我的組織正在執行加入 Azure AD 組織的 Windows 10(完全雲端託管,即沒有本機 Active Directory)。我使用以下形式的使用者名稱登入我的電腦:[電子郵件受保護]” 沒有任何問題,並且已啟用與此 PC 的遠端桌面連接。
如果我嘗試從 LAN 上或家裡的另一台 PC 進行遠端桌面,我的憑證總是會被視為無效。如果我嘗試使用本機帳戶(透過 RDP)登錄,它就可以正常工作。
誰能建議為什麼 Azure AD 憑證不能透過 RDP 運作或如何啟用此功能?
答案1
有可能的。基本上,您必須確保連線時不會發送身份驗證訊息,從而強制顯示登入畫面。
為此,您必須建立並編輯 .rdp 檔案。
- 開啟遠端桌面連線窗口,輸入電腦名稱或IP
- 儲存連線設定(顯示選項、另存為)
- 在文字編輯器中開啟已儲存的 .rdp 文件,並確保這些行存在,如下所示:
enablecredsspsupport:i:0
authentication level:i:2
- 將其加載到 RDC(打開按鈕)
- 連接,提供 Azure AD 憑證,盡情享受!
注意:在設定接受連線的電腦時,請確保不要強制進行網路層級身份驗證(允許遠端連線的選單上的核取方塊)。
答案2
從本文,必須滿足以下條件:
- 兩台電腦(本機和遠端)都必須執行 Windows 10 版本 1607 或更高版本。不支援遠端連線到執行早期版本的 Windows 10 的已加入 Azure AD 的電腦。
- 如果使用 Windows 10 版本 1607 及更高版本,則本機電腦(從其中進行連線)必須加入 Azure AD 或混合式 Azure AD,或如果使用 Windows 10 版本 2004 及更高版本,則必須註冊 Azure AD。不支援從未加入的裝置或非 Windows 10 裝置遠端連線到已加入 Azure AD 的電腦。
- 本機PC和遠端PC必須位於同一Azure AD租用戶中。遠端桌面不支援 Azure AD B2B 來賓。
所以,對我來說,我去了Start>> Access Work or School。Connect然後,我使用我的 Azure AD 帳戶登入(我沒有將電腦加入網域,只是連接它)。完成此操作後,我可以使用我的網域電子郵件和密碼登入。
答案3
從 2022 年 10 月開始,新方法使用條件訪問,允許無密碼身份驗證方法,並啟用 SSO 或至少儲存登入令牌。您基本上只需轉到 RDP 用戶端的“高級”選項卡並選中“使用 Web 帳戶登入遠端電腦”即可。不過,也有一些注意事項。
您無法使用 IP 位址連接到遠端計算機,但必須使用與 Entra 設備名稱完全匹配的主機名稱。就我而言,我使用了 Azure VM,而 Azure VM 的名稱超過了 Entra 裝置允許的 15 個字元(?),因此主機名稱被截斷為 15 個字元。因此,我必須定義一個 DNS 條目,其中截斷的名稱指向虛擬機器的公共 IP。
但是,仍然顯示錯誤代碼為 CAA20002 的錯誤,並在 RDP 用戶端和 Entra 登入日誌中顯示伺服器訊息「AADSTS293004:在租用戶 {tenantId} 中找不到請求 {targetDeviceId} 中的目標裝置識別碼」 。
幸運的是,泰勒謝爾曼發現了失蹤的東西:您必須將網域新增至Domain登錄項目中的登錄項目(對於我在 W11 遠端電腦上,它不是NV Domain,與泰勒所說的相反)HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters。