Profili di connessione remota in Configuration Manager
Si applica a: Configuration Manager (Current Branch)
Usare Configuration Manager profili di connessione remota per consentire agli utenti di connettersi in remoto ai computer aziendali. Questi profili consentono di distribuire le impostazioni di Connessione Desktop remoto agli utenti nella gerarchia. Gli utenti possono accedere a uno qualsiasi dei computer di lavoro primari tramite Desktop remoto tramite una connessione VPN.
Importante
Quando si specificano le impostazioni del profilo di connessione remota con Configuration Manager, il client archivia le impostazioni nei criteri locali di Windows. Queste impostazioni potrebbero sostituire le impostazioni di Desktop remoto configurate con un'altra applicazione. Inoltre, se si usa Windows Criteri di gruppo per configurare le impostazioni di Desktop remoto, le impostazioni specificate nel Criteri di gruppo sostituiscono le impostazioni Configuration Manager.
Configuration Manager crea un gruppo di sicurezza nei client Remote PC Connect. Quando si distribuisce un profilo di connessione remota, il client aggiunge gli utenti primari del computer a questo gruppo. Un amministratore locale può aggiungere o rimuovere manualmente gli utenti a questo gruppo, ma Configuration Manager aggiorna l'appartenenza alla successiva valutazione della conformità del profilo.
Importante
Se cambia la relazione di affinità utente-dispositivo tra un utente e un dispositivo, Configuration Manager disabilita il profilo di connessione remota e le impostazioni di Windows Firewall per impedire le connessioni al computer.
Prerequisiti
Dipendenze esterne
Per consentire agli utenti di connettersi da Internet, installare e configurare un server Gateway Desktop remoto. Per altre informazioni su come installare e configurare un server Gateway Desktop remoto, vedere Servizi Desktop remoto - Accesso da qualsiasi posizione.
Se i client eseguono un firewall basato su host, deve abilitare il programma mstsc.exe. Quando si configura un profilo di connessione remota, abilitare l'impostazione Consenti eccezione di Windows Firewall per le connessioni nei domini Windows e nelle reti private. Questa impostazione consente Configuration Manager di configurare automaticamente Windows Firewall.
Consiglio
Criteri di gruppo impostazioni per configurare Windows Firewall possono sostituire la configurazione impostata in Configuration Manager. Se usi Criteri di gruppo per configurare Windows Firewall, assicurati che le impostazioni Criteri di gruppo non blocchino mstsc.exe.
Se i client eseguono un firewall basato su host diverso, configurare manualmente questa dipendenza del firewall.
Configuration Manager dipendenze
Affinché un utente possa connettersi a un computer aziendale, tale computer deve essere un dispositivo primario dell'utente. Per altre informazioni, vedere Collegare utenti e dispositivi con affinità utente-dispositivo.
Per gestire i profili di connessione remota, l'account utente richiede autorizzazioni specifiche in Configuration Manager. Il ruolo predefinito di Compliance Settings Manager include le autorizzazioni necessarie per gestire questi profili. Per altre informazioni, vedere Configurare l'amministrazione basata su ruoli.
Considerazioni sulla protezione e sulla privacy
Considerazioni sulla sicurezza
Specificare manualmente l'affinità utente-dispositivo invece di consentire agli utenti di identificare il dispositivo primario. Non abilitare la configurazione basata sull'utilizzo.
Prima di distribuire un profilo di connessione remota, è necessario abilitare l'opzione Consenti a tutti gli utenti primari del computer di lavoro di connettersi in remoto. Con questa configurazione, è sempre necessario specificare manualmente l'affinità utente-dispositivo. Non considerare autorevoli le informazioni raccolte Configuration Manager dagli utenti o dal dispositivo. Se si distribuisce un profilo e un utente amministratore attendibile non specifica l'affinità utente-dispositivo, gli utenti non autorizzati potrebbero ricevere privilegi elevati e connettersi in remoto ai computer.
Configuration Manager raccoglie informazioni basate sull'utilizzo tramite messaggi di stato, ovvero un canale di comunicazione veloce ma non sicuro. Per mitigare questa minaccia, usare la firma SMB (Server Message Block) o internet protocol security (IPsec) tra i computer client e il punto di gestione.
Limitare i diritti amministrativi locali nel computer del server del sito. Un amministratore locale nel server del sito può aggiungere manualmente membri al gruppo di sicurezza Remote PC Connect che Configuration Manager crea e gestisce automaticamente. Questa azione potrebbe causare un'elevazione dei privilegi perché i membri ricevono le autorizzazioni di Desktop remoto.
Considerazioni sulla privacy
Quando un utente si connette in remoto a un computer aziendale, scarica un file wsrdp. Questo file contiene il nome del dispositivo e il nome del server gateway Desktop remoto. Questi valori sono necessari per creare la sessione di Desktop remoto. Il file wsrdp viene scaricato e salvato automaticamente in locale. Questo file viene sovrascritto la volta successiva in cui l'utente esegue una sessione di Desktop remoto.
Creare un profilo
Nella console Configuration Manager passare all'area di lavoro Asset e conformità, espandere Impostazioni di conformità e selezionare Profili di connessione remota.
Nel gruppo Crea della scheda Home della barra multifunzione selezionare Crea profilo di connessione remota.
Nella pagina Generale della Creazione guidata profilo di connessione remota specificare un nome e una descrizione facoltativa per il profilo. Entrambi i valori hanno un limite massimo di 256 caratteri.
Nella pagina Impostazioni profilo specificare le impostazioni seguenti:
Nome completo e porta del server Gateway Desktop remoto (facoltativo): specificare il nome del server Gateway Desktop remoto da usare per le connessioni. Questo valore presenta i requisiti seguenti:
- Il nome del server non può superare i 256 caratteri.
- Può contenere caratteri maiuscoli, minuscoli e numerici.
- A parte i punti (
.) tra i segmenti e i due punti (:) prima della porta, gli unici caratteri speciali sono trattino (–) e carattere di sottolineatura (_). - Configuration Manager non supporta l'uso di un nome di dominio internazionalizzato per questo valore.
Consenti connessioni solo da computer che eseguono Desktop remoto con autenticazione a livello di rete: abilitata per impostazione predefinita, questa impostazione aggiunge un ulteriore livello di sicurezza per la connessione. Per altre informazioni, vedere Concedere l'accesso a Desktop remoto.
Abilitare le impostazioni di connessione seguenti:
Consentire connessioni remote ai computer di lavoro
Consentire a tutti gli utenti primari del computer di lavoro di connettersi in remoto
Consenti eccezione di Windows Firewall per le connessioni nei domini Windows e nelle reti private
Importante
Tutte e tre le impostazioni devono essere le stesse prima di poter continuare.
Disabilitare queste impostazioni solo quando si distribuisce un profilo per disattivare le connessioni remote.
Completare la procedura guidata.
Il nuovo profilo viene visualizzato nel nodo Profili di connessione remota nell'area di lavoro Asset e conformità .
Distribuire
Nella console Configuration Manager passare all'area di lavoro Asset e conformità, espandere Impostazioni di conformità e selezionare Profili di connessione remota.
Nell'elenco Profili di connessione remota selezionare il profilo da distribuire. Nel gruppo Distribuzione della scheda Home della barra multifunzione selezionare Distribuisci.
Nella finestra Distribuisci profilo di connessione remota specificare le informazioni seguenti:
Raccolta: selezionare la raccolta di dispositivi in cui si vuole distribuire il profilo.
Correggere le regole non conformi quando sono supportate: abilitare questa impostazione per correggere automaticamente le impostazioni del profilo quando non sono conformi in un dispositivo. Il profilo può essere non conforme quando non esiste.
Consenti correzione all'esterno della finestra di manutenzione: se si configura una finestra di manutenzione per la raccolta in cui si distribuisce il profilo, abilitare questa opzione per consentire a Configuration Manager di correggerla all'esterno della finestra di manutenzione. Per altre informazioni, vedere Come usare le finestre di manutenzione.
Generare un avviso: abilitare questa opzione per configurare un avviso di conformità.
Specificare la pianificazione della valutazione della conformità per questa baseline di configurazione: specificare una pianificazione semplice o personalizzata in base alla quale il client valuta il profilo.
Selezionare OK per chiudere la finestra e creare la distribuzione.
Valutazione client
Il client valuta il profilo quando un utente accede.
Se un dispositivo lascia una raccolta in cui si distribuisce un profilo di connessione remota, Configuration Manager disabilita le impostazioni nel dispositivo. Tuttavia, affinché questo processo venga eseguito correttamente, è necessario aver già distribuito almeno un elemento di configurazione o una baseline di configurazione che contiene un elemento di configurazione del sito.
Risoluzione dei conflitti
Non distribuire più di un profilo di connessione remota con impostazioni in conflitto nello stesso dispositivo. Ad esempio, si distribuiscono due profili con impostazioni diverse nella stessa raccolta. È possibile configurare una sola distribuzione del profilo per correggere le regole non conformi, se supportate. Questa distribuzione potrebbe ignorare le impostazioni nell'altro profilo. Configuration Manager non supporta questo tipo di distribuzione del profilo di connessione remota.
Monitoraggio
Nella console Configuration Manager passare all'area di lavoro Monitoraggio e selezionare Distribuzioni. Nell'elenco Distribuzioni selezionare la distribuzione del profilo di connessione remota.
È possibile esaminare le informazioni di riepilogo sulla conformità della distribuzione del profilo di connessione remota nella pagina principale. Per visualizzare informazioni più dettagliate, selezionare la distribuzione del profilo. Quindi, nel gruppo Distribuzione della scheda Home della barra multifunzione selezionare Visualizza stato. Questa azione apre la pagina Stato distribuzione .
La pagina Stato distribuzione contiene le schede seguenti:
Conforme: visualizza la conformità del profilo di connessione remota in base al numero di asset interessati.
Importante
Il client non valuta un profilo di connessione remota se non è applicabile. Tuttavia, segnala comunque la conformità.
Errore: visualizza un elenco di tutti gli errori per la distribuzione del profilo di connessione remota selezionata in base al numero di asset interessati.
Non conforme: visualizza un elenco di tutte le regole non conformi all'interno del profilo di connessione remota in base al numero di asset interessati.
Sconosciuto: visualizza un elenco di tutti i dispositivi che non hanno segnalato la conformità per la distribuzione del profilo di connessione remota selezionata, insieme allo stato client corrente dei dispositivi.
In qualsiasi scheda aprire una regola per creare un sottonodo temporaneo nel nodo Utenti nell'area di lavoro Asset e conformità . Questo sottonodo contiene tutti i dispositivi con lo stato di conformità della scheda selezionata.
Nel riquadro Dettagli asset vengono visualizzati i dispositivi con lo stato di conformità selezionato per questo profilo. Aprire un dispositivo nell'elenco per visualizzare informazioni aggiuntive.
Report
Configuration Manager include report predefiniti che è possibile usare per monitorare le informazioni sui profili di connessione remota. Questi report hanno la categoria di report Compliance and Settings Management.These reports have the report category of Compliance and Settings Management.
Importante
Usare il carattere jolly (%) quando si usano i parametri Filtro dispositivo e Filtro utente nei report per le impostazioni di conformità.
Per altre informazioni su come configurare la creazione di report in Configuration Manager, vedere Introduzione alla creazione di report.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per