Configuration Managerのリモート接続プロファイル
Configuration Manager (現在のブランチ) に適用
リモート接続プロファイルConfiguration Manager使用して、ユーザーが作業用コンピューターにリモート接続できるようにします。 これらのプロファイルを使用すると、階層内のユーザーにリモート デスクトップ接続設定を展開できます。 ユーザーは、VPN 接続経由でリモート デスクトップを介して任意のプライマリ作業コンピューターにアクセスできます。
重要
Configuration Managerを使用してリモート接続プロファイル設定を指定すると、クライアントは設定を Windows ローカル ポリシーに格納します。 これらの設定は、別のアプリケーションで構成したリモート デスクトップ設定よりも優先される場合があります。 さらに、Windows グループ ポリシーを使用してリモート デスクトップの設定を構成する場合は、グループ ポリシーで指定された設定によって、Configuration Manager設定がオーバーライドされます。
Configuration Managerは、クライアントのリモート PC Connect にセキュリティ グループを作成します。 リモート接続プロファイルを展開すると、クライアントによってコンピューターのプライマリ ユーザーがこのグループに追加されます。 ローカル管理者は、このグループにユーザーを手動で追加または削除できますが、次にプロファイルのコンプライアンスを評価するときにメンバーシップを更新Configuration Manager。
重要
ユーザーとデバイスの間のユーザー デバイス アフィニティ関係が変更された場合、Configuration Managerはリモート接続プロファイルと Windows ファイアウォールの設定を無効にして、コンピューターへの接続を禁止します。
前提条件
外部依存関係
ユーザーがインターネットから接続できるようにする場合は、リモート デスクトップ ゲートウェイ サーバーをインストールして構成します。 リモート デスクトップ ゲートウェイ サーバーをインストールして構成する方法の詳細については、「 リモート デスクトップ サービス - どこからでもアクセスする」を参照してください。
クライアントがホスト ベースのファイアウォールを実行する場合は、mstsc.exe プログラムを有効にする必要があります。 リモート接続プロファイルを構成する場合は、[ Windows ドメインとプライベート ネットワーク上の接続に対して Windows ファイアウォール例外を許可する] 設定を有効にします。 この設定により、Configuration Managerは Windows ファイアウォールを自動的に構成できます。
ヒント
Windows ファイアウォールを構成するためのグループ ポリシー設定は、Configuration Managerで設定した構成をオーバーライドできます。 グループ ポリシーを使用して Windows ファイアウォールを構成する場合は、グループ ポリシー設定でmstsc.exeがブロックされないようにしてください。
クライアントが別のホスト ベースのファイアウォールを実行する場合は、このファイアウォールの依存関係を手動で構成します。
依存関係のConfiguration Manager
ユーザーが職場のコンピューターに接続するには、そのコンピューターがユーザーのプライマリ デバイスである必要があります。 詳細については、「 ユーザーとデバイスをユーザー デバイス アフィニティとリンクする」を参照してください。
リモート接続プロファイルを管理するには、ユーザー アカウントにConfiguration Managerで特定のアクセス許可が必要です。 コンプライアンス設定マネージャーの組み込みロールには、これらのプロファイルを管理するために必要なアクセス許可が含まれています。 詳細については、「 ロールベースの管理を構成する」を参照してください。
セキュリティとプライバシーの考慮事項
セキュリティに関する考慮事項
ユーザーがプライマリ デバイスを識別できるようにする代わりに、ユーザー デバイス アフィニティを手動で指定します。 使用量ベースの構成を有効にしないでください。
リモート接続プロファイルを展開する前に、[ 職場のコンピューターのすべてのプライマリ ユーザーにリモート接続を許可する] オプションを有効にする必要があります。 この構成では、ユーザー デバイス アフィニティを常に手動で指定する必要があります。 ユーザーまたはデバイスから収集Configuration Manager情報が権限があるとは考えないでください。 プロファイルを展開し、信頼された管理ユーザーがユーザー デバイス アフィニティを指定していない場合、承認されていないユーザーは管理者特権を受け取り、コンピューターにリモートで接続できます。
Configuration Managerは、高速で安全でない通信チャネルである状態メッセージを介して使用状況ベースの情報を収集します。 この脅威を軽減するには、クライアント コンピューターと管理ポイントの間でサーバー メッセージ ブロック (SMB) 署名またはインターネット プロトコル セキュリティ (IPsec) を使用します。
サイト サーバー コンピューターのローカル管理者権限を制限します。 サイト サーバーのローカル管理者は、自動的に作成および管理Configuration Managerリモート PC Connect セキュリティ グループにメンバーを手動で追加できます。 メンバーがリモート デスクトップのアクセス許可を受け取るため、このアクションによって特権が昇格される可能性があります。
プライバシーに関する考慮事項
ユーザーが作業用コンピューターにリモートで接続すると、.wsrdp ファイルがダウンロードされます。 このファイルには、デバイス名とリモート デスクトップ ゲートウェイ サーバー名が含まれています。 これらの値は、リモート デスクトップ セッションを作成するために必要です。 .wsrdp ファイルがダウンロードされ、ローカルに自動的に保存されます。 このファイルは、ユーザーが次回リモート デスクトップ セッションを実行するときに上書きされます。
プロファイルの作成
Configuration Manager コンソールで、[資産とコンプライアンス] ワークスペースに移動し、[コンプライアンス設定] を展開して、[リモート接続プロファイル] を選択します。
リボンの [ ホーム ] タブの [ 作成 ] グループで、[ リモート接続プロファイルの作成] を選択します。
リモート接続プロファイルの作成ウィザードの [全般] ページで、プロファイルの名前と説明 (省略可能) を指定します。 両方の値の最大文字数は 256 文字です。
[ プロファイルの設定] ページで、次の設定を指定します。
リモート デスクトップ ゲートウェイ サーバーのフル ネームとポート (省略可能): 接続に使用するリモート デスクトップ ゲートウェイ サーバーの名前を指定します。 この値には、次の要件があります。
- サーバー名を 256 文字以下にすることはできません。
- 大文字、小文字、および数字を含めることができます。
- セグメント間のピリオド (
.) とポートの前のコロン (:) とは別に、特殊文字はダッシュ () とアンダースコア (–_) のみです。 - Configuration Managerでは、この値の国際化ドメイン名の使用はサポートされていません。
ネットワーク レベル認証を使用してリモート デスクトップを実行するコンピューターからのみ接続を許可する: 既定で有効にすると、この設定により接続のセキュリティ レベルが追加されます。 詳細については、「 リモート デスクトップ アクセスを許可する」を参照してください。
次の接続設定を有効にします。
リモート接続によるコンピューターの動作を許可する
職場のコンピューターのすべてのプライマリ ユーザーにリモート接続を許可する
Windows ドメインとプライベート ネットワークでの接続に対して Windows ファイアウォールの例外を許可する
重要
続行する前に、3 つの設定はすべて同じである必要があります。
プロファイルを展開してリモート接続をオフにする場合にのみ、これらの設定を無効にします。
ウィザードを終了します。
新しいプロファイルは、[資産とコンプライアンス] ワークスペースの [リモート接続プロファイル] ノードに表示されます。
展開
Configuration Manager コンソールで、[資産とコンプライアンス] ワークスペースに移動し、[コンプライアンス設定] を展開して、[リモート接続プロファイル] を選択します。
[ リモート接続プロファイル] の一覧で、展開するプロファイルを選択します。 リボンの [ ホーム ] タブの [展開] グループで、[ デプロイ ] を選択 します。
[ リモート接続プロファイルの展開] ウィンドウで、次の情報を指定します。
コレクション: プロファイルを展開するデバイス コレクションを参照して選択します。
サポートされている場合に非準拠ルールを修復する: この設定を有効にすると、デバイスで非準拠のプロファイル設定が自動的に修復されます。 プロファイルが存在しない場合は、非準拠にすることができます。
メンテナンス期間外の修復を許可する: プロファイルを展開するコレクションのメンテナンス期間を構成する場合は、このオプションを有効にして、メンテナンス期間外Configuration Manager修復できるようにします。 詳細については、「 メンテナンス期間の使用方法」を参照してください。
アラートの生成: コンプライアンス アラートを構成するには、このオプションを有効にします。
この構成基準のコンプライアンス評価スケジュールを指定する: クライアントがプロファイルを評価する単純なスケジュールまたはカスタム スケジュールを指定します。
[ OK] を選択 してウィンドウを閉じ、デプロイを作成します。
クライアントの評価
クライアントは、ユーザーがサインインしたときにプロファイルを評価します。
リモート接続プロファイルを展開するコレクションからデバイスが離れた場合、Configuration Managerはデバイスの設定を無効にします。 ただし、このプロセスが正しく行われるには、サイトの構成項目を含む構成項目または構成基準が少なくとも 1 つ既にデプロイされている必要があります。
競合の解決
競合する設定を持つ複数のリモート接続プロファイルを同じデバイスに展開しないでください。 たとえば、設定が異なる 2 つのプロファイルを同じコレクションに展開します。 サポートされている場合は、非準拠ルールを修復するようにプロファイルのデプロイを 1 つだけ構成します。 このデプロイは、他のプロファイルの設定をオーバーライドする可能性があります。 Configuration Managerでは、この種類のリモート接続プロファイルの展開はサポートされていません。
監視する
Configuration Manager コンソールで、[監視] ワークスペースに移動し、[デプロイ] を選択します。 [ デプロイ ] の一覧で、リモート接続プロファイルのデプロイを選択します。
リモート接続プロファイルの展開のコンプライアンスに関する概要情報は、メイン ページで確認できます。 詳細な情報を表示するには、プロファイルのデプロイを選択します。 次に、リボンの [ ホーム ] タブの [ 展開 ] グループで、[ 状態の表示] を選択します。 このアクションにより、[ 展開の状態] ページが開きます。
[ デプロイの状態] ページには、次のタブがあります。
[準拠]: 影響を受ける資産の数に基づいて、リモート接続プロファイルのコンプライアンスを表示します。
重要
該当しない場合、クライアントはリモート接続プロファイルを評価しません。 ただし、準拠しているレポートは引き続き表示されます。
エラー: 影響を受ける資産の数に基づいて、選択したリモート接続プロファイルの展開に関するすべてのエラーの一覧を表示します。
非準拠: 影響を受ける資産の数に基づいて、リモート接続プロファイル内のすべての非準拠ルールの一覧を表示します。
不明: 選択したリモート接続プロファイル展開のコンプライアンスを報告しなかったすべてのデバイスの一覧と、デバイスの現在のクライアント状態が表示されます。
任意のタブでルールを開き、[資産とコンプライアンス] ワークスペースの [ユーザー] ノードの下に一時的なサブノードを作成します。 このサブノードには、選択したタブのコンプライアンス状態を持つすべてのデバイスが含まれます。
[ 資産の詳細 ] ウィンドウには、このプロファイルのコンプライアンス状態が選択されたデバイスが表示されます。 一覧でデバイスを開き、追加情報を表示します。
レポート
Configuration Managerには、リモート接続プロファイルに関する情報を監視するために使用できる組み込みのレポートが含まれています。 これらのレポートには、[ コンプライアンスと設定の管理] のレポート カテゴリがあります。
重要
コンプライアンス設定のレポートで [デバイス フィルター] パラメーターと [ユーザー フィルター] パラメーターを使用する場合は、ワイルドカード文字 (%) を使用します。
Configuration Managerでレポートを構成する方法の詳細については、「レポートの概要」を参照してください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示