Используйте приложение для удаленного рабочего стола, чтобы подключиться к удаленному ПК с единой аутентификацией Microsoft Entra.

Приложение подключения к удаленному рабочему столу (MSTSC) поддерживает единый вход с проверкой подлинности Microsoft Entra, что позволяет легко подключаться к удаленным компьютерам без повторной записи учетных данных. Этот метод проверки подлинности упрощает удаленный доступ, автоматически передавая учетные данные Microsoft Entra при входе на локальное устройство, повышая производительность работы и взаимодействие с пользователем.

В этой статье показано, как настроить и использовать единый вход с проверкой подлинности Microsoft Entra в приложении подключения к удаленному рабочему столу для подключения к удаленным компьютерам.

Prerequisites

Чтобы подключиться к удаленному компьютеру с помощью единого входа с проверкой подлинности Microsoft Entra, вам потребуется:

• Удаленный компьютер и локальное устройство должны работать под управлением одной из следующих операционных систем:

  • Windows 11 с накопительными обновлениями за 2022-10 для Windows 11 (KB5018418) или более поздними.
  • Windows 10 версии 20H2 или более поздней с накопительными обновлениями 2022-10 для Windows 10 (KB5018410) или более поздними.
  • Windows Server 2022 с накопительным обновлением 2022–10 для операционной системы Microsoft Server (KB5018421) или более поздней версии.

• На удаленном компьютере необходимо включить удаленный рабочий стол. Вы можете следовать инструкциям в для включения Удаленного рабочего стола на вашем ПК, чтобы включить Удаленный рабочий стол.

• Удалённый компьютер должен быть доступным в сети по имени хоста, разрешающемуся в IP-адрес удалённого компьютера. Использование IP-адреса напрямую не поддерживается.

• Удаленный компьютер должен быть присоединен или гибридно присоединен к Microsoft Entra. Для локального устройства не требуется присоединиться к домену или Microsoft Entra. В результате этот метод позволяет подключаться к удаленному компьютеру:

  • Присоединенные к Microsoft Entra устройства или гибридно присоединенные к Microsoft Entra устройства.
  • Устройства, присоединенные к домену Active Directory.
  • Workgroup devices.

• Если вы обращаетесь к виртуальной машине Azure, убедитесь, что учетная запись Microsoft Entra назначена роль логин администратора виртуальной машины или логин пользователя виртуальной машины. Дополнительные сведения см. в разделе Назначение роли Azure.

• Если ваша организация использует условный доступ Microsoft Entra, локальное устройство должно соответствовать требованиям условного доступа, чтобы разрешить подключение к удаленному компьютеру. Политики условного доступа можно применять к приложению Microsoft Remote Desktop с идентификатором 4a365df-50f1-4397-bc59-1a1564b8bb9c для управления доступом к удаленному компьютеру при включении единого входа.

  Important

  Рекомендуется применить условный доступ к многофакторной проверке подлинности и настроить политику периодической повторной проверки подлинности с помощью элемента управления частотой входа для добавленной безопасности.

Подключение к удаленному компьютеру с помощью единого входа и аутентификации Microsoft Entra

Вот как подключиться к удаленному компьютеру с помощью единого входа с помощью проверки подлинности Microsoft Entra

1. Запустите приложение подключения к удаленному рабочему столу на локальном устройстве из меню "Пуск" или с mstsc.exe помощью командной строки.

2. Select Show Options to expand the Remote Desktop Connection client, then select the Advanced tab.

3. Under User authentication, check the box Use a web account to sign in to the remote computer. Этот параметр эквивалентен свойству enablerdsaadauth RDP. Дополнительные сведения см. в статье Поддерживаемые свойства RDP с услугами удаленных рабочих столов.

4. Select the General tab and enter the NetBIOS domain name or fully qualified domain name (FQDN) of the remote PC in the Computer field. Введенное имя должно совпадать с именем узла удаленного компьютера в идентификаторе Microsoft Entra и быть адресируемым для сети, разрешающим IP-адрес удаленного компьютера. Использование IP-адреса напрямую не поддерживается.

5. Select Connect.

6. Если вам будет предложено указать учетные данные, ваша учетная запись пользователя в идентификаторе Microsoft Entra может быть автоматически выбрана. Если учетная запись не выбрана автоматически, укажите имя пользователя для учетной записи в формате user@domain.com (имя главного пользователя (UPN)).

7. Select OK to connect. Вам будет предложено разрешить подключение к удаленному рабочему столу при подключении к новому удаленному компьютеру. Microsoft Entra запоминает до 15 хостов в течение 30 дней, прежде чем снова запросить. If you see this dialogue, select Yes to connect.

Отключение сеанса при блокировке

Экран блокировки Windows в удаленном сеансе не поддерживает маркеры проверки подлинности Microsoft Entra или методы аутентификации без пароля, такие как ключи FIDO. Отсутствие поддержки этих методов проверки подлинности означает, что пользователи не могут разблокировать экраны в удаленном сеансе. При попытке заблокировать удаленный сеанс через действие пользователя или системную политику служба вместо этого отключает сеанс и отправляет пользователю сообщение, объясняющее, что они были отключены.

Отключение сеанса также гарантирует, что при перезапуске подключения после периода бездействия Microsoft Entra ID повторно оценивает применимые политики условного доступа.