Connettersi al dispositivo aggiunto Microsoft Entra remoto
Windows supporta le connessioni remote ai dispositivi aggiunti ad Active Directory e ai dispositivi aggiunti a Microsoft Entra ID tramite RDP (Remote Desktop Protocol).
- A partire da Windows 10, versione 1809, è possibile usare la biometria per eseguire l'autenticazione a una sessione desktop remoto.
- A partire dall'11/Windows 10, con l'aggiornamento 2022-10 installato, è possibile usare l'autenticazione Microsoft Entra per connettersi al dispositivo Microsoft Entra remoto.
Prerequisiti
- Entrambi i dispositivi (locale e remoto) devono eseguire una versione supportata di Windows.
- Il dispositivo remoto deve avere l'opzione Connetti a e usa questo PC da un altro dispositivo usando l'opzione Desktop remoto selezionata in Impostazioni>Desktop remotodi sistema>.
- È consigliabile selezionare l'opzione Richiedi ai dispositivi di usare l'autenticazione a livello di rete per connettersi .
- Se l'utente che ha aggiunto il dispositivo a Microsoft Entra ID è l'unico che si connetterà in remoto, non è necessaria alcuna altra configurazione. Per consentire a più utenti o gruppi di connettersi al dispositivo in remoto, è necessario aggiungere utenti al gruppo Utenti desktop remoto nel dispositivo remoto.
- Assicurarsi che Remote Credential Guard sia disattivato nel dispositivo in uso per connettersi al dispositivo remoto.
Connettersi con l'autenticazione Microsoft Entra
Microsoft Entra'autenticazione può essere usata nei sistemi operativi seguenti per il dispositivo locale e remoto:
- Windows 11 con Aggiornamenti cumulativo 2022-10 per Windows 11 (KB5018418) o versioni successive installate.
- Windows 10 versione 20H2 o successiva con Aggiornamenti cumulativo 2022-10 per Windows 10 (KB5018410) o versioni successive installate.
- Windows Server 2022 con aggiornamento cumulativo 2022-10 per il sistema operativo server Microsoft (KB5018421) o versione successiva installato.
Non è necessario aggiungere il dispositivo locale a un dominio o a un Microsoft Entra ID. Di conseguenza, questo metodo consente di connettersi al dispositivo remoto Microsoft Entra aggiunto da:
- Microsoft Entra dispositivo aggiunto o aggiunto Microsoft Entra ibrido.
- Dispositivo aggiunto ad Active Directory.
- Dispositivo gruppo di lavoro.
Microsoft Entra l'autenticazione può essere usata anche per connettersi a Microsoft Entra dispositivi aggiunti ibridi.
Per connettersi al computer remoto:
Avviare Connessione Desktop remoto da Windows Search o eseguendo
mstsc.exe
.Selezionare Usa un account Web per accedere all'opzione computer remoto nella scheda Avanzate . Questa opzione equivale alla
enablerdsaadauth
proprietà RDP. Per altre informazioni, vedere Proprietà RDP supportate con Servizi Desktop remoto.Specificare il nome del computer remoto e selezionare Connetti.
Nota
L'indirizzo IP non può essere usato quando si usa un account Web per accedere all'opzione computer remoto . Il nome deve corrispondere al nome host del dispositivo remoto in Microsoft Entra ID ed essere indirizzabile alla rete, risolvendo l'indirizzo IP del dispositivo remoto.
Quando vengono richieste le credenziali, specificare il nome utente nel
user@domain.com
formato .Viene quindi richiesto di consentire la connessione desktop remoto durante la connessione a un nuovo PC. Microsoft Entra ricorda fino a 15 host per 30 giorni prima di riprovare. Se viene visualizzata questa finestra di dialogo, selezionare Sì per connettersi.
Importante
Se l'organizzazione ha configurato e usa Microsoft Entra l'accesso condizionale, il dispositivo deve soddisfare i requisiti di accesso condizionale per consentire la connessione al computer remoto. I criteri di accesso condizionale con controlli di concessione e di sessione possono essere applicati all'applicazione Desktop remoto Microsoft (a4a365df-50f1-4397-bc59-1a1564b8bb9c) per l'accesso controllato.
Disconnessione quando la sessione è bloccata
La schermata di blocco di Windows nella sessione remota non supporta Microsoft Entra token di autenticazione o metodi di autenticazione senza password come le chiavi FIDO. La mancanza di supporto per questi metodi di autenticazione significa che gli utenti non possono sbloccare le schermate in una sessione remota. Quando si tenta di bloccare una sessione remota, tramite l'azione dell'utente o i criteri di sistema, la sessione viene invece disconnessa e il servizio invia un messaggio all'utente che spiega che è stata disconnessa.
La disconnessione della sessione garantisce inoltre che quando la connessione viene riavviata dopo un periodo di inattività, Microsoft Entra ID rivaluta i criteri di accesso condizionale applicabili.
Connettersi senza autenticazione Microsoft Entra
Per impostazione predefinita, RDP non usa l'autenticazione Microsoft Entra, anche se il PC remoto lo supporta. Questo metodo consente di connettersi al dispositivo remoto Microsoft Entra aggiunto da:
- Microsoft Entra dispositivo aggiunto o aggiunto Microsoft Entra ibrido usando Windows 10 versione 1607 o successiva.
- Microsoft Entra dispositivo registrato con Windows 10 versione 2004 o successiva.
Nota
Sia il dispositivo locale che quello remoto devono trovarsi nello stesso tenant Microsoft Entra. Microsoft Entra guest B2B non sono supportati per Desktop remoto.
Per connettersi al computer remoto:
- Avviare Connessione Desktop remoto da Windows Search o eseguendo
mstsc.exe
. - Specificare il nome del computer remoto.
- Quando vengono richieste le credenziali, specificare il nome utente nel
user@domain.com
formato oAzureAD\user@domain.com
.
Suggerimento
Se si specifica il nome utente nel domain\user
formato, è possibile che venga visualizzato un errore che indica che il tentativo di accesso non è riuscito con il messaggio Computer remoto Microsoft Entra aggiunto. Se si accede all'account aziendale, provare a usare l'indirizzo di posta elettronica aziendale.
Nota
Per i dispositivi che eseguono Windows 10 versione 1703 o precedente, l'utente deve prima accedere al dispositivo remoto prima di tentare connessioni remote.
Configurazioni supportate
Questa tabella elenca le configurazioni supportate per la connessione remota a un dispositivo aggiunto Microsoft Entra senza usare l'autenticazione Microsoft Entra:
Criteri | Sistema operativo client | Credenziali supportate |
---|---|---|
RDP da Microsoft Entra dispositivo registrato | Windows 10 versione 2004 o successiva | Password, smart card |
RDP da Microsoft Entra dispositivo aggiunto | Windows 10 versione 1607 o successiva | Password, smart card Windows Hello for Business attendibilità del certificato |
RDP da Microsoft Entra dispositivo aggiunto ibrido | Windows 10 versione 1607 o successiva | Password, smart card Windows Hello for Business attendibilità del certificato |
Nota
Se il client RDP esegue Windows Server 2016 o Windows Server 2019, per poter connettersi a Microsoft Entra dispositivi aggiunti, deve consentire alle richieste di autenticazione PKU2U (Public Key Cryptography Based User-to-User) di usare le identità online.
Nota
Quando un gruppo di Microsoft Entra viene aggiunto al gruppo Utenti desktop remoto in un dispositivo Windows, non viene rispettato quando l'utente che appartiene al gruppo Microsoft Entra accede tramite RDP, causando un errore di stabilire la connessione remota. In questo scenario, l'autenticazione a livello di rete deve essere disabilitata per consentire la connessione.
Aggiungere utenti al gruppo Utenti desktop remoto
Il gruppo Utenti desktop remoto viene usato per concedere a utenti e gruppi le autorizzazioni per la connessione remota al dispositivo. Gli utenti possono essere aggiunti manualmente o tramite criteri MDM:
Aggiunta manuale degli utenti:
È possibile specificare singoli account Microsoft Entra per le connessioni remote eseguendo il comando seguente, dove
<userUPN>
è l'UPN dell'utente, ad esempiouser@domain.com
:net localgroup "Remote Desktop Users" /add "AzureAD\<userUPN>"
Per eseguire questo comando, è necessario essere un membro del gruppo Administrators locale. In caso contrario, potrebbe essere visualizzato un errore simile a
There is no such global user or group: <name>
.Aggiunta di utenti tramite criteri:
A partire da Windows 10 versione 2004, è possibile aggiungere utenti agli utenti di Desktop remoto usando i criteri MDM, come descritto in Come gestire il gruppo di amministratori locali nei dispositivi aggiunti Microsoft Entra.
Articoli correlati
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per