使用遠端桌面連線應用程式透過單一登錄搭配 Microsoft Entra 驗證連線到遠端電腦

遠端桌面連線應用程式 （MSTSC） 支援使用 Microsoft Entra 驗證的單一登錄，可順暢地連線到遠端電腦，而不需要重複的認證輸入。 當您登入本機裝置時，此驗證方法會自動通過您的 Microsoft Entra 認證來簡化遠端訪問，以改善生產力和用戶體驗。

本文說明如何在遠端桌面連線應用程式中設定和使用單一登錄搭配 Microsoft Entra 驗證，以連線到遠端電腦。

Prerequisites

若要使用單一登錄搭配 Microsoft Entra 驗證連線到遠端電腦，您需要：

• 遠端電腦和本機裝置必須執行下列其中一個作系統：

  • 已安裝適用於 Windows 11 的 2022-10 累積更新 (KB5018418)或更高版本的 Windows 11。
  • Windows 10 版本 20H2 或更高版本，已安裝 2022-10 累積更新 (KB5018410) 或更新版本。
  • 已安裝適用於 Microsoft 伺服器作業系統的 2022-10 累積更新 (KB5018421) 或更新版本的 Windows Server 2022。

• 遠端桌面必須在遠端電腦中啟用。 您可以遵循 在您的電腦上啟用遠端桌面 中的步驟來啟用遠端桌面。

• 遠端電腦必須可以透過主機名進行網路定位，並解析為遠端電腦的 IP 位址。 不支援直接使用IP位址。

• 遠端電腦必須加入 Microsoft Entra 或以混合模式加入 Microsoft Entra。 本地裝置不需要加入到網域或 Microsoft Entra。 因此，此方法可讓您從下列位置連線到遠端電腦：

  • Microsoft Entra 加入或 Microsoft Entra 混合加入的裝置。
  • 已加入 Active Directory 網域的裝置。
  • Workgroup devices.

• 如果您要存取 Azure VM，請確定 Microsoft Entra 帳戶已獲指派 虛擬機器系統管理員登入 或 虛擬機使用者登入 角色。 如需詳細資訊，請參閱指派 Azure 角色的步驟。

• 如果您的組織使用 Microsoft Entra 條件式存取，您的本機裝置必須滿足條件式存取需求，才能允許連線到遠端電腦。 條件式存取原則可套用至應用程式 Microsoft Remote Desktop，其標識符為 a4a365df-50f1-4397-bc59-1a1564b8bb9c，以在啟用單一登入時控制對遠端電腦的存取。

  Important

  建議您 強制執行多重要素驗證條件式存取 ，並使用 登入頻率控制 來設定定期重新驗證原則，以增加安全性。

使用 Microsoft Entra 驗證的單一登入來連線到遠端 PC

以下說明如何使用單一登錄搭配 Microsoft Entra 驗證連線到遠端電腦

1. 在本機裝置上，從 [開始] 功能表啟動遠端桌面連線應用程式，或從命令提示字元執行 mstsc.exe。

2. Select Show Options to expand the Remote Desktop Connection client, then select the Advanced tab.

3. Under User authentication, check the box Use a web account to sign in to the remote computer. 此選項相當於 enablerdsaadauth RDP 屬性。 如需詳細資訊，請參閱 遠端桌面服務支援的 RDP 屬性。

4. Select the General tab and enter the NetBIOS domain name or fully qualified domain name (FQDN) of the remote PC in the Computer field. 您輸入的名稱必須符合 Microsoft Entra ID 中遠端電腦的主機名，且可尋址網路，並解析為遠端電腦的 IP 位址。 不支援直接使用IP位址。

5. Select Connect.

6. 如果系統提示您輸入認證，系統可能會自動選取Microsoft Entra ID 中的用戶帳戶。 如果未自動選取您的帳戶，請以使用者主體名稱（UPN）格式user@domain.com指定您的帳戶用戶名稱。

7. Select OK to connect. 當連線到新的遠端電腦時，系統會提示您允許遠端桌面連線。 Microsoft Entra 會記住最多 15 部主機，並在 30 天內不再提示。 If you see this dialogue, select Yes to connect.

鎖定時會話連線中斷

遠端工作階段中的 Windows 鎖定畫面不支援 Microsoft Entra 驗證權杖或無密碼驗證方法，例如 FIDO 金鑰。 缺乏這些驗證方法的支援表示使用者無法在遠端工作階段中將其畫面解除鎖定。 當您嘗試透過使用者動作或系統原則鎖定遠端會話時，服務會改為中斷會話連線，並將訊息傳送給說明已中斷連線的使用者。

中斷會話的連線也可確保在閑置一段時間之後重新啟動連線時，Microsoft Entra ID 重新評估適用的條件式存取原則。