Conectar-se ao dispositivo conectado à Microsoft Entra remota

O Windows dá suporte a conexões remotas com dispositivos ingressados no Active Directory, bem como dispositivos ingressados em Microsoft Entra ID usando o RDP (Protocolo de Área de Trabalho Remota).

Pré-requisitos

  • Ambos os dispositivos (locais e remotos) devem estar executando uma versão com suporte do Windows.
  • O dispositivo remoto deve ter o Connect para e usar esse COMPUTADOR de outro dispositivo usando a opção aplicativo Área de Trabalho Remota selecionada em Configurações> daÁrea de Trabalho Remota doSistema>.
    • É recomendável selecionar Exigir que os dispositivos usem a opção Autenticação de Nível de Rede para se conectar .
  • Se o usuário que ingressou no dispositivo para Microsoft Entra ID for o único que vai se conectar remotamente, nenhuma outra configuração será necessária. Para permitir que mais usuários ou grupos se conectem ao dispositivo remotamente, você deve adicionar usuários ao grupo Usuários da Área de Trabalho Remota no dispositivo remoto.
  • Verifique se o Remote Credential Guard está desativado no dispositivo que você está usando para se conectar ao dispositivo remoto.

Conectar-se com Microsoft Entra autenticação

Microsoft Entra autenticação pode ser usada nos seguintes sistemas operacionais para o dispositivo local e remoto:

Não há nenhum requisito para que o dispositivo local seja ingressado em um domínio ou Microsoft Entra ID. Como resultado, esse método permite que você se conecte ao dispositivo de Microsoft Entra ingressado remoto de:

Microsoft Entra autenticação também pode ser usada para se conectar a Microsoft Entra dispositivos híbridos ingressados.

Para se conectar ao computador remoto:

  • Inicie a Conexão de Área de Trabalho Remota do Windows Search ou executando mstsc.exe.

  • Selecione Usar uma conta Web para entrar na opção de computador remoto na guia Avançado . Essa opção é equivalente à enablerdsaadauth propriedade RDP. Para obter mais informações, consulte Propriedades RDP com suporte com serviços de área de trabalho remota.

  • Especifique o nome do computador remoto e selecione Conectar.

    Observação

    O endereço IP não pode ser usado quando Usar uma conta Web para entrar na opção de computador remoto é usado. O nome deve corresponder ao nome do host do dispositivo remoto em Microsoft Entra ID e ser endereçável à rede, resolvendo para o endereço IP do dispositivo remoto.

  • Quando solicitado para obter credenciais, especifique o nome de usuário no user@domain.com formato.

  • Em seguida, você é solicitado a permitir a conexão de área de trabalho remota ao se conectar a um novo computador. Microsoft Entra lembra até 15 hosts por 30 dias antes de solicitar novamente. Se você vir esse diálogo, selecione Sim para se conectar.

Importante

Se sua organização tiver configurado e estiver usando Microsoft Entra Acesso Condicional, seu dispositivo deverá atender aos requisitos de acesso condicional para permitir a conexão com o computador remoto. Políticas de acesso condicional com controles de concessão e controles de sessão podem ser aplicadas ao aplicativo Área de Trabalho Remota da Microsoft (a4a365df-50f1-4397-bc59-1a1564b8bb9c) para acesso controlado.

Desconexão quando a sessão é bloqueada

A tela de bloqueio do Windows na sessão remota não dá suporte a tokens de autenticação Microsoft Entra ou métodos de autenticação sem senha, como chaves FIDO. A falta de suporte para esses métodos de autenticação significa que os usuários não podem desbloquear suas telas em uma sessão remota. Quando você tenta bloquear uma sessão remota, por meio da ação do usuário ou da política do sistema, a sessão é desconectada e o serviço envia uma mensagem ao usuário explicando que foi desconectado.

Desconectar a sessão também garante que, quando a conexão for relançada após um período de inatividade, Microsoft Entra ID reavalia as políticas de acesso condicional aplicáveis.

Conectar sem autenticação Microsoft Entra

Por padrão, o RDP não usa Microsoft Entra autenticação, mesmo que o computador remoto dê suporte a ele. Esse método permite que você se conecte ao dispositivo de Microsoft Entra ingressado remoto de:

Observação

O dispositivo local e remoto deve estar no mesmo locatário Microsoft Entra. Microsoft Entra não há suporte para convidados B2B para área de trabalho remota.

Para se conectar ao computador remoto:

  • Inicie a Conexão de Área de Trabalho Remota do Windows Search ou executando mstsc.exe.
  • Especifique o nome do computador remoto.
  • Quando solicitado para obter credenciais, especifique o nome de usuário em user@domain.com formato ou ou AzureAD\user@domain.com .

Dica

Se você especificar o nome de usuário no domain\user formato, poderá receber um erro indicando que a tentativa de logon falhou com a mensagem O computador remoto está Microsoft Entra ingressado. Se você estiver entrando em sua conta de trabalho, tente usar seu endereço de email de trabalho.

Observação

Para dispositivos que executam Windows 10, versão 1703 ou anterior, o usuário deve entrar primeiro no dispositivo remoto antes de tentar conexões remotas.

Configurações compatíveis

Esta tabela lista as configurações com suporte para se conectar remotamente a um dispositivo ingressado Microsoft Entra sem usar Microsoft Entra autenticação:

Critérios Sistema operacional cliente Credenciais com suporte
RDP de Microsoft Entra dispositivo registrado Windows 10, versão 2004 ou posterior Senha, cartão inteligente
RDP de Microsoft Entra dispositivo ingressado Windows 10, versão 1607 ou posterior Confiança de certificado de senha, cartão inteligente e Windows Hello para Empresas
RDP de Microsoft Entra dispositivo híbrido ingressado Windows 10, versão 1607 ou posterior Confiança de certificado de senha, cartão inteligente e Windows Hello para Empresas

Observação

Se o cliente RDP estiver executando Windows Server 2016 ou Windows Server 2019, para poder se conectar a Microsoft Entra dispositivos ingressados, ele deve permitir que solicitações de autenticação PKU2U (Public Key Cryptography Based User-to-User) usem identidades online.

Observação

Quando um grupo de Microsoft Entra é adicionado ao grupo Usuários de Área de Trabalho Remota em um dispositivo Windows, ele não é honrado quando o usuário que pertence ao grupo Microsoft Entra faz logon por meio de RDP, resultando em falha ao estabelecer a conexão remota. Nesse cenário, a Autenticação de Nível de Rede deve ser desabilitada para permitir a conexão.

Adicionar usuários ao grupo Usuários de Área de Trabalho Remota

O grupo Usuários da Área de Trabalho Remota é usado para conceder permissões a usuários e grupos para se conectar remotamente ao dispositivo. Os usuários podem ser adicionados manualmente ou por meio de políticas de MDM:

  • Adicionando usuários manualmente:

    Você pode especificar contas de Microsoft Entra individuais para conexões remotas executando o seguinte comando, onde <userUPN> está o UPN do usuário, por exemplouser@domain.com:

    net localgroup "Remote Desktop Users" /add "AzureAD\<userUPN>"

    Para executar esse comando, você deve ser membro do grupo administradores locais. Caso contrário, você poderá ver um erro semelhante a There is no such global user or group: <name>.

  • Adicionar usuários usando a política:

    A partir de Windows 10, versão 2004, você pode adicionar usuários aos Usuários de Área de Trabalho Remota usando políticas de MDM, conforme descrito em Como gerenciar o grupo de administradores locais em Microsoft Entra dispositivos ingressados.

Como usar a Área de Trabalho Remota