連線到已加入遠端 Azure Active Directory 的裝置
從發行版本開始,Windows 就支援使用遠端桌面通訊協定 (RDP) ,從遠端連線到已加入 Active Directory 的裝置。 Windows 10版本 1607 新增了使用 RDP 連線到已加入 Azure Active Directory (Azure AD) 裝置的能力。
- 從Windows 10 版本 1809開始,您可以使用生物特徵辨識來向遠端桌面會話進行驗證。
- 從 Windows 10/11 開始,安裝 2022-10 更新之後,您可以使用 Azure AD 驗證來連線到遠端 Azure AD 裝置。
必要條件
- 本機和遠端) (兩個裝置都必須執行支援的 Windows 版本。
- 遠端裝置必須使用 [設定系統>遠端桌面] 下> 選取的 [遠端桌面應用程式] 選項,從另一部裝置連線並使用此電腦。
- 建議您選取 [ 需要裝置使用網路層級驗證來連線 ] 選項。
- 如果將裝置加入 Azure AD 的使用者是唯一要從遠端連線的使用者,則不需要其他設定。 若要允許更多使用者或群組從遠端連線到裝置,您必須將 使用者新增至遠端裝置上的遠端桌面使用者群組 。
- 確定您用來連線到遠端裝置的裝置上已關閉 Remote Credential Guard 。
使用 Azure AD 驗證 連線
Azure AD 驗證可用於本機和遠端裝置的下列作業系統:
- Windows 11已安裝2022-10 Windows 11 (KB5018418) 或更新版本的累計更新。
- Windows 10版本 20H2 或更新版本,已安裝Windows 10 (KB5018410) 或更新版本的 2022-10 累積更新。
- 已安裝 2022-10 版 Microsoft 伺服器作業系統累積更新的 Windows Server 2022 (KB5018421) 或更新版本。
本機裝置不需要加入網域或 Azure AD。 因此,此方法可讓您從下列專案連線到已加入 Azure AD 的遠端裝置:
- 已加入 Azure AD 或 已加入混合式 Azure AD 的 裝置。
- 已加入 Active Directory 的裝置。
- 工作組裝置。
Azure AD 驗證也可用來連線到已加入混合式 Azure AD 的裝置。
若要連線到遠端電腦:
從 Windows 搜尋或執行 來啟動 遠端桌面聯 機
mstsc.exe。選 取 [進階 ] 索引 標籤 中的 [使用 Web 帳戶登入遠端電腦] 選項。此選項相當於
enablerdsaadauthRDP 屬性。 如需詳細資訊,請參閱 使用遠端桌面服務支援的 RDP 屬性。指定遠端電腦的名稱,然後選取 [ 連線]。
注意
使用 [ 使用 Web 帳戶登入遠端電腦 ] 選項時,無法使用 IP 位址。 名稱必須符合 Azure AD 中遠端裝置的主機名稱,且可透過網路定址方式解析為遠端裝置的 IP 位址。
當系統提示您輸入認證時,請以
user@domain.com格式指定您的使用者名稱。接著,系統會提示您在連線到新電腦時允許遠端桌面連線。 在再次提示之前,Azure AD 最多會記住 15 部主機 30 天。 如果您看到此對話方塊,請選取 [是 ] 以連線。
重要
如果您的組織已設定並使用 Azure AD 條件式存取,您的裝置必須滿足條件式存取需求,才能允許連線到遠端電腦。 具有授與控件和會話控件的條件式存取原則可以套用至應用程式,Microsoft 遠端桌面 (a4a365df-50f1-4397-bc59-1a1564b8bb9c) 進行受控存取。
會話鎖定時中斷連線
遠端會話中的 Windows 鎖定畫面不支援 Azure AD 驗證權杖或 FIDO 金鑰等無密碼驗證方法。 缺少這些驗證方法的支援,表示使用者無法在遠端會話中解除鎖定螢幕。 當您嘗試透過使用者動作或系統原則鎖定遠端會話時,會話會改為中斷連線,而服務會傳送訊息給使用者,說明他們已中斷連線。
中斷會話連線也可確保當連線在閒置一段時間之後重新開機時,Azure AD 會重新評估適用的條件式存取原則。
不使用Azure AD 驗證連線
根據預設,RDP 不會使用 Azure AD 驗證,即使遠端電腦支援也一樣。 此方法可讓您從下列專案連線到已加入 Azure AD 的遠端裝置:
- 已加入 Azure AD或已加入混合式 Azure AD的裝置使用 Windows 10 版本 1607 或更新版本。
- 使用 Windows 10 版本 2004 或更新版本的Azure AD 註冊裝置。
注意
本機和遠端裝置都必須位於相同的 Azure AD 租使用者中。 遠端桌面不支援 Azure AD B2B 來賓。
若要連線到遠端電腦:
- 從 Windows 搜尋或執行 來啟動 遠端桌面聯 機
mstsc.exe。 - 指定遠端電腦的名稱。
- 當系統提示您輸入認證時,請以
user@domain.com或AzureAD\user@domain.com格式指定您的使用者名稱。
提示
如果您以 domain\user 格式指定使用者名稱,您可能會收到錯誤,指出登入嘗試失敗,並出現訊息 :遠端電腦已加入 AAD。如果您要登入您的工作帳戶,請嘗試使用您的工作電子郵件地址。
注意
對於執行 Windows 10 1703 版或更早版本的裝置,使用者必須先登入遠端裝置,然後再嘗試遠端連線。
支援的設定
下表列出在不使用 Azure AD 驗證的情況下,從遠端連線到已加入 Azure AD 之裝置的支援設定:
| 標準 | 用戶端作業系統 | 支援的認證 |
|---|---|---|
| 來自Azure AD 已註冊裝置的RDP | Windows 10 2004 版或更新版本 | 密碼、智慧卡 |
| 來自已加入 Azure AD 之裝置的 RDP | Windows 10 (版本 1607) 或更新版本 | 密碼、智慧卡、Windows Hello 企業版憑證信任 |
| 來自混合式 Azure AD 已加入裝置的 RDP | Windows 10 (版本 1607) 或更新版本 | 密碼、智慧卡、Windows Hello 企業版憑證信任 |
注意
如果 RDP 用戶端執行Windows Server 2016或 Windows Server 2019,若要能夠連線到已加入 Azure AD 的裝置,則必須允許以公開金鑰密碼編譯為基礎的使用者對使用者 (PKU2U) 驗證要求以使用線上身分識別。
注意
當 Azure AD 群組新增至 Windows 裝置上的 遠端桌面使用者 群組時,當屬於 Azure AD 群組的使用者透過 RDP 登入,導致無法建立遠端連線時,則不會接受該群組。 在此案例中,應停用網路層級驗證以允許連線。
將使用者新增至遠端桌面使用者群組
遠端桌面使用者群組可用來授與使用者和群組遠端連線到裝置的許可權。 您可以手動或透過 MDM 原則新增使用者:
手動新增使用者:
您可以執行下列命令來指定遠端連線的個別 Azure AD 帳戶,其中
<userUPN>是使用者的 UPN,例如user@domain.com:net localgroup "Remote Desktop Users" /add "AzureAD\<userUPN>"若要執行此命令,您必須是本機 Administrators 群組的成員。 否則,您可能會看到類似
There is no such global user or group: <name>的錯誤。使用原則新增使用者:
從 Windows 10 2004 版開始,您可以使用 MDM 原則將使用者新增至遠端桌面使用者,如如何在已加入 Azure AD 的裝置上管理本機系統管理員群組中所述。