连接到已加入远程Microsoft Entra设备
Windows 支持使用远程桌面协议 (RDP) 连接到已加入 Active Directory 的设备以及加入Microsoft Entra ID的设备。
- 从 Windows 10 版本 1809 开始,可以使用生物识别对远程桌面会话进行身份验证。
- 从 Windows 10/11 开始,安装 2022-10 更新后,可以使用Microsoft Entra身份验证连接到远程Microsoft Entra设备。
必备条件
- (本地和远程) 的两个设备都必须运行受支持的 Windows 版本。
- 远程设备必须具有使用“设置系统>远程桌面”>下选择的“远程桌面应用”选项连接到另一台设备并使用此电脑。
- 建议选择“ 要求设备使用网络级别身份验证进行连接 ”选项。
- 如果加入设备以Microsoft Entra ID的用户是唯一要进行远程连接的用户,则不需要其他配置。 若要允许更多用户或组远程连接到设备,必须将 用户添加到远程设备上的远程桌面用户组 。
- 确保用于连接到远程设备的设备上已关闭远程 Credential Guard 。
使用Microsoft Entra身份验证进行连接
Microsoft Entra身份验证可用于本地和远程设备的以下操作系统:
- Windows 11,安装了 2022-10 Windows 11 (KB5018418) 或更高版本的累积汇报。
- Windows 10版本 20H2 或更高版本,其中安装了 2022-10 累积汇报,适用于Windows 10 (KB5018410) 或更高版本。
- Windows Server 2022,安装了适用于 Microsoft 服务器操作系统的 2022-10 累积更新 (KB5018421) 或更高版本。
本地设备无需加入域或Microsoft Entra ID。 因此,此方法允许从以下位置连接到已加入远程Microsoft Entra设备:
- Microsoft Entra已加入或Microsoft Entra混合联接的设备。
- 已加入 Active Directory 的设备。
- 工作组设备。
Microsoft Entra身份验证还可用于连接到Microsoft Entra混合联接的设备。
若要连接到远程计算机,请执行以下操作:
从 Windows 搜索或通过运行
mstsc.exe启动远程桌面连接。在“高级”选项卡中选择“使用 Web 帐户登录到远程计算机”选项。此选项等效于
enablerdsaadauthRDP 属性。 有关详细信息,请参阅 远程桌面服务支持的 RDP 属性。指定远程计算机的名称,然后选择“ 连接”。
注意
使用 “使用 Web 帐户登录远程计算机 ”选项时,无法使用 IP 地址。 该名称必须与 Microsoft Entra ID 中远程设备的主机名匹配,并且可进行网络寻址,并解析为远程设备的 IP 地址。
当系统提示输入凭据时,请指定格式的
user@domain.com用户名。然后,连接到新电脑时,系统会提示你允许远程桌面连接。 Microsoft Entra最多会记住 15 台主机 30 天,然后再次提示。 如果看到此对话框,请选择“ 是 ”进行连接。
重要提示
如果组织已配置并使用 Microsoft Entra 条件访问,则设备必须满足条件访问要求,以允许连接到远程计算机。 Microsoft 远程桌面 (a4a365df-50f1-4397-bc59-1a1564b8bb9c) ,可将具有授予控件和会话控件的条件访问策略应用于应用程序,以便进行受控访问。
会话锁定时断开连接
远程会话中的 Windows 锁屏界面不支持Microsoft Entra身份验证令牌或无密码身份验证方法(如 FIDO 密钥)。 缺少对这些身份验证方法的支持意味着用户无法在远程会话中解锁其屏幕。 尝试通过用户操作或系统策略锁定远程会话时,会话会断开连接,服务向用户发送一条消息,说明它们已断开连接。
断开会话连接还可以确保在处于非活动状态一段时间后重新启动连接时,Microsoft Entra ID重新评估适用的条件访问策略。
无需Microsoft Entra身份验证进行连接
默认情况下,RDP 不使用Microsoft Entra身份验证,即使远程电脑支持它。 此方法允许你从以下位置连接到远程Microsoft Entra联接的设备:
- 使用 Windows 10 版本 1607 或更高版本Microsoft Entra已加入或Microsoft Entra混合联接的设备。
- 使用 Windows 10 版本 2004 或更高版本Microsoft Entra已注册的设备。
注意
本地设备和远程设备必须位于同一Microsoft Entra租户中。 远程桌面不支持Microsoft Entra B2B 来宾。
若要连接到远程计算机,请执行以下操作:
- 从 Windows 搜索或通过运行
mstsc.exe启动远程桌面连接。 - 指定远程计算机的名称。
- 当系统提示输入凭据时,请以
user@domain.com或AzureAD\user@domain.com格式指定用户名。
提示
如果以格式指定用户名domain\user,可能会收到错误,指示登录尝试失败,并显示消息“远程计算机已加入Microsoft Entra”。如果要登录到工作帐户,请尝试使用工作电子邮件地址。
注意
对于运行 Windows 10 版本 1703 或更低版本的设备,用户必须先登录到远程设备,然后才能尝试远程连接。
支持的配置
下表列出了在不使用Microsoft Entra身份验证的情况下远程连接到已加入Microsoft Entra设备的受支持配置:
| 标准 | 客户端操作系统 | 支持的凭据 |
|---|---|---|
| 来自已注册Microsoft Entra设备的 RDP | Windows 10版本 2004 或更高版本 | 密码,智能卡 |
| 来自已加入Microsoft Entra设备的 RDP | Windows 10 版本 1607 或更高版本 | 密码、智能卡Windows Hello 企业版证书信任 |
| 来自Microsoft Entra混合联接设备的 RDP | Windows 10 版本 1607 或更高版本 | 密码、智能卡Windows Hello 企业版证书信任 |
注意
如果 RDP 客户端正在运行 Windows Server 2016 或 Windows Server 2019,则为了能够连接到已加入Microsoft Entra的设备,它必须允许基于公钥加密的用户到用户 (PKU2U) 身份验证请求使用联机标识。
注意
将Microsoft Entra组添加到 Windows 设备上的远程桌面用户组时,如果属于Microsoft Entra组的用户通过 RDP 登录,导致无法建立远程连接,则不会接受该组。 在这种情况下,应禁用网络级别身份验证以允许连接。
将用户添加到远程桌面用户组
远程桌面用户组用于授予用户和组远程连接到设备的权限。 可以手动或通过 MDM 策略添加用户:
手动添加用户:
可以通过运行以下命令来指定远程连接的单个Microsoft Entra帐户,其中
<userUPN>是用户的 UPN,例如user@domain.com:net localgroup "Remote Desktop Users" /add "AzureAD\<userUPN>"若要执行此命令,必须是本地管理员组的成员。 否则,可能会看到类似于
There is no such global user or group: <name>的错误。使用策略添加用户:
从 Windows 10 版本 2004 开始,可以使用 MDM 策略将用户添加到远程桌面用户,如如何管理已加入Microsoft Entra设备上的本地管理员组中所述。
相关文章
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈