Remoteverbindungsprofile in Configuration Manager

Gilt für: Configuration Manager (Current Branch)

Verwenden Sie Configuration Manager Remoteverbindungsprofile, damit Ihre Benutzer eine Remoteverbindung mit Arbeitscomputern herstellen können. Mit diesen Profilen können Sie Remotedesktopverbindungseinstellungen für Benutzer in Ihrer Hierarchie bereitstellen. Benutzer können über remotedesktop über eine VPN-Verbindung auf jeden ihrer primären Arbeitscomputer zugreifen.

Wichtig

Wenn Sie Remoteverbindungsprofileinstellungen mit Configuration Manager angeben, speichert der Client die Einstellungen in der lokalen Windows-Richtlinie. Diese Einstellungen können Remotedesktopeinstellungen überschreiben, die Sie mit einer anderen Anwendung konfigurieren. Wenn Sie außerdem Windows Gruppenrichtlinie zum Konfigurieren von Remotedesktopeinstellungen verwenden, überschreiben die im Gruppenrichtlinie angegebenen Einstellungen Configuration Manager Einstellungen.

Configuration Manager erstellt eine Sicherheitsgruppe auf Clients, Remote PC Connect. Wenn Sie ein Remoteverbindungsprofil bereitstellen, fügt der Client dieser Gruppe die primären Benutzer des Computers hinzu. Ein lokaler Administrator kann dieser Gruppe manuell Benutzer hinzufügen oder entfernen, aber Configuration Manager aktualisiert die Mitgliedschaft, wenn er das nächste Mal die Konformität des Profils bewertet.

Wichtig

Wenn sich die Affinität zwischen einem Benutzer und einem Gerät ändert, deaktiviert Configuration Manager das Remoteverbindungsprofil und die Windows-Firewall-Einstellungen, um Verbindungen mit dem Computer zu verhindern.

Voraussetzungen

Externe Abhängigkeiten

• Wenn Sie Benutzern das Herstellen einer Verbindung über das Internet ermöglichen möchten, installieren und konfigurieren Sie einen Remotedesktopgatewayserver. Weitere Informationen zum Installieren und Konfigurieren eines Remotedesktopgatewayservers finden Sie unter Remotedesktopdienste – Zugriff von überall aus.

• Wenn Clients eine hostbasierte Firewall ausführen, muss das programm mstsc.exe aktiviert werden. Wenn Sie ein Remoteverbindungsprofil konfigurieren, aktivieren Sie die Einstellung Windows-Firewall-Ausnahme für Verbindungen in Windows-Domänen und in privaten Netzwerken zulassen. Mit dieser Einstellung können Configuration Manager die Windows-Firewall automatisch konfigurieren.

  Tipp

  Gruppenrichtlinie Einstellungen zum Konfigurieren der Windows-Firewall können die Konfiguration außer Kraft setzen, die Sie in Configuration Manager festgelegt haben. Wenn Sie Gruppenrichtlinie zum Konfigurieren der Windows-Firewall verwenden, stellen Sie sicher, dass Gruppenrichtlinie Einstellungen mstsc.exe nicht blockieren.

  Wenn Clients eine andere hostbasierte Firewall ausführen, konfigurieren Sie diese Firewallabhängigkeit manuell.

Configuration Manager Abhängigkeiten

• Damit ein Benutzer eine Verbindung mit einem Arbeitscomputer herstellen kann, muss dieser Computer ein primäres Gerät des Benutzers sein. Weitere Informationen finden Sie unter Verknüpfen von Benutzern und Geräten mit Affinität zwischen Benutzer und Gerät.

• Zum Verwalten von Remoteverbindungsprofilen benötigt Ihr Benutzerkonto bestimmte Berechtigungen in Configuration Manager. Die integrierte Rolle "Complianceeinstellungen-Manager " enthält die berechtigungen, die zum Verwalten dieser Profile erforderlich sind. Weitere Informationen finden Sie unter Konfigurieren der rollenbasierten Verwaltung.

Überlegungen zu Sicherheit und Datenschutz

Sicherheitsüberlegungen

• Geben Sie die Affinität zwischen Benutzer und Gerät manuell an, anstatt benutzern zu erlauben, ihr primäres Gerät zu identifizieren. Aktivieren Sie keine nutzungsbasierte Konfiguration.

  • Bevor Sie ein Remoteverbindungsprofil bereitstellen können, müssen Sie die Option Allen primären Benutzern des Arbeitscomputers die Remoteverbindung erlauben aktivieren. Bei dieser Konfiguration sollten Sie die Affinität zwischen Benutzer und Gerät immer manuell angeben. Betrachten Sie die Informationen, die Configuration Manager von Benutzern oder vom Gerät sammelt, nicht als autoritativ. Wenn Sie ein Profil bereitstellen und ein vertrauenswürdiger Administrator keine Affinität zwischen Benutzer und Gerät angibt, erhalten nicht autorisierte Benutzer möglicherweise erhöhte Berechtigungen und können remote eine Verbindung mit Computern herstellen.

  • Configuration Manager sammelt nutzungsbasierte Informationen über Zustandsmeldungen, bei denen es sich um einen schnellen, aber unsicheren Kommunikationskanal handelt. Um diese Bedrohung zu minimieren, verwenden Sie SMB-Signatur (Server Message Block) oder Internetprotokollsicherheit (Internet Protocol Security, IPsec) zwischen Clientcomputern und dem Verwaltungspunkt.

• Schränken Sie lokale Administratorrechte auf dem Standortservercomputer ein. Ein lokaler Administrator auf dem Standortserver kann manuell Mitglieder zur Remote PC Connect-Sicherheitsgruppe hinzufügen, die Configuration Manager automatisch erstellt und verwaltet. Diese Aktion kann zu einer Erhöhung der Berechtigungen führen, da Mitglieder Remotedesktopberechtigungen erhalten.

Datenschutzaspekte

Wenn ein Benutzer eine Remoteverbindung mit einem Arbeitscomputer herstellt, lädt er eine WSRDP-Datei herunter. Diese Datei enthält den Gerätenamen und den Namen des Remotedesktopgatewayservers. Diese Werte sind erforderlich, um die Remotedesktopsitzung zu erstellen. Die WSRDP-Datei wird heruntergeladen und automatisch lokal gespeichert. Diese Datei wird überschrieben, wenn der Benutzer das nächste Mal eine Remotedesktopsitzung ausführt.

Erstellen eines Profils

1. Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Bestand und Kompatibilität, erweitern Sie Konformitätseinstellungen, und wählen Sie Remoteverbindungsprofile aus.

2. Wählen Sie auf der Registerkarte Start des Menübands in der Gruppe Erstellen die Option Remoteverbindungsprofil erstellen aus.

3. Geben Sie auf der Seite Allgemein des Assistenten zum Erstellen von Remoteverbindungsprofilen einen Namen und eine optionale Beschreibung für das Profil an. Für beide Werte sind maximal 256 Zeichen zulässig.

4. Geben Sie auf der Seite Profileinstellungen die folgenden Einstellungen an:

   • Vollständiger Name und Port des Remotedesktopgatewayservers (optional): Geben Sie den Namen des Remotedesktopgatewayservers an, der für Verbindungen verwendet werden soll. Für diesen Wert gelten die folgenden Anforderungen:

     • Der Servername darf nicht länger als 256 Zeichen sein.
     • Sie kann Großbuchstaben, Kleinbuchstaben und numerische Zeichen enthalten.
     • Abgesehen von Punkten (.) zwischen Segmenten und einem Doppelpunkt (:) vor dem Port sind die einzigen Sonderzeichen Bindestrich (–) und Unterstrich (_).
     • Configuration Manager unterstützt die Verwendung eines internationalisierten Domänennamens für diesen Wert nicht.

   • Verbindungen nur von Computern zulassen, auf denen Remotedesktop mit Authentifizierung auf Netzwerkebene ausgeführt wird: Diese Einstellung ist standardmäßig aktiviert und fügt eine zusätzliche Sicherheitsstufe für die Verbindung hinzu. Weitere Informationen finden Sie unter Gewähren des Remotedesktopzugriffs.

   • Aktivieren Sie die folgenden Verbindungseinstellungen:

     • Zulassen von Remoteverbindungen mit Arbeitscomputern

     • Zulassen, dass alle primären Benutzer des Arbeitscomputers eine Remoteverbindung herstellen können

     • Windows-Firewall-Ausnahme für Verbindungen in Windows-Domänen und in privaten Netzwerken zulassen

     Wichtig

     Alle drei Einstellungen müssen identisch sein, bevor Sie fortfahren können.

     Deaktivieren Sie diese Einstellungen nur, wenn Sie ein Profil bereitstellen, um Remoteverbindungen zu deaktivieren.

5. Schließen Sie den Assistenten ab.

Das neue Profil wird im Arbeitsbereich Bestand und Kompatibilität im Knoten Remoteverbindungsprofile angezeigt.

Bereitstellen

1. Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Bestand und Kompatibilität, erweitern Sie Konformitätseinstellungen, und wählen Sie Remoteverbindungsprofile aus.

2. Wählen Sie in der Liste Remoteverbindungsprofile das Profil aus, das Sie bereitstellen möchten. Wählen Sie auf der Registerkarte Start des Menübands in der Gruppe Bereitstellung die Option Bereitstellen aus.

3. Geben Sie im Fenster Remoteverbindungsprofil bereitstellen die folgenden Informationen an:

   • Sammlung: Wählen Sie die Gerätesammlung aus, in der Sie das Profil bereitstellen möchten.

   • Nicht konforme Regeln korrigieren, wenn diese unterstützt werden: Aktivieren Sie diese Einstellung, um die Profileinstellungen automatisch zu korrigieren, wenn sie auf einem Gerät nicht kompatibel sind. Das Profil kann nicht konform sein, wenn es nicht vorhanden ist.

   • Wartung außerhalb des Wartungsfensters zulassen: Wenn Sie ein Wartungsfenster für die Sammlung konfigurieren, für die Sie das Profil bereitstellen, aktivieren Sie diese Option, damit Configuration Manager sie außerhalb des Wartungsfensters korrigieren kann. Weitere Informationen finden Sie unter Verwenden von Wartungsfenstern.

   • Warnung generieren: Aktivieren Sie diese Option, um eine Konformitätswarnung zu konfigurieren.

   • Geben Sie den Zeitplan für die Konformitätsauswertung für diese Konfigurationsbaseline an: Geben Sie einen einfachen oder benutzerdefinierten Zeitplan an, nach dem der Client das Profil auswertet.

4. Wählen Sie OK aus, um das Fenster zu schließen und die Bereitstellung zu erstellen.

Clientauswertung

Der Client wertet das Profil aus, wenn sich ein Benutzer anmeldet.

Wenn ein Gerät eine Sammlung verlässt, für die Sie ein Remoteverbindungsprofil bereitstellen, deaktiviert Configuration Manager die Einstellungen auf dem Gerät. Damit dieser Prozess ordnungsgemäß ausgeführt wird, müssen Sie jedoch bereits mindestens ein Konfigurationselement oder eine Konfigurationsbaseline bereitgestellt haben, die ein Konfigurationselement von Ihrem Standort enthält.

Konfliktlösung

Stellen Sie nicht mehr als ein Remoteverbindungsprofil mit in Konflikt stehenden Einstellungen auf demselben Gerät bereit. Beispielsweise stellen Sie zwei Profile mit unterschiedlichen Einstellungen für dieselbe Sammlung bereit. Sie konfigurieren nur eine Profilbereitstellung, um nicht konforme Regeln zu korrigieren, wenn dies unterstützt wird. Diese Bereitstellung überschreibt möglicherweise die Einstellungen im anderen Profil. Configuration Manager unterstützt diese Art der Bereitstellung von Remoteverbindungsprofilen nicht.

Überwachen

Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Überwachung, und wählen Sie Bereitstellungen aus. Wählen Sie in der Liste Bereitstellungen die Bereitstellung des Remoteverbindungsprofils aus.

Zusammenfassungsinformationen zur Konformität der Remoteverbindungsprofilbereitstellung finden Sie auf der Hauptseite. Um ausführlichere Informationen anzuzeigen, wählen Sie die Profilbereitstellung aus. Wählen Sie dann auf der Registerkarte Start des Menübands in der Gruppe Bereitstellung die Option Status anzeigen aus. Durch diese Aktion wird die Seite Bereitstellungsstatus geöffnet.

Die Seite Bereitstellungsstatus enthält die folgenden Registerkarten:

• Konform: Zeigt die Konformität des Remoteverbindungsprofils basierend auf der Anzahl der betroffenen Ressourcen an.

  Wichtig

  Der Client wertet ein Remoteverbindungsprofil nicht aus, wenn es nicht zutreffend ist. Es wird jedoch weiterhin als konform gemeldet.

• Fehler: Zeigt eine Liste aller Fehler für die ausgewählte Remoteverbindungsprofilbereitstellung basierend auf der Anzahl der betroffenen Ressourcen an.

• Nicht konform: Zeigt eine Liste aller nicht konformen Regeln innerhalb des Remoteverbindungsprofils basierend auf der Anzahl der betroffenen Ressourcen an.

• Unbekannt: Zeigt eine Liste aller Geräte an, die die Konformität für die ausgewählte Bereitstellung des Remoteverbindungsprofils nicht gemeldet haben, zusammen mit dem aktuellen Clientstatus der Geräte.

Öffnen Sie auf einer beliebigen Registerkarte eine Regel, um einen temporären Unterknoten unter dem Knoten Benutzer im Arbeitsbereich Bestand und Kompatibilität zu erstellen. Dieser Unterknoten enthält alle Geräte mit dem Konformitätszustand der ausgewählten Registerkarte.

Im Bereich Medienobjektdetails werden die Geräte mit dem ausgewählten Konformitätszustand für dieses Profil angezeigt. Öffnen Sie ein Gerät in der Liste, um zusätzliche Informationen anzuzeigen.

Berichte

Configuration Manager enthält integrierte Berichte, mit denen Sie Informationen zu Remoteverbindungsprofilen überwachen können. Diese Berichte weisen die Berichtskategorie Compliance und Einstellungsverwaltung auf.

Wichtig

Verwenden Sie das Wildcardzeichen (%), wenn Sie die Parameter Gerätefilter und Benutzerfilter in den Berichten für Konformitätseinstellungen verwenden.

Weitere Informationen zum Konfigurieren der Berichterstellung in Configuration Manager finden Sie unter Einführung in die Berichterstellung.