Ligar a um dispositivo remoto associado ao Microsoft Entra

O Windows suporta ligações remotas a dispositivos associados ao Active Directory, bem como a dispositivos associados ao Microsoft Entra ID através do Protocolo RDP (Remote Desktop Protocol).

Pré-requisitos

  • Ambos os dispositivos (locais e remotos) têm de estar a executar uma versão suportada do Windows.
  • O dispositivo remoto tem de ter a opção Ligar a e utilizar este PC a partir de outro dispositivo através da opção de aplicação Ambiente de Trabalho Remoto selecionada em Definições> Ambiente deTrabalho Remoto doSistema>.
    • Selecione É recomendada a opção Exigir que os dispositivos utilizem a Autenticação ao Nível da Rede para ligar .
  • Se o utilizador que associou o dispositivo ao ID do Microsoft Entra for o único que se vai ligar remotamente, não é necessária qualquer outra configuração. Para permitir que mais utilizadores ou grupos se liguem ao dispositivo remotamente, tem de adicionar utilizadores ao grupo Utilizadores do Ambiente de Trabalho Remoto no dispositivo remoto.
  • Certifique-se de que o Remote Credential Guard está desativado no dispositivo que está a utilizar para ligar ao dispositivo remoto.

Ligar com a autenticação do Microsoft Entra

A autenticação Microsoft Entra pode ser utilizada nos seguintes sistemas operativos para o dispositivo local e remoto:

Não existe nenhum requisito para que o dispositivo local seja associado a um domínio ou iD do Microsoft Entra. Como resultado, este método permite-lhe ligar ao dispositivo remoto associado ao Microsoft Entra a partir de:

A autenticação Microsoft Entra também pode ser utilizada para ligar a dispositivos associados híbridos do Microsoft Entra.

Para ligar ao computador remoto:

  • Inicie a Ligação ao Ambiente de Trabalho Remoto a partir do Windows Search ou executando mstsc.exe.

  • Selecione Utilizar uma conta Web para iniciar sessão na opção de computador remoto no separador Avançadas . Esta opção é equivalente à enablerdsaadauth propriedade RDP. Para obter mais informações, veja Propriedades de RDP suportadas com os Serviços de Ambiente de Trabalho Remoto.

  • Especifique o nome do computador remoto e selecione Ligar.

    Observação

    Não é possível utilizar o endereço IP quando é utilizada a opção Utilizar uma conta Web para iniciar sessão no computador remoto . O nome tem de corresponder ao nome do anfitrião do dispositivo remoto no Microsoft Entra ID e ser endereçável à rede, resolvendo para o endereço IP do dispositivo remoto.

  • Quando lhe forem pedidas credenciais, especifique o seu nome de utilizador no user@domain.com formato .

  • Em seguida, ser-lhe-á pedido para permitir a ligação ao ambiente de trabalho remoto ao ligar a um novo PC. O Microsoft Entra lembra-se de até 15 anfitriões durante 30 dias antes de voltar a pedir. Se vir esta caixa de diálogo, selecione Sim para ligar.

Importante

Se a sua organização tiver configurado e estiver a utilizar o Acesso Condicional do Microsoft Entra, o seu dispositivo tem de cumprir os requisitos de acesso condicional para permitir a ligação ao computador remoto. As políticas de Acesso Condicional com controlos de concessão e controlos de sessão podem ser aplicadas à aplicação Microsoft Remote Desktop (a4a365df-50f1-4397-bc59-1a1564b8bb9c) para acesso controlado.

Desligar quando a sessão está bloqueada

O ecrã de bloqueio do Windows na sessão remota não suporta tokens de autenticação do Microsoft Entra nem métodos de autenticação sem palavra-passe, como chaves FIDO. A falta de suporte para estes métodos de autenticação significa que os utilizadores não podem desbloquear os ecrãs numa sessão remota. Quando tenta bloquear uma sessão remota, seja através da ação do utilizador ou da política de sistema, a sessão é desligada e o serviço envia uma mensagem ao utilizador a explicar que foi desligada.

Desligar a sessão também garante que, quando a ligação é reiniciada após um período de inatividade, o Microsoft Entra ID reavalia as políticas de acesso condicional aplicáveis.

Ligar sem autenticação do Microsoft Entra

Por predefinição, o RDP não utiliza a autenticação Microsoft Entra, mesmo que o PC remoto o suporte. Este método permite-lhe ligar-se ao dispositivo remoto associado ao Microsoft Entra a partir de:

Observação

O dispositivo local e remoto tem de estar no mesmo inquilino do Microsoft Entra. Os convidados do Microsoft Entra B2B não são suportados no Ambiente de Trabalho Remoto.

Para ligar ao computador remoto:

  • Inicie a Ligação ao Ambiente de Trabalho Remoto a partir do Windows Search ou executando mstsc.exe.
  • Especifique o nome do computador remoto.
  • Quando lhe forem pedidas credenciais, especifique o seu nome de utilizador em formato user@domain.com ou em formato AzureAD\user@domain.com .

Dica

Se especificar o seu nome de utilizador no domain\user formato, poderá receber um erro a indicar que a tentativa de início de sessão falhou com a mensagem O computador remoto está associado ao Microsoft Entra. Se estiver a iniciar sessão na sua conta profissional, experimente utilizar o seu endereço de e-mail profissional.

Observação

Para dispositivos com o Windows 10, versão 1703 ou anterior, o utilizador tem de iniciar sessão primeiro no dispositivo remoto antes de tentar ligações remotas.

Configurações compatíveis

Esta tabela lista as configurações suportadas para ligar remotamente a um dispositivo associado ao Microsoft Entra sem utilizar a autenticação Microsoft Entra:

Critérios Sistema operativo cliente Credenciais suportadas
RDP do dispositivo registado no Microsoft Entra Windows 10, versão 2004 ou posterior Palavra-passe, smart card
RDP do dispositivo associado ao Microsoft Entra Windows 10, versão 1607 ou posterior Palavra-passe, smart card, confiança do certificado do Windows Hello para Empresas
RDP do dispositivo associado híbrido do Microsoft Entra Windows 10, versão 1607 ou posterior Palavra-passe, smart card, confiança do certificado do Windows Hello para Empresas

Observação

Se o cliente RDP estiver a executar o Windows Server 2016 ou o Windows Server 2019, para poder ligar-se a dispositivos associados ao Microsoft Entra, tem de permitir pedidos de autenticação PKU2U (Public Key Cryptography Based User-to-User) para utilizar identidades online.

Observação

Quando um grupo do Microsoft Entra é adicionado ao grupo Utilizadores do Ambiente de Trabalho Remoto num dispositivo Windows, não é respeitado quando o utilizador que pertence ao grupo Microsoft Entra inicia sessão através de RDP, o que resulta na falha ao estabelecer a ligação remota. Neste cenário, a Autenticação ao Nível da Rede deve ser desativada para permitir a ligação.

Adicionar utilizadores ao grupo Utilizadores do Ambiente de Trabalho Remoto

O grupo Utilizadores do Ambiente de Trabalho Remoto é utilizado para conceder permissões de utilizadores e grupos para ligar remotamente ao dispositivo. Os utilizadores podem ser adicionados manualmente ou através de políticas mdm:

  • Adicionar utilizadores manualmente:

    Pode especificar contas individuais do Microsoft Entra para ligações remotas ao executar o seguinte comando, em <userUPN> que é o UPN do utilizador, por exemplo user@domain.com:

    net localgroup "Remote Desktop Users" /add "AzureAD\<userUPN>"

    Para executar este comando, tem de ser um membro do grupo administradores local. Caso contrário, poderá ver um erro semelhante a There is no such global user or group: <name>.

  • Adicionar utilizadores através da política:

    A partir do Windows 10, versão 2004, pode adicionar utilizadores aos Utilizadores do Ambiente de Trabalho Remoto através de políticas de MDM, conforme descrito em Como gerir o grupo de administradores locais em dispositivos associados ao Microsoft Entra.

Como usar a Área de Trabalho Remota