線上到已加入 entra 的遠端Microsoft裝置
Windows 支援遠端連線到已加入 Active Directory 的裝置,以及使用遠端桌面通訊協定 (RDP) 加入 Microsoft Entra ID 的裝置。
- 從 Windows 10 版本 1809 開始,您可以 使用生物識別技術向遠端桌面會話進行驗證。
- 從 Windows 10/11 開始,安裝 2022-10 更新之後,您可以 使用 Microsoft Entra 驗證來連線到遠端 Microsoft Entra 裝置。
必要條件
- 本機和遠端) (兩個裝置都必須執行支援的 Windows 版本。
- 遠端裝置必須使用 [設定系統>遠端桌面] 下>選取的 [遠端桌面應用程式] 選項,從另一部裝置連線並使用此電腦。
- 建議選取 [需要裝置使用網路層級驗證來連線 ] 選項。
- 如果加入裝置以Microsoft Entra ID 的使用者是唯一要從遠端連線的使用者,則不需要其他設定。 若要允許更多使用者或群組從遠端連線到裝置,您必須將 使用者新增至遠端裝置上的遠端桌面使用者群組 。
- 確定您用來連線到遠端裝置的裝置上已關閉 Remote Credential Guard 。
使用 Microsoft Entra 驗證連線
Microsoft Entra 驗證可用於本機和遠端裝置的下列作業系統:
- 已安裝 Windows 11 2022-10 累積更新的 Windows 11 (KB5018418) 或更新版本。
- Windows 10 版本 20H2 或更新版本,已安裝 Windows 10 (KB5018410) 或更新版本的 2022-10 累積更新 。
- 已安裝適用於Microsoft 伺服器操作系統 2022-10 累積更新的 Windows Server 2022 (KB5018421) 或更新版本。
本機裝置不需要加入網域或Microsoft Entra ID。 因此,此方法可讓您從下列項目連線到已加入 Entra 的遠端Microsoft裝置:
- Microsoft已加入 Entra 或 Microsoft加入 Entra 的裝置 。
- 已加入 Active Directory 的裝置。
- 工作組裝置。
Microsoft Entra 驗證也可以用來連線到Microsoft已加入 Entra 的混合式裝置。
若要連線到遠端電腦:
從 Windows 搜尋或執行 來啟動遠端桌面連線
mstsc.exe。選 取 [進階 ] 索引 標籤 中的 [使用 Web 帳戶登入遠端電腦] 選項。此選項相當於
enablerdsaadauthRDP 屬性。 如需詳細資訊,請參閱 使用遠端桌面服務支援的 RDP 屬性。指定遠端電腦的名稱,然後選取 [ 連線]。
注意
使用 [ 使用 Web 帳戶登入遠端電腦 ] 選項時,無法使用 IP 位址。 名稱必須符合 Microsoft Entra ID 中遠端裝置的主機名,而且可以網路尋址,並解析為遠端裝置的 IP 位址。
當系統提示您輸入認證時,請以
user@domain.com格式指定您的用戶名稱。接著,系統會提示您在連線到新計算機時允許遠端桌面連線。 Microsoft Entra 在再次提示之前,最多會記住 15 部主機 30 天。 如果您看到此對話框,請選取 [是 ] 以連線。
重要
如果您的組織已設定並使用 Microsoft Entra 條件式存取,您的裝置必須滿足條件式存取需求,才能允許連線到遠端電腦。 具有 授與控 件和 會話控 件的條件式存取原則可以套用至應用程式 Microsoft遠端桌面 (a4a365df-50f1-4397-bc59-1a1564b8bb9c) 以 進行受控制存取。
會話鎖定時中斷連線
遠端會話中的 Windows 鎖定畫面不支援 Microsoft Entra 驗證令牌或 FIDO 金鑰等無密碼驗證方法。 缺少這些驗證方法的支援,表示使用者無法在遠端會話中解除鎖定螢幕。 當您嘗試透過使用者動作或系統原則鎖定遠端會話時,會話會改為中斷連線,而服務會傳送訊息給使用者,說明他們已中斷連線。
中斷會話的連線也可確保在閑置一段時間之後重新啟動連線時,Microsoft Entra ID 會重新評估適用的條件式存取原則。
不使用 Microsoft Entra 驗證連線
根據預設,RDP 不會使用 Microsoft Entra 驗證,即使遠端電腦支援也一樣。 此方法可讓您從下列項目連線到遠端Microsoft加入 Entra 的裝置:
- Microsoft已加入 Entra 或使用 Windows 10 版本 1607 或更新版本 Microsoft加入 Entra 混合式 裝置。
- Microsoft 使用 Windows 10 版本 2004 或更新版本註冊的裝置。
注意
本機和遠端裝置必須位於相同的 Microsoft Entra 租使用者中。 Microsoft遠端桌面不支援 Entra B2B 來賓。
若要連線到遠端電腦:
- 從 Windows 搜尋或執行 來啟動遠端桌面連線
mstsc.exe。 - 指定遠端電腦的名稱。
- 當系統提示您輸入認證時,請以
user@domain.com或AzureAD\user@domain.com格式指定您的用戶名稱。
提示
如果您以 domain\user 格式指定使用者名稱,您可能會收到錯誤,指出登入嘗試失敗,並出現訊 息:遠端計算機已Microsoft加入 Entra。如果您要登入您的工作帳戶,請嘗試使用您的工作電子郵件位址。
注意
對於執行 Windows 10 版本 1703 或更早版本的裝置,用戶必須先登入遠端裝置,再嘗試遠端連線。
支援的設定
下表列出在不使用 Microsoft Entra 驗證的情況下,從遠端連線到已加入 Microsoft 裝置的支援組態:
| 標準 | 用戶端作業系統 | 支援的認證 |
|---|---|---|
| 來自已註冊Microsoft裝置的 RDP | Windows 10 版本 2004 或更新版本 | 密碼、智慧卡 |
| 來自已加入 Microsoft 裝置的 RDP | Windows 10 (版本 1607) 或更新版本 | 密碼、智慧卡、Windows Hello 企業版憑證信任 |
| 來自 Microsoft 混合式聯結裝置的 RDP | Windows 10 (版本 1607) 或更新版本 | 密碼、智慧卡、Windows Hello 企業版憑證信任 |
注意
如果 RDP 用戶端執行的是 Windows Server 2016 或 Windows Server 2019,若要能夠連線到Microsoft加入 Entra 的裝置,它必須 允許以公鑰加密為基礎的使用者對使用者 (PKU2U) 驗證要求以使用在線身分識別。
注意
當 Microsoft Entra 群組新增至 Windows 裝置上的 遠端桌面使用者 群組時,當屬於 Microsoft Entra 群組的使用者透過 RDP 登入,導致無法建立遠端連線時,便不會接受該群組。 在此案例中,應停用網路層級驗證以允許連線。
將使用者新增至遠端桌面使用者群組
遠端桌面使用者群組可用來授與使用者和群組遠端連線到裝置的許可權。 您可以手動或透過 MDM 原則新增使用者:
手動新增使用者:
您可以執行下列命令來指定遠端連線的個別 Microsoft Entra 帳戶,其中
<userUPN>是使用者的 UPN,例如user@domain.com:net localgroup "Remote Desktop Users" /add "AzureAD\<userUPN>"若要執行此命令,您必須是本機 Administrators 群組的成員。 否則,您可能會看到類似
There is no such global user or group: <name>的錯誤。使用原則新增使用者:
從 Windows 10 版本 2004 開始,您可以使用 MDM 原則將使用者新增至遠端桌面使用者,如 如何在已加入 Entra 的裝置上管理本機系統管理員群組中所述Microsoft。