可以使用 Windows 中的远程桌面连接应用(MSTSC)通过单一登录和 Microsoft Entra 身份验证连接到远程电脑。 使用 Microsoft Entra 帐户登录到本地设备并连接到远程电脑时,您的凭据会自动传输并自动登录。
先决条件
若要使用单一登录和 Microsoft Entra 身份验证连接到远程电脑,需要:
远程电脑和本地设备必须运行以下作系统之一:
- Windows 11,安装了适用于 Windows 11 的 2022-10 累积更新 (KB5018418) 或更高版本。
- Windows 10,版本 20H2 或更高,安装了适用于 Windows 10 的 2022-10 累积更新 (KB5018410) 或更高版本。
- Windows Server 2022,安装了适用于 Microsoft 服务器操作系统的 2022-10 累积更新 (KB5018421) 或更高版本。
需要在远程电脑中启用远程桌面。 您可以按照 在电脑上启用远程桌面 中的步骤来启用远程桌面。
远程电脑必须已建立 Microsoft Entra 联接,或已建立 Microsoft Entra 混合联接。 本地设备无需加入域或与 Microsoft Entra 建立联接。 因此,此方法允许从以下位置连接到远程电脑:
- 已建立 Microsoft Entra 联接或已建立 Microsoft Entra 混合联接的设备。
- 已加入 Active Directory 域的设备。
- 工作组设备。
如果要访问 Azure VM,请确保Microsoft Entra 帐户已分配 虚拟机管理员登录名 或 虚拟机用户登录 角色。 有关详细信息,请参阅 分配 Azure 角色的步骤。
如果组织已配置并使用 Microsoft Entra 条件访问,则本地设备必须满足条件访问要求才能允许连接到远程计算机。 条件访问策略可以应用于应用程序 Microsoft 远程桌面,其 ID 为 a4a365df-50f1-4397-bc59-1a1564b8bb9c,以控制在启用单一登录时对远程电脑的访问。
注意
建议 强制实施多重身份验证条件访问,并使用 登录频率控制 配置定期重新身份验证策略,以增强安全性。
配合使用单一登录和 Microsoft Entra 身份验证连接到远程电脑
下面介绍如何使用单一登录和 Microsoft Entra 身份验证连接到远程电脑
从 Windows 搜索启动本地设备上的远程桌面连接应用,或通过命令提示符运行
mstsc.exe。选择 显示选项 展开远程桌面连接客户端,然后选择“高级”选项卡。
选中“使用 Web 帐户登录远程计算机”框。 此选项等效于
enablerdsaadauthRDP 属性。 有关详细信息,请参阅 远程桌面服务支持的 RDP 属性。选择“常规”选项卡,并在“计算机”字段中输入远程电脑的 NetBIOS 域名或完全限定域名(FQDN)。 该名称必须与 Microsoft Entra ID 中远程电脑的主机名匹配,并且网络可寻址,以便解析为远程电脑的 IP 地址。 无法使用 IP 地址。
选择“”连接“”。
如果系统提示输入凭据,可能会自动选择Microsoft Entra ID 中的用户帐户。 如果未自动选择帐户,请以
user@domain.com(用户主体名称(UPN))格式指定帐户的用户名。选择“确定”进行连接。 当连接到新的远程电脑时,系统会提示你允许远程桌面连接。 Microsoft Entra 最多记住 15 个主机 30 天,然后再次提示。 如果看到此对话框,请选择是进行连接。
会话锁定时断开连接
远程会话中的 Windows 锁屏不支持Microsoft Entra 身份验证令牌或无密码身份验证方法(如 FIDO 密钥)。 缺乏对这些身份验证方法的支持意味着用户无法在远程会话中解锁其屏幕。 当您尝试通过用户操作或系统策略锁定远程会话时,会话会被断开连接,服务会向用户发送一条消息,说明他们已断开连接。
断开会话连接还可确保在非活动时间段后重新启动连接时,Microsoft Entra ID 会重新评估适用的条件访问策略。