Se connecter au PC distant joint à Azure ActiveDirectory

S’applique à

  • Windows 10
  • Windows 11

À partir de sa version, Windows 10 a pris en charge les connexions à distance aux PC joints à Active Directory. À compter de Windows10, version1607, vous pouvez également vous connecter à un ordinateur distant qui est joint à AzureActiveDirectory (AzureAD). À partir de Windows 10, version 1809, vous pouvez utiliser la biométrie pour vous authentifier auprès d’une session Bureau à distance.

Client de connexion Bureau à distance.

Configuration

  • Les deux PC (locaux et distants) doivent exécuter Windows 10 version 1607 ou ultérieure. Les connexions à distance à un PC joint à Azure AD exécutant des versions antérieures de Windows 10 ne sont pas prises en charge.
  • Votre PC local (à partir duquel vous vous connectez) doit être joint à Azure AD ou à Azure AD hybride si vous utilisez Windows 10, version 1607 et ultérieure, ou inscrit à Azure AD si vous utilisez Windows 10, version 2004 et ultérieures. Les connexions à distance à un PC joint à Azure AD à partir d’un appareil non joint ou d’un appareil non Windows 10 ne sont pas prises en charge.
  • Le PC local et le PC distant doivent se trouver dans le même locataire Azure AD. Les invités Azure AD B2B ne sont pas pris en charge pour le Bureau à distance.

Vérifiez que Remote Credential Guard, une nouvelle fonctionnalité de Windows 10 version 1607, est désactivée sur le PC client que vous utilisez pour vous connecter au PC distant.

  • Sur le PC auquel vous souhaitez vous connecter :

    1. Ouvrez les propriétés système pour l’ordinateur distant.

    2. Activez Autoriser les connexions à distance à cet ordinateur et sélectionnez N’autoriser que la connexion des ordinateurs exécutant Bureau à distance avec authentification NLA.

      Autorisez les connexions à distance à cet ordinateur.

    3. Si l’utilisateur qui a joint le PC à Azure AD est le seul à se connecter à distance, aucune autre configuration n’est nécessaire. Pour permettre à d’autres utilisateurs ou groupes de se connecter au PC, vous devez autoriser les connexions à distance pour les utilisateurs ou groupes spécifiés. Les utilisateurs peuvent être ajoutés manuellement ou via des stratégies GPM :

      • Ajout manuel d’utilisateurs

        Vous pouvez spécifier des comptes Azure AD individuels pour les connexions à distance en exécutant l’applet de commande PowerShell suivante :

        net localgroup "Remote Desktop Users" /add "AzureAD\the-UPN-attribute-of-your-user"
        

        où-UPN-attribute-of-your-user est le nom du profil utilisateur dans C:\Users, qui est créé en fonction de l’attribut DisplayName dans Azure AD.

        Pour exécuter cette commande PowerShell, vous devez être membre du groupe Administrateurs local. Sinon, vous obtiendrez une erreur semblable à cet exemple :

        • pour l’utilisateur cloud uniquement : « Il n’existe pas d’utilisateur global ou de groupe de ce type : nom »
        • pour l’utilisateur synchronisé : « Il n’existe aucun utilisateur ou groupe global de ce type : nom »

        Notes

        Pour les appareils exécutant Windows 10, version 1703 ou antérieure, l’utilisateur doit d’abord se connecter à l’appareil distant avant de tenter de se connecter à distance.

        À compter de Windows 10, version 1709, vous pouvez ajouter d’autres utilisateurs Azure AD au groupe Administrateurs sur un appareil dans Paramètres et limiter les informations d’identification distantes aux administrateurs. En cas de problème de connexion à distance, vérifiez que les deux appareils sont joints à Azure AD et que le module TPM fonctionne correctement sur les deux appareils.

      • Ajout d’utilisateurs à l’aide de la stratégie

        À compter de Windows 10, version 2004, vous pouvez ajouter des utilisateurs aux utilisateurs bureau à distance à l’aide de stratégies GPM, comme décrit dans Comment gérer le groupe Administrateurs locaux sur les appareils joints à Azure AD.

        Conseil

        Lorsque vous vous connectez au PC distant, entrez le nom de votre compte au format suivant : AzureAD\yourloginid@domain.com.

        Notes

        Si vous ne pouvez pas vous connecter à l’aide de la connexion Bureau à distance 6.0, vous devez désactiver les nouvelles fonctionnalités de RDP 6.0 et revenir à RDP 5.0 en apportant quelques modifications au fichier RDP. Consultez les détails de cet article de support.

Configurations prises en charge

Le tableau ci-dessous répertorie les configurations prises en charge pour la connexion à distance à un PC joint à Azure AD :

Critères RDP à partir d’un appareil inscrit à Azure AD RDP à partir d’un appareil joint à Azure AD RDP à partir d’un appareil joint à Azure AD hybride
Systèmes d’exploitation clients Windows 10, version 2004 et ultérieures Windows 10, version 1607 et ultérieure Windows 10, version 1607 et ultérieure
Informations d’identification prises en charge Mot de passe, carte à puce Mot de passe, carte à puce, approbation de certificat Windows Hello Entreprise Mot de passe, carte à puce, approbation de certificat Windows Hello Entreprise

Notes

Si le client RDP exécute Windows Server 2016 ou Windows Server 2019, pour pouvoir se connecter aux PC joints à Azure Active Directory, il doit autoriser les demandes d’authentification PKU2U (Public Key Cryptography Based User) à utiliser des identités en ligne.

Notes

Lorsqu’un groupe Azure Active Directory est ajouté au groupe Utilisateurs Bureau à distance sur un appareil Windows, il n’est pas honoré lorsque l’utilisateur qui appartient au groupe Azure AD se connecte via le protocole Bureau à distance (il ne peut pas se connecter à l’aide de la connexion Bureau à distance). Dans ce scénario, l’authentification au niveau du réseau doit être désactivée pour exécuter la connexion.

Rubriques connexes

Comment utiliser le Bureau à distance