Profielen voor externe verbindingen in Configuration Manager
Van toepassing op: Configuration Manager (current branch)
Gebruik Configuration Manager externe verbindingsprofielen zodat uw gebruikers op afstand verbinding kunnen maken met werkcomputers. Met deze profielen kunt u instellingen voor verbinding met extern bureaublad implementeren voor gebruikers in uw hiërarchie. Gebruikers hebben toegang tot elk van hun primaire werkcomputers via Extern bureaublad via een VPN-verbinding.
Belangrijk
Wanneer u de profielinstellingen voor externe verbindingen opgeeft met Configuration Manager, slaat de client de instellingen op in het lokale Windows-beleid. Deze instellingen kunnen extern bureaublad-instellingen overschrijven die u configureert met een andere toepassing. Als u Bovendien Windows groepsbeleid gebruikt om instellingen voor Extern bureaublad te configureren, worden de instellingen die zijn opgegeven in de groepsbeleid Configuration Manager-instellingen overschreven.
Configuration Manager maakt een beveiligingsgroep op clients, Remote PC Connect. Wanneer u een profiel voor externe verbindingen implementeert, voegt de client de primaire gebruikers van de computer toe aan deze groep. Een lokale beheerder kan handmatig gebruikers aan deze groep toevoegen of verwijderen, maar Configuration Manager het lidmaatschap bijwerken wanneer vervolgens de naleving van het profiel wordt geëvalueerd.
Belangrijk
Als de gebruikersaffiniteitsrelatie tussen een gebruiker en een apparaat verandert, schakelt Configuration Manager het profiel voor externe verbindingen en windows firewall-instellingen uit om verbindingen met de computer te voorkomen.
Voorwaarden
Externe afhankelijkheden
Als u wilt dat gebruikers verbinding kunnen maken via internet, installeert en configureert u een Extern bureaublad-gatewayserver. Zie Extern bureaublad-services - toegang vanaf elke locatie voor meer informatie over het installeren en configureren van een Extern bureaublad-gatewayserver.
Als clients een firewall op basis van een host uitvoeren, moet deze het mstsc.exe-programma inschakelen. Wanneer u een profiel voor externe verbindingen configureert, schakelt u de instelling Windows Firewall-uitzondering toestaan voor verbindingen in Windows-domeinen en op privénetwerken in. Met deze instelling kunt Configuration Manager Windows Firewall automatisch configureren.
Tip
groepsbeleid instellingen voor het configureren van Windows Firewall kunnen de configuratie overschrijven die u in Configuration Manager hebt ingesteld. Als u groepsbeleid gebruikt om Windows Firewall te configureren, moet u ervoor zorgen dat groepsbeleid instellingen mstsc.exe niet blokkeren.
Als clients een andere firewall op basis van een host uitvoeren, configureert u deze firewallafhankelijkheid handmatig.
afhankelijkheden Configuration Manager
Als een gebruiker verbinding kan maken met een werkcomputer, moet die computer een primair apparaat van de gebruiker zijn. Zie Gebruikers en apparaten koppelen met gebruikersaffiniteit voor apparaten voor meer informatie.
Als u profielen voor externe verbindingen wilt beheren, heeft uw gebruikersaccount specifieke machtigingen nodig in Configuration Manager. De ingebouwde rol Beheerder van compliance-instellingen bevat de machtigingen die nodig zijn om deze profielen te beheren. Zie Op rollen gebaseerd beheer configureren voor meer informatie.
Beveiligings- en privacyoverwegingen
Beveiligingsoverwegingen
Geef handmatig gebruikersaffiniteit op voor apparaten in plaats van gebruikers toe te staan hun primaire apparaat te identificeren. Schakel geen configuratie op basis van gebruik in.
Voordat u een profiel voor externe verbindingen kunt implementeren, moet u de optie Toestaan dat alle primaire gebruikers van de werkcomputer extern verbinding maken inschakelen. Met deze configuratie moet u altijd handmatig gebruikersaffiniteit voor apparaten opgeven. Beschouw de informatie die Configuration Manager verzamelt van gebruikers of van het apparaat niet als gezaghebbend. Als u een profiel implementeert en een vertrouwde gebruiker met beheerdersrechten geen affiniteit voor gebruikersapparaten opgeeft, krijgen onbevoegde gebruikers mogelijk verhoogde bevoegdheden en kunnen ze op afstand verbinding maken met computers.
Configuration Manager verzamelt informatie op basis van gebruik via statusberichten. Dit is een snel maar onveilig communicatiekanaal. Gebruik SMB-ondertekening (Server Message Block) of IPsec (Internet Protocol Security) tussen clientcomputers en het beheerpunt om deze bedreiging te beperken.
Lokale beheerdersrechten op de siteservercomputer beperken. Een lokale beheerder op de siteserver kan handmatig leden toevoegen aan de beveiligingsgroep Remote PC Connect die Configuration Manager automatisch maakt en onderhoudt. Deze actie kan leiden tot een uitbreiding van bevoegdheden omdat leden extern bureaublad-machtigingen ontvangen.
Privacyoverwegingen
Wanneer een gebruiker op afstand verbinding maakt met een werkcomputer, downloaden ze een .wsrdp-bestand. Dit bestand bevat de apparaatnaam en de naam van de extern bureaublad-gatewayserver. Deze waarden zijn vereist voor het maken van de extern bureaublad-sessie. Het .wsrdp-bestand wordt gedownload en automatisch lokaal opgeslagen. Dit bestand wordt overschreven wanneer de gebruiker de volgende keer een extern bureaublad-sessie uitvoert.
Een profiel maken
Ga in de Configuration Manager-console naar de werkruimte Activa en naleving, vouw Nalevingsinstellingen uit en selecteer Externe verbindingsprofielen.
Selecteer op het tabblad Start van het lint in de groep Maken de optie Profiel voor externe verbinding maken.
Geef op de pagina Algemeen van de wizard Profiel voor externe verbinding maken een naam en optionele beschrijving op voor het profiel. Beide waarden hebben een maximumlimiet van 256 tekens.
Geef op de pagina Profielinstellingen de volgende instellingen op:
Volledige naam en poort van de Extern bureaublad-gatewayserver (optioneel): geef de naam op van de Extern bureaublad-gatewayserver die moet worden gebruikt voor verbindingen. Deze waarde heeft de volgende vereisten:
- De servernaam mag niet langer zijn dan 256 tekens.
- Deze kan hoofdletters, kleine letters en numerieke tekens bevatten.
- Afgezien van punten (
.
) tussen segmenten en een dubbele punt (:
) vóór de poort, zijn de enige speciale tekens streepje (–
) en onderstrepingsteken (_
). - Configuration Manager biedt geen ondersteuning voor het gebruik van een geïnternationaliseerde domeinnaam voor deze waarde.
Alleen verbindingen toestaan vanaf computers waarop Extern bureaublad wordt uitgevoerd met verificatie op netwerkniveau: deze instelling is standaard ingeschakeld en voegt een extra beveiligingsniveau voor de verbinding toe. Zie Extern bureaublad toegang verlenen voor meer informatie.
Schakel de volgende verbindingsinstellingen in:
Externe verbindingen met werkcomputers toestaan
Alle primaire gebruikers van de werkcomputer toestaan om op afstand verbinding te maken
Windows Firewall-uitzondering toestaan voor verbindingen in Windows-domeinen en op privénetwerken
Belangrijk
Alle drie de instellingen moeten hetzelfde zijn voordat u kunt doorgaan.
Schakel deze instellingen alleen uit wanneer u een profiel implementeert om externe verbindingen uit te schakelen.
Voltooi de wizard.
Het nieuwe profiel wordt weergegeven in het knooppunt Profielen voor externe verbindingen in de werkruimte Activa en naleving .
Implementeren
Ga in de Configuration Manager-console naar de werkruimte Activa en naleving, vouw Nalevingsinstellingen uit en selecteer Externe verbindingsprofielen.
Selecteer in de lijst Profielen voor externe verbinding het profiel dat u wilt implementeren. Selecteer implementeren op het tabblad Start van het lint in de groep Implementatie.
Geef in het venster Profiel voor externe verbinding implementeren de volgende informatie op:
Verzameling: blader naar de apparaatverzameling waar u het profiel wilt implementeren.
Niet-compatibele regels herstellen wanneer deze worden ondersteund: schakel deze instelling in om de profielinstellingen automatisch te herstellen wanneer ze niet compatibel zijn op een apparaat. Het profiel kan niet-compatibel zijn wanneer het niet bestaat.
Herstel toestaan buiten het onderhoudsvenster: als u een onderhoudsvenster configureert voor de verzameling waarin u het profiel implementeert, schakelt u deze optie in om Configuration Manager het buiten het onderhoudsvenster te laten herstellen. Zie Onderhoudsvensters gebruiken voor meer informatie.
Een waarschuwing genereren: schakel deze optie in om een nalevingswaarschuwing te configureren.
Geef het evaluatieschema voor naleving op voor deze configuratiebasislijn: geef een eenvoudig of aangepast schema op waarmee de client het profiel evalueert.
Selecteer OK om het venster te sluiten en de implementatie te maken.
Clientevaluatie
De client evalueert het profiel wanneer een gebruiker zich aanmeldt.
Als een apparaat een verzameling verlaat waarop u een profiel voor externe verbindingen implementeert, schakelt Configuration Manager de instellingen op het apparaat uit. Dit proces kan echter alleen correct worden uitgevoerd als u al ten minste één configuratie-item of configuratiebasislijn hebt geïmplementeerd dat een configuratie-item van uw site bevat.
Conflictoplossing
Implementeer niet meer dan één profiel voor externe verbindingen met conflicterende instellingen op hetzelfde apparaat. U implementeert bijvoorbeeld twee profielen met verschillende instellingen voor dezelfde verzameling. U configureert slechts één profielimplementatie om niet-compatibele regels te herstellen wanneer deze worden ondersteund. Deze implementatie kan de instellingen in het andere profiel overschrijven. Configuration Manager biedt geen ondersteuning voor dit type implementatie van een profiel voor externe verbindingen.
Monitor
Ga in de Configuration Manager-console naar de werkruimte Bewaking en selecteer Implementaties. Selecteer in de lijst Implementaties de implementatie van het profiel voor externe verbindingen.
U kunt overzichtsinformatie over de naleving van de implementatie van het profiel voor externe verbindingen bekijken op de hoofdpagina. Als u meer gedetailleerde informatie wilt weergeven, selecteert u de profielimplementatie. Selecteer vervolgens op het tabblad Start van het lint in de groep Implementatie de optie Status weergeven. Met deze actie wordt de pagina Implementatiestatus geopend.
De pagina Implementatiestatus bevat de volgende tabbladen:
Compatibel: geeft de naleving van het profiel voor externe verbindingen weer op basis van het aantal assets dat wordt beïnvloed.
Belangrijk
De client evalueert een profiel voor externe verbindingen niet als dit niet van toepassing is. Er wordt echter nog steeds gerapporteerd dat het compatibel is.
Fout: geeft een lijst weer met alle fouten voor de geselecteerde implementatie van het profiel voor externe verbindingen op basis van het aantal assets dat wordt beïnvloed.
Niet-compatibel: geeft een lijst weer met alle niet-compatibele regels binnen het profiel voor externe verbindingen op basis van het aantal assets dat wordt beïnvloed.
Onbekend: geeft een lijst weer van alle apparaten die niet voldoen aan de implementatie van het geselecteerde profiel voor externe verbindingen, samen met de huidige clientstatus van de apparaten.
Open op een tabblad een regel om een tijdelijk subknooppunt te maken onder het knooppunt Gebruikers in de werkruimte Activa en naleving . Dit subknooppunt bevat alle apparaten met de nalevingsstatus van het geselecteerde tabblad.
In het deelvenster Assetdetails worden de apparaten weergegeven met de geselecteerde nalevingsstatus voor dit profiel. Open een apparaat in de lijst om aanvullende informatie weer te geven.
Rapporten
Configuration Manager bevat ingebouwde rapporten die u kunt gebruiken om informatie over profielen voor externe verbindingen te controleren. Deze rapporten hebben de rapportcategorie Compliance en Instellingenbeheer.
Belangrijk
Gebruik het jokerteken (%
) wanneer u de parameters Apparaatfilter en Gebruikersfilter gebruikt in de rapporten voor nalevingsinstellingen.
Zie Inleiding tot rapportage voor meer informatie over het configureren van rapportage in Configuration Manager.