Compartilhar via

Ligar a um dispositivo associado à Microsoft Entra remota

O Windows suporta ligações remotas a dispositivos associados ao Active Directory, bem como a dispositivos associados a Microsoft Entra ID através do Protocolo RDP (Remote Desktop Protocol).

Pré-requisitos

  • Ambos os dispositivos (locais e remotos) têm de estar a executar uma versão suportada do Windows.
  • O dispositivo remoto tem de ter a opção Ligar a e utilizar este PC a partir de outro dispositivo através da opção de aplicação Ambiente de Trabalho Remoto selecionada em Definições> Ambiente deTrabalho Remoto doSistema>.
    • Selecione É recomendada a opção Exigir que os dispositivos utilizem a Autenticação ao Nível da Rede para ligar .
  • Se o utilizador que se associou ao dispositivo para Microsoft Entra ID for o único que se vai ligar remotamente, não é necessária outra configuração. Para permitir que mais utilizadores ou grupos se liguem ao dispositivo remotamente, tem de adicionar utilizadores ao grupo Utilizadores do Ambiente de Trabalho Remoto no dispositivo remoto.
  • Certifique-se de que o Remote Credential Guard está desativado no dispositivo que está a utilizar para ligar ao dispositivo remoto.

Ligar com a autenticação Microsoft Entra

Microsoft Entra a autenticação pode ser utilizada nos seguintes sistemas operativos para o dispositivo local e remoto:

Não existe nenhum requisito para que o dispositivo local seja associado a um domínio ou Microsoft Entra ID. Como resultado, este método permite-lhe ligar ao dispositivo remoto associado Microsoft Entra a partir de:

Microsoft Entra autenticação também pode ser utilizada para ligar a Microsoft Entra dispositivos associados híbridos.

Para ligar ao computador remoto:

  • Inicie a Ligação ao Ambiente de Trabalho Remoto a partir do Windows Search ou executando mstsc.exe.

  • Selecione Utilizar uma conta Web para iniciar sessão na opção de computador remoto no separador Avançadas . Esta opção é equivalente à enablerdsaadauth propriedade RDP. Para obter mais informações, veja Propriedades de RDP suportadas com os Serviços de Ambiente de Trabalho Remoto.

  • Especifique o nome do computador remoto e selecione Ligar.

    Observação

    Não é possível utilizar o endereço IP quando é utilizada a opção Utilizar uma conta Web para iniciar sessão no computador remoto . O nome tem de corresponder ao nome do anfitrião do dispositivo remoto no Microsoft Entra ID e ser endereçável à rede, resolvendo para o endereço IP do dispositivo remoto.

  • Quando lhe forem pedidas credenciais, especifique o seu nome de utilizador no user@domain.com formato .

  • Em seguida, ser-lhe-á pedido para permitir a ligação ao ambiente de trabalho remoto ao ligar a um novo PC. Microsoft Entra memoriza até 15 anfitriões durante 30 dias antes de voltar a perguntar. Se vir esta caixa de diálogo, selecione Sim para ligar.

Importante

Se a sua organização tiver configurado e estiver a utilizar Microsoft Entra Acesso Condicional, o dispositivo tem de cumprir os requisitos de acesso condicional para permitir a ligação ao computador remoto. As políticas de Acesso Condicional com controlos de concessão e controlos de sessão podem ser aplicadas à aplicação Área de Trabalho Remota da Microsoft (a4a365df-50f1-4397-bc59-1a1564b8bb9c) para acesso controlado.

Desligar quando a sessão está bloqueada

O ecrã de bloqueio do Windows na sessão remota não suporta tokens de autenticação Microsoft Entra ou métodos de autenticação sem palavra-passe, como chaves FIDO. A falta de suporte para estes métodos de autenticação significa que os utilizadores não podem desbloquear os ecrãs numa sessão remota. Quando tenta bloquear uma sessão remota, seja através da ação do utilizador ou da política de sistema, a sessão é desligada e o serviço envia uma mensagem ao utilizador a explicar que foi desligada.

Desligar a sessão também garante que, quando a ligação é reiniciada após um período de inatividade, Microsoft Entra ID reavalia as políticas de acesso condicional aplicáveis.

Ligar sem autenticação Microsoft Entra

Por predefinição, o RDP não utiliza Microsoft Entra autenticação, mesmo que o PC remoto a suporte. Este método permite-lhe ligar-se ao dispositivo associado ao Microsoft Entra remoto a partir de:

Observação

O dispositivo local e remoto tem de estar no mesmo inquilino Microsoft Entra. Microsoft Entra os convidados B2B não são suportados no Ambiente de Trabalho Remoto.

Para ligar ao computador remoto:

  • Inicie a Ligação ao Ambiente de Trabalho Remoto a partir do Windows Search ou executando mstsc.exe.
  • Especifique o nome do computador remoto.
  • Quando lhe forem pedidas credenciais, especifique o seu nome de utilizador em formato user@domain.com ou em formato AzureAD\user@domain.com .

Dica

Se especificar o seu nome de utilizador no domain\user formato, poderá receber um erro a indicar que a tentativa de início de sessão falhou com a mensagem O computador remoto está Microsoft Entra associado. Se estiver a iniciar sessão na sua conta profissional, experimente utilizar o seu endereço de e-mail profissional.

Observação

Para dispositivos com Windows 10, versão 1703 ou anterior, o utilizador tem de iniciar sessão primeiro no dispositivo remoto antes de tentar ligações remotas.

Configurações compatíveis

Esta tabela lista as configurações suportadas para ligar remotamente a um dispositivo associado Microsoft Entra sem utilizar Microsoft Entra autenticação:

Critérios Sistema operativo cliente Credenciais suportadas
RDP de Microsoft Entra dispositivo registado Windows 10, versão 2004 ou posterior Palavra-passe, card inteligente
RDP a partir de Microsoft Entra dispositivo associado Windows 10, versão 1607 ou posterior Palavra-passe, card inteligente Windows Hello para Empresas fidedignidade do certificado
RDP a partir de Microsoft Entra dispositivo associado híbrido Windows 10, versão 1607 ou posterior Palavra-passe, card inteligente Windows Hello para Empresas fidedignidade do certificado

Observação

Se o cliente RDP estiver a executar Windows Server 2016 ou Windows Server 2019, para poder ligar-se a dispositivos associados Microsoft Entra, tem de permitir pedidos de autenticação PKU2U (Public Key Cryptography Based User-to-User) para utilizar identidades online.

Observação

Quando um grupo de Microsoft Entra é adicionado ao grupo Utilizadores do Ambiente de Trabalho Remoto num dispositivo Windows, não é respeitado quando o utilizador que pertence ao grupo de Microsoft Entra inicia sessão através de RDP, o que resulta na falha ao estabelecer a ligação remota. Neste cenário, a Autenticação ao Nível da Rede deve ser desativada para permitir a ligação.

Adicionar utilizadores ao grupo Utilizadores do Ambiente de Trabalho Remoto

O grupo Utilizadores do Ambiente de Trabalho Remoto é utilizado para conceder permissões de utilizadores e grupos para ligar remotamente ao dispositivo. Os utilizadores podem ser adicionados manualmente ou através de políticas mdm:

  • Adicionar utilizadores manualmente:

    Pode especificar contas de Microsoft Entra individuais para ligações remotas ao executar o seguinte comando, em <userUPN> que é o UPN do utilizador, por exemplouser@domain.com:

    net localgroup "Remote Desktop Users" /add "AzureAD\<userUPN>"

    Para executar este comando, tem de ser um membro do grupo administradores local. Caso contrário, poderá ver um erro semelhante a There is no such global user or group: <name>.

  • Adicionar utilizadores através da política:

    A partir do Windows 10, versão 2004, pode adicionar utilizadores aos Utilizadores do Ambiente de Trabalho Remoto através de políticas de MDM, conforme descrito em Como gerir o grupo de administradores locais em dispositivos associados Microsoft Entra.

Como usar a Área de Trabalho Remota