Conexión a un dispositivo remoto unido a Microsoft Entra
Windows admite conexiones remotas a dispositivos unidos a Active Directory, así como dispositivos unidos a Microsoft Entra ID mediante el Protocolo de Escritorio remoto (RDP).
- A partir de Windows 10, versión 1809, puede usar la biometría para autenticarse en una sesión de escritorio remoto.
- A partir de Windows 10/11, con la actualización 2022-10 instalada, puede usar la autenticación de Microsoft Entra para conectarse al dispositivo remoto Microsoft Entra.
Requisitos previos
- Ambos dispositivos (local y remoto) deben ejecutar una versión compatible de Windows.
- El dispositivo remoto debe tener la opción Conectar y usar este equipo desde otro dispositivo mediante la opción De escritorio remoto seleccionada en Configuración>del sistema>de Escritorio remoto.
- Seleccione La opción Requerir dispositivos para usar la autenticación de nivel de red para conectarse se recomienda.
- Si el usuario que unió el dispositivo a Microsoft Entra ID es el único que se va a conectar de forma remota, no se necesita ninguna otra configuración. Para permitir que más usuarios o grupos se conecten al dispositivo de forma remota, debe agregar usuarios al grupo Usuarios de Escritorio remoto en el dispositivo remoto.
- Asegúrese de que Credential Guard remoto está desactivado en el dispositivo que usa para conectarse al dispositivo remoto.
Conexión con la autenticación de Microsoft Entra
La autenticación de Microsoft Entra se puede usar en los siguientes sistemas operativos para el dispositivo local y remoto:
- Windows 11 con actualizaciones acumulativas de 2022-10 para Windows 11 (KB5018418) o posterior instaladas.
- Windows 10, versión 20H2 o posterior con actualizaciones acumulativas de 2022-10 para Windows 10 (KB5018410) o posterior instaladas.
- Windows Server 2022 con actualización acumulativa 2022-10 para el sistema operativo Microsoft Server (KB5018421) o posterior instalado.
No es necesario que el dispositivo local se una a un dominio o al identificador de Microsoft Entra. Como resultado, este método le permite conectarse al dispositivo remoto unido a Microsoft Entra desde:
- Dispositivo unido a Microsoft Entra o unido a Microsoft Entra híbrido .
- Dispositivo unido a Active Directory.
- Dispositivo de grupo de trabajo.
La autenticación de Microsoft Entra también se puede usar para conectarse a dispositivos unidos híbridos a Microsoft Entra.
Para conectarse al equipo remoto:
Inicie la conexión a Escritorio remoto desde Windows Search o ejecute
mstsc.exe
.Seleccione Usar una cuenta web para iniciar sesión en la opción equipo remoto en la pestaña Opciones avanzadas . Esta opción es equivalente a la
enablerdsaadauth
propiedad RDP. Para obtener más información, consulte Propiedades de RDP compatibles con Servicios de Escritorio remoto.Especifique el nombre del equipo remoto y seleccione Conectar.
Nota
No se puede usar la dirección IP cuando se usa la opción Usar una cuenta web para iniciar sesión en el equipo remoto . El nombre debe coincidir con el nombre de host del dispositivo remoto en Microsoft Entra ID y ser direccionable a la red, resolviendo a la dirección IP del dispositivo remoto.
Cuando se le soliciten credenciales, especifique el nombre de usuario en
user@domain.com
formato.A continuación, se le pedirá que permita la conexión al escritorio remoto al conectarse a un equipo nuevo. Microsoft Entra recuerda hasta 15 hosts durante 30 días antes de volver a preguntar. Si ve este diálogo, seleccione Sí para conectarse.
Importante
Si su organización ha configurado y usa el acceso condicional de Microsoft Entra, el dispositivo debe cumplir los requisitos de acceso condicional para permitir la conexión al equipo remoto. Las directivas de acceso condicional con controles de concesión y controles de sesión se pueden aplicar a la aplicación Microsoft Remote Desktop (a4a365df-50f1-4397-bc59-1a1564b8bb9c) para el acceso controlado.
Desconexión cuando se bloquea la sesión
La pantalla de bloqueo de Windows de la sesión remota no admite tokens de autenticación de Microsoft Entra ni métodos de autenticación sin contraseña, como las claves FIDO. La falta de compatibilidad con estos métodos de autenticación significa que los usuarios no pueden desbloquear sus pantallas en una sesión remota. Cuando intenta bloquear una sesión remota, ya sea mediante la acción del usuario o la directiva del sistema, la sesión se desconecta y el servicio envía un mensaje al usuario explicando que se ha desconectado.
La desconexión de la sesión también garantiza que, cuando se vuelva a iniciar la conexión después de un período de inactividad, el identificador de Microsoft Entra vuelva a evaluar las directivas de acceso condicional aplicables.
Conexión sin autenticación de Microsoft Entra
De forma predeterminada, RDP no usa la autenticación de Microsoft Entra, incluso si el equipo remoto lo admite. Este método le permite conectarse al dispositivo remoto unido a Microsoft Entra desde:
- Dispositivo unido a Microsoft Entra o unido a Microsoft Entra híbrido mediante Windows 10, versión 1607 o posterior.
- Dispositivo registrado de Microsoft Entra con Windows 10, versión 2004 o posterior.
Nota
Tanto el dispositivo local como el remoto deben estar en el mismo inquilino de Microsoft Entra. Los invitados de Microsoft Entra B2B no son compatibles con Escritorio remoto.
Para conectarse al equipo remoto:
- Inicie la conexión a Escritorio remoto desde Windows Search o ejecute
mstsc.exe
. - Especifique el nombre del equipo remoto.
- Cuando se le soliciten credenciales, especifique el nombre de usuario en
user@domain.com
formato oAzureAD\user@domain.com
.
Sugerencia
Si especifica su nombre de usuario en domain\user
formato, puede recibir un error que indica que se produjo un error en el intento de inicio de sesión con el mensaje Máquina remota está unido a Microsoft Entra. Si inicia sesión en su cuenta profesional, pruebe a usar su dirección de correo electrónico profesional.
Nota
Para los dispositivos que ejecutan Windows 10, versión 1703 o anterior, el usuario debe iniciar sesión en el dispositivo remoto primero antes de intentar conexiones remotas.
Configuraciones admitidas
En esta tabla se enumeran las configuraciones admitidas para conectarse de forma remota a un dispositivo unido a Microsoft Entra sin usar la autenticación de Microsoft Entra:
Criterios | Sistema operativo cliente | Credenciales admitidas |
---|---|---|
RDP desde un dispositivo registrado de Microsoft Entra | Windows 10, versión 2004 o posterior | Contraseña, tarjeta inteligente |
RDP desde un dispositivo unido a Microsoft Entra | Windows 10, versión 1607 o posterior | Contraseña, tarjeta inteligente, confianza de certificados de Windows Hello para empresas |
RDP desde un dispositivo unido híbrido a Microsoft Entra | Windows 10, versión 1607 o posterior | Contraseña, tarjeta inteligente, confianza de certificados de Windows Hello para empresas |
Nota
Si el cliente RDP ejecuta Windows Server 2016 o Windows Server 2019, para poder conectarse a dispositivos unidos a Microsoft Entra, debe permitir que las solicitudes de autenticación de usuario a usuario basado en criptografía de clave pública (PKU2U) usen identidades en línea.
Nota
Cuando se agrega un grupo de Microsoft Entra al grupo Usuarios de Escritorio remoto en un dispositivo Windows, no se respeta cuando el usuario que pertenece al grupo Microsoft Entra inicia sesión a través de RDP, lo que produce un error al establecer la conexión remota. En este escenario, la autenticación de nivel de red debe deshabilitarse para permitir la conexión.
Agregar usuarios al grupo Usuarios de Escritorio remoto
El grupo Usuarios de Escritorio remoto se usa para conceder permisos a usuarios y grupos para conectarse de forma remota al dispositivo. Los usuarios se pueden agregar manualmente o a través de directivas MDM:
Agregar usuarios manualmente:
Puede especificar cuentas de Microsoft Entra individuales para conexiones remotas mediante la ejecución del siguiente comando, donde
<userUPN>
es el UPN del usuario, por ejemplouser@domain.com
:net localgroup "Remote Desktop Users" /add "AzureAD\<userUPN>"
Para ejecutar este comando, debe ser miembro del grupo administradores local. De lo contrario, es posible que vea un error similar a
There is no such global user or group: <name>
.Agregar usuarios mediante la directiva:
A partir de Windows 10, versión 2004, puede agregar usuarios a los usuarios de Escritorio remoto mediante directivas MDM, como se describe en Cómo administrar el grupo de administradores locales en dispositivos unidos a Microsoft Entra.