Herstellen einer Verbindung mit einem Microsoft Entra-Remotegerät

Windows unterstützt Remoteverbindungen mit Geräten, die mit Active Directory verknüpft sind, sowie Geräten, die über das Remotedesktopprotokoll (RDP) mit Microsoft Entra ID verknüpft sind.

Voraussetzungen

  • Auf beiden Geräten (lokal und remote) muss eine unterstützte Version von Windows ausgeführt werden.
  • Remotegerät muss über die Option Verbindung mit diesem PC herstellen und von einem anderen Gerät aus verwenden, indem die Option Remotedesktop-App unter Einstellungen>System-Remotedesktop> ausgewählt ist.
    • Die Option Geräte müssen die Authentifizierung auf Netzwerkebene verwenden, um eine Verbindung herzustellen, wird empfohlen.
  • Wenn der Benutzer, der das Gerät mit microsoft Entra ID verknüpft hat, der einzige Benutzer ist, der eine Remoteverbindung herstellen wird, ist keine andere Konfiguration erforderlich. Damit mehr Benutzer oder Gruppen remote eine Verbindung mit dem Gerät herstellen können, müssen Sie Benutzer zur Gruppe Remotedesktopbenutzer auf dem Remotegerät hinzufügen.
  • Stellen Sie sicher , dass Remote Credential Guard auf dem Gerät, das Sie zum Herstellen einer Verbindung mit dem Remotegerät verwenden, deaktiviert ist.

Herstellen einer Verbindung mit der Microsoft Entra-Authentifizierung

Die Microsoft Entra-Authentifizierung kann auf den folgenden Betriebssystemen sowohl für das lokale als auch für das Remotegerät verwendet werden:

Es ist nicht erforderlich, dass das lokale Gerät einer Domäne oder Einer Microsoft Entra-ID hinzugefügt wird. Daher können Sie mit dieser Methode eine Verbindung mit dem in Microsoft Entra eingebundenen Remotegerät herstellen:

Die Microsoft Entra-Authentifizierung kann auch verwendet werden, um eine Verbindung mit hybrid eingebundenen Microsoft Entra-Geräten herzustellen.

So stellen Sie eine Verbindung mit dem Remotecomputer her:

  • Starten Sie die Remotedesktopverbindung über Windows Search oder durch Ausführen mstsc.exevon .

  • Wählen Sie auf der Registerkarte Erweitertdie Option Webkonto zum Anmelden beim Remotecomputer verwenden aus. Diese Option entspricht der enablerdsaadauth RDP-Eigenschaft. Weitere Informationen finden Sie unter Unterstützte RDP-Eigenschaften mit Remotedesktopdiensten.

  • Geben Sie den Namen des Remotecomputers an, und wählen Sie Verbinden aus.

    Hinweis

    Die IP-Adresse kann nicht verwendet werden, wenn die Option Webkonto zum Anmelden beim Remotecomputer verwenden verwendet wird. Der Name muss mit dem Hostnamen des Remotegeräts in der Microsoft Entra-ID übereinstimmen und netzwerkadressierbar sein und in die IP-Adresse des Remotegeräts aufgelöst werden.

  • Wenn Sie zur Eingabe von Anmeldeinformationen aufgefordert werden, geben Sie Ihren Benutzernamen im user@domain.com Format an.

  • Sie werden dann aufgefordert, die Remotedesktopverbindung zuzulassen, wenn Sie eine Verbindung mit einem neuen PC herstellen. Microsoft Entra speichert bis zu 15 Hosts für 30 Tage, bevor es erneut aufgefordert wird. Wenn dieses Dialogfeld angezeigt wird, wählen Sie Ja aus, um eine Verbindung herzustellen.

Wichtig

Wenn Ihre Organisation den bedingten Zugriff von Microsoft Entra konfiguriert hat und verwendet, muss Ihr Gerät die Anforderungen für bedingten Zugriff erfüllen, um eine Verbindung mit dem Remotecomputer zu ermöglichen. Richtlinien für bedingten Zugriff mit Gewährungssteuerelementen und Sitzungssteuerelementen können für den kontrollierten Zugriff auf die Anwendung Microsoft Remote Desktop (a4a365df-50f1-4397-bc59-1a1564b8bb9c) angewendet werden.

Trennen der Verbindung, wenn die Sitzung gesperrt ist

Der Windows-Sperrbildschirm in der Remotesitzung unterstützt keine Microsoft Entra-Authentifizierungstoken oder kennwortlose Authentifizierungsmethoden wie FIDO-Schlüssel. Die fehlende Unterstützung für diese Authentifizierungsmethoden bedeutet, dass Benutzer ihre Bildschirme in einer Remotesitzung nicht entsperren können. Wenn Sie versuchen, eine Remotesitzung entweder über eine Benutzeraktion oder eine Systemrichtlinie zu sperren, wird die Sitzung stattdessen getrennt, und der Dienst sendet eine Nachricht an den Benutzer, die erklärt, dass die Verbindung getrennt wurde.

Durch das Trennen der Sitzung wird außerdem sichergestellt, dass microsoft Entra ID die anwendbaren Richtlinien für bedingten Zugriff neu auswertet, wenn die Verbindung nach einer Inaktivität wieder gestartet wird.

Herstellen einer Verbindung ohne Microsoft Entra-Authentifizierung

Standardmäßig verwendet RDP keine Microsoft Entra-Authentifizierung, auch wenn sie vom Remote-PC unterstützt wird. Mit dieser Methode können Sie eine Verbindung mit dem in Microsoft Entra eingebundenen Remotegerät herstellen:

Hinweis

Sowohl das lokale als auch das Remotegerät müssen sich im selben Microsoft Entra-Mandanten befinden. Microsoft Entra B2B-Gäste werden für Remotedesktop nicht unterstützt.

So stellen Sie eine Verbindung mit dem Remotecomputer her:

  • Starten Sie die Remotedesktopverbindung über Windows Search oder durch Ausführen mstsc.exevon .
  • Geben Sie den Namen des Remotecomputers an.
  • Wenn Sie zur Eingabe von Anmeldeinformationen aufgefordert werden, geben Sie Ihren Benutzernamen im user@domain.com Format oder AzureAD\user@domain.com an.

Tipp

Wenn Sie Ihren Benutzernamen im domain\user Format angeben, erhalten Sie möglicherweise eine Fehlermeldung, die darauf hinweist, dass der Anmeldeversuch fehlgeschlagen ist, und die Meldung Remotecomputer ist in Microsoft Entra eingebunden. Wenn Sie sich bei Ihrem Geschäftskonto anmelden, versuchen Sie, Ihre geschäftliche E-Mail-Adresse zu verwenden.

Hinweis

Bei Geräten mit Windows 10, Version 1703 oder früher, muss sich der Benutzer zuerst beim Remotegerät anmelden, bevor er Remoteverbindungen versucht.

Unterstützte Konfigurationen

In dieser Tabelle sind die unterstützten Konfigurationen für die Remoteverbindung mit einem in Microsoft Entra eingebundenen Gerät ohne Verwendung der Microsoft Entra-Authentifizierung aufgeführt:

Kriterien Clientbetriebssystem Unterstützte Anmeldeinformationen
RDP von einem bei Microsoft Entra registrierten Gerät Windows 10, Version 2004 oder höher Kennwort, Smartcard
RDP von einem in Microsoft Entra eingebundenen Gerät Windows 10, Version 1607 oder höher Kennwort, Smartcard, Windows Hello for Business-Zertifikatvertrauensstellung
RDP von einem hybrid eingebundenen Microsoft Entra-Gerät Windows 10, Version 1607 oder höher Kennwort, Smartcard, Windows Hello for Business-Zertifikatvertrauensstellung

Hinweis

Wenn auf dem RDP-Client Windows Server 2016 oder Windows Server 2019 ausgeführt wird, muss er die Verwendung von Onlineidentitäten zulassen, um eine Verbindung mit in Microsoft Entra eingebundenen Geräten herstellen zu können.

Hinweis

Wenn eine Microsoft Entra-Gruppe der Gruppe Remotedesktopbenutzer auf einem Windows-Gerät hinzugefügt wird, wird sie nicht berücksichtigt, wenn sich der Benutzer, der der Microsoft Entra-Gruppe angehört, über RDP anmeldet, was dazu führt, dass die Remoteverbindung nicht hergestellt werden kann. In diesem Szenario sollte die Authentifizierung auf Netzwerkebene deaktiviert sein, um die Verbindung zuzulassen.

Hinzufügen von Benutzern zur Gruppe "Remotedesktopbenutzer"

Die Gruppe Remotedesktopbenutzer wird verwendet, um Benutzern und Gruppen Berechtigungen zum Herstellen einer Remoteverbindung mit dem Gerät zu erteilen. Benutzer können entweder manuell oder über MDM-Richtlinien hinzugefügt werden:

  • Manuelles Hinzufügen von Benutzern:

    Sie können einzelne Microsoft Entra-Konten für Remoteverbindungen angeben, indem Sie den folgenden Befehl ausführen, wobei <userUPN> der UPN des Benutzers ist, z. B. user@domain.com:

    net localgroup "Remote Desktop Users" /add "AzureAD\<userUPN>"
    

    Um diesen Befehl ausführen zu können, müssen Sie Mitglied der lokalen Administratorgruppe sein. Andernfalls wird möglicherweise ein Fehler ähnlich wie angezeigt There is no such global user or group: <name>.

  • Hinzufügen von Benutzern mithilfe der Richtlinie:

    Ab Windows 10, Version 2004, können Sie den Remotedesktopbenutzern Benutzer mithilfe von MDM-Richtlinien hinzufügen, wie unter Verwalten der lokalen Administratorgruppe auf in Microsoft Entra eingebundenen Geräten beschrieben.

Verwenden von Remotedesktop