Profils de connexion à distance dans Configuration Manager

  • Article

S’applique à : Gestionnaire de Configuration (branche actuelle)

Utilisez Configuration Manager profils de connexion à distance pour permettre à vos utilisateurs de se connecter à distance à des ordinateurs professionnels. Ces profils vous permettent de déployer les paramètres de connexion Bureau à distance pour les utilisateurs de votre hiérarchie. Les utilisateurs peuvent accéder à l’un de leurs ordinateurs de travail principaux via le Bureau à distance via une connexion VPN.

Importante

Lorsque vous spécifiez des paramètres de profil de connexion à distance avec Configuration Manager, le client stocke les paramètres dans la stratégie locale Windows. Ces paramètres peuvent remplacer les paramètres Bureau à distance que vous configurez avec une autre application. En outre, si vous utilisez Windows stratégie de groupe pour configurer les paramètres bureau à distance, les paramètres spécifiés dans le stratégie de groupe remplacent Configuration Manager paramètres.

Configuration Manager crée un groupe de sécurité sur les clients, Remote PC Connect. Lorsque vous déployez un profil de connexion à distance, le client ajoute les utilisateurs principaux de l’ordinateur à ce groupe. Un administrateur local peut ajouter ou supprimer manuellement des utilisateurs dans ce groupe, mais Configuration Manager met à jour l’appartenance lorsqu’il évalue ensuite la conformité du profil.

Importante

Si la relation d’affinité entre un utilisateur et un appareil change, Configuration Manager désactive le profil de connexion à distance et les paramètres du Pare-feu Windows pour empêcher les connexions à l’ordinateur.

Conditions préalables

Dépendances externes

  • Si vous souhaitez permettre aux utilisateurs de se connecter à partir d’Internet, installez et configurez un serveur de passerelle Bureau à distance. Pour plus d’informations sur l’installation et la configuration d’un serveur de passerelle Bureau à distance, consultez Services Bureau à distance - Accès depuis n’importe où.

  • Si les clients exécutent un pare-feu basé sur l’hôte, il doit activer le programme mstsc.exe. Lorsque vous configurez un profil de connexion à distance, activez le paramètre Autoriser l’exception pare-feu Windows pour les connexions sur des domaines Windows et sur des réseaux privés. Ce paramètre permet à Configuration Manager de configurer automatiquement le Pare-feu Windows.

    Conseil

    stratégie de groupe paramètres de configuration du Pare-feu Windows peuvent remplacer la configuration que vous avez définie dans Configuration Manager. Si vous utilisez stratégie de groupe pour configurer le Pare-feu Windows, assurez-vous que les paramètres stratégie de groupe ne bloquent pas mstsc.exe.

    Si les clients exécutent un autre pare-feu basé sur l’hôte, configurez manuellement cette dépendance de pare-feu.

dépendances Configuration Manager

Considérations sur la sécurité et la confidentialité

Considérations en matière de sécurité

  • Spécifiez manuellement l’affinité entre utilisateur et appareil au lieu d’autoriser les utilisateurs à identifier leur appareil principal. N’activez pas la configuration basée sur l’utilisation.

    • Avant de pouvoir déployer un profil de connexion à distance, vous devez activer l’option Autoriser tous les utilisateurs principaux de l’ordinateur professionnel à se connecter à distance. Avec cette configuration, vous devez toujours spécifier manuellement l’affinité entre utilisateur et appareil. Ne considérez pas les informations collectées par Configuration Manager auprès des utilisateurs ou de l’appareil comme faisant autorité. Si vous déployez un profil et qu’un utilisateur administratif approuvé ne spécifie pas l’affinité utilisateur-appareil, les utilisateurs non autorisés peuvent recevoir des privilèges élevés et peuvent se connecter à distance aux ordinateurs.

    • Configuration Manager collecte des informations basées sur l’utilisation par le biais de messages d’état, qui est un canal de communication rapide mais non sécurisé. Pour atténuer cette menace, utilisez la signature SMB (Server Message Block) ou la sécurité du protocole Internet (IPsec) entre les ordinateurs clients et le point de gestion.

  • Restreindre les droits d’administration locaux sur l’ordinateur serveur de site. Un administrateur local sur le serveur de site peut ajouter manuellement des membres au groupe de sécurité Remote PC Connect que Configuration Manager crée et gère automatiquement. Cette action peut entraîner une élévation de privilèges, car les membres reçoivent des autorisations Bureau à distance.

Considérations relatives à la confidentialité

Lorsqu’un utilisateur se connecte à distance à un ordinateur professionnel, il télécharge un fichier .wsrdp. Ce fichier contient le nom de l’appareil et le nom du serveur de passerelle Bureau à distance. Ces valeurs sont requises pour créer la session Bureau à distance. Le fichier .wsrdp est téléchargé et enregistré automatiquement localement. Ce fichier est remplacé la prochaine fois que l’utilisateur exécute une session Bureau à distance.

Créer un profil

  1. Dans la console Configuration Manager, accédez à l’espace de travail Ressources et conformité, développez Paramètres de conformité, puis sélectionnez Profils de connexion à distance.

  2. Sous l’onglet Accueil du ruban, dans le groupe Créer , sélectionnez Créer un profil de connexion à distance.

  3. Dans la page Général de l’Assistant Création d’un profil de connexion à distance, spécifiez un nom et une description facultative pour le profil. Les deux valeurs ont une limite maximale de 256 caractères.

  4. Dans la page Paramètres du profil , spécifiez les paramètres suivants :

    • Nom complet et port du serveur de passerelle Bureau à distance (facultatif) : spécifiez le nom du serveur de passerelle Bureau à distance à utiliser pour les connexions. Cette valeur a les exigences suivantes :

      • Le nom du serveur ne peut pas comporter plus de 256 caractères.
      • Il peut contenir des caractères majuscules, minuscules et numériques.
      • Mis à part les points (.) entre les segments et un signe deux-points (:) avant le port, les seuls caractères spéciaux sont tiret () et trait de soulignement (_).
      • Configuration Manager ne prend pas en charge l’utilisation d’un nom de domaine internationalisé pour cette valeur.

    • Autoriser les connexions uniquement à partir d’ordinateurs qui exécutent le Bureau à distance avec l’authentification au niveau du réseau : Activé par défaut, ce paramètre ajoute un niveau de sécurité supplémentaire pour la connexion. Pour plus d’informations, consultez Accorder l’accès bureau à distance.

    • Activez les paramètres de connexion suivants :

      • Autoriser les connexions à distance aux ordinateurs de travail

      • Autoriser tous les utilisateurs principaux de l’ordinateur professionnel à se connecter à distance

      • Autoriser l’exception du Pare-feu Windows pour les connexions sur des domaines Windows et sur des réseaux privés

      Importante

      Les trois paramètres doivent être identiques pour que vous puissiez continuer.

      Désactivez ces paramètres uniquement lorsque vous déployez un profil pour désactiver les connexions à distance.

  5. Suivez les instructions de l’Assistant.

Le nouveau profil s’affiche dans le nœud Profils de connexion à distance de l’espace de travail Ressources et conformité .

Déployer

  1. Dans la console Configuration Manager, accédez à l’espace de travail Ressources et conformité, développez Paramètres de conformité, puis sélectionnez Profils de connexion à distance.

  2. Dans la liste Profils de connexion à distance , sélectionnez le profil que vous souhaitez déployer. Sous l’onglet Accueil du ruban, dans le groupe Déploiement , sélectionnez Déployer.

  3. Dans la fenêtre Déployer un profil de connexion à distance , spécifiez les informations suivantes :

    • Regroupement : recherchez le regroupement d’appareils dans lequel vous souhaitez déployer le profil.

    • Corriger les règles non conformes lorsqu’elles sont prises en charge : activez ce paramètre pour corriger automatiquement les paramètres de profil lorsqu’ils ne sont pas conformes sur un appareil. Le profil peut être non conforme lorsqu’il n’existe pas.

    • Autoriser la correction en dehors de la fenêtre de maintenance : si vous configurez une fenêtre de maintenance pour le regroupement sur lequel vous déployez le profil, activez cette option pour permettre à Configuration Manager de la corriger en dehors de la fenêtre de maintenance. Pour plus d’informations, consultez Utilisation des fenêtres de maintenance.

    • Générer une alerte : activez cette option pour configurer une alerte de conformité.

    • Spécifier la planification de l’évaluation de la conformité pour cette base de référence de configuration : spécifiez une planification simple ou personnalisée selon laquelle le client évalue le profil.

  4. Sélectionnez OK pour fermer la fenêtre et créer le déploiement.

Évaluation du client

Le client évalue le profil lorsqu’un utilisateur se connecte.

Si un appareil quitte un regroupement sur lequel vous déployez un profil de connexion à distance, Configuration Manager désactive les paramètres sur l’appareil. Toutefois, pour que ce processus se produise correctement, vous devez avoir déjà déployé au moins un élément de configuration ou une base de référence de configuration qui contient un élément de configuration de votre site.

Résolution des conflits

Ne déployez pas plusieurs profils de connexion à distance avec des paramètres en conflit sur le même appareil. Par exemple, vous déployez deux profils avec des paramètres différents dans la même collection. Vous ne configurez qu’un seul déploiement de profil pour corriger les règles non conformes lorsqu’elles sont prises en charge. Ce déploiement peut remplacer les paramètres de l’autre profil. Configuration Manager ne prend pas en charge ce type de déploiement de profil de connexion à distance.

Surveiller

Dans la console Configuration Manager, accédez à l’espace de travail Surveillance, puis sélectionnez Déploiements. Dans la liste Déploiements , sélectionnez le déploiement du profil de connexion à distance.

Vous pouvez consulter des informations récapitulatives sur la conformité du déploiement du profil de connexion à distance sur la page principale. Pour afficher des informations plus détaillées, sélectionnez le déploiement de profil. Ensuite, sous l’onglet Accueil du ruban, dans le groupe Déploiement , sélectionnez Afficher l’état. Cette action ouvre la page État du déploiement .

La page État du déploiement contient les onglets suivants :

  • Conforme : affiche la conformité du profil de connexion à distance en fonction du nombre de ressources affectées.

    Importante

    Le client n’évalue pas un profil de connexion à distance s’il n’est pas applicable. Toutefois, il signale toujours qu’il est conforme.

  • Erreur : affiche la liste de toutes les erreurs pour le déploiement du profil de connexion à distance sélectionné en fonction du nombre de ressources affectées.

  • Non conforme : affiche la liste de toutes les règles non conformes dans le profil de connexion à distance en fonction du nombre de ressources affectées.

  • Inconnu : affiche la liste de tous les appareils qui n’ont pas déclaré la conformité pour le déploiement du profil de connexion à distance sélectionné, ainsi que l’état actuel du client des appareils.

Sous n’importe quel onglet, ouvrez une règle pour créer un sous-nœud temporaire sous le nœud Utilisateurs dans l’espace de travail Ressources et conformité . Ce sous-nœud contient tous les appareils avec l’état de conformité de l’onglet sélectionné.

Le volet Détails de la ressource affiche les appareils avec l’état de conformité sélectionné pour ce profil. Ouvrez un appareil dans la liste pour afficher des informations supplémentaires.

Rapports

Configuration Manager inclut des rapports intégrés que vous pouvez utiliser pour surveiller des informations sur les profils de connexion à distance. Ces rapports ont la catégorie de rapport Gestion de la conformité et des paramètres.

Importante

Utilisez le caractère générique (%) lorsque vous utilisez les paramètres Filtre d’appareil et Filtre utilisateur dans les rapports pour les paramètres de conformité.

Pour plus d’informations sur la configuration des rapports dans Configuration Manager, consultez Présentation de la création de rapports.