RDP NLA avec Entra ID (problème PKU2U)

Sur cette page

Lors de la connexion à des systèmes via RDP avec Entra ID, les utilisateurs rencontrent souvent l'erreur "Vos identifiants n'ont pas fonctionné". Ce problème provient du protocole PKU2U, qui n'est pas activé par défaut dans Windows.

Solution 1 : Désactiver RDP NLA

Désactiver RDP NLA peut résoudre le problème mais n'est pas recommandé en raison des préoccupations de sécurité.

Certaines exigences doivent être satisfaites pour que le RDP NLA fonctionne avec Entra ID. C'est la solution recommandée même si le processus est plus complexe.

PKU2U sur le client RDP et le serveur

PKU2U doit être activé à la fois sur le client et le serveur RDP. Utiliser l'une des méthodes ci-dessous.

Méthode de stratégie de groupe

  1. Ouvrir l'éditeur de politique de groupe (gpedit.msc).

  2. Naviguer jusqu'à Configuration de l'ordinateur – Paramètres Windows – Paramètres de sécurité – Stratégies locales – Options de sécurité.

  3. Activer Sécurité du réseau : Autoriser les demandes d'authentification PKU2U à cet ordinateur à utiliser des identités en ligne.

  4. Redémarrer le serveur.

Méthode PowerShell

  1. Dans PowerShell, exécuter la commande suivante:

    $Pku2uRegPath = 'HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\Pku2u'
New-Item -Path $Pku2uRegPath -Force | Out-Null
Set-ItemProperty -Path $Pku2uRegPath -Name 'AllowOnlineID' -Value '1' -Type DWORD

  2. Redémarrer le serveur.

Connexion Windows

Être soit connecté à Windows avec le même compte Entra ID ou être associé au lieu de travail avec le même utilisateur Entra ID. Noter qu'il est possible d'être associé au lieu de travail avec jusqu'à trois utilisateurs en même temps.

  1. Sur votre machine Windows, naviguer jusqu'à Paramètres – Comptes – Courriel & comptes.

  2. Cliquer sur Ajouter un compte professionnel ou scolaire.

  3. Entrer vos informations d'identification Entra ID, puis cliquer sur Se connecter.

  4. Attendre que l'association au lieu de travail Entra ID soit terminée.

Format d'utilisateur correct

  • Dans MSTSC : Utiliser le format "EntraID\user@domain.com".

  • Dans un fichier RDP : Utiliser le format ".\EntraID\user@domain.com" et laisser le domaine vide.

  • Dans Remote Desktop Manager : Activer l'option Hôte Entra ID dans les propriétés générales de l'entrée RDP.

Se référer à l'article complet pour plus d'informations : RDP NLA avec Entra ID : Le cauchemar PKU2U.

Voir aussi

Devolutions Forum logo Donnez-nous vos commentaires