Подключение к удаленному устройству, присоединенное к Microsoft Entra

  • Статья
  • Применяется к:
    Windows 11, ✅ Windows 10

Windows поддерживает удаленные подключения к устройствам, присоединенным к Active Directory, а также устройствам, присоединенным к Microsoft Entra ID с помощью протокола удаленного рабочего стола (RDP).

Предварительные условия

  • Оба устройства (локальное и удаленное) должны работать под управлением поддерживаемой версии Windows.
  • На удаленном устройстве должен быть выбран параметр Подключиться к другому компьютеру и использовать его с другого устройства с помощью приложения "Удаленный рабочий стол" в разделе Параметры>Системный>удаленный рабочий стол.
    • Рекомендуется выбрать параметр Требовать, чтобы устройства использовали проверку подлинности на уровне сети для подключения .
  • Если пользователь, присоединивший устройство к Microsoft Entra ID, является единственным, кто собирается подключиться удаленно, другая настройка не требуется. Чтобы разрешить удаленное подключение к устройству нескольким пользователям или группам, необходимо добавить пользователей в группу "Пользователи удаленного рабочего стола" на удаленном устройстве.
  • Убедитесь, что функция Remote Credential Guard отключена на устройстве, используемом для подключения к удаленному устройству.

Подключение с помощью проверки подлинности Microsoft Entra

Microsoft Entra проверку подлинности можно использовать в следующих операционных системах для локального и удаленного устройства:

Не требуется присоединение локального устройства к домену или Microsoft Entra ID. В результате этот метод позволяет подключиться к удаленному Microsoft Entra присоединению устройства из:

Microsoft Entra проверку подлинности также можно использовать для подключения к Microsoft Entra устройствам с гибридным присоединением.

Чтобы подключиться к удаленному компьютеру, выполните следующие действия:

  • Запустите подключение к удаленному рабочему столу из Поиска Windows или запустив mstsc.exe.

  • Выберите Использовать веб-учетную запись для входа на удаленный компьютер на вкладке Дополнительно . Этот параметр эквивалентен свойству enablerdsaadauth RDP. Дополнительные сведения см. в разделе Поддерживаемые свойства RDP в службах удаленных рабочих столов.

  • Укажите имя удаленного компьютера и нажмите кнопку Подключить.

    Примечание.

    IP-адрес нельзя использовать, если используется параметр Использовать учетную запись веб-сайта для входа на удаленный компьютер . Имя должно соответствовать имени узла удаленного устройства в Microsoft Entra ID и быть адресируемым по сети, разрешая в IP-адрес удаленного устройства.

  • При запросе учетных данных укажите имя пользователя в user@domain.com формате.

  • После этого вам будет предложено разрешить подключение к удаленному рабочему столу при подключении к новому компьютеру. Microsoft Entra запоминает до 15 узлов в течение 30 дней перед повторным запросом. Если вы видите это диалоговое окно, выберите Да , чтобы подключиться.

Важно.

Если ваша организация настроена и использует условный доступ Microsoft Entra, устройство должно соответствовать требованиям условного доступа, чтобы разрешить подключение к удаленному компьютеру. Политики условного доступа с элементами управления предоставлением и сеансами могут применяться к Удаленный рабочий стол (Майкрософт) приложения (a4a365df-50f1-4397-bc59-1a1564b8bb9c) для управляемого доступа.

Отключение при блокировке сеанса

Экран блокировки Windows в удаленном сеансе не поддерживает маркеры проверки подлинности Microsoft Entra или методы проверки подлинности без пароля, такие как ключи FIDO. Отсутствие поддержки этих методов проверки подлинности означает, что пользователи не могут разблокировать свои экраны в удаленном сеансе. При попытке заблокировать удаленный сеанс с помощью действия пользователя или системной политики сеанс отключается, а служба отправляет пользователю сообщение о том, что он был отключен.

Отключение сеанса также гарантирует, что при перезапуске подключения после периода бездействия Microsoft Entra ID повторно оценить применимые политики условного доступа.

Подключение без проверки подлинности Microsoft Entra

По умолчанию RDP не использует проверку подлинности Microsoft Entra, даже если удаленный компьютер поддерживает ее. Этот метод позволяет подключиться к удаленному Microsoft Entra присоединенного устройства из:

Примечание.

Локальное и удаленное устройство должны находиться в одном клиенте Microsoft Entra. Microsoft Entra гости B2B не поддерживаются для удаленного рабочего стола.

Чтобы подключиться к удаленному компьютеру, выполните следующие действия:

  • Запустите подключение к удаленному рабочему столу из Поиска Windows или запустив mstsc.exe.
  • Укажите имя удаленного компьютера.
  • При запросе учетных данных укажите имя пользователя в формате user@domain.com или AzureAD\user@domain.com .

Совет

Если указать имя пользователя в domain\user формате, может появиться сообщение об ошибке, указывающее, что попытка входа завершилась ошибкой с сообщением Удаленный компьютер Microsoft Entra присоединен. Если вы входите в рабочую учетную запись, попробуйте использовать рабочий адрес электронной почты.

Примечание.

Для устройств под управлением Windows 10 версии 1703 или более ранней пользователь должен сначала войти на удаленное устройство перед попыткой удаленных подключений.

Поддерживаемые конфигурации

В этой таблице перечислены поддерживаемые конфигурации для удаленного подключения к устройству, присоединенным к Microsoft Entra, без использования проверки подлинности Microsoft Entra:

Критерии Клиентская операционная система Поддерживаемые учетные данные
RDP от Microsoft Entra зарегистрированного устройства Windows 10 версии 2004 или более поздней Пароль, смарт-карта
Протокол RDP от устройства, присоединенного к Microsoft Entra Windows 10 версии 1607 или более поздней Пароль, смарт-карта, доверие к сертификату Windows Hello для бизнеса
RDP от Microsoft Entra устройства с гибридным присоединением Windows 10 версии 1607 или более поздней Пароль, смарт-карта, доверие к сертификату Windows Hello для бизнеса

Примечание.

Если клиент RDP работает Windows Server 2016 или Windows Server 2019, чтобы иметь возможность подключаться к устройствам, присоединенным к Microsoft Entra, он должен разрешить запросы проверки подлинности PKU2U на основе шифрования открытого ключа для использования сетевых удостоверений.

Примечание.

Когда группа Microsoft Entra добавляется в группу "Пользователи удаленного рабочего стола" на устройстве с Windows, она не учитывается, когда пользователь, принадлежащий к группе Microsoft Entra, входит через протокол RDP, что приводит к сбою при установке удаленного подключения. В этом сценарии проверка подлинности на уровне сети должна быть отключена, чтобы разрешить подключение.

Добавление пользователей в группу "Пользователи удаленного рабочего стола"

Группа "Пользователи удаленного рабочего стола" используется для предоставления пользователям и группам разрешений на удаленное подключение к устройству. Пользователей можно добавить вручную или с помощью политик MDM:

  • Добавление пользователей вручную:

    Вы можете указать отдельные учетные записи Microsoft Entra для удаленных подключений, выполнив следующую команду, где <userUPN> — это имя участника-пользователя, например user@domain.com:

    net localgroup "Remote Desktop Users" /add "AzureAD\<userUPN>"

    Чтобы выполнить эту команду, необходимо быть членом локальной группы администраторов. В противном случае может появиться сообщение об ошибке, похожее на There is no such global user or group: <name>.

  • Добавление пользователей с помощью политики:

    Начиная с Windows 10 версии 2004, вы можете добавлять пользователей в список пользователей удаленных рабочих столов с помощью политик MDM, как описано в разделе Управление локальной группой администраторов на Microsoft Entra присоединенных устройствах.

Использование удаленного рабочего стола