’à 15 hôtes pendant 30 jours avant d’y inviter à nouveau. Si vous voyez cette boîte de dialogue, sélectionnez Oui pour vous connecter.

Important

Si votre organization a configuré et utilise Microsoft Entra accès conditionnel, votre appareil doit satisfaire aux exigences d’accès conditionnel pour autoriser la connexion à l’ordinateur distant. Les stratégies d’accès conditionnel avec des contrôles d’octroi et des contrôles de session peuvent être appliquées à l’application Bureau à distance Microsoft (a4a365df-50f1-4397-bc59-1a1564b8bb9c) pour l’accès contrôlé.

Déconnexion lorsque la session est verrouillée

L’écran de verrouillage Windows de la session à distance ne prend pas en charge les jetons d’authentification Microsoft Entra ou les méthodes d’authentification sans mot de passe telles que les clés FIDO. L’absence de prise en charge de ces méthodes d’authentification signifie que les utilisateurs ne peuvent pas déverrouiller leurs écrans dans une session à distance. Lorsque vous essayez de verrouiller une session à distance, par le biais d’une action utilisateur ou d’une stratégie système, la session est déconnectée et le service envoie un message à l’utilisateur expliquant qu’il a été déconnecté.

La déconnexion de la session garantit également que lorsque la connexion est relancée après une période d’inactivité, Microsoft Entra ID réévalue les stratégies d’accès conditionnel applicables.

Se connecter sans authentification Microsoft Entra

Par défaut, RDP n’utilise pas l’authentification Microsoft Entra, même si le PC distant la prend en charge. Cette méthode vous permet de vous connecter à l’appareil distant Microsoft Entra joint à partir de :

Remarque

L’appareil local et l’appareil distant doivent se trouver dans le même locataire Microsoft Entra. Microsoft Entra invités B2B ne sont pas pris en charge pour le Bureau à distance.

Pour vous connecter à l’ordinateur distant :

  • Lancez la connexion Bureau à distance à partir de Recherche Windows ou en exécutant mstsc.exe.
  • Spécifiez le nom de l’ordinateur distant.
  • Lorsque vous êtes invité à entrer des informations d’identification, spécifiez votre nom d’utilisateur au user@domain.com format ou AzureAD\user@domain.com .

Astuce

Si vous spécifiez votre nom d’utilisateur au domain\user format, vous pouvez recevoir une erreur indiquant que la tentative d’ouverture de session a échoué avec le message Ordinateur distant Microsoft Entra joint. Si vous vous connectez à votre compte professionnel, essayez d’utiliser votre adresse e-mail professionnelle.

Remarque

Pour les appareils exécutant Windows 10, version 1703 ou antérieure, l’utilisateur doit d’abord se connecter à l’appareil distant avant de tenter de se connecter à distance.

Configurations prises en charge

Ce tableau répertorie les configurations prises en charge pour la connexion à distance à un appareil joint Microsoft Entra sans utiliser l’authentification Microsoft Entra :

Critères Système d’exploitation client Informations d’identification prises en charge
RDP à partir de Microsoft Entra appareil inscrit Windows 10, version 2004 ou ultérieure Mot de passe, carte intelligente
RDP à partir de Microsoft Entra appareil joint Windows 10, version 1607 ou ultérieure Mot de passe, carte intelligente, approbation de certificat Windows Hello Entreprise
RDP à partir de Microsoft Entra appareil joint hybride Windows 10, version 1607 ou ultérieure Mot de passe, carte intelligente, approbation de certificat Windows Hello Entreprise

Remarque

Si le client RDP exécute Windows Server 2016 ou Windows Server 2019, pour pouvoir se connecter à Microsoft Entra appareils joints, il doit autoriser les demandes d’authentification PKU2U (Public Key Cryptography Based User) à utiliser des identités en ligne.

Remarque

Lorsqu’un groupe Microsoft Entra est ajouté au groupe Utilisateurs bureau à distance sur un appareil Windows, il n’est pas respecté lorsque l’utilisateur qui appartient au groupe Microsoft Entra se connecte via RDP, ce qui entraîne l’échec de l’établissement de la connexion à distance. Dans ce scénario, l’authentification au niveau du réseau doit être désactivée pour autoriser la connexion.

Ajouter des utilisateurs au groupe Utilisateurs bureau à distance

Le groupe Utilisateurs bureau à distance est utilisé pour accorder aux utilisateurs et aux groupes des autorisations de se connecter à distance à l’appareil. Les utilisateurs peuvent être ajoutés manuellement ou via des stratégies GPM :

  • Ajout manuel d’utilisateurs :

    Vous pouvez spécifier des comptes de Microsoft Entra individuels pour les connexions à distance en exécutant la commande suivante, où <userUPN> est l’UPN de l’utilisateur, par exemple user@domain.com:

    net localgroup "Remote Desktop Users" /add "AzureAD\<userUPN>"

    Pour exécuter cette commande, vous devez être membre du groupe Administrateurs local. Sinon, vous pouvez voir une erreur similaire à There is no such global user or group: <name>.

  • Ajout d’utilisateurs à l’aide de la stratégie :

    À compter de Windows 10, version 2004, vous pouvez ajouter des utilisateurs aux utilisateurs bureau à distance à l’aide de stratégies GPM, comme décrit dans Comment gérer le groupe Administrateurs locaux sur Microsoft Entra appareils joints.

Comment utiliser le Bureau à distance