Condividi tramite

Connettersi al dispositivo aggiunto a Microsoft Entra remoto

Windows supporta le connessioni remote ai dispositivi aggiunti ad Active Directory e ai dispositivi aggiunti a Microsoft Entra ID tramite Remote Desktop Protocol (RDP).

Prerequisiti

  • Entrambi i dispositivi (locale e remoto) devono eseguire una versione supportata di Windows.
  • Il dispositivo remoto deve avere l'opzione Connetti a e usa questo PC da un altro dispositivo usando l'opzione Desktop remoto selezionata in Impostazioni>Desktop remotodi sistema>.
    • Selezionare l'opzione Richiedi ai dispositivi di usare l'autenticazione a livello di rete per connettersi .
  • Se l'utente che ha aggiunto il dispositivo a Microsoft Entra ID è l'unico che si connetterà in remoto, non è necessaria alcuna altra configurazione. Per consentire a più utenti o gruppi di connettersi al dispositivo in remoto, è necessario aggiungere utenti al gruppo Utenti desktop remoto nel dispositivo remoto.
  • Assicurarsi che Remote Credential Guard sia disattivato nel dispositivo in uso per connettersi al dispositivo remoto.

Connettersi con l'autenticazione di Microsoft Entra

L'autenticazione Microsoft Entra può essere usata nei sistemi operativi seguenti per il dispositivo locale e remoto:

Non è necessario che il dispositivo locale venga aggiunto a un dominio o a un ID Microsoft Entra. Di conseguenza, questo metodo consente di connettersi al dispositivo aggiunto a Microsoft Entra remoto da:

L'autenticazione di Microsoft Entra può essere usata anche per connettersi ai dispositivi aggiunti ibridi a Microsoft Entra.

Per connettersi al computer remoto:

  • Avviare Connessione Desktop remoto da Windows Search o eseguendo mstsc.exe.

  • Selezionare Usa un account Web per accedere all'opzione computer remoto nella scheda Avanzate . Questa opzione equivale alla enablerdsaadauth proprietà RDP. Per altre informazioni, vedere Proprietà RDP supportate con Servizi Desktop remoto.

  • Specificare il nome del computer remoto e selezionare Connetti.

    Nota

    L'indirizzo IP non può essere usato quando si usa un account Web per accedere all'opzione computer remoto . Il nome deve corrispondere al nome host del dispositivo remoto nell'ID Microsoft Entra ed essere indirizzabile alla rete, risolvendo l'indirizzo IP del dispositivo remoto.

  • Quando vengono richieste le credenziali, specificare il nome utente nel user@domain.com formato .

  • Viene quindi richiesto di consentire la connessione desktop remoto durante la connessione a un nuovo PC. Microsoft Entra ricorda fino a 15 host per 30 giorni prima di riprovare. Se viene visualizzata questa finestra di dialogo, selezionare per connettersi.

Importante

Se l'organizzazione ha configurato e usa l'accesso condizionale di Microsoft Entra, il dispositivo deve soddisfare i requisiti di accesso condizionale per consentire la connessione al computer remoto. I criteri di accesso condizionale con controlli di concessione e di sessione possono essere applicati all'applicazione Desktop remoto Microsoft (a4a365df-50f1-4397-bc59-1a1564b8bb9c) per l'accesso controllato.

Disconnessione quando la sessione è bloccata

La schermata di blocco di Windows nella sessione remota non supporta i token di autenticazione di Microsoft Entra o metodi di autenticazione senza password come le chiavi FIDO. La mancanza di supporto per questi metodi di autenticazione significa che gli utenti non possono sbloccare le schermate in una sessione remota. Quando si tenta di bloccare una sessione remota, tramite l'azione dell'utente o i criteri di sistema, la sessione viene invece disconnessa e il servizio invia un messaggio all'utente che spiega che è stata disconnessa.

La disconnessione della sessione garantisce inoltre che quando la connessione viene riavviata dopo un periodo di inattività, l'ID Entra microsoft rivaluta i criteri di accesso condizionale applicabili.

Connettersi senza l'autenticazione di Microsoft Entra

Per impostazione predefinita, RDP non usa l'autenticazione di Microsoft Entra, anche se il PC remoto lo supporta. Questo metodo consente di connettersi al dispositivo microsoft entra aggiunto remoto da:

Nota

Sia il dispositivo locale che quello remoto devono trovarsi nello stesso tenant di Microsoft Entra. I guest B2B di Microsoft Entra non sono supportati per Desktop remoto.

Per connettersi al computer remoto:

  • Avviare Connessione Desktop remoto da Windows Search o eseguendo mstsc.exe.
  • Specificare il nome del computer remoto.
  • Quando vengono richieste le credenziali, specificare il nome utente nel user@domain.com formato o AzureAD\user@domain.com .

Suggerimento

Se si specifica il nome utente nel domain\user formato, è possibile che venga visualizzato un errore che indica che il tentativo di accesso non è riuscito con il messaggio Computer remoto aggiunto a Microsoft Entra. Se si accede all'account aziendale, provare a usare l'indirizzo di posta elettronica aziendale.

Nota

Per i dispositivi che eseguono Windows 10 versione 1703 o precedente, l'utente deve prima accedere al dispositivo remoto prima di tentare connessioni remote.

Configurazioni supportate

Questa tabella elenca le configurazioni supportate per la connessione remota a un dispositivo aggiunto a Microsoft Entra senza usare l'autenticazione di Microsoft Entra:

Criteri Sistema operativo client Credenziali supportate
RDP dal dispositivo registrato Microsoft Entra Windows 10, versione 2004 o successiva Password, smart card
RDP dal dispositivo aggiunto a Microsoft Entra Windows 10 versione 1607 o successiva Password, smart card, attendibilità del certificato Windows Hello for Business
RDP da un dispositivo aggiunto ibrido a Microsoft Entra Windows 10 versione 1607 o successiva Password, smart card, attendibilità del certificato Windows Hello for Business

Nota

Se il client RDP esegue Windows Server 2016 o Windows Server 2019, per poter connettersi ai dispositivi aggiunti a Microsoft Entra, deve consentire alle richieste di autenticazione PKU2U (Public Key Cryptography Based User-to-User) di usare identità online.

Nota

Quando un gruppo Microsoft Entra viene aggiunto al gruppo Utenti desktop remoto in un dispositivo Windows, non viene rispettato quando l'utente che appartiene al gruppo Microsoft Entra accede tramite RDP, causando un errore di stabilire la connessione remota. In questo scenario, l'autenticazione a livello di rete deve essere disabilitata per consentire la connessione.

Aggiungere utenti al gruppo Utenti desktop remoto

Il gruppo Utenti desktop remoto viene usato per concedere a utenti e gruppi le autorizzazioni per la connessione remota al dispositivo. Gli utenti possono essere aggiunti manualmente o tramite criteri MDM:

  • Aggiunta manuale degli utenti:

    È possibile specificare singoli account Microsoft Entra per le connessioni remote eseguendo il comando seguente, dove <userUPN> è l'UPN dell'utente, ad esempio user@domain.com:

    net localgroup "Remote Desktop Users" /add "AzureAD\<userUPN>"

    Per eseguire questo comando, è necessario essere un membro del gruppo Administrators locale. In caso contrario, potrebbe essere visualizzato un errore simile a There is no such global user or group: <name>.

  • Aggiunta di utenti tramite criteri:

    A partire da Windows 10 versione 2004, è possibile aggiungere utenti agli utenti di Desktop remoto usando i criteri MDM, come descritto in Come gestire il gruppo di amministratori locali nei dispositivi aggiunti a Microsoft Entra.

Come usare Desktop remoto