Configuration Manager中的遠端連線設定檔

適用於：Configuration Manager (目前的分支)

使用Configuration Manager遠端連線設定檔，讓您的使用者能夠從遠端連線到工作電腦。 這些設定檔可讓您將遠端桌面連線設定部署到階層中的使用者。 使用者可以透過 VPN 連線透過遠端桌面存取其任何主要工作電腦。

重要事項

當您使用 Configuration Manager 指定遠端連線設定檔設定時，用戶端會將設定儲存在 Windows 本機原則中。 這些設定可能會覆寫您使用另一個應用程式設定的遠端桌面設定。 此外，如果您使用 Windows 群組原則設定遠端桌面設定，群組原則中指定的設定將會覆寫Configuration Manager設定。

Configuration Manager在用戶端上建立安全性群組，遠端電腦連線。 當您部署遠端連線設定檔時，用戶端會將電腦的主要使用者新增至此群組。 本機系統管理員可以手動新增或移除此群組的使用者，但Configuration Manager在下一次評估設定檔的合規性時更新成員資格。

重要事項

如果使用者與裝置之間的使用者裝置親和性關聯性變更，Configuration Manager會停用遠端連線設定檔和 Windows 防火牆設定，以防止連線到電腦。

先決條件

外部相依性

• 如果您想要讓使用者從網際網路連線，請安裝並設定遠端桌面閘道伺服器。 如需如何安裝和設定遠端桌面閘道伺服器的詳細資訊，請參閱 遠端桌面服務 - 從任何地方存取。

• 如果用戶端執行主機型防火牆，則必須啟用mstsc.exe程式。 當您設定遠端連線設定檔時，請啟用 [ 允許 Windows 網域和私人網路上連線的 Windows 防火牆例外]設定。 此設定可讓Configuration Manager自動設定 Windows 防火牆。

  提示

  群組原則設定 Windows 防火牆的設定可以覆寫您在 Configuration Manager 中設定的組態。 如果您使用群組原則來設定 Windows 防火牆，請確定群組原則設定不會封鎖mstsc.exe。

  如果用戶端執行不同的主機型防火牆，請手動設定此防火牆相依性。

Configuration Manager相依性

• 若要讓使用者連線到工作電腦，該電腦必須是使用者的主要裝置。 如需詳細資訊，請 參閱使用使用者裝置親和性連結使用者和裝置。

• 若要管理遠端連線設定檔，您的使用者帳戶需要Configuration Manager的特定許可權。 合規性設定管理員內建角色包含管理這些設定檔所需的許可權。 如需詳細資訊， 請參閱設定以角色為基礎的系統管理。

安全性及隱私權考量

安全考量

• 手動指定使用者裝置親和性，而不是允許使用者識別其主要裝置。 請勿啟用以使用量為基礎的設定。

  • 您必須先啟用 [ 允許工作電腦的所有主要使用者從遠端連線] 選項，才能部署遠端連線設定檔。 使用此設定時，您應該一律手動指定使用者裝置親和性。 請勿將Configuration Manager從使用者或裝置收集的資訊視為授權資訊。 如果您部署設定檔，且受信任的系統管理使用者未指定使用者裝置親和性，未經授權的使用者可能會收到更高的許可權，而且可以從遠端連線到電腦。

  • Configuration Manager會透過狀態訊息收集以使用量為基礎的資訊，這是快速但不安全的通道。 若要協助降低此威脅，請使用伺服器訊息區 (SMB) 簽署或網際網路通訊協定安全性 (用戶端電腦與管理點之間的 IPsec) 。

• 限制月臺伺服器電腦上的本機系統管理許可權。 月臺伺服器上的本機系統管理員可以手動將成員新增至遠端電腦聯機安全性群組，Configuration Manager自動建立和維護該安全性群組。 此動作可能會導致提高許可權，因為成員會收到遠端桌面許可權。

隱私權考慮

當使用者從遠端連線到工作電腦時，他們會下載 .wsrdp 檔案。 此檔案包含裝置名稱和遠端桌面閘道伺服器名稱。 建立遠端桌面會話需要這些值。 .wsrdp 檔案會下載並自動儲存在本機。 下次使用者執行遠端桌面會話時，會覆寫此檔案。

建立設定檔

1. 在Configuration Manager主控台中，移至 [資產與相容性] 工作區，展開 [相容性設定]，然後選取 [遠端連線設定檔]。

2. 在功能區的 [ 常用] 索引標籤上，選取 [ 建立 ] 群組中的 [ 建立遠端連線設定檔]。

3. 在 [建立遠端連線設定檔精靈] 的 [一般] 頁面上，指定設定檔的名稱和選擇性描述。 這兩個值的限制上限為 256 個字元。

4. 在 [ 設定檔設定] 頁面上，指定下列設定：

   • 遠端桌面閘道伺服器的完整名稱和埠 (選擇性) ：指定要用於連線的遠端桌面閘道伺服器名稱。 此值具有下列需求：

     • 伺服器名稱不能超過 256 個字元。
     • 它可以包含大寫、小寫和數值字元。
     • 除了區段之間 () . 的期間，以及埠之前) 的冒號 (: ，唯一的特殊字元是虛線 () – 和底線 () _ 。
     • Configuration Manager不支援使用這個值的國際化功能變數名稱。

   • 只允許從使用網路層級驗證執行遠端桌面的電腦進行聯機：根據預設啟用，此設定會為連線增加額外的安全性層級。 如需詳細資訊，請參閱 授與遠端桌面存取權。

   • 啟用下列連線設定：

     • 允許遠端連線到工作電腦

     • 允許工作電腦的所有主要使用者從遠端連線

     • 允許 Windows 網域和私人網路連線的 Windows 防火牆例外狀況

     重要事項

     這三個設定都必須相同，才能繼續。

     只有在您部署設定檔以關閉遠端連線時，才停用這些設定。

5. 完成精靈。

新的設定檔會顯示在 [資產與相容性] 工作區的 [遠端連線設定檔] 節點中。

部署

1. 在Configuration Manager主控台中，移至 [資產與相容性] 工作區，展開 [相容性設定]，然後選取 [遠端連線設定檔]。

2. 在 [ 遠端連線設定檔] 清單中 ，選取您要部署的設定檔。 在功能區的 [ 常用] 索引標籤中，選取 [ 部署 ] 群組中的 [ 部署]。

3. 在 [ 部署遠端連線設定檔 ] 視窗中，指定下列資訊：

   • 集合：流覽以選取您要部署設定檔的裝置集合。

   • 支援時補救不符合規範的規則：啟用此設定可在裝置上不符合規範時自動補救設定檔設定。 設定檔不存在時，可能不符合規範。

   • 允許在維護期間以外進行補救：如果您為部署設定檔的集合設定維護期間，請啟用此選項，讓Configuration Manager在維護期間外進行補救。 如需詳細資訊，請 參閱如何使用維護時段。

   • 產生警示：啟用此選項以設定合規性警示。

   • 指定此設定基準的合規性評估排程：指定用戶端用來評估設定檔的簡單或自訂排程。

4. 選取 [確定 ] 以關閉視窗並建立部署。

用戶端評估

當使用者登入時，用戶端會評估設定檔。

如果裝置離開您部署遠端連線設定檔的集合，Configuration Manager停用裝置上的設定。 不過，若要讓此程式正確發生，您必須至少已部署一個組態專案或組態基準，其中包含來自您月臺的設定專案。

衝突解決

請勿將具有衝突設定的多個遠端連線設定檔部署到相同的裝置。 例如，您會將兩個具有不同設定的設定檔部署到相同的集合。 您只會設定一個設定檔部署，以 在支援時補救不符合規範的規則。 此部署可能會覆寫另一個設定檔中的設定。 Configuration Manager不支援這種類型的遠端連線設定檔部署。

監視

在 Configuration Manager 主控台中，移至 [監視] 工作區，然後選取 [部署]。 在 [ 部署] 清單中 ，選取遠端連線設定檔部署。

您可以在主頁面上檢閱遠端連線設定檔部署合規性的摘要資訊。 若要檢視更詳細的資訊，請選取設定檔部署。 然後在功能區的 [ 常用] 索引標籤上，選取 [ 部署 ] 群組中的 [ 檢視狀態]。 此動作會開啟 [部署狀態] 頁面。

[ 部署狀態] 頁面包含下列索引標籤：

• 符合規範：根據受影響的資產數目，顯示遠端連線設定檔的合規性。

  重要事項

  如果用戶端不適用，則不會評估遠端連線設定檔。 不過，它仍會回報符合規範。

• 錯誤：根據受影響的資產數目，顯示所選遠端連線設定檔部署的所有錯誤清單。

• 不符合規範：根據受影響的資產數目，顯示遠端連線設定檔內所有不相容規則的清單。

• 未知：顯示未報告所選遠端連線設定檔部署合規性的所有裝置清單，以及裝置目前的用戶端狀態。

在任何索引標籤上，開啟規則，以在 [資產與相容性] 工作區的 [使用者] 節點下建立暫存子節點。 此子節點包含具有所選取索引標籤之合規性狀態的所有裝置。

[ 資產詳細資料 ] 窗格會顯示具有此設定檔所選合規性狀態的裝置。 在清單中開啟裝置以顯示其他資訊。

報告

Configuration Manager包含內建報告，可用來監視遠端連線設定檔的相關資訊。 這些報表具有 [ 合規性與設定管理] 的報表類別。

重要事項

當您在符合性設定的 % 報表中使用 [ 裝置篩選 ] 和 [ 使用者篩選 ] 參數時，請使用萬用字元 () 。

如需如何在 Configuration Manager 中設定報告的詳細資訊，請參閱報告簡介。