Windows 支持使用远程桌面协议 (RDP) 连接到已加入 Active Directory 的设备以及加入 Azure Active Directory (Azure AD) 的设备。

Azure AD 身份验证可用于本地和远程设备的以下操作系统：

本地设备无需加入域或 Azure AD。 因此，此方法允许从以下位置连接到已加入远程 Azure AD 的设备：

Azure AD 身份验证还可用于连接到已加入混合 Azure AD 的设备。

若要连接到远程计算机，请执行以下操作：

从 Windows 搜索或通过运行 mstsc.exe启动远程桌面连接。

在“高级”选项卡中选择“使用 Web 帐户登录到远程计算机”选项。此选项等效于 enablerdsaadauth RDP 属性。 有关详细信息，请参阅 远程桌面服务支持的 RDP 属性。

指定远程计算机的名称，然后选择“ 连接”。

注意

使用 “使用 Web 帐户登录远程计算机 ”选项时，无法使用 IP 地址。 该名称必须与 Azure AD 中远程设备的主机名匹配，并且可进行网络寻址，并解析为远程设备的 IP 地址。

当系统提示输入凭据时，请指定格式的 [email protected] 用户名。

然后，连接到新电脑时，系统会提示你允许远程桌面连接。 Azure AD 会在 30 天内记住最多 15 个主机，然后再次提示。 如果看到此对话框，请选择“ 是 ”进行连接。

重要提示

如果组织已配置并使用 Azure AD 条件访问，则设备必须满足条件访问要求，以允许连接到远程计算机。 Microsoft 远程桌面 (a4a365df-50f1-4397-bc59-1a1564b8bb9c) ，可将具有授予控件和会话控件的条件访问策略应用于应用程序，以便进行受控访问。

远程会话中的 Windows 锁屏界面不支持 Azure AD 身份验证令牌或 FIDO 密钥等无密码身份验证方法。 缺少对这些身份验证方法的支持意味着用户无法在远程会话中解锁其屏幕。 尝试通过用户操作或系统策略锁定远程会话时，会话会断开连接，服务向用户发送一条消息，说明它们已断开连接。

断开会话连接还可以确保连接在处于非活动状态一段时间后重新启动时，Azure AD 会重新评估适用的条件访问策略。

默认情况下，RDP 不使用 Azure AD 身份验证，即使远程电脑支持它。 此方法允许从以下位置连接到已加入远程 Azure AD 的设备：

注意

本地和远程设备必须位于同一 Azure AD 租户中。 远程桌面不支持 Azure AD B2B 来宾。

若要连接到远程计算机，请执行以下操作：

提示

如果以格式指定用户名 domain\user ，可能会收到错误，指示登录尝试失败，并显示 消息“远程计算机已加入 AAD”。如果要登录到工作帐户，请尝试使用工作电子邮件地址。

注意

对于运行 Windows 10 版本 1703 或更低版本的设备，用户必须先登录到远程设备，然后才能尝试远程连接。

下表列出了在不使用 Azure AD 身份验证的情况下远程连接到已加入 Azure AD 的设备时支持的配置：

注意

如果 RDP 客户端正在运行 Windows Server 2016 或 Windows Server 2019，为了能够连接到已加入 Azure AD 的设备，它必须允许基于公钥加密的用户到用户 (PKU2U) 身份验证请求使用联机标识。

注意

将 Azure AD 组添加到 Windows 设备上的 远程桌面用户组 时，如果属于 Azure AD 组的用户通过 RDP 登录，导致无法建立远程连接，则不会接受该组。 在这种情况下，应禁用网络级别身份验证以允许连接。

远程桌面用户组用于授予用户和组远程连接到设备的权限。 可以手动或通过 MDM 策略添加用户：

手动添加用户：

可以通过运行以下命令指定用于远程连接的单个 Azure AD 帐户，其中 是用户的 UPN，例如 [email protected]：

若要执行此命令，必须是本地管理员组的成员。 否则，可能会看到类似于 There is no such global user or group: 的错误。

使用策略添加用户：

从 Windows 10 版本 2004 开始，可以使用 MDM 策略将用户添加到远程桌面用户，如如何管理加入 Azure AD 的设备上的本地管理员组中所述。

如何使用远程桌面