連線到遠端加入 Azure Active Directory 的電腦

適用對象

  • Windows 10
  • Windows 11

從發行起,Windows 10支援與已加入 Active Directory 之電腦之間的遠端連線。 從 Windows 10 (版本 1607) 開始,您也可以連線到已加入 Azure Active Directory (Azure AD) 的遠端電腦。 從 Windows 10 版本 1809開始,您可以使用生物識別驗證至遠端桌面會話

遠端桌面連線用戶端。

設定

  • 本地和 (電腦) 必須執行 Windows 10版本 1607 或更新版本。 不支援與執行Azure AD版本的已加入Windows 10電腦進行遠端連線。
  • 使用 Windows 10、版本 1607 及更新版本 (或使用 Windows 10 版本 2004 及更新版本註冊的 Azure AD,您從) 連接的本地電腦必須是 Azure AD聯入或混合式 Azure AD 已加入。 不支援從未Azure AD或非連接裝置與已加入Windows 10電腦進行遠端連線。
  • 本地電腦和遠端電腦必須在同一個租使用者Azure AD中。 Azure AD遠端桌面不支援 B2B 來賓。

確保遠端認證防護功能 ,Windows 10版本 1607 中的新功能,已關閉您用於連接到遠端電腦之用戶端電腦。

  • 在您想要連接到的 PC 上:

    1. 開啟遠端電腦的系統內容。

    2. 啟用 [允許遠端連線到此電腦],然後選取 [僅允許來自執行含有網路層級驗證之遠端桌面的電腦進行連線]

      允許遠端連線到此電腦。

    3. 如果將電腦加入 Azure AD 的使用者是唯一要進行遠端連線的人,就不需要任何額外的設定。 若要允許其他使用者或群組連接到電腦,您必須允許指定使用者或群組的遠端連線。 您可以手動或透過 MDM 策略新增使用者:

      • 手動新增使用者

        您可以執行下列 PowerShell Cmdlet,Azure AD個別的遠端連線帳戶:

        net localgroup "Remote Desktop Users" /add "AzureAD\the-UPN-attribute-of-your-user"
        

        其中 ,upN-attribute-of-your-user是 C:\Users\中的使用者設定檔名稱,此名稱是以 Azure AD 中的 DisplayName 屬性建立。

        若要執行這個 PowerShell 命令,您必須是本地系統管理員群組的成員。 否則,您收到類似此範例的錯誤:

        • 僅適用于雲端的使用者:「沒有這類全域使用者或群組 :name」
        • 同步的使用者:「沒有這類全域使用者或群組 :name」

        注意

        對於執行 Windows 10版本 1703 或較舊版本的裝置,使用者必須先登錄遠端裝置,才能嘗試遠端連線。

        從 Windows 10 版本 1709 開始,您可以將其他 Azure AD 使用者新增到 設定**** 裝置上的系統管理員群組,並限制遠端認證給系統管理員。 如果遠端連線發生問題,請確定已將這兩個裝置加入 Azure AD,以及 TPM 在這兩個裝置上都能正常運作。

      • 使用策略新增使用者

        從 Windows 10 版本 2004 開始,您可以使用 MDM 策略將使用者新增到遠端桌面使用者,如如何在已加入的裝置上管理Azure AD組中所述。

        提示

        當您連接到遠端電腦時,請以以下格式輸入您的帳戶名稱:AzureAD\yourloginid@domain.com。

        注意

        如果您無法使用遠端桌面連線 6.0 進行連接,您必須關閉 RDP 6.0 的新功能,並還原為 RDP 5.0,在 RDP 檔案中進行一些變更。 請參閱此支援文章中 的詳細資訊

支援的設定

下表列出遠端連線到已加入電腦Azure AD支援的配置:

標準 從已註冊Azure AD的 RDP 從已加入Azure AD的 RDP 混合式裝置與Azure AD的 RDP
用戶端作業系統 Windows 10版本 2004 及更新版本 Windows 10版本 1607 及更新版本 Windows 10版本 1607 及更新版本
支援的認證 密碼、智慧卡 密碼、智慧卡Windows Hello商務用憑證信任 密碼、智慧卡Windows Hello商務用憑證信任

注意

如果 RDP 用戶端執行 Windows Server 2016 或 Windows Server 2019,若要連線到 Azure Active Directory 聯結電腦,則必須允許以公用金鑰加密為基礎的使用者對使用者 (PKU2U) 驗證要求使用線上身分認證。

相關主題

如何使用遠端桌面