Подключение к удаленному устройству, присоединенное к Microsoft Entra
Windows поддерживает удаленные подключения к устройствам, присоединенным к Active Directory, а также устройствам, присоединенным к Microsoft Entra ID с помощью протокола удаленного рабочего стола (RDP).
- Начиная с Windows 10, версия 1809, вы можете использовать биометрические данные для проверки подлинности в сеансе удаленного рабочего стола.
- Начиная с Windows 10/11, с установленным обновлением 2022-10, вы можете использовать Microsoft Entra проверку подлинности для подключения к удаленному Microsoft Entra устройству.
Предварительные условия
- Оба устройства (локальное и удаленное) должны работать под управлением поддерживаемой версии Windows.
- На удаленном устройстве должен быть выбран параметр Подключиться к другому компьютеру и использовать его с другого устройства с помощью приложения "Удаленный рабочий стол" в разделе Параметры>Системный>удаленный рабочий стол.
- Рекомендуется выбрать параметр Требовать, чтобы устройства использовали проверку подлинности на уровне сети для подключения .
- Если пользователь, присоединивший устройство к Microsoft Entra ID, является единственным, кто собирается подключиться удаленно, другая настройка не требуется. Чтобы разрешить удаленное подключение к устройству нескольким пользователям или группам, необходимо добавить пользователей в группу "Пользователи удаленного рабочего стола" на удаленном устройстве.
- Убедитесь, что функция Remote Credential Guard отключена на устройстве, используемом для подключения к удаленному устройству.
Подключение с помощью проверки подлинности Microsoft Entra
Microsoft Entra проверку подлинности можно использовать в следующих операционных системах для локального и удаленного устройства:
- Windows 11 с накопительным пакетом Обновления 2022–10 для Windows 11 (KB5018418) или более поздней версии.
- Windows 10 версии 20H2 или более поздней с накопительным пакетом Обновления 2022-10 для Windows 10 (KB5018410) или более поздней версии.
- Windows Server 2022 с установленным накопительным обновлением 2022-10 для серверной операционной системы Майкрософт (KB5018421) или более поздней версии.
Не требуется присоединение локального устройства к домену или Microsoft Entra ID. В результате этот метод позволяет подключиться к удаленному Microsoft Entra присоединению устройства из:
- Microsoft Entra присоединенное устройство или Microsoft Entra устройство с гибридным присоединением.
- Устройство, присоединенное к Active Directory.
- Устройство рабочей группы.
Microsoft Entra проверку подлинности также можно использовать для подключения к Microsoft Entra устройствам с гибридным присоединением.
Чтобы подключиться к удаленному компьютеру, выполните следующие действия:
Запустите подключение к удаленному рабочему столу из Поиска Windows или запустив
mstsc.exe
.Выберите Использовать веб-учетную запись для входа на удаленный компьютер на вкладке Дополнительно . Этот параметр эквивалентен свойству
enablerdsaadauth
RDP. Дополнительные сведения см. в разделе Поддерживаемые свойства RDP в службах удаленных рабочих столов.Укажите имя удаленного компьютера и нажмите кнопку Подключить.
Примечание.
IP-адрес нельзя использовать, если используется параметр Использовать учетную запись веб-сайта для входа на удаленный компьютер . Имя должно соответствовать имени узла удаленного устройства в Microsoft Entra ID и быть адресируемым по сети, разрешая в IP-адрес удаленного устройства.
При запросе учетных данных укажите имя пользователя в
user@domain.com
формате.После этого вам будет предложено разрешить подключение к удаленному рабочему столу при подключении к новому компьютеру. Microsoft Entra запоминает до 15 узлов в течение 30 дней перед повторным запросом. Если вы видите это диалоговое окно, выберите Да , чтобы подключиться.
Важно.
Если ваша организация настроена и использует условный доступ Microsoft Entra, устройство должно соответствовать требованиям условного доступа, чтобы разрешить подключение к удаленному компьютеру. Политики условного доступа с элементами управления предоставлением и сеансами могут применяться к Удаленный рабочий стол (Майкрософт) приложения (a4a365df-50f1-4397-bc59-1a1564b8bb9c) для управляемого доступа.
Отключение при блокировке сеанса
Экран блокировки Windows в удаленном сеансе не поддерживает маркеры проверки подлинности Microsoft Entra или методы проверки подлинности без пароля, такие как ключи FIDO. Отсутствие поддержки этих методов проверки подлинности означает, что пользователи не могут разблокировать свои экраны в удаленном сеансе. При попытке заблокировать удаленный сеанс с помощью действия пользователя или системной политики сеанс отключается, а служба отправляет пользователю сообщение о том, что он был отключен.
Отключение сеанса также гарантирует, что при перезапуске подключения после периода бездействия Microsoft Entra ID повторно оценить применимые политики условного доступа.
Подключение без проверки подлинности Microsoft Entra
По умолчанию RDP не использует проверку подлинности Microsoft Entra, даже если удаленный компьютер поддерживает ее. Этот метод позволяет подключиться к удаленному Microsoft Entra присоединенного устройства из:
- Microsoft Entra присоединенное или Microsoft Entra гибридное устройство с использованием Windows 10 версии 1607 или более поздней.
- Microsoft Entra зарегистрированное устройство с использованием Windows 10 версии 2004 или более поздней.
Примечание.
Локальное и удаленное устройство должны находиться в одном клиенте Microsoft Entra. Microsoft Entra гости B2B не поддерживаются для удаленного рабочего стола.
Чтобы подключиться к удаленному компьютеру, выполните следующие действия:
- Запустите подключение к удаленному рабочему столу из Поиска Windows или запустив
mstsc.exe
. - Укажите имя удаленного компьютера.
- При запросе учетных данных укажите имя пользователя в формате
user@domain.com
илиAzureAD\user@domain.com
.
Совет
Если указать имя пользователя в domain\user
формате, может появиться сообщение об ошибке, указывающее, что попытка входа завершилась ошибкой с сообщением Удаленный компьютер Microsoft Entra присоединен. Если вы входите в рабочую учетную запись, попробуйте использовать рабочий адрес электронной почты.
Примечание.
Для устройств под управлением Windows 10 версии 1703 или более ранней пользователь должен сначала войти на удаленное устройство перед попыткой удаленных подключений.
Поддерживаемые конфигурации
В этой таблице перечислены поддерживаемые конфигурации для удаленного подключения к устройству, присоединенным к Microsoft Entra, без использования проверки подлинности Microsoft Entra:
Критерии | Клиентская операционная система | Поддерживаемые учетные данные |
---|---|---|
RDP от Microsoft Entra зарегистрированного устройства | Windows 10 версии 2004 или более поздней | Пароль, смарт-карта |
Протокол RDP от устройства, присоединенного к Microsoft Entra | Windows 10 версии 1607 или более поздней | Пароль, смарт-карта, доверие к сертификату Windows Hello для бизнеса |
RDP от Microsoft Entra устройства с гибридным присоединением | Windows 10 версии 1607 или более поздней | Пароль, смарт-карта, доверие к сертификату Windows Hello для бизнеса |
Примечание.
Если клиент RDP работает Windows Server 2016 или Windows Server 2019, чтобы иметь возможность подключаться к устройствам, присоединенным к Microsoft Entra, он должен разрешить запросы проверки подлинности PKU2U на основе шифрования открытого ключа для использования сетевых удостоверений.
Примечание.
Когда группа Microsoft Entra добавляется в группу "Пользователи удаленного рабочего стола" на устройстве с Windows, она не учитывается, когда пользователь, принадлежащий к группе Microsoft Entra, входит через протокол RDP, что приводит к сбою при установке удаленного подключения. В этом сценарии проверка подлинности на уровне сети должна быть отключена, чтобы разрешить подключение.
Добавление пользователей в группу "Пользователи удаленного рабочего стола"
Группа "Пользователи удаленного рабочего стола" используется для предоставления пользователям и группам разрешений на удаленное подключение к устройству. Пользователей можно добавить вручную или с помощью политик MDM:
Добавление пользователей вручную:
Вы можете указать отдельные учетные записи Microsoft Entra для удаленных подключений, выполнив следующую команду, где
<userUPN>
— это имя участника-пользователя, напримерuser@domain.com
:net localgroup "Remote Desktop Users" /add "AzureAD\<userUPN>"
Чтобы выполнить эту команду, необходимо быть членом локальной группы администраторов. В противном случае может появиться сообщение об ошибке, похожее на
There is no such global user or group: <name>
.Добавление пользователей с помощью политики:
Начиная с Windows 10 версии 2004, вы можете добавлять пользователей в список пользователей удаленных рабочих столов с помощью политик MDM, как описано в разделе Управление локальной группой администраторов на Microsoft Entra присоединенных устройствах.
Связанные статьи
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по