線上到已加入遠端 Microsoft Entra裝置
Windows 支援遠端連線到已加入 Active Directory 的裝置,以及使用遠端桌面通訊協定 (RDP) 加入 Microsoft Entra ID 的裝置。
- 從 Windows 10 版本 1809 開始,您可以使用生物特徵辨識來向遠端桌面會話進行驗證。
- 從 Windows 10/11 開始,安裝 2022-10 更新之後,您可以使用 Microsoft Entra 驗證來連線到遠端 Microsoft Entra 裝置。
必要條件
- 本機和遠端) (兩個裝置都必須執行支援的 Windows 版本。
- 遠端裝置必須使用 [設定系統>遠端桌面] 下>選取的 [遠端桌面應用程式] 選項,從另一部裝置連線並使用此電腦。
- 建議您選取 [ 需要裝置使用網路層級驗證來連線 ] 選項。
- 如果將裝置加入 Microsoft Entra ID 的使用者是唯一要從遠端連線的使用者,則不需要其他設定。 若要允許更多使用者或群組從遠端連線到裝置,您必須將 使用者新增至遠端裝置上的遠端桌面使用者群組 。
- 確定您用來連線到遠端裝置的裝置上已關閉 Remote Credential Guard 。
使用 Microsoft Entra 驗證連線
Microsoft Entra 驗證可用於本機和遠端裝置的下列作業系統:
- Windows 11 已安裝適用於 Windows 11 (KB5018418) 或更新版本的 2022-10 累積 匯報。
- Windows 10 版本 20H2 或更新版本,已安裝 2022-10 Windows 10 (KB5018410) 或更新版本的累積 匯報。
- 已安裝 2022-10 版 Microsoft 伺服器作業系統累積更新的 Windows Server 2022 (KB5018421) 或更新版本。
本機裝置不需要加入網域或 Microsoft Entra ID。 因此,此方法可讓您從下列項目連線到已加入遠端 Microsoft Entra 裝置:
- Microsoft Entra 加入或 Microsoft Entra 混合式加入裝置。
- 已加入 Active Directory 的裝置。
- 工作組裝置。
Microsoft Entra 驗證也可用來連線到 Microsoft Entra 混合式聯結裝置。
若要連線到遠端電腦:
從 Windows 搜尋或執行 來啟動遠端桌面連線
mstsc.exe。選 取 [進階 ] 索引 標籤 中的 [使用 Web 帳戶登入遠端電腦] 選項。此選項相當於
enablerdsaadauthRDP 屬性。 如需詳細資訊,請參閱 使用遠端桌面服務支援的 RDP 屬性。指定遠端電腦的名稱,然後選取 [ 連線]。
注意
使用 [ 使用 Web 帳戶登入遠端電腦 ] 選項時,無法使用 IP 位址。 名稱必須符合 Microsoft Entra ID 中遠端裝置的主機名,而且可以網路尋址,並解析為遠端裝置的IP位址。
當系統提示您輸入認證時,請以
user@domain.com格式指定您的用戶名稱。接著,系統會提示您在連線到新計算機時允許遠端桌面連線。 Microsoft Entra 在再次提示之前,最多會記住 15 部主機 30 天。 如果您看到此對話框,請選取 [是 ] 以連線。
重要
如果您的組織已設定並使用 Microsoft Entra 條件式存取,您的裝置必須滿足條件式存取需求,才能允許連線到遠端電腦。 具有授與控件和會話控件的條件式存取原則可以套用至應用程式,Microsoft 遠端桌面 (a4a365df-50f1-4397-bc59-1a1564b8bb9c) 以進行受控存取。
會話鎖定時中斷連線
遠端會話中的 Windows 鎖定畫面不支援 Microsoft Entra 驗證令牌或 FIDO 金鑰等無密碼驗證方法。 缺少這些驗證方法的支援,表示使用者無法在遠端會話中解除鎖定螢幕。 當您嘗試透過使用者動作或系統原則鎖定遠端會話時,會話會改為中斷連線,而服務會傳送訊息給使用者,說明他們已中斷連線。
中斷會話的連線也可確保在閑置一段時間之後重新啟動連線時,Microsoft Entra ID 重新評估適用的條件式存取原則。
不使用 Microsoft Entra 驗證進行連線
根據預設,RDP 不會使用 Microsoft Entra 驗證,即使遠端計算機支援也一樣。 此方法可讓您從下列項目連線到已加入遠端 Microsoft Entra 裝置:
- 使用 Windows 10 版本 1607 或更新版本 Microsoft Entra 加入或 Microsoft Entra 混合式聯結裝置。
- Microsoft Entra 使用 Windows 10 版本 2004 或更新版本註冊的裝置。
注意
本機和遠端裝置都必須位於相同的 Microsoft Entra 租使用者中。 Microsoft Entra 遠端桌面不支援 B2B 來賓。
若要連線到遠端電腦:
- 從 Windows 搜尋或執行 來啟動遠端桌面連線
mstsc.exe。 - 指定遠端電腦的名稱。
- 當系統提示您輸入認證時,請以
user@domain.com或AzureAD\user@domain.com格式指定您的用戶名稱。
提示
如果您以domain\user格式指定使用者名稱,您可能會收到錯誤,指出登入嘗試失敗,並出現訊息:遠端電腦 Microsoft Entra 加入。如果您要登入您的工作帳戶,請嘗試使用您的工作電子郵件位址。
注意
對於執行 Windows 10 1703 版或更早版本的裝置,用戶必須先登入遠端裝置,然後再嘗試遠端連線。
支援的設定
下表列出在不使用 Microsoft Entra 驗證的情況下,從遠端連線到已加入 Microsoft Entra 裝置的支持組態:
| 標準 | 用戶端作業系統 | 支援的認證 |
|---|---|---|
| 來自已註冊 Microsoft Entra 裝置的 RDP | Windows 10 2004 版或更新版本 | 密碼、智慧卡 |
| 來自已加入 Microsoft Entra 裝置的 RDP | Windows 10 (版本 1607) 或更新版本 | 密碼、智慧卡、Windows Hello 企業版 憑證信任 |
| 來自 Microsoft Entra 混合式聯結裝置的 RDP | Windows 10 (版本 1607) 或更新版本 | 密碼、智慧卡、Windows Hello 企業版 憑證信任 |
注意
如果 RDP 用戶端執行 Windows Server 2016 或 Windows Server 2019,若要能夠連線到已加入 Microsoft Entra 裝置,則必須允許以公鑰密碼編譯為基礎的使用者對使用者 (PKU2U) 驗證要求,才能使用在線身分識別。
注意
當 Microsoft Entra 群組新增至 Windows 裝置上的遠端桌面使用者群組時,當屬於 Microsoft Entra 群組的使用者透過 RDP 登入,導致無法建立遠端連線時,則不會接受該群組。 在此案例中,應停用網路層級驗證以允許連線。
將使用者新增至遠端桌面使用者群組
遠端桌面使用者群組可用來授與使用者和群組遠端連線到裝置的許可權。 您可以手動或透過 MDM 原則新增使用者:
手動新增使用者:
您可以執行下列命令來指定遠端連線的個別 Microsoft Entra 帳戶,其中
<userUPN>是使用者的 UPN,例如user@domain.com:net localgroup "Remote Desktop Users" /add "AzureAD\<userUPN>"若要執行此命令,您必須是本機 Administrators 群組的成員。 否則,您可能會看到類似
There is no such global user or group: <name>的錯誤。使用原則新增使用者:
從 Windows 10 2004 版開始,您可以使用 MDM 原則將使用者新增至遠端桌面使用者,如如何在已加入 Microsoft Entra 裝置上管理本機系統管理員群組中所述。
相關文章
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應