Fjärranslutningsprofiler i Configuration Manager
Gäller för: Konfigurationshanteraren (current branch)
Använd Configuration Manager fjärranslutningsprofiler så att användarna kan fjärransluta till arbetsdatorer. Med de här profilerna kan du distribuera inställningar för anslutning till fjärrskrivbord till användare i hierarkin. Användare kan komma åt någon av sina primära arbetsdatorer via Fjärrskrivbord via en VPN-anslutning.
Viktigt
När du anger inställningar för fjärranslutningsprofil med Configuration Manager lagrar klienten inställningarna i den lokala Windows-principen. De här inställningarna kan åsidosätta inställningar för fjärrskrivbord som du konfigurerar med ett annat program. Om du använder Windows grupprincip för att konfigurera fjärrskrivbordsinställningar åsidosätter de inställningar som anges i grupprincip Configuration Manager inställningar.
Configuration Manager skapar en säkerhetsgrupp på klienter, Remote PC Connect. När du distribuerar en fjärranslutningsprofil lägger klienten till de primära användarna av datorn i den här gruppen. En lokal administratör kan manuellt lägga till eller ta bort användare i den här gruppen, men Configuration Manager uppdaterar medlemskapet när profilens efterlevnad utvärderas.
Viktigt
Om mappningen mellan en användare och en enhet ändras inaktiverar Configuration Manager inställningarna för fjärranslutningsprofilen och Windows-brandväggen för att förhindra anslutningar till datorn.
Förhandskrav
Externa beroenden
Om du vill göra det möjligt för användare att ansluta från Internet installerar och konfigurerar du en fjärrskrivbordsgatewayserver. Mer information om hur du installerar och konfigurerar en fjärrskrivbordsgatewayserver finns i Fjärrskrivbordstjänster – åtkomst var som helst.
Om klienter kör en värdbaserad brandvägg måste den aktivera mstsc.exe-programmet. När du konfigurerar en fjärranslutningsprofil aktiverar du inställningen Tillåt undantag för Windows-brandväggen för anslutningar på Windows-domäner och i privata nätverk. Med den här inställningen kan Configuration Manager konfigurera Windows-brandväggen automatiskt.
Tips
grupprincip inställningar för att konfigurera Windows-brandväggen kan åsidosätta konfigurationen som du angav i Configuration Manager. Om du använder grupprincip för att konfigurera Windows-brandväggen kontrollerar du att grupprincip inställningar inte blockerar mstsc.exe.
Om klienter kör en annan värdbaserad brandvägg konfigurerar du det här brandväggsberoendet manuellt.
Configuration Manager beroenden
För att en användare ska kunna ansluta till en arbetsdator måste den datorn vara en primär enhet för användaren. Mer information finns i Länka användare och enheter med mappning mellan användare och enhet.
För att hantera fjärranslutningsprofiler behöver ditt användarkonto specifika behörigheter i Configuration Manager. Den inbyggda rollen Hanteraren för efterlevnadsinställningar innehåller de behörigheter som krävs för att hantera dessa profiler. Mer information finns i Konfigurera rollbaserad administration.
Säkerhets- och sekretessöverväganden
Säkerhetshänsyn
Ange mappning mellan användare och enhet manuellt i stället för att tillåta användare att identifiera sin primära enhet. Aktivera inte användningsbaserad konfiguration.
Innan du kan distribuera en fjärranslutningsprofil måste du aktivera alternativet Tillåt att alla primära användare av arbetsdatorn fjärransluter. Med den här konfigurationen bör du alltid manuellt ange mappning mellan användare och enhet. Tänk inte på att informationen som Configuration Manager samlar in från användare eller från enheten är auktoritativ. Om du distribuerar en profil och en betrodd administrativ användare inte anger mappning mellan användare och enhet kan obehöriga användare få utökade privilegier och fjärransluta till datorer.
Configuration Manager samlar in användningsbaserad information via tillståndsmeddelanden, vilket är en snabb men osäker kommunikationskanal. Du kan åtgärda det här hotet genom att använda SMB-signering (Server Message Block) eller IPsec (Internet Protocol Security) mellan klientdatorer och hanteringsplatsen.
Begränsa lokala administrativa rättigheter på platsserverdatorn. En lokal administratör på platsservern kan manuellt lägga till medlemmar i säkerhetsgruppen Remote PC Connect som Configuration Manager automatiskt skapar och underhåller. Den här åtgärden kan orsaka utökade privilegier eftersom medlemmar får fjärrskrivbordsbehörighet.
Sekretessöverväganden
När en användare fjärransluter till en arbetsdator laddar de ned en .wsrdp-fil. Den här filen innehåller enhetsnamnet och namnet på fjärrskrivbordsgatewayservern. Dessa värden krävs för att skapa fjärrskrivbordssessionen. .wsrdp-filen laddas ned och sparas automatiskt lokalt. Den här filen skrivs över nästa gång användaren kör en fjärrskrivbordssession.
Skapa en profil
I Configuration Manager-konsolen går du till arbetsytan Tillgångar och efterlevnad, expanderar Kompatibilitetsinställningar och väljer Fjärranslutningsprofiler.
På fliken Start i menyfliksområdet går du till gruppen Skapa och väljer Skapa fjärranslutningsprofil.
På sidan Allmänt i guiden Skapa fjärranslutningsprofil anger du ett namn och en valfri beskrivning för profilen. Båda värdena har en maxgräns på 256 tecken.
På sidan Profilinställningar anger du följande inställningar:
Fullständigt namn och port för fjärrskrivbordsgatewayservern (valfritt): Ange namnet på fjärrskrivbordsgatewayservern som ska användas för anslutningar. Det här värdet har följande krav:
- Servernamnet får inte vara längre än 256 tecken.
- Den kan innehålla versaler, gemener och numeriska tecken.
- Förutom punkter (
.) mellan segment och kolon (:) före porten är de enda specialteckenen bindestreck (–) och understreck (_). - Configuration Manager stöder inte användning av ett internationaliserat domännamn för det här värdet.
Tillåt endast anslutningar från datorer som kör Fjärrskrivbord med autentisering på nätverksnivå: Aktiverad som standard, den här inställningen lägger till ytterligare en säkerhetsnivå för anslutningen. Mer information finns i Bevilja fjärrskrivbord åtkomst.
Aktivera följande anslutningsinställningar:
Tillåt fjärranslutningar till arbetsdatorer
Tillåt att alla primära användare av arbetsdatorn fjärransluter
Tillåt undantag från Windows-brandväggen för anslutningar på Windows-domäner och i privata nätverk
Viktigt
Alla tre inställningarna måste vara desamma innan du kan fortsätta.
Inaktivera endast de här inställningarna när du distribuerar en profil för att stänga av fjärranslutningar.
Slutför guiden.
Den nya profilen visas i noden Fjärranslutningsprofiler på arbetsytan Tillgångar och efterlevnad .
Distribuera
I Configuration Manager-konsolen går du till arbetsytan Tillgångar och efterlevnad, expanderar Kompatibilitetsinställningar och väljer Fjärranslutningsprofiler.
I listan Fjärranslutningsprofiler väljer du den profil som du vill distribuera. På fliken Start i menyfliksområdet går du till gruppen Distribution och väljer Distribuera.
I fönstret Distribuera fjärranslutningsprofil anger du följande information:
Samling: Bläddra för att välja den enhetssamling där du vill distribuera profilen.
Åtgärda inkompatibla regler när de stöds: Aktivera den här inställningen för att automatiskt åtgärda profilinställningarna när de inte är kompatibla med en enhet. Profilen kan vara inkompatibel när den inte finns.
Tillåt reparation utanför underhållsfönstret: Om du konfigurerar en underhållsperiod för den samling som du distribuerar profilen till aktiverar du det här alternativet för att låta Configuration Manager åtgärda den utanför underhållsperioden. Mer information finns i Använda underhållsperioder.
Generera en avisering: Aktivera det här alternativet för att konfigurera en efterlevnadsavisering.
Ange schemat för kompatibilitetsutvärdering för den här konfigurationsbaslinjen: Ange ett enkelt eller anpassat schema som klienten utvärderar profilen med.
Välj OK för att stänga fönstret och skapa distributionen.
Klientutvärdering
Klienten utvärderar profilen när en användare loggar in.
Om en enhet lämnar en samling som du distribuerar en fjärranslutningsprofil till inaktiverar Configuration Manager inställningarna på enheten. Men för att den här processen ska fungera korrekt måste du redan ha distribuerat minst ett konfigurationsobjekt eller en konfigurationsbaslinje som innehåller ett konfigurationsobjekt från platsen.
Konfliktlösning
Distribuera inte fler än en fjärranslutningsprofil med motstridiga inställningar till samma enhet. Du kan till exempel distribuera två profiler med olika inställningar till samma samling. Du konfigurerar bara en profildistribution för att åtgärda inkompatibla regler när det stöds. Den här distributionen kan åsidosätta inställningarna i den andra profilen. Configuration Manager stöder inte den här typen av fjärranslutningsprofildistribution.
Övervaka
I Configuration Manager-konsolen går du till arbetsytan Övervakning och väljer Distributioner. I listan Distributioner väljer du distributionen av fjärranslutningsprofilen.
Du kan granska sammanfattningsinformation om kompatibiliteten för fjärranslutningsprofildistributionen på huvudsidan. Om du vill visa mer detaljerad information väljer du profildistributionen. På fliken Start i menyfliksområdet går du till gruppen Distribution och väljer Visa status. Den här åtgärden öppnar sidan Distributionsstatus .
Sidan Distributionsstatus innehåller följande flikar:
Kompatibel: Visar kompatibiliteten för fjärranslutningsprofilen baserat på antalet tillgångar som påverkas.
Viktigt
Klienten utvärderar inte en fjärranslutningsprofil om den inte är tillämplig. Den rapporterar dock fortfarande att den är kompatibel.
Fel: Visar en lista över alla fel för den valda fjärranslutningsprofildistributionen baserat på antalet tillgångar som påverkas.
Inkompatibel: Visar en lista över alla inkompatibla regler i fjärranslutningsprofilen baserat på antalet tillgångar som påverkas.
Okänd: Visar en lista över alla enheter som inte rapporterar kompatibilitet för den valda fjärranslutningsprofildistributionen, tillsammans med enheternas aktuella klientstatus.
Öppna en regel på valfri flik för att skapa en tillfällig undernod under noden Användare på arbetsytan Tillgångar och efterlevnad . Den här undernoden innehåller alla enheter med kompatibilitetstillståndet för den valda fliken.
Fönstret Tillgångsinformation visar enheterna med det valda kompatibilitetstillståndet för den här profilen. Öppna en enhet i listan om du vill visa ytterligare information.
Rapporter
Configuration Manager innehåller inbyggda rapporter som du kan använda för att övervaka information om fjärranslutningsprofiler. Dessa rapporter har rapportkategorin Efterlevnads- och inställningshantering.
Viktigt
Använd jokertecknet (%) när du använder parametrarna Enhetsfilter och Användarfilter i rapporterna för kompatibilitetsinställningar.
Mer information om hur du konfigurerar rapportering i Configuration Manager finns i Introduktion till rapportering.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för