Подключение к удаленному устройству, присоединенное к Microsoft Entra

  • Статья
  • Применяется к:
    Windows 11, ✅ Windows 10

Windows поддерживает удаленные подключения к устройствам, присоединенным к Active Directory, а также устройствам, присоединенным к Microsoft Entra ID с помощью протокола удаленного рабочего стола (RDP).

Предварительные условия

  • Оба устройства (локальное и удаленное) должны работать под управлением поддерживаемой версии Windows.
  • На удаленном устройстве должен быть выбран параметр Подключиться к другому компьютеру и использовать его с другого устройства с помощью приложения "Удаленный рабочий стол" в разделе Параметры>Системный>удаленный рабочий стол.
    • Рекомендуется выбрать параметр Требовать, чтобы устройства использовали проверку подлинности на уровне сети для подключения .
  • Если пользователь, присоединивший устройство к Microsoft Entra ID, является единственным, кто собирается подключиться удаленно, другая настройка не требуется. Чтобы разрешить удаленное подключение к устройству нескольким пользователям или группам, необходимо добавить пользователей в группу "Пользователи удаленного рабочего стола" на удаленном устройстве.
  • Убедитесь, что функция Remote Credential Guard отключена на устройстве, используемом для подключения к удаленному устройству.

Подключение с помощью проверки подлинности Microsoft Entra

Проверку подлинности Microsoft Entra можно использовать в следующих операционных системах для локального и удаленного устройства:

Для присоединения локального устройства к домену или идентификатору Microsoft Entra не требуется. В результате этот метод позволяет подключиться к удаленному устройству, присоединенного к Microsoft Entra, из:

Проверка подлинности Microsoft Entra также может использоваться для подключения к устройствам с гибридным присоединением к Microsoft Entra.

Чтобы подключиться к удаленному компьютеру, выполните следующие действия:

  • Запустите подключение к удаленному рабочему столу из Поиска Windows или запустив mstsc.exe.

  • Выберите Использовать веб-учетную запись для входа на удаленный компьютер на вкладке Дополнительно . Этот параметр эквивалентен свойству enablerdsaadauth RDP. Дополнительные сведения см. в разделе Поддерживаемые свойства RDP в службах удаленных рабочих столов.

  • Укажите имя удаленного компьютера и нажмите кнопку Подключить.

    Примечание.

    IP-адрес нельзя использовать, если используется параметр Использовать учетную запись веб-сайта для входа на удаленный компьютер . Имя должно соответствовать имени узла удаленного устройства в идентификаторе Microsoft Entra и быть адресируемым по сети и разрешаться в IP-адрес удаленного устройства.

  • При запросе учетных данных укажите имя пользователя в user@domain.com формате.

  • После этого вам будет предложено разрешить подключение к удаленному рабочему столу при подключении к новому компьютеру. Microsoft Entra запоминает до 15 узлов в течение 30 дней, прежде чем снова появится запрос. Если вы видите это диалоговое окно, выберите Да , чтобы подключиться.

Важно.

Если ваша организация настроена и использует условный доступ Microsoft Entra, устройство должно соответствовать требованиям условного доступа, чтобы разрешить подключение к удаленному компьютеру. Политики условного доступа с элементами управления предоставлением и сеансами могут применяться к приложению Microsoft Remote Desktop (a4a365df-50f1-4397-bc59-1a1564b8bb9c) для управляемого доступа.

Отключение при блокировке сеанса

Экран блокировки Windows в удаленном сеансе не поддерживает маркеры проверки подлинности Microsoft Entra или методы проверки подлинности без пароля, такие как ключи FIDO. Отсутствие поддержки этих методов проверки подлинности означает, что пользователи не могут разблокировать свои экраны в удаленном сеансе. При попытке заблокировать удаленный сеанс с помощью действия пользователя или системной политики сеанс отключается, а служба отправляет пользователю сообщение о том, что он был отключен.

Отключение сеанса также гарантирует, что при перезапуске подключения после периода бездействия идентификатор Microsoft Entra повторно оценивает применимые политики условного доступа.

Подключение без проверки подлинности Microsoft Entra

По умолчанию RDP не использует проверку подлинности Microsoft Entra, даже если удаленный компьютер поддерживает ее. Этот метод позволяет подключиться к удаленному устройству, присоединенного к Microsoft Entra, из:

Примечание.

Локальное и удаленное устройство должны находиться в одном клиенте Microsoft Entra. Гости Microsoft Entra B2B не поддерживаются для удаленного рабочего стола.

Чтобы подключиться к удаленному компьютеру, выполните следующие действия:

  • Запустите подключение к удаленному рабочему столу из Поиска Windows или запустив mstsc.exe.
  • Укажите имя удаленного компьютера.
  • При запросе учетных данных укажите имя пользователя в формате user@domain.com или AzureAD\user@domain.com .

Совет

Если указать имя пользователя в domain\user формате, может появиться сообщение об ошибке, указывающее, что попытка входа завершилась ошибкой с сообщением Удаленный компьютер присоединен к Microsoft Entra. Если вы входите в рабочую учетную запись, попробуйте использовать рабочий адрес электронной почты.

Примечание.

Для устройств под управлением Windows 10 версии 1703 или более ранней пользователь должен сначала войти на удаленное устройство перед попыткой удаленных подключений.

Поддерживаемые конфигурации

В этой таблице перечислены поддерживаемые конфигурации для удаленного подключения к устройству, присоединенного к Microsoft Entra, без использования проверки подлинности Microsoft Entra:

Критерии Клиентская операционная система Поддерживаемые учетные данные
RDP с зарегистрированного устройства Microsoft Entra Windows 10 версии 2004 или более поздней Пароль, смарт-карта
RDP с устройства, присоединенного к Microsoft Entra Windows 10 версии 1607 или более поздней Пароль, смарт-карта, доверие сертификатов Windows Hello для бизнеса
RDP с устройства с гибридным присоединением к Microsoft Entra Windows 10 версии 1607 или более поздней Пароль, смарт-карта, доверие сертификатов Windows Hello для бизнеса

Примечание.

Если клиент RDP работает под управлением Windows Server 2016 или Windows Server 2019, чтобы иметь возможность подключаться к устройствам, присоединенным к Microsoft Entra, он должен разрешить запросы проверки подлинности PKU2U на основе шифрования открытого ключа использовать сетевые удостоверения.

Примечание.

Когда группа Microsoft Entra добавляется в группу "Пользователи удаленного рабочего стола" на устройстве с Windows, она не учитывается, когда пользователь, принадлежащий к группе Microsoft Entra, входит в систему через протокол RDP, что приводит к сбою при установке удаленного подключения. В этом сценарии проверка подлинности на уровне сети должна быть отключена, чтобы разрешить подключение.

Добавление пользователей в группу "Пользователи удаленного рабочего стола"

Группа "Пользователи удаленного рабочего стола" используется для предоставления пользователям и группам разрешений на удаленное подключение к устройству. Пользователей можно добавить вручную или с помощью политик MDM:

  • Добавление пользователей вручную:

    Вы можете указать отдельные учетные записи Microsoft Entra для удаленных подключений, выполнив следующую команду, где <userUPN> — это имя участника-пользователя, например user@domain.com:

    net localgroup "Remote Desktop Users" /add "AzureAD\<userUPN>"

    Чтобы выполнить эту команду, необходимо быть членом локальной группы администраторов. В противном случае может появиться сообщение об ошибке, похожее на There is no such global user or group: <name>.

  • Добавление пользователей с помощью политики:

    Начиная с Windows 10 версии 2004, вы можете добавлять пользователей к пользователям удаленного рабочего стола с помощью политик MDM, как описано в разделе Управление локальной группой администраторов на устройствах, присоединенных к Microsoft Entra.

Использование удаленного рабочего стола