远程桌面到登录 AzureAD 的设备

发表于 更新于 分类于 阅读次数: 本文字数: 1.3k 阅读时长 ≈ 1 分钟
通过远程桌面连接到登录 Azure AD 账户的 Windows 设备,详细介绍配置步骤和注意事项。

前言

Azure AD,现称为 Microsoft Entra ID,详情请参阅:Azure Active Directory 的新名称 - Microsoft Entra | Microsoft Learn

配置设备

在被操控的设备中执行以下操作:
按下 WIN + R 以打开“运行”,输入 SystemPropertiesRemote.exe 并回车
在“远程”页,选择“允许远程连接到此计算机(L)”,并取消勾选“仅允许运行使用网络级别身份验证的远程桌面的计算机连接(建议)(N)”的复选框,最后点击“确定”

开启远程桌面

分配用户组

如果被操控的设备中 Azure AD 账户不为管理员则需要进行以下操作,否则请跳过该段

所有的操作都需要管理员身份,执行前请二选一执行以下操作:

  • 按下 WIN + X 以打开“高级菜单”,选择“终端管理员”,“Windows PowerShell (管理员)”或“命令提示符(管理员)”
  • 按下 WIN + QWIN + S 以打开“Windows 搜索”,输入 wt.exe(终端)、cmd.exe(命令提示符)或 powershell.exe(Windows PowerShell),选择最佳匹配结果并点击“以管理员身份运行”

输入以下命令并按下 Enter 以回车

1
net.exe localgroup "Remote Desktop Users" /add "AzureAD\<Azure AD 的账户域名>"

比如我的 Azure AD 账户域名是 example@contoso.com,则命令就是(包括引号)

1
net.exe localgroup "Remote Desktop Users" /add "AzureAD\example@contoso.com"

分配用户组

如果操控设备为 Windows 10 1607 及更高版本的 Windows,则需要在设置中登录到与被操控的设备同样的 Azure AD 域中

登录 Azure AD

最后在登录时,登录的账户应为

1
AzureAD\<Azure AD 的账户域名>

比如我的 Azure AD 账户域名是 example@contoso.com,账户就是

1
AzureAD\example@contoso.com

登录到设备

注意事项

  • 本地和远程电脑都必须运行 Windows 10 1607 或更高版本,不支持与运行早期版本的 Windows 10 与已加入 Azure AD 的电脑建立远程连接
  • 从进行连接的本地电脑,如果运行 Windows 10 1607 及更高版本,则必须已加入 Azure AD ,或已加入混合 Azure AD;如果使用 Windows 10 2004 及更高版本,则必须注册到 Azure AD, 不支持从未加入的设备或非 Windows 10/11 设备远程连接到已加入 Azure AD 的电脑
  • 本地电脑和远程电脑必须位于同一 Azure AD 租户中,远程桌面不支持 Azure AD B2B 来宾
  • 确保在用于连接到远程电脑的客户端电脑上关闭远程 Credential Guard(Windows 10版本 1607 中的一项新功能)

后记

  1. 连接到已加入远程 Microsoft Entra 的设备 | Microsoft Learn