我的组织正在运行已加入 Azure AD 组织的 Windows 10(完全云托管,即没有本地 Active Directory)。我使用以下形式的用户名登录我的电脑:[电子邮件保护]“没有问题,并且已启用到此电脑的远程桌面连接。
如果我尝试从局域网或家里的另一台电脑进行远程桌面,我的凭证总是被视为无效。如果我尝试使用本地帐户(通过 RDP)登录,它就可以正常工作。
有人可以解释为什么 Azure AD 凭据不能通过 RDP 起作用或者如何启用此功能吗?
答案1
这是可能的。基本上,您必须确保在连接时不发送任何身份验证信息,从而强制显示登录屏幕。
为此,您必须创建并编辑一个 .rdp 文件。
- 打开远程桌面连接窗口,输入计算机名或IP
- 保存连接设置(显示选项、另存为)
- 在文本编辑器中打开保存的 .rdp 文件,并确保这些行存在如下:
enablecredsspsupport:i:0
authentication level:i:2
- 将其加载到 RDC(打开按钮)
- 连接,提供 Azure AD 凭据,享受!
注意:设置接受连接的计算机时,请确保不要强制网络级别身份验证(允许远程连接的菜单上的复选框)。
答案2
从本文,必须满足以下条件:
- 两台电脑(本地和远程)都必须运行 Windows 10 版本 1607 或更高版本。不支持与运行早期版本的 Windows 10 的 Azure AD 联接电脑进行远程连接。
- 如果使用 Windows 10 版本 1607 及更高版本,则您的本地电脑(您从中连接的地方)必须已加入 Azure AD 或混合 Azure AD;如果使用 Windows 10 版本 2004 及更高版本,则必须已注册 Azure AD。不支持从未加入的设备或非 Windows 10 设备远程连接到已加入 Azure AD 的 PC。
- 本地 PC 和远程 PC 必须位于同一 Azure AD 租户中。远程桌面不支持 Azure AD B2B 来宾。
因此,对于我来说,我转到Start
> Access Work or School
> Connect
。然后我使用我的 Azure AD 帐户登录(我没有将计算机加入域,只是连接了它)。完成此操作后,我能够使用我的域电子邮件和密码登录。
答案3
从 2022 年 10 月开始,新方法它使用条件访问,允许无密码身份验证方法,并启用 SSO 或至少存储登录令牌。您基本上只需转到 RDP 客户端的“高级”选项卡并选中“使用 Web 帐户登录远程计算机”。但是有一些注意事项。
您无法使用 IP 地址连接到远程计算机,但必须使用与 Entra 设备名称完全匹配的主机名。就我而言,我使用了 Azure VM,并且 Azure VM 的名称长度超过了 Entra 设备允许的 15 个字符(?),因此主机名被截断为 15 个字符。因此,我必须定义一个 DNS 条目,其中截断的名称指向 VM 的公共 IP。
但是,在 RDP 客户端和 Entra 登录日志中,仍然显示错误代码为 CAA20002 的错误,服务器消息为“AADSTS293004:在租户 {tenantId} 中未找到请求 {targetDeviceId} 中的目标设备标识符”。
幸运的是,Tyler Sherman 发现了缺失的东西:您必须将域添加到Domain
注册表项中(对于我来说,在 W11 远程计算机上,情况并非如此NV Domain
,与 Tyler 所说的相反)HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
。