RDP NLA avec Azure AD (problème PKU2U)

Sur cette page

Lors de la connexion à des systèmes en utilisant RDP avec Azure AD, les utilisateurs rencontrent souvent l'erreur "Vos informations d'identification n'ont pas fonctionné". Ce problème découle du protocole PKU2U, qui n'est pas activé par défaut dans Windows.

Solution 1 : Désactiver RDP NLA

Désactiver RDP NLA peut résoudre le problème mais n'est pas recommandé en raison des préoccupations de sécurité.

Certains prérequis doivent être remplis pour que RDP NLA fonctionne avec Azure AD. C'est la solution recommandée même si le processus est plus complexe.

PKU2U sur le client RDP et le serveur

PKU2U doit être activé à la fois sur le client et le serveur RDP. Utiliser l'une des méthodes ci-dessous.

Méthode de stratégie de groupe

  1. Ouvrir l'éditeur de politique de groupe (gpedit.msc).
  2. Naviguer jusqu'à Configuration de l'ordinateur – Paramètres Windows – Paramètres de sécurité – Stratégies locales – Options de sécurité.
  3. Activer Sécurité du réseau : Autoriser les demandes d'authentification PKU2U à cet ordinateur à utiliser des identités en ligne.
  4. Redémarrer le serveur.

Méthode PowerShell

  1. Dans PowerShell, exécuter la commande suivante:
    $Pku2uRegPath = 'HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\Pku2u'
New-Item -Path $Pku2uRegPath -Force | Out-Null
Set-ItemProperty -Path $Pku2uRegPath -Name 'AllowOnlineID' -Value '1' -Type DWORD
  2. Redémarrer le serveur.

Connexion Windows

Avoir besoin d'être soit connecté à Windows avec le même compte Azure AD, soit rejoint au lieu de travail avec le même utilisateur Azure AD. Remarquer que vous pouvez être rejoint au lieu de travail avec jusqu'à trois utilisateurs en même temps.

  1. Sur votre machine Windows, naviguer jusqu'à Paramètres – Comptes – Courriel & comptes.
  2. Cliquer sur Ajouter un compte professionnel ou scolaire.
  3. Entrer vos identifiants Azure AD, puis cliquer sur Sign in.
  4. Attendre que la jonction au lieu de travail Azure AD soit terminée.

Format d'utilisateur correct

  • Dans MSTSC : Utiliser le format "AzureAD\user@domain.com".
  • Dans un fichier RDP : Utiliser le format ".\AzureAD\user@domain.com" et laisser le domaine vide.
  • Dans Remote Desktop Manager : Activer l'option Azure AD host dans les propriétés générales de l'entrée RDP.

Consulter l'article complet pour plus d'informations : RDP NLA avec Azure AD : Le Cauchemar PKU2U.

Devolutions Forum logo Donnez-nous vos commentaires