Connettersi al dispositivo aggiunto Microsoft Entra remoto

Windows supporta le connessioni remote ai dispositivi aggiunti ad Active Directory e ai dispositivi aggiunti a Microsoft Entra ID tramite RDP (Remote Desktop Protocol).

Prerequisiti

  • Entrambi i dispositivi (locale e remoto) devono eseguire una versione supportata di Windows.
  • Il dispositivo remoto deve avere l'opzione Connetti a e usa questo PC da un altro dispositivo usando l'opzione Desktop remoto selezionata in Impostazioni>Desktop remotodi sistema>.
    • È consigliabile selezionare l'opzione Richiedi ai dispositivi di usare l'autenticazione a livello di rete per connettersi .
  • Se l'utente che ha aggiunto il dispositivo a Microsoft Entra ID è l'unico che si connetterà in remoto, non è necessaria alcuna altra configurazione. Per consentire a più utenti o gruppi di connettersi al dispositivo in remoto, è necessario aggiungere utenti al gruppo Utenti desktop remoto nel dispositivo remoto.
  • Assicurarsi che Remote Credential Guard sia disattivato nel dispositivo in uso per connettersi al dispositivo remoto.

Connettersi con l'autenticazione Microsoft Entra

Microsoft Entra'autenticazione può essere usata nei sistemi operativi seguenti per il dispositivo locale e remoto:

Non è necessario aggiungere il dispositivo locale a un dominio o a un Microsoft Entra ID. Di conseguenza, questo metodo consente di connettersi al dispositivo remoto Microsoft Entra aggiunto da:

Microsoft Entra l'autenticazione può essere usata anche per connettersi a Microsoft Entra dispositivi aggiunti ibridi.

Per connettersi al computer remoto:

  • Avviare Connessione Desktop remoto da Windows Search o eseguendo mstsc.exe.

  • Selezionare Usa un account Web per accedere all'opzione computer remoto nella scheda Avanzate . Questa opzione equivale alla enablerdsaadauth proprietà RDP. Per altre informazioni, vedere Proprietà RDP supportate con Servizi Desktop remoto.

  • Specificare il nome del computer remoto e selezionare Connetti.

    Nota

    L'indirizzo IP non può essere usato quando si usa un account Web per accedere all'opzione computer remoto . Il nome deve corrispondere al nome host del dispositivo remoto in Microsoft Entra ID ed essere indirizzabile alla rete, risolvendo l'indirizzo IP del dispositivo remoto.

  • Quando vengono richieste le credenziali, specificare il nome utente nel user@domain.com formato .

  • Viene quindi richiesto di consentire la connessione desktop remoto durante la connessione a un nuovo PC. Microsoft Entra ricorda fino a 15 host per 30 giorni prima di riprovare. Se viene visualizzata questa finestra di dialogo, selezionare per connettersi.

Importante

Se l'organizzazione ha configurato e usa Microsoft Entra l'accesso condizionale, il dispositivo deve soddisfare i requisiti di accesso condizionale per consentire la connessione al computer remoto. I criteri di accesso condizionale con controlli di concessione e di sessione possono essere applicati all'applicazione Desktop remoto Microsoft (a4a365df-50f1-4397-bc59-1a1564b8bb9c) per l'accesso controllato.

Disconnessione quando la sessione è bloccata

La schermata di blocco di Windows nella sessione remota non supporta Microsoft Entra token di autenticazione o metodi di autenticazione senza password come le chiavi FIDO. La mancanza di supporto per questi metodi di autenticazione significa che gli utenti non possono sbloccare le schermate in una sessione remota. Quando si tenta di bloccare una sessione remota, tramite l'azione dell'utente o i criteri di sistema, la sessione viene invece disconnessa e il servizio invia un messaggio all'utente che spiega che è stata disconnessa.

La disconnessione della sessione garantisce inoltre che quando la connessione viene riavviata dopo un periodo di inattività, Microsoft Entra ID rivaluta i criteri di accesso condizionale applicabili.

Connettersi senza autenticazione Microsoft Entra

Per impostazione predefinita, RDP non usa l'autenticazione Microsoft Entra, anche se il PC remoto lo supporta. Questo metodo consente di connettersi al dispositivo remoto Microsoft Entra aggiunto da:

Nota

Sia il dispositivo locale che quello remoto devono trovarsi nello stesso tenant Microsoft Entra. Microsoft Entra guest B2B non sono supportati per Desktop remoto.

Per connettersi al computer remoto:

  • Avviare Connessione Desktop remoto da Windows Search o eseguendo mstsc.exe.
  • Specificare il nome del computer remoto.
  • Quando vengono richieste le credenziali, specificare il nome utente nel user@domain.com formato o AzureAD\user@domain.com .

Suggerimento

Se si specifica il nome utente nel domain\user formato, è possibile che venga visualizzato un errore che indica che il tentativo di accesso non è riuscito con il messaggio Computer remoto Microsoft Entra aggiunto. Se si accede all'account aziendale, provare a usare l'indirizzo di posta elettronica aziendale.

Nota

Per i dispositivi che eseguono Windows 10 versione 1703 o precedente, l'utente deve prima accedere al dispositivo remoto prima di tentare connessioni remote.

Configurazioni supportate

Questa tabella elenca le configurazioni supportate per la connessione remota a un dispositivo aggiunto Microsoft Entra senza usare l'autenticazione Microsoft Entra:

Criteri Sistema operativo client Credenziali supportate
RDP da Microsoft Entra dispositivo registrato Windows 10 versione 2004 o successiva Password, smart card
RDP da Microsoft Entra dispositivo aggiunto Windows 10 versione 1607 o successiva Password, smart card Windows Hello for Business attendibilità del certificato
RDP da Microsoft Entra dispositivo aggiunto ibrido Windows 10 versione 1607 o successiva Password, smart card Windows Hello for Business attendibilità del certificato

Nota

Se il client RDP esegue Windows Server 2016 o Windows Server 2019, per poter connettersi a Microsoft Entra dispositivi aggiunti, deve consentire alle richieste di autenticazione PKU2U (Public Key Cryptography Based User-to-User) di usare le identità online.

Nota

Quando un gruppo di Microsoft Entra viene aggiunto al gruppo Utenti desktop remoto in un dispositivo Windows, non viene rispettato quando l'utente che appartiene al gruppo Microsoft Entra accede tramite RDP, causando un errore di stabilire la connessione remota. In questo scenario, l'autenticazione a livello di rete deve essere disabilitata per consentire la connessione.

Aggiungere utenti al gruppo Utenti desktop remoto

Il gruppo Utenti desktop remoto viene usato per concedere a utenti e gruppi le autorizzazioni per la connessione remota al dispositivo. Gli utenti possono essere aggiunti manualmente o tramite criteri MDM:

  • Aggiunta manuale degli utenti:

    È possibile specificare singoli account Microsoft Entra per le connessioni remote eseguendo il comando seguente, dove <userUPN> è l'UPN dell'utente, ad esempio user@domain.com:

    net localgroup "Remote Desktop Users" /add "AzureAD\<userUPN>"

    Per eseguire questo comando, è necessario essere un membro del gruppo Administrators locale. In caso contrario, potrebbe essere visualizzato un errore simile a There is no such global user or group: <name>.

  • Aggiunta di utenti tramite criteri:

    A partire da Windows 10 versione 2004, è possibile aggiungere utenti agli utenti di Desktop remoto usando i criteri MDM, come descritto in Come gestire il gruppo di amministratori locali nei dispositivi aggiunti Microsoft Entra.

Come usare Desktop remoto