Perfis de conexão remota no Configuration Manager

Aplica-se a: Gerenciador de Configurações (branch atual)

Use Configuration Manager perfis de conexão remota para permitir que seus usuários se conectem remotamente a computadores de trabalho. Esses perfis permitem implantar configurações de Conexão de Área de Trabalho Remota para usuários em sua hierarquia. Os usuários podem acessar qualquer um de seus computadores de trabalho primários por meio da Área de Trabalho Remota por meio de uma conexão VPN.

Importante

Quando você especifica configurações de perfil de conexão remota com Configuration Manager, o cliente armazena as configurações na política local do Windows. Essas configurações podem substituir as configurações da Área de Trabalho Remota que você configura com outro aplicativo. Além disso, se você usar o Windows Política de Grupo para configurar as configurações da Área de Trabalho Remota, as configurações especificadas no Política de Grupo substituirão Configuration Manager configurações.

Configuration Manager cria um grupo de segurança em clientes, Remote PC Connect. Quando você implanta um perfil de conexão remota, o cliente adiciona os principais usuários do computador a esse grupo. Um administrador local pode adicionar ou remover usuários manualmente a esse grupo, mas Configuration Manager atualiza a associação quando ele avalia a conformidade do perfil.

Importante

Se a relação de afinidade do dispositivo de usuário entre um usuário e um dispositivo for alterada, Configuration Manager desabilitará o perfil de conexão remota e as configurações do Firewall do Windows para impedir conexões com o computador.

Pré-requisitos

Dependências externas

• Se você quiser permitir que os usuários se conectem da Internet, instale e configure um servidor do Gateway de Área de Trabalho Remota. Para obter mais informações sobre como instalar e configurar um servidor do Gateway de Área de Trabalho Remota, confira Serviços de Área de Trabalho Remota – Acesso de qualquer lugar.

• Se os clientes executarem um firewall baseado em host, ele deverá habilitar o programa mstsc.exe. Ao configurar um perfil de conexão remota, habilite a configuração para permitir a exceção do Firewall do Windows para conexões em domínios do Windows e em redes privadas. Essa configuração permite que Configuration Manager configure automaticamente o Firewall do Windows.

  Dica

  Política de Grupo configurações para configurar o Firewall do Windows podem substituir a configuração definida em Configuration Manager. Se você usar Política de Grupo para configurar o Firewall do Windows, verifique se as configurações de Política de Grupo não bloqueiam mstsc.exe.

  Se os clientes executarem um firewall baseado em host diferente, configure manualmente essa dependência de firewall.

Configuration Manager dependências

• Para que um usuário se conecte a um computador de trabalho, esse computador deve ser um dispositivo primário do usuário. Para obter mais informações, consulte Vincular usuários e dispositivos com afinidade de dispositivo de usuário.

• Para gerenciar perfis de conexão remota, sua conta de usuário precisa de permissões específicas no Configuration Manager. A função interna do Gerenciador de Configurações de Conformidade inclui as permissões necessárias para gerenciar esses perfis. Para obter mais informações, consulte Configurar administração baseada em função.

Considerações sobre segurança e privacidade

Considerações de segurança

• Especifique manualmente a afinidade do dispositivo de usuário em vez de permitir que os usuários identifiquem seu dispositivo principal. Não habilite a configuração baseada em uso.

  • Antes de implantar um perfil de conexão remota, você precisa habilitar a opção para permitir que todos os usuários primários do computador de trabalho se conectem remotamente. Com essa configuração, você deve sempre especificar manualmente a afinidade do dispositivo de usuário. Não considere as informações que Configuration Manager coleta de usuários ou do dispositivo como autoritativas. Se você implantar um perfil e um usuário administrativo confiável não especificar afinidade de dispositivo de usuário, os usuários não autorizados poderão receber privilégios elevados e poderão se conectar remotamente a computadores.

  • Configuration Manager coleta informações baseadas em uso por meio de mensagens de estado, que é um canal de comunicação rápido, mas inseguro. Para ajudar a mitigar essa ameaça, use a assinatura do SMB (Server Message Block) ou a segurança do Protocolo de Internet (IPsec) entre computadores cliente e o ponto de gerenciamento.

• Restrinja os direitos administrativos locais no computador do servidor do site. Um administrador local no servidor do site pode adicionar manualmente membros ao grupo de segurança Remote PC Connect que Configuration Manager cria e mantém automaticamente. Essa ação pode causar uma elevação de privilégios porque os membros recebem permissões da Área de Trabalho Remota.

Considerações sobre privacidade

Quando um usuário se conecta remotamente a um computador de trabalho, ele baixa um arquivo .wsrdp. Este arquivo contém o nome do dispositivo e o nome do Servidor de Gateway de Área de Trabalho Remota. Esses valores são necessários para criar a sessão da Área de Trabalho Remota. O arquivo .wsrdp é baixado e salvo automaticamente localmente. Esse arquivo será substituído na próxima vez que o usuário executar uma sessão de Área de Trabalho Remota.

Criar um perfil

1. No console Configuration Manager, acesse o workspace Ativos e Conformidade, expanda Configurações de Conformidade e selecione Perfis de Conexão Remota.

2. Na guia Página Inicial da faixa de opções, no grupo Criar , selecione Criar Perfil de Conexão Remota.

3. Na página Geral do Assistente criar perfil de conexão remota, especifique um nome e uma descrição opcional para o perfil. Ambos os valores têm um limite máximo de 256 caracteres.

4. Na página Configurações de Perfil, especifique as seguintes configurações:

   • Nome completo e porta do servidor do Gateway de Área de Trabalho Remota (opcional): especifique o nome do Servidor de Gateway de Área de Trabalho Remota a ser usado para conexões. Esse valor tem os seguintes requisitos:

     • O nome do servidor não pode ter mais de 256 caracteres.
     • Ele pode conter caracteres maiúsculas, minúsculas e numéricos.
     • Além dos períodos (.) entre segmentos e um ponto (:) antes da porta, os únicos caracteres especiais são traço (–) e sublinhado (_).
     • Configuration Manager não dá suporte ao uso de um nome de domínio internacionalizado para esse valor.

   • Permitir conexões somente de computadores que executam a Área de Trabalho Remota com Autenticação de Nível de Rede: habilitada por padrão, essa configuração adiciona um nível adicional de segurança para a conexão. Para obter mais informações, confira Conceder acesso à Área de Trabalho Remota.

   • Habilite as seguintes configurações de conexão:

     • Permitir conexões remotas para computadores de trabalho

     • Permitir que todos os usuários primários do computador de trabalho se conectem remotamente

     • Permitir exceção do Firewall do Windows para conexões em domínios do Windows e em redes privadas

     Importante

     Todas as três configurações devem ser as mesmas antes que você possa continuar.

     Desabilite apenas essas configurações quando você implanta um perfil para desativar conexões remotas.

5. Conclua o assistente.

O novo perfil é exibido no nó Perfis de Conexão Remota no workspace Ativos e Conformidade .

Implantar

1. No console Configuration Manager, acesse o workspace Ativos e Conformidade, expanda Configurações de Conformidade e selecione Perfis de Conexão Remota.

2. Na lista Perfis de Conexão Remota , selecione o perfil que você deseja implantar. Na guia Página Inicial da faixa de opções, no grupo Implantação , selecione Implantar.

3. Na janela Implantar Perfil de Conexão Remota , especifique as seguintes informações:

   • Coleção: navegue para selecionar a coleção de dispositivos na qual você deseja implantar o perfil.

   • Corrigir regras não compatíveis quando houver suporte: habilite essa configuração para corrigir automaticamente as configurações de perfil quando elas não forem compatíveis em um dispositivo. O perfil pode não estar em conformidade quando ele não existe.

   • Permitir a correção fora da janela de manutenção: se você configurar uma janela de manutenção para a coleção à qual implanta o perfil, habilite essa opção para permitir que Configuration Manager corrigi-lo fora da janela de manutenção. Para obter mais informações, consulte Como usar janelas de manutenção.

   • Gerar um alerta: habilite essa opção para configurar um alerta de conformidade.

   • Especifique a agenda de avaliação de conformidade para esta linha de base de configuração: especifique uma agenda simples ou personalizada pela qual o cliente avalia o perfil.

4. Selecione OK para fechar a janela e criar a implantação.

Avaliação do cliente

O cliente avalia o perfil quando um usuário entra.

Se um dispositivo deixar uma coleção para a qual você implanta um perfil de conexão remota, Configuration Manager desabilitará as configurações no dispositivo. No entanto, para que esse processo ocorra corretamente, você já deve ter implantado pelo menos um item de configuração ou linha de base de configuração que contém um item de configuração do seu site.

Resolução de conflitos

Não implante mais de um perfil de conexão remota com configurações conflitantes no mesmo dispositivo. Por exemplo, você implanta dois perfis com configurações diferentes na mesma coleção. Você só configura uma implantação de perfil para corrigir regras não compatíveis quando há suporte. Essa implantação pode substituir as configurações no outro perfil. Configuration Manager não dá suporte a esse tipo de implantação de perfil de conexão remota.

Monitorar

No console Configuration Manager, acesse o workspace Monitoramento e selecione Implantações. Na lista Implantações , selecione a implantação do perfil de conexão remota.

Você pode examinar informações de resumo sobre a conformidade da implantação do perfil de conexão remota na página principal. Para exibir informações mais detalhadas, selecione a implantação do perfil. Em seguida, na guia Página Inicial da faixa de opções, no grupo Implantação , selecione Exibir Status. Essa ação abre a página Status da Implantação .

A página Status da Implantação contém as seguintes guias:

• Em conformidade: exibe a conformidade do perfil de conexão remota com base no número de ativos afetados.

  Importante

  O cliente não avaliará um perfil de conexão remota se não for aplicável. No entanto, ele ainda relata conformidade.

• Erro: exibe uma lista de todos os erros para a implantação do perfil de conexão remota selecionado com base no número de ativos afetados.

• Não compatível: exibe uma lista de todas as regras não compatíveis no perfil de conexão remota com base no número de ativos afetados.

• Desconhecido: exibe uma lista de todos os dispositivos que não relataram conformidade para a implantação do perfil de conexão remota selecionado, juntamente com o status atual do cliente dos dispositivos.

Em qualquer guia, abra uma regra para criar um subnodo temporário no nó Usuários no workspace Ativos e Conformidade . Esse subnodo contém todos os dispositivos com o estado de conformidade da guia selecionada.

O painel Detalhes do Ativo exibe os dispositivos com o estado de conformidade selecionado para este perfil. Abra um dispositivo na lista para exibir informações adicionais.

Relatórios

Configuration Manager inclui relatórios internos que você pode usar para monitorar informações sobre perfis de conexão remota. Esses relatórios têm a categoria de relatório de Gerenciamento de Conformidade e Configurações.

Importante

Use o caractere curinga (%) ao usar os parâmetros Filtro de dispositivo e Filtro de usuário nos relatórios para configurações de conformidade.

Para obter mais informações sobre como configurar relatórios em Configuration Manager, consulte Introdução ao relatório.