连接到远程Microsoft已加入 Entra 的设备
Windows 支持使用远程桌面协议 (RDP) 连接到已加入 Active Directory 的设备以及加入 Microsoft Entra ID 的设备。
- 从 Windows 10 版本 1809 开始,你可以使用 生物识别对远程桌面会话进行身份验证。
- 从 Windows 10/11 开始,安装 2022-10 更新后,可以使用 Microsoft Entra 身份验证连接到远程 Microsoft Entra 设备。
必备条件
- (本地和远程) 的两个设备都必须运行受支持的 Windows 版本。
- 远程设备必须具有使用“设置系统>远程桌面”>下选择的“远程桌面应用”选项连接到另一台设备并使用此电脑。
- 建议选择 “要求设备使用网络级别身份验证进行连接 ”选项。
- 如果加入设备以Microsoft Entra ID 的用户是唯一要远程连接的用户,则不需要其他配置。 若要允许更多用户或组远程连接到设备,必须将 用户添加到远程设备上的远程桌面用户组 。
- 确保用于连接到远程设备的设备上已关闭远程 Credential Guard 。
使用 Microsoft Entra 身份验证进行连接
Microsoft Entra 身份验证可用于本地和远程设备的以下操作系统:
- 安装了 Windows 11 2022-10 累积更新的 Windows 11 (KB5018418) 或更高版本。
- Windows 10 版本 20H2 或更高版本,其中安装了 适用于 Windows 10 (KB5018410) 或更高版本的 2022-10 累积更新 。
- Windows Server 2022 和 2022-10 累积更新,适用于安装Microsoft服务器操作系统 (KB5018421) 或更高版本。
本地设备无需加入域或Microsoft Entra ID。 因此,此方法允许你从以下位置连接到远程 Microsoft Entra 联接的设备:
- Microsoft已加入 Entra 或 Microsoft Entra 混合联接 设备。
- 已加入 Active Directory 的设备。
- 工作组设备。
Microsoft Entra 身份验证还可用于连接到Microsoft Entra 混合联接设备。
若要连接到远程计算机,请执行以下操作:
从 Windows 搜索或通过运行
mstsc.exe
启动远程桌面连接。在“高级”选项卡中选择“使用 Web 帐户登录到远程计算机”选项。此选项等效于
enablerdsaadauth
RDP 属性。 有关详细信息,请参阅 远程桌面服务支持的 RDP 属性。指定远程计算机的名称,然后选择“ 连接”。
注意
使用 “使用 Web 帐户登录远程计算机 ”选项时,无法使用 IP 地址。 该名称必须与 entra ID Microsoft 中的远程设备的主机名匹配,并且可网络寻址,解析为远程设备的 IP 地址。
当系统提示输入凭据时,请指定格式的
user@domain.com
用户名。然后,连接到新电脑时,系统会提示你允许远程桌面连接。 Microsoft Entra 会在 30 天内记住最多 15 个主机,然后再次提示。 如果看到此对话框,请选择“ 是 ”进行连接。
重要提示
如果组织已配置并使用 Microsoft Entra 条件访问,则设备必须满足条件访问要求才能允许连接到远程计算机。 可以将具有 授予控件 和 会话控件 的条件访问策略应用于应用程序 ,Microsoft远程桌面 (a4a365df-50f1-4397-bc59-1a1564b8bb9c) 进行受控访问。
会话锁定时断开连接
远程会话中的 Windows 锁屏界面不支持Microsoft Entra 身份验证令牌或 FIDO 密钥等无密码身份验证方法。 缺少对这些身份验证方法的支持意味着用户无法在远程会话中解锁其屏幕。 尝试通过用户操作或系统策略锁定远程会话时,会话会断开连接,服务向用户发送一条消息,说明它们已断开连接。
断开会话连接还可以确保连接在处于非活动状态一段时间后重新启动时,Microsoft Entra ID 会重新评估适用的条件访问策略。
无需Microsoft Entra 身份验证进行连接
默认情况下,RDP 不使用 Microsoft Entra 身份验证,即使远程电脑支持它。 此方法允许从以下位置连接到已加入远程 Microsoft Entra 的设备:
- 使用 Windows 10 版本 1607 或更高版本Microsoft Entra 已加入或Microsoft Entra 混合联接 设备。
- Microsoft使用 Windows 10 版本 2004 或更高版本注册的 Entra 设备。
注意
本地和远程设备必须位于同一Microsoft Entra 租户中。 Microsoft远程桌面不支持 Entra B2B 来宾。
若要连接到远程计算机,请执行以下操作:
- 从 Windows 搜索或通过运行
mstsc.exe
启动远程桌面连接。 - 指定远程计算机的名称。
- 当系统提示输入凭据时,请以
user@domain.com
或AzureAD\user@domain.com
格式指定用户名。
提示
如果以格式指定用户名 domain\user
,则可能会收到一个错误,指示登录尝试失败,并显示 消息“远程计算机已Microsoft已加入 Entra”。如果要登录到工作帐户,请尝试使用工作电子邮件地址。
注意
对于运行 Windows 10 版本 1703 或更低版本的设备,用户必须先登录到远程设备,然后才能尝试远程连接。
支持的配置
下表列出了在不使用 Microsoft Entra 身份验证的情况下远程连接到已加入 Microsoft Entra 的设备时所支持的配置:
标准 | 客户端操作系统 | 支持的凭据 |
---|---|---|
Microsoft Entra 已注册设备的 RDP | Windows 10 版本 2004 或更高版本 | 密码、智能卡 |
来自已加入 entra Microsoft 设备的 RDP | Windows 10 版本 1607 或更高版本 | 密码、智能卡、Windows Hello 企业版证书信任 |
来自 Microsoft Entra 混合联接设备的 RDP | Windows 10 版本 1607 或更高版本 | 密码、智能卡、Windows Hello 企业版证书信任 |
注意
如果 RDP 客户端运行的是 Windows Server 2016 或 Windows Server 2019,则为了能够连接到Microsoft Entra 联接的设备,它必须 允许基于公钥加密的用户到用户 (PKU2U) 身份验证请求使用联机标识。
注意
将Microsoft Entra 组添加到 Windows 设备上的 远程桌面用户组 时,如果属于 Microsoft Entra 组的用户通过 RDP 登录,导致无法建立远程连接,则不会接受该组。 在这种情况下,应禁用网络级别身份验证以允许连接。
将用户添加到远程桌面用户组
远程桌面用户组用于授予用户和组远程连接到设备的权限。 可以手动或通过 MDM 策略添加用户:
手动添加用户:
可以通过运行以下命令指定用于远程连接的单个Microsoft Entra 帐户,其中
<userUPN>
是用户的 UPN,例如user@domain.com
:net localgroup "Remote Desktop Users" /add "AzureAD\<userUPN>"
若要执行此命令,必须是本地管理员组的成员。 否则,可能会看到类似于
There is no such global user or group: <name>
的错误。使用策略添加用户:
从 Windows 10 版本 2004 开始,可以使用 MDM 策略将用户添加到远程桌面用户,如 如何管理已加入 Microsoft entra 的设备上的本地管理员组中所述。