Ligar a um dispositivo associado à Microsoft Entra remota
O Windows suporta ligações remotas a dispositivos associados ao Active Directory, bem como a dispositivos associados a Microsoft Entra ID através do Protocolo RDP (Remote Desktop Protocol).
- A partir de Windows 10, versão 1809, pode utilizar a biometria para autenticar numa sessão de ambiente de trabalho remoto.
- A partir do Windows 10/11, com a atualização 2022-10 instalada, pode utilizar Microsoft Entra autenticação para ligar ao dispositivo Microsoft Entra remoto.
Pré-requisitos
- Ambos os dispositivos (locais e remotos) têm de estar a executar uma versão suportada do Windows.
- O dispositivo remoto tem de ter a opção Ligar a e utilizar este PC a partir de outro dispositivo através da opção de aplicação Ambiente de Trabalho Remoto selecionada em Definições> Ambiente deTrabalho Remoto doSistema>.
- Selecione É recomendada a opção Exigir que os dispositivos utilizem a Autenticação ao Nível da Rede para ligar .
- Se o utilizador que se associou ao dispositivo para Microsoft Entra ID for o único que se vai ligar remotamente, não é necessária outra configuração. Para permitir que mais utilizadores ou grupos se liguem ao dispositivo remotamente, tem de adicionar utilizadores ao grupo Utilizadores do Ambiente de Trabalho Remoto no dispositivo remoto.
- Certifique-se de que o Remote Credential Guard está desativado no dispositivo que está a utilizar para ligar ao dispositivo remoto.
Ligar com a autenticação Microsoft Entra
Microsoft Entra a autenticação pode ser utilizada nos seguintes sistemas operativos para o dispositivo local e remoto:
- Windows 11 com a Atualizações Cumulativa 2022-10 para Windows 11 (KB5018418) ou posterior instalada.
- Windows 10, versão 20H2 ou posterior com a Atualizações Cumulativa 2022-10 para Windows 10 (KB5018410) ou posterior instalada.
- Windows Server 2022 com a Atualização Cumulativa 2022-10 para o sistema operativo do servidor Microsoft (KB5018421) ou posterior instalada.
Não existe nenhum requisito para que o dispositivo local seja associado a um domínio ou Microsoft Entra ID. Como resultado, este método permite-lhe ligar ao dispositivo remoto associado Microsoft Entra a partir de:
- Microsoft Entra dispositivo associado ou Microsoft Entra associado híbrido.
- Dispositivo associado ao Active Directory.
- Dispositivo de grupo de trabalho.
Microsoft Entra autenticação também pode ser utilizada para ligar a Microsoft Entra dispositivos associados híbridos.
Para ligar ao computador remoto:
Inicie a Ligação ao Ambiente de Trabalho Remoto a partir do Windows Search ou executando
mstsc.exe
.Selecione Utilizar uma conta Web para iniciar sessão na opção de computador remoto no separador Avançadas . Esta opção é equivalente à
enablerdsaadauth
propriedade RDP. Para obter mais informações, veja Propriedades de RDP suportadas com os Serviços de Ambiente de Trabalho Remoto.Especifique o nome do computador remoto e selecione Ligar.
Observação
Não é possível utilizar o endereço IP quando é utilizada a opção Utilizar uma conta Web para iniciar sessão no computador remoto . O nome tem de corresponder ao nome do anfitrião do dispositivo remoto no Microsoft Entra ID e ser endereçável à rede, resolvendo para o endereço IP do dispositivo remoto.
Quando lhe forem pedidas credenciais, especifique o seu nome de utilizador no
user@domain.com
formato .Em seguida, ser-lhe-á pedido para permitir a ligação ao ambiente de trabalho remoto ao ligar a um novo PC. Microsoft Entra memoriza até 15 anfitriões durante 30 dias antes de voltar a perguntar. Se vir esta caixa de diálogo, selecione Sim para ligar.
Importante
Se a sua organização tiver configurado e estiver a utilizar Microsoft Entra Acesso Condicional, o dispositivo tem de cumprir os requisitos de acesso condicional para permitir a ligação ao computador remoto. As políticas de Acesso Condicional com controlos de concessão e controlos de sessão podem ser aplicadas à aplicação Área de Trabalho Remota da Microsoft (a4a365df-50f1-4397-bc59-1a1564b8bb9c) para acesso controlado.
Desligar quando a sessão está bloqueada
O ecrã de bloqueio do Windows na sessão remota não suporta tokens de autenticação Microsoft Entra ou métodos de autenticação sem palavra-passe, como chaves FIDO. A falta de suporte para estes métodos de autenticação significa que os utilizadores não podem desbloquear os ecrãs numa sessão remota. Quando tenta bloquear uma sessão remota, seja através da ação do utilizador ou da política de sistema, a sessão é desligada e o serviço envia uma mensagem ao utilizador a explicar que foi desligada.
Desligar a sessão também garante que, quando a ligação é reiniciada após um período de inatividade, Microsoft Entra ID reavalia as políticas de acesso condicional aplicáveis.
Ligar sem autenticação Microsoft Entra
Por predefinição, o RDP não utiliza Microsoft Entra autenticação, mesmo que o PC remoto a suporte. Este método permite-lhe ligar-se ao dispositivo associado ao Microsoft Entra remoto a partir de:
- Microsoft Entra dispositivo associado ou Microsoft Entra híbrido com Windows 10, versão 1607 ou posterior.
- Microsoft Entra dispositivo registado com Windows 10, versão 2004 ou posterior.
Observação
O dispositivo local e remoto tem de estar no mesmo inquilino Microsoft Entra. Microsoft Entra os convidados B2B não são suportados no Ambiente de Trabalho Remoto.
Para ligar ao computador remoto:
- Inicie a Ligação ao Ambiente de Trabalho Remoto a partir do Windows Search ou executando
mstsc.exe
. - Especifique o nome do computador remoto.
- Quando lhe forem pedidas credenciais, especifique o seu nome de utilizador em formato
user@domain.com
ou em formatoAzureAD\user@domain.com
.
Dica
Se especificar o seu nome de utilizador no domain\user
formato, poderá receber um erro a indicar que a tentativa de início de sessão falhou com a mensagem O computador remoto está Microsoft Entra associado. Se estiver a iniciar sessão na sua conta profissional, experimente utilizar o seu endereço de e-mail profissional.
Observação
Para dispositivos com Windows 10, versão 1703 ou anterior, o utilizador tem de iniciar sessão primeiro no dispositivo remoto antes de tentar ligações remotas.
Configurações compatíveis
Esta tabela lista as configurações suportadas para ligar remotamente a um dispositivo associado Microsoft Entra sem utilizar Microsoft Entra autenticação:
Critérios | Sistema operativo cliente | Credenciais suportadas |
---|---|---|
RDP de Microsoft Entra dispositivo registado | Windows 10, versão 2004 ou posterior | Palavra-passe, card inteligente |
RDP a partir de Microsoft Entra dispositivo associado | Windows 10, versão 1607 ou posterior | Palavra-passe, card inteligente Windows Hello para Empresas fidedignidade do certificado |
RDP a partir de Microsoft Entra dispositivo associado híbrido | Windows 10, versão 1607 ou posterior | Palavra-passe, card inteligente Windows Hello para Empresas fidedignidade do certificado |
Observação
Se o cliente RDP estiver a executar Windows Server 2016 ou Windows Server 2019, para poder ligar-se a dispositivos associados Microsoft Entra, tem de permitir pedidos de autenticação PKU2U (Public Key Cryptography Based User-to-User) para utilizar identidades online.
Observação
Quando um grupo de Microsoft Entra é adicionado ao grupo Utilizadores do Ambiente de Trabalho Remoto num dispositivo Windows, não é respeitado quando o utilizador que pertence ao grupo de Microsoft Entra inicia sessão através de RDP, o que resulta na falha ao estabelecer a ligação remota. Neste cenário, a Autenticação ao Nível da Rede deve ser desativada para permitir a ligação.
Adicionar utilizadores ao grupo Utilizadores do Ambiente de Trabalho Remoto
O grupo Utilizadores do Ambiente de Trabalho Remoto é utilizado para conceder permissões de utilizadores e grupos para ligar remotamente ao dispositivo. Os utilizadores podem ser adicionados manualmente ou através de políticas mdm:
Adicionar utilizadores manualmente:
Pode especificar contas de Microsoft Entra individuais para ligações remotas ao executar o seguinte comando, em
<userUPN>
que é o UPN do utilizador, por exemplouser@domain.com
:net localgroup "Remote Desktop Users" /add "AzureAD\<userUPN>"
Para executar este comando, tem de ser um membro do grupo administradores local. Caso contrário, poderá ver um erro semelhante a
There is no such global user or group: <name>
.Adicionar utilizadores através da política:
A partir do Windows 10, versão 2004, pode adicionar utilizadores aos Utilizadores do Ambiente de Trabalho Remoto através de políticas de MDM, conforme descrito em Como gerir o grupo de administradores locais em dispositivos associados Microsoft Entra.