Perfiles de conexión remota en Configuration Manager

  • Artículo

Se aplica a: Configuration Manager (rama actual)

Use Configuration Manager perfiles de conexión remota para permitir que los usuarios se conecten de forma remota a equipos de trabajo. Estos perfiles permiten implementar la configuración de conexión de Escritorio remoto a los usuarios de la jerarquía. Los usuarios pueden acceder a cualquiera de sus equipos de trabajo principales a través de Escritorio remoto a través de una conexión VPN.

Importante

Al especificar la configuración del perfil de conexión remota con Configuration Manager, el cliente almacena la configuración en la directiva local de Windows. Esta configuración podría invalidar la configuración de Escritorio remoto que configure con otra aplicación. Además, si usa Windows directiva de grupo para configurar la configuración de Escritorio remoto, los valores especificados en el directiva de grupo invalidarán Configuration Manager configuración.

Configuration Manager crea un grupo de seguridad en los clientes, Remote PC Connect. Al implementar un perfil de conexión remota, el cliente agrega los usuarios principales del equipo a este grupo. Un administrador local puede agregar o quitar manualmente usuarios a este grupo, pero Configuration Manager actualiza la pertenencia cuando después evalúa el cumplimiento del perfil.

Importante

Si cambia la relación de afinidad de dispositivo de usuario entre un usuario y un dispositivo, Configuration Manager deshabilita el perfil de conexión remota y la configuración de Firewall de Windows para evitar conexiones al equipo.

Requisitos previos

Dependencias externas

  • Si desea permitir que los usuarios se conecten desde Internet, instale y configure un servidor de puerta de enlace de Escritorio remoto. Para obtener más información sobre cómo instalar y configurar un servidor de puerta de enlace de Escritorio remoto, consulte Servicios de Escritorio remoto: acceso desde cualquier lugar.

  • Si los clientes ejecutan un firewall basado en host, debe habilitar el programa de mstsc.exe. Al configurar un perfil de conexión remota, habilite la opción Permitir excepción de Firewall de Windows para las conexiones en dominios de Windows y en redes privadas. Esta configuración permite que Configuration Manager configure automáticamente Firewall de Windows.

    Sugerencia

    directiva de grupo configuración para configurar Firewall de Windows puede invalidar la configuración establecida en Configuration Manager. Si usa directiva de grupo para configurar Firewall de Windows, asegúrese de que la configuración de directiva de grupo no bloquee mstsc.exe.

    Si los clientes ejecutan otro firewall basado en host, configure manualmente esta dependencia del firewall.

dependencias de Configuration Manager

Consideraciones sobre seguridad y privacidad

Consideraciones acerca de la seguridad

  • Especifique manualmente la afinidad de dispositivo de usuario en lugar de permitir que los usuarios identifiquen su dispositivo principal. No habilite la configuración basada en el uso.

    • Para poder implementar un perfil de conexión remota, debe habilitar la opción Permitir que todos los usuarios principales del equipo de trabajo se conecten de forma remota. Con esta configuración, siempre debe especificar manualmente la afinidad de dispositivo de usuario. No considere que la información que Configuration Manager recopila de los usuarios o del dispositivo sea autoritativa. Si implementa un perfil y un usuario administrativo de confianza no especifica la afinidad de dispositivo de usuario, es posible que los usuarios no autorizados reciban privilegios elevados y puedan conectarse de forma remota a los equipos.

    • Configuration Manager recopila información basada en el uso a través de mensajes de estado, que es un canal de comunicación rápido pero inseguro. Para ayudar a mitigar esta amenaza, use la firma del bloque de mensajes del servidor (SMB) o la seguridad del protocolo de Internet (IPsec) entre los equipos cliente y el punto de administración.

  • Restrinja los derechos administrativos locales en el equipo del servidor de sitio. Un administrador local en el servidor de sitio puede agregar manualmente miembros al grupo de seguridad Remote PC Connect que Configuration Manager crea y mantiene automáticamente. Esta acción puede provocar una elevación de privilegios porque los miembros reciben permisos de Escritorio remoto.

Consideraciones de privacidad

Cuando un usuario se conecta de forma remota a un equipo de trabajo, descarga un archivo .wsrdp. Este archivo contiene el nombre del dispositivo y el nombre del servidor de puerta de enlace de Escritorio remoto. Estos valores son necesarios para crear la sesión de Escritorio remoto. El archivo .wsrdp se descarga y guarda automáticamente localmente. Este archivo se sobrescribe la próxima vez que el usuario ejecuta una sesión de Escritorio remoto.

Crear un perfil

  1. En la consola de Configuration Manager, vaya al área de trabajo Activos y compatibilidad, expanda Configuración de cumplimiento y seleccione Perfiles de conexión remota.

  2. En la pestaña Inicio de la cinta de opciones, en el grupo Crear , seleccione Crear perfil de conexión remota.

  3. En la página General del Asistente para crear perfiles de conexión remota, especifique un nombre y una descripción opcional para el perfil. Ambos valores tienen un límite máximo de 256 caracteres.

  4. En la página Configuración del perfil , especifique la siguiente configuración:

    • Nombre completo y puerto del servidor de puerta de enlace de Escritorio remoto (opcional): especifique el nombre del servidor de puerta de enlace de Escritorio remoto que se usará para las conexiones. Este valor tiene los siguientes requisitos:

      • El nombre del servidor no puede tener más de 256 caracteres.
      • Puede contener caracteres numéricos, minúsculas y mayúsculas.
      • Aparte de los puntos (.) entre segmentos y dos puntos (:) antes del puerto, los únicos caracteres especiales son guion () y subrayado (_).
      • Configuration Manager no admite el uso de un nombre de dominio internacionalizado para este valor.

    • Permitir conexiones solo desde equipos que ejecutan Escritorio remoto con autenticación de nivel de red: habilitado de forma predeterminada, esta configuración agrega un nivel adicional de seguridad para la conexión. Para obtener más información, consulte Concesión de acceso a Escritorio remoto.

    • Habilite la siguiente configuración de conexión:

      • Permitir conexiones remotas a equipos de trabajo

      • Permitir que todos los usuarios principales del equipo de trabajo se conecten de forma remota

      • Permitir una excepción de Firewall de Windows para conexiones en dominios de Windows y en redes privadas

      Importante

      Las tres configuraciones deben ser las mismas para poder continuar.

      Deshabilite solo esta configuración al implementar un perfil para desactivar las conexiones remotas.

  5. Complete el asistente.

El nuevo perfil se muestra en el nodo Perfiles de conexión remota del área de trabajo Activos y cumplimiento .

Implementar

  1. En la consola de Configuration Manager, vaya al área de trabajo Activos y compatibilidad, expanda Configuración de cumplimiento y seleccione Perfiles de conexión remota.

  2. En la lista Perfiles de conexión remota , seleccione el perfil que desea implementar. En la pestaña Inicio de la cinta de opciones, en el grupo Implementación , seleccione Implementar.

  3. En la ventana Implementar perfil de conexión remota , especifique la siguiente información:

    • Colección: vaya a para seleccionar la colección de dispositivos en la que desea implementar el perfil.

    • Corregir reglas no conformes cuando se admitan: habilite esta configuración para corregir automáticamente la configuración de perfil cuando no sean compatibles en un dispositivo. El perfil puede ser no compatible cuando no existe.

    • Permitir corrección fuera de la ventana de mantenimiento: si configura una ventana de mantenimiento para la colección en la que implementa el perfil, habilite esta opción para permitir que Configuration Manager corregirlo fuera de la ventana de mantenimiento. Para obtener más información, consulte Uso de ventanas de mantenimiento.

    • Generar una alerta: habilite esta opción para configurar una alerta de cumplimiento.

    • Especifique la programación de evaluación de cumplimiento para esta línea base de configuración: especifique una programación simple o personalizada mediante la cual el cliente evalúa el perfil.

  4. Seleccione Aceptar para cerrar la ventana y crear la implementación.

Evaluación de cliente

El cliente evalúa el perfil cuando un usuario inicia sesión.

Si un dispositivo deja una colección en la que implementa un perfil de conexión remota, Configuration Manager deshabilita la configuración del dispositivo. Sin embargo, para que este proceso se produzca correctamente, debe haber implementado al menos un elemento de configuración o línea base de configuración que contenga un elemento de configuración del sitio.

Resolución de conflictos

No implemente más de un perfil de conexión remota con configuraciones en conflicto en el mismo dispositivo. Por ejemplo, se implementan dos perfiles con una configuración diferente en la misma colección. Solo se configura una implementación de perfil para corregir las reglas no compatibles cuando se admite. Esta implementación podría invalidar la configuración del otro perfil. Configuration Manager no admite este tipo de implementación de perfil de conexión remota.

Monitorear

En la consola de Configuration Manager, vaya al área de trabajo Supervisión y seleccione Implementaciones. En la lista Implementaciones , seleccione la implementación del perfil de conexión remota.

Puede revisar la información de resumen sobre el cumplimiento de la implementación del perfil de conexión remota en la página principal. Para ver información más detallada, seleccione la implementación del perfil. A continuación, en la pestaña Inicio de la cinta de opciones, en el grupo Implementación , seleccione Ver estado. Esta acción abre la página Estado de implementación .

La página Estado de implementación contiene las pestañas siguientes:

  • Compatible: muestra el cumplimiento del perfil de conexión remota en función del número de recursos que se ven afectados.

    Importante

    El cliente no evalúa un perfil de conexión remota si no es aplicable. Sin embargo, sigue informando de que es compatible.

  • Error: muestra una lista de todos los errores de la implementación del perfil de conexión remota seleccionada en función del número de recursos que se ven afectados.

  • No compatible: muestra una lista de todas las reglas no compatibles dentro del perfil de conexión remota en función del número de recursos que se ven afectados.

  • Desconocido: muestra una lista de todos los dispositivos que no notificaron el cumplimiento de la implementación del perfil de conexión remota seleccionada, junto con el estado de cliente actual de los dispositivos.

En cualquier pestaña, abra una regla para crear un subnodo temporal en el nodo Usuarios del área de trabajo Activos y cumplimiento . Este subnodo contiene todos los dispositivos con el estado de cumplimiento de la pestaña seleccionada.

El panel Detalles del recurso muestra los dispositivos con el estado de cumplimiento seleccionado para este perfil. Abra un dispositivo en la lista para mostrar información adicional.

Informes

Configuration Manager incluye informes integrados que puede usar para supervisar la información sobre los perfiles de conexión remota. Estos informes tienen la categoría de informe Administración de cumplimiento y configuración.

Importante

Use el carácter comodín (%) cuando use los parámetros Filtro de dispositivo y Filtro de usuario en los informes para la configuración de cumplimiento.

Para obtener más información sobre cómo configurar informes en Configuration Manager, consulte Introducción a los informes.