Требования к RDP с зарегистрированного устройства Azure AD

Мы небольшая компания (4 пользователя, 7 устройств) и недавно перешли от беспорядка локальных учетных записей на наших ПК к использованию Azure AD для Office 365. План состоял в том, чтобы иметь учетные записи для каждого пользователя и для того, чтобы любой мог войти с ними на любую машину, и контролировать доступ к файлам на некоторых машинах соответственно. У нас нет (и, надеюсь, не нужны) лицензий на что-либо большее, чем то, что идет бесплатно с Microsoft 365 Business Standard. Пока все хорошо.

Я также хотел бы, чтобы некоторые сотрудники могли удаленно подключаться к одной из машин в офисе. Раньше мы делали это, подключаясь с помощью OpenVPN, а затем используя стандартный клиент Windows 10 RDP. Теперь, с AAD, это, похоже, работает только в том случае, если клиент присоединен к AAD. Если клиент зарегистрирован в AAD, я получаю экраны «Ваши учетные данные не сработали» и «Попытка входа не удалась». Я бы предпочел не присоединяться к личным устройствам, мне кажется, что их регистрация — это «правильный» способ сделать это.

У Microsoft естьстраницас требованиями, чтобы это работало, и я думаю, что мы им удовлетворяем: Клиенты зарегистрированы в нашем арендаторе и отображаются как таковые на портале Azure. Все задействованные устройства 21H1 или более поздние. Пользователи находятся в соответствующих группах на хосте (и могут удаленно входить с присоединенных устройств). Должно быть что-то еще, что я упускаю?