Profile połączeń zdalnych w Configuration Manager
Dotyczy: programu Configuration Manager (bieżąca gałąź)
Użyj Configuration Manager profilów połączeń zdalnych, aby umożliwić użytkownikom zdalne łączenie się z komputerami służbowymi. Te profile umożliwiają wdrażanie ustawień połączenia pulpitu zdalnego dla użytkowników w hierarchii. Użytkownicy mogą uzyskiwać dostęp do dowolnego z podstawowych komputerów roboczych za pośrednictwem pulpitu zdalnego za pośrednictwem połączenia sieci VPN.
Ważna
Po określeniu ustawień profilu połączenia zdalnego za pomocą Configuration Manager klient przechowuje ustawienia w zasadach lokalnych systemu Windows. Te ustawienia mogą zastąpić ustawienia pulpitu zdalnego skonfigurowane za pomocą innej aplikacji. Ponadto w przypadku konfigurowania ustawień pulpitu zdalnego za pomocą zasady grupy systemu Windows ustawienia określone w zasady grupy zostaną zastąpione ustawieniami Configuration Manager.
Configuration Manager tworzy grupę zabezpieczeń na klientach, Remote PC Connect. Podczas wdrażania profilu połączenia zdalnego klient dodaje podstawowych użytkowników komputera do tej grupy. Administrator lokalny może ręcznie dodawać lub usuwać użytkowników do tej grupy, ale Configuration Manager aktualizuje członkostwo podczas następnej oceny zgodności profilu.
Ważna
Jeśli zmieni się relacja koligacji urządzenia użytkownika między użytkownikiem a urządzeniem, Configuration Manager wyłącza profil połączenia zdalnego i ustawienia Zapory systemu Windows, aby zapobiec połączeniom z komputerem.
Wymagania wstępne
Zależności zewnętrzne
Jeśli chcesz umożliwić użytkownikom nawiązywanie połączenia z Internetu, zainstaluj i skonfiguruj serwer bramy usług pulpitu zdalnego. Aby uzyskać więcej informacji na temat sposobu instalowania i konfigurowania serwera bramy usług pulpitu zdalnego, zobacz Usługi pulpitu zdalnego — dostęp z dowolnego miejsca.
Jeśli klienci uruchamiają zaporę opartą na hoście, musi ona włączyć program mstsc.exe. Podczas konfigurowania profilu połączenia zdalnego włącz ustawienie Zezwalaj na wyjątek Zapory systemu Windows dla połączeń w domenach systemu Windows i w sieciach prywatnych. To ustawienie umożliwia Configuration Manager automatyczne konfigurowanie zapory systemu Windows.
Porada
zasady grupy ustawienia konfigurowania Zapory systemu Windows mogą zastąpić konfigurację ustawioną w Configuration Manager. Jeśli używasz zasady grupy do konfigurowania zapory systemu Windows, upewnij się, że ustawienia zasady grupy nie blokują mstsc.exe.
Jeśli klienci uruchamiają inną zaporę opartą na hoście, ręcznie skonfiguruj tę zależność zapory.
zależności Configuration Manager
Aby użytkownik miał nawiązać połączenie z komputerem służbowym, musi on być podstawowym urządzeniem użytkownika. Aby uzyskać więcej informacji, zobacz Łączenie użytkowników i urządzeń z koligacją urządzenia użytkownika.
Aby zarządzać profilami połączeń zdalnych, konto użytkownika wymaga określonych uprawnień w Configuration Manager. Wbudowana rola Menedżera ustawień zgodności zawiera uprawnienia wymagane do zarządzania tymi profilami. Aby uzyskać więcej informacji, zobacz Konfigurowanie administracji opartej na rolach.
Zagadnienia dotyczące zabezpieczeń i prywatności
Zagadnienia dotyczące zabezpieczeń
Ręcznie określ koligację urządzenia użytkownika, zamiast zezwalać użytkownikom na identyfikowanie ich urządzenia podstawowego. Nie włączaj konfiguracji opartej na użyciu.
Przed wdrożeniem profilu połączenia zdalnego należy włączyć opcję Zezwalaj wszystkim użytkownikom podstawowym komputera roboczego na zdalne nawiązywanie połączenia. W przypadku tej konfiguracji należy zawsze ręcznie określić koligację urządzenia użytkownika. Nie należy traktować informacji zbieranych Configuration Manager od użytkowników lub z urządzenia jako autorytatywnych. Jeśli wdrożysz profil, a zaufany użytkownik administracyjny nie określi koligacji urządzenia użytkownika, nieautoryzowani użytkownicy mogą otrzymać podwyższone uprawnienia i zdalnie łączyć się z komputerami.
Configuration Manager zbiera informacje oparte na użyciu za pośrednictwem komunikatów o stanie, który jest szybkim, ale niezabezpieczonym kanałem komunikacyjnym. Aby wyeliminować to zagrożenie, użyj podpisywania bloku komunikatów serwera (SMB) lub zabezpieczeń protokołu internetowego (IPsec) między komputerami klienckimi a punktem zarządzania.
Ogranicz lokalne prawa administracyjne na komputerze serwera lokacji. Administrator lokalny na serwerze lokacji może ręcznie dodawać członków do grupy zabezpieczeń Remote PC Connect, która Configuration Manager automatycznie tworzy i utrzymuje. Ta akcja może spowodować podniesienie uprawnień, ponieważ członkowie otrzymują uprawnienia pulpitu zdalnego.
Zagadnienia dotyczące prywatności
Gdy użytkownik zdalnie nawiązuje połączenie z komputerem służbowym, pobiera plik wsrdp. Ten plik zawiera nazwę urządzenia i nazwę serwera bramy usług pulpitu zdalnego. Te wartości są wymagane do utworzenia sesji pulpitu zdalnego. Plik .wsrdp jest pobierany i automatycznie zapisywany lokalnie. Ten plik zostanie zastąpiony przy następnym uruchomieniu sesji pulpitu zdalnego przez użytkownika.
Tworzenie profilu
W konsoli Configuration Manager przejdź do obszaru roboczego Zasoby i zgodność, rozwiń węzeł Ustawienia zgodności i wybierz pozycję Profile połączeń zdalnych.
Na karcie Narzędzia główne na wstążce w grupie Tworzenie wybierz pozycję Utwórz profil połączenia zdalnego.
Na stronie OgólneKreatora tworzenia profilu połączenia zdalnego określ nazwę i opcjonalny opis profilu. Obie wartości mają maksymalny limit 256 znaków.
Na stronie Ustawienia profilu określ następujące ustawienia:
Pełna nazwa i port serwera bramy usług pulpitu zdalnego (opcjonalnie): określ nazwę serwera bramy usług pulpitu zdalnego do użycia dla połączeń. Ta wartość ma następujące wymagania:
- Nazwa serwera nie może być dłuższa niż 256 znaków.
- Może zawierać wielkie litery, małe litery i znaki liczbowe.
- Oprócz kropek (
.
) między segmentami i dwukropka (:
) przed portem jedynymi znakami specjalnymi są kreska (–
) i podkreślenie (_
). - Configuration Manager nie obsługuje użycia międzynarodowej nazwy domeny dla tej wartości.
Zezwalaj na połączenia tylko z komputerów z uruchomionym pulpitem zdalnym z uwierzytelnianiem na poziomie sieci: domyślnie to ustawienie dodaje dodatkowy poziom zabezpieczeń dla połączenia. Aby uzyskać więcej informacji, zobacz Udzielanie dostępu do pulpitu zdalnego.
Włącz następujące ustawienia połączenia:
Zezwalaj na połączenia zdalne z komputerami służbowymi
Zezwalaj wszystkim podstawowym użytkownikom komputera roboczego na zdalne nawiązywanie połączenia
Zezwalaj na wyjątek Zapory systemu Windows dla połączeń w domenach systemu Windows i w sieciach prywatnych
Ważna
Aby można było kontynuować, wszystkie trzy ustawienia muszą być takie same.
Te ustawienia należy wyłączyć tylko podczas wdrażania profilu w celu wyłączenia połączeń zdalnych.
Zakończ pracę kreatora.
Nowy profil jest wyświetlany w węźle Profile połączeń zdalnych w obszarze roboczym Zasoby i zgodność .
Wdrażanie
W konsoli Configuration Manager przejdź do obszaru roboczego Zasoby i zgodność, rozwiń węzeł Ustawienia zgodności i wybierz pozycję Profile połączeń zdalnych.
Na liście Profile połączeń zdalnych wybierz profil, który chcesz wdrożyć. Na karcie Narzędzia główne na wstążce w grupie Wdrażanie wybierz pozycję Wdróż.
W oknie Wdrażanie profilu połączenia zdalnego określ następujące informacje:
Kolekcja: przejdź, aby wybrać kolekcję urządzeń, w której chcesz wdrożyć profil.
Koryguj niezgodne reguły, gdy są obsługiwane: włącz to ustawienie, aby automatycznie korygować ustawienia profilu, gdy są niezgodne na urządzeniu. Profil może być niezgodny, jeśli nie istnieje.
Zezwalaj na korygowanie poza oknem konserwacji: jeśli skonfigurujesz okno obsługi dla kolekcji, w której wdrażasz profil, włącz tę opcję, aby umożliwić Configuration Manager korygowanie go poza oknem konserwacji. Aby uzyskać więcej informacji, zobacz Jak używać okien obsługi.
Generowanie alertu: włącz tę opcję, aby skonfigurować alert zgodności.
Określ harmonogram oceny zgodności dla tego planu bazowego konfiguracji: określ prosty lub niestandardowy harmonogram, według którego klient ocenia profil.
Wybierz przycisk OK , aby zamknąć okno i utworzyć wdrożenie.
Ocena klienta
Klient ocenia profil, gdy użytkownik się zaloguje.
Jeśli urządzenie opuści kolekcję, w której wdrażasz profil połączenia zdalnego, Configuration Manager wyłącza ustawienia na urządzeniu. Jednak aby ten proces był prawidłowy, musisz już wdrożyć co najmniej jeden element konfiguracji lub punkt odniesienia konfiguracji zawierający element konfiguracji z lokacji.
Konfliktów
Nie wdrażaj więcej niż jednego profilu połączenia zdalnego z ustawieniami powodującymi konflikt na tym samym urządzeniu. Można na przykład wdrożyć dwa profile z różnymi ustawieniami w tej samej kolekcji. Można skonfigurować tylko jedno wdrożenie profilu, aby korygować niezgodne reguły, gdy są obsługiwane. To wdrożenie może zastąpić ustawienia w innym profilu. Configuration Manager nie obsługuje tego typu wdrożenia profilu połączenia zdalnego.
Monitorowanie
W konsoli Configuration Manager przejdź do obszaru roboczego Monitorowanie i wybierz pozycję Wdrożenia. Na liście Wdrożenia wybierz wdrożenie profilu połączenia zdalnego.
Podsumowanie informacji o zgodności wdrożenia profilu połączenia zdalnego można przejrzeć na stronie głównej. Aby wyświetlić bardziej szczegółowe informacje, wybierz wdrożenie profilu. Następnie na karcie Narzędzia główne na wstążce w grupie Wdrażanie wybierz pozycję Wyświetl stan. Ta akcja spowoduje otwarcie strony Stan wdrożenia .
Strona Stan wdrożenia zawiera następujące karty:
Zgodne: wyświetla zgodność profilu połączenia zdalnego na podstawie liczby zasobów, których dotyczy problem.
Ważna
Klient nie ocenia profilu połączenia zdalnego, jeśli nie ma zastosowania. Jednak nadal zgłasza zgodność.
Błąd: wyświetla listę wszystkich błędów dla wybranego wdrożenia profilu połączenia zdalnego na podstawie liczby zasobów, których dotyczy problem.
Niezgodne: wyświetla listę wszystkich niezgodnych reguł w profilu połączenia zdalnego na podstawie liczby zasobów, których dotyczy problem.
Nieznane: wyświetla listę wszystkich urządzeń, które nie zgłosiły zgodności dla wybranego wdrożenia profilu połączenia zdalnego, wraz z bieżącym stanem klienta urządzeń.
Na dowolnej karcie otwórz regułę, aby utworzyć tymczasowy podwęźle w węźle Użytkownicy w obszarze roboczym Zasoby i zgodność . Ten węzeł podrzędny zawiera wszystkie urządzenia ze stanem zgodności wybranej karty.
W okienku Szczegóły zasobu są wyświetlane urządzenia z wybranym stanem zgodności dla tego profilu. Otwórz urządzenie na liście, aby wyświetlić dodatkowe informacje.
Raporty
Configuration Manager zawiera wbudowane raporty, których można użyć do monitorowania informacji o profilach połączeń zdalnych. Te raporty mają kategorię raportów Zarządzanie zgodnością i ustawieniami.
Ważna
Użyj symbolu wieloznacznego (%
) podczas korzystania z parametrów Filtr urządzenia i Filtr użytkownika w raportach pod kątem ustawień zgodności.
Aby uzyskać więcej informacji na temat konfigurowania raportowania w Configuration Manager, zobacz Wprowadzenie do raportowania.