Profily vzdáleného připojení v Configuration Manager

Platí pro: Configuration Manager (Current Branch)

Pomocí Configuration Manager profilů vzdáleného připojení můžete uživatelům povolit vzdálené připojení k pracovním počítačům. Tyto profily umožňují nasadit nastavení Připojení ke vzdálené ploše uživatelům ve vaší hierarchii. Uživatelé mají přístup ke všem svým primárním pracovním počítačům prostřednictvím Vzdálené plochy přes připojení VPN.

Důležité

Když zadáte nastavení profilu vzdáleného připojení pomocí Configuration Manager, klient uloží nastavení do místních zásad systému Windows. Tato nastavení můžou přepsat nastavení Vzdálené plochy, které konfigurujete s jinou aplikací. Pokud ke konfiguraci nastavení Vzdálené plochy použijete windows Zásady skupiny, přepíšou nastavení zadaná v Zásady skupiny nastavení Configuration Manager.

Configuration Manager vytvoří skupinu zabezpečení na klientech– Vzdálené připojení k počítači. Když nasadíte profil vzdáleného připojení, klient přidá primární uživatele počítače do této skupiny. Místní správce může uživatele do této skupiny přidávat nebo odebírat ručně, ale Configuration Manager členství aktualizuje při dalším vyhodnocení dodržování předpisů profilu.

Důležité

Pokud se změní vztah spřažení uživatelských zařízení mezi uživatelem a zařízením, Configuration Manager zakáže profil vzdáleného připojení a nastavení brány Windows Firewall, aby se zabránilo připojení k počítači.

Požadavky

Externí závislosti

• Pokud chcete uživatelům povolit připojení z internetu, nainstalujte a nakonfigurujte server Brány vzdálené plochy. Další informace o tom, jak nainstalovat a nakonfigurovat server Brány vzdálené plochy, najdete v tématu Vzdálená plocha – přístup odkudkoli.

• Pokud klienti používají bránu firewall založenou na hostiteli, musí povolit mstsc.exe program. Při konfiguraci profilu vzdáleného připojení povolte nastavení Povolit výjimku brány Windows Firewall pro připojení v doménách Windows a v privátních sítích. Toto nastavení umožňuje Configuration Manager automaticky konfigurovat bránu Windows Firewall.

  Tip

  Zásady skupiny nastavení pro konfiguraci brány Windows Firewall může přepsat konfiguraci, kterou jste nastavili v Configuration Manager. Pokud ke konfiguraci brány Windows Firewall používáte Zásady skupiny, ujistěte se, že nastavení Zásady skupiny neblokují mstsc.exe.

  Pokud klienti používají jinou bránu firewall založenou na hostiteli, nakonfigurujte tuto závislost brány firewall ručně.

Configuration Manager závislostí

• Aby se uživatel mohl připojit k pracovnímu počítači, musí být tento počítač primárním zařízením uživatele. Další informace najdete v tématu Propojení uživatelů a zařízení se spřažením uživatelských zařízení.

• Ke správě profilů vzdáleného připojení potřebuje váš uživatelský účet v Configuration Manager specifická oprávnění. Předdefinovaná role Správce nastavení dodržování předpisů zahrnuje oprávnění potřebná ke správě těchto profilů. Další informace najdete v tématu Konfigurace správy na základě rolí.

Aspekty zabezpečení a ochrany osobních údajů

Důležité informace o zabezpečení

• Místo toho, aby uživatelé mohli identifikovat primární zařízení, zadejte ručně spřažení uživatelských zařízení. Nepovolujte konfiguraci na základě využití.

  • Před nasazením profilu vzdáleného připojení musíte povolit možnost Povolit vzdálené připojení všem primárním uživatelům pracovního počítače. Při této konfiguraci byste měli vždy ručně určit spřažení uživatelských zařízení. Nepovažujte informace, které Configuration Manager shromažďovat od uživatelů nebo ze zařízení, za autoritativní. Pokud nasadíte profil a důvěryhodný správce nezadá spřažení zařízení uživatele, můžou neautorizovaný uživatelé získat zvýšená oprávnění a můžou se vzdáleně připojit k počítačům.

  • Configuration Manager shromažďuje informace založené na využití prostřednictvím stavových zpráv, což je rychlý, ale nezabezpečený komunikační kanál. Pokud chcete tuto hrozbu zmírnit, použijte podepisování protokolu SMB (Server Message Block) nebo protokol IPsec (Internet Protocol security) mezi klientskými počítači a bodem správy.

• Omezte oprávnění místního správce na počítači serveru lokality. Místní správce na serveru lokality může ručně přidat členy do skupiny zabezpečení Připojení vzdáleného počítače, která Configuration Manager automaticky vytváří a udržuje. Tato akce může způsobit zvýšení oprávnění, protože členové získají oprávnění Ke vzdálené ploše.

Aspekty ochrany osobních údajů

Když se uživatel vzdáleně připojí k pracovnímu počítači, stáhne si soubor .wsrdp. Tento soubor obsahuje název zařízení a název serveru brány vzdálené plochy. Tyto hodnoty jsou nutné k vytvoření relace Vzdálené plochy. Soubor .wsrdp se stáhne a automaticky uloží místně. Tento soubor se při příštím spuštění relace Vzdálené plochy uživatelem přepíše.

Vytvoření profilu

1. V konzole Configuration Manager přejděte do pracovního prostoru Prostředky a kompatibilita, rozbalte Položku Nastavení dodržování předpisů a vyberte Profily vzdáleného připojení.

2. Na pásu karet na kartě Domů ve skupině Vytvořit vyberte Vytvořit profil vzdáleného připojení.

3. Na stránce Obecnév Průvodci vytvořením profilu vzdáleného připojení zadejte název a volitelný popis profilu. Maximální limit obou hodnot je 256 znaků.

4. Na stránce Nastavení profilu zadejte následující nastavení:

   • Úplný název a port serveru Brány vzdálené plochy (volitelné):Zadejte název serveru brány vzdálené plochy, který se má použít pro připojení. Tato hodnota má následující požadavky:

     • Název serveru nesmí být delší než 256 znaků.
     • Může obsahovat velká písmena, malá písmena a číselné znaky.
     • Kromě tečk (.) mezi segmenty a dvojtečky (:) před portem jsou jedinými speciálními znaky pomlčka (–) a podtržítka (_).
     • Configuration Manager nepodporuje použití mezinárodního názvu domény pro tuto hodnotu.

   • Povolit připojení jenom z počítačů, na kterých běží Vzdálená plocha s ověřováním na úrovni sítě: Ve výchozím nastavení je toto nastavení povolené a přidává pro připojení další úroveň zabezpečení. Další informace najdete v tématu Udělení přístupu ke vzdálené ploše.

   • Povolte následující nastavení připojení:

     • Povolit vzdálená připojení k pracovním počítačům

     • Povolit vzdálené připojení všem primárním uživatelům pracovního počítače

     • Povolit výjimku brány Windows Firewall pro připojení v doménách Windows a v privátních sítích

     Důležité

     Abyste mohli pokračovat, musí být všechna tři nastavení stejná.

     Pokud chcete vzdálená připojení vypnout, zakažte tato nastavení jenom při nasazení profilu.

5. Dokončete průvodce.

Nový profil se zobrazí v uzlu Profily vzdáleného připojení v pracovním prostoru Prostředky a kompatibilita .

Nasazení

1. V konzole Configuration Manager přejděte do pracovního prostoru Prostředky a kompatibilita, rozbalte Položku Nastavení dodržování předpisů a vyberte Profily vzdáleného připojení.

2. V seznamu Profily vzdáleného připojení vyberte profil, který chcete nasadit. Na pásu karet na kartě Domů ve skupině Nasazení vyberte Nasadit.

3. V okně Nasadit profil vzdáleného připojení zadejte následující informace:

   • Kolekce: Vyhledejte kolekci zařízení, do které chcete profil nasadit.

   • Náprava nedodržující pravidla, pokud je podporována: Povolením tohoto nastavení automaticky opravíte nastavení profilu v případě, že zařízení nedodržují předpisy. Pokud profil neexistuje, může být nevyhovující předpisům.

   • Povolit nápravu mimo časové období údržby: Pokud nakonfigurujete časové období údržby pro kolekci, do které profil nasazujete, povolte tuto možnost, pokud chcete Configuration Manager opravit mimo časové období údržby. Další informace najdete v tématu Použití časových období údržby.

   • Vygenerovat upozornění: Tuto možnost povolte, pokud chcete nakonfigurovat upozornění na dodržování předpisů.

   • Zadejte plán vyhodnocení dodržování předpisů pro tento standardní plán konfigurace: Zadejte jednoduchý nebo vlastní plán, podle kterého klient vyhodnocuje profil.

4. Výběrem OK zavřete okno a vytvořte nasazení.

Vyhodnocení klienta

Klient vyhodnotí profil, když se uživatel přihlásí.

Pokud zařízení opustí kolekci, do které nasadíte profil vzdáleného připojení, Configuration Manager nastavení na zařízení zakáže. Aby však mohl tento proces proběhnout správně, musíte již mít nasazenou alespoň jednu položku konfigurace nebo standardní hodnoty konfigurace, které obsahují položku konfigurace z vaší lokality.

Konfliktů

Nenasazujte na stejné zařízení více než jeden profil vzdáleného připojení s konfliktními nastaveními. Do stejné kolekce například nasadíte dva profily s různými nastaveními. Nakonfigurujete pouze jedno nasazení profilu tak , aby napravily pravidla nesplňující požadavky, pokud je to podporováno. Toto nasazení může přepsat nastavení v jiném profilu. Configuration Manager nepodporuje tento typ nasazení profilu vzdáleného připojení.

Sledování

V konzole Configuration Manager přejděte do pracovního prostoru Monitorování a vyberte Nasazení. V seznamu Nasazení vyberte nasazení profilu vzdáleného připojení.

Souhrnné informace o dodržování předpisů při nasazení profilu vzdáleného připojení si můžete prohlédnout na hlavní stránce. Pokud chcete zobrazit podrobnější informace, vyberte nasazení profilu. Pak na kartě Domů na pásu karet ve skupině Nasazení vyberte Zobrazit stav. Tato akce otevře stránku Stav nasazení .

Stránka Stav nasazení obsahuje následující karty:

• Kompatibilní: Zobrazuje kompatibilitu profilu vzdáleného připojení na základě počtu ovlivněných prostředků.

  Důležité

  Klient nevyhodnocuje profil vzdáleného připojení, pokud není použitelný. Stále však hlásí vyhovující předpisy.

• Chyba: Zobrazí seznam všech chyb pro vybrané nasazení profilu vzdáleného připojení na základě počtu ovlivněných prostředků.

• Nekompatibilní: Zobrazí seznam všech nekompatibilních pravidel v profilu vzdáleného připojení na základě počtu ovlivněných prostředků.

• Neznámé: Zobrazí seznam všech zařízení, která neohlásila dodržování předpisů pro vybrané nasazení profilu vzdáleného připojení, spolu s aktuálním stavem klienta zařízení.

Na libovolné kartě otevřete pravidlo pro vytvoření dočasného dílčího uzlu v uzlu Uživatelé v pracovním prostoru Prostředky a kompatibilita . Tento dílčí uzel obsahuje všechna zařízení se stavem dodržování předpisů na vybrané kartě.

V podokně Podrobnosti o prostředku se zobrazí zařízení s vybraným stavem dodržování předpisů pro tento profil. Otevřením zařízení v seznamu zobrazíte další informace.

Sestavy

Configuration Manager obsahuje integrované sestavy, které můžete použít k monitorování informací o profilech vzdáleného připojení. Tyto sestavy mají kategorii sestav Dodržování předpisů a správa nastavení.

Důležité

Zástupný znak (%) použijte při použití parametrů Filtr zařízení a Filtr uživatele v sestavách pro nastavení dodržování předpisů.

Další informace o konfiguraci vytváření sestav v Configuration Manager najdete v tématu Úvod do vytváření sestav.