Trabalhar com perfis de ligação remota no System Center Configuration Manager

 

Aplica-se A: System Center Configuration Manager (current branch)

Utilize perfis de ligação remota do O System Center Configuration Manager para permitir que os utilizadores liguem remotamente a computadores de trabalho quando não estiverem ligados ao domínio ou se os computadores pessoais deles estiverem ligados através da Internet.

Os utilizadores podem ligar-se aos seus PC de trabalho a partir dos seguintes tipos de dispositivos:

  • Computadores com o Microsoft Windows

  • Dispositivos com iOS

  • Dispositivos com Android

Os perfis de ligação remota permitem implementar definições de Ligação ao Ambiente de Trabalho Remoto para os utilizadores na sua hierarquia do Gestor de configuração. Os utilizadores podem depois utilizar o portal da empresa para aceder a qualquer computador de trabalho primário através do Ambiente de Trabalho Remoto, utilizando as definições de Ligação ao Ambiente de Trabalho Remoto fornecidas pelo portal.

O Microsoft Intune é necessário se pretender que os utilizadores liguem aos seus computadores de trabalho através do portal da empresa. Se não estiver a utilizar o Intune, os utilizadores continuam a poder utilizar as informações do perfil de ligação remota para ligar aos seus PC de trabalho, utilizando o Ambiente de Trabalho Remoto através de uma ligação VPN.

System_CAPS_ICON_important.jpg Importante


Quando especifica definições de perfil de ligação remota através da consola do Gestor de configuração, as definições são armazenadas na política local do computador cliente. Estas definições podem substituir as definições de Ambiente de Trabalho Remoto configuradas por outra aplicação. Alem disso, se utilizar a Política de Grupo do Windows para configurar definições de Ambiente de Trabalho Remoto, as definições especificadas na Política de Grupo substituirão as configuradas através do Gestor de configuração.

Quando instala o Gestor de configuração, é criado um novo grupo de segurança, Ligação ao PC Remoto. Este grupo é preenchido quando é implementado um perfil de ligação remota que inclui os utilizadores primários do computador em que o perfil é implementado. Embora um administrador local possa adicionar nomes de utilizadores a este grupo, esses utilizadores serão removidos do grupo na próxima vez que for avaliada a compatibilidade dos perfis de ligação remota implementados.

Se adicionar manualmente um utilizador a este grupo, o utilizador pode iniciar ligações remotas, mas a informação da ligação não será publicada no portal da empresa.

Se remover manualmente do grupo um utilizador que tenha sido adicionado pelo Gestor de configuração, o Gestor de configuração remediará automaticamente esta alteração, voltando a adicionar o utilizador na próxima vez que for avaliada a compatibilidade do perfil de ligação remota.

System_CAPS_ICON_important.jpg Importante


Se a relação de afinidade de dispositivo do utilizador entre um utilizador e um dispositivo for alterada (por exemplo, o computador a que o utilizador liga deixa de ser um dispositivo primário do utilizador), o Gestor de configuração desativa o perfil de ligação remota e as definições da Firewall do Windows para impedir ligações ao computador.

Dependências externas

DependênciaMais informações
Servidor de Gateway de Ambiente de Trabalho Remoto.Se pretender permitir que os utilizadores estabeleçam ligação à Internet fora do domínio da empresa, terá de instalar e configurar um servidor de Gateway de Ambiente de Trabalho remoto.

Se as definições do Ambiente de Trabalho Remoto ou dos Serviços de Terminal forem geridas por outra aplicação ou pelas definições de Política de Grupo, os perfis de ligação remota poderão não funcionar corretamente. Quando implementa perfis de ligação remota a partir da consola do Gestor de configuração, as respetivas definições são armazenadas na política local do computador cliente. Estas definições poderão substituir as definições de Ambiente de Trabalho Remoto configuradas por outra aplicação. Além disso, se utilizar as definições de Política de Grupo para configurar as definições de Ambiente de Trabalho Remoto, as definições especificadas na Política de Grupo substituirão as configuradas pelo Gestor de configuração.

Para mais informações sobre como instalar e configurar um servidor de Gateway de Ambiente de Trabalho Remoto, consulte a documentação do Windows Server.
Se os computadores cliente executarem uma firewall baseada no anfitrião, terão de ativar o programa Mstsc.exe.Quando configura um perfil de ligação remota, tem de ativar a definição Permitir exceção de Firewall do Windows para ligações em domínios do Windows e em redes privadas. Quando esta definição estiver ativada, o Gestor de configuração configurará automaticamente a Firewall do Windows para ativar o programa Mstsc.exe. No entanto, se os computadores cliente executarem outra firewall baseada no anfitrião, terá de configurar manualmente esta dependência de firewall.

As definições de Política de Grupo para configurar a Firewall do Windows poderão substituir a configuração definida no Configuration Manager. Se utilizar a Política de Grupo para configurar a Firewall do Windows, certifique-se de que as definições de Política de Grupo não bloqueiam o programa Mstsc.exe.

Dependências do Configuration Manager

DependênciaMais informações
Gestor de configuração tem de estar ligado ao Microsoft Intune (conhecido como configuração híbrida).Para obter mais informações sobre como ligar o Gestor de configuração ao Microsoft Intune, veja Gerir Dispositivos Móveis com o Configuration Manager e o Microsoft Intune.
Para que um utilizador possa ligar a um computador de trabalho na rede da empresa, esse computador terá de ser um dispositivo primário do utilizador.Para obter mais informações sobre a afinidade de dispositivo de utilizador, veja Associar utilizadores e dispositivos à afinidade de dispositivo do utilizador no System Center Configuration Manager.
Deverão ter sido concedidas permissões de segurança específicas para gerir perfis de ligação remota.A função de segurança Gestor de Definições de Conformidade inclui as permissões necessárias para gerir os perfis de ligação remota. Para mais informações, consulte
Configurar a administração baseada em funções para o System Center Configuration Manager.

Considerações de segurança

Procedimento recomendado de segurançaMais informações
Especifique manualmente a afinidade dispositivo/utilizador em vez de permitir que os utilizadores identifiquem o respetivo dispositivo primário. Além disso, não ative a configuração baseada na utilização.Uma vez que tem de ativar a opção Permitir a todos os utilizadores primários do computador de trabalho ligar de forma remota para poder implementar um perfil de ligação remota, especifique sempre manualmente a afinidade dispositivo/utilizador. Não considere autoritativas as informações recolhidas junto dos utilizadores ou do dispositivo. Se implementar perfis de ligação remota e um utilizador administrativo fidedigno não especificar a afinidade dispositivo/utilizador, os utilizadores não autorizados poderão obter privilégios elevados, sendo capazes de estabelecer ligação remota aos computadores.

Se ativar a configuração baseada na utilização, estas informações serão obtidas através de mensagens de estado, que não são protegidas pelo Gestor de configuração. Para ajudar a atenuar esta ameaça, utilize a assinatura de Bloco de Mensagem de Servidor (SMB) ou o protocolo IPsec (Internet Protocol Security) entre os computadores cliente e o ponto de gestão.
Restrinja os direitos administrativos locais no computador do servidor de site.Um utilizador que possua direitos administrativos locais no servidor de site poderá adicionar manualmente membros ao grupo de segurança Ligação ao PC Remoto, criado e mantido automaticamente pelo Gestor de configuração. Isto poderá provocar uma elevação de privilégios, uma vez que os membros que são adicionados a este grupo recebem permissões de Ambiente de Trabalho Remoto.

Considerações de privacidade

  • Se um utilizador iniciar uma ligação a um computador de trabalho a partir do portal da empresa, será transferido um ficheiro com extensão .rdp ou .wsrdp, contendo o nome do dispositivo e o nome do Servidor de Gateway de Ambiente de Trabalho Remoto necessário para iniciar a sessão do Ambiente de Trabalho Remoto. A extensão do ficheiro depende do sistema operativo do dispositivo. Por exemplo, os sistemas operativos Windows 7 e Windows 8 utilizam um ficheiro .rdp, e o Windows 8.1 utiliza um ficheiro .wsrdp.

  • O utilizador poderá optar por abrir ou guardar o ficheiro .rdp. Se o utilizador optar por abrir o ficheiro .rdp, o ficheiro poderá ser armazenado na cache do browser, conforme as definições de retenção configuradas no browser. Se o utilizador optar por guardar o ficheiro, o ficheiro não será armazenado na cache do browser. O ficheiro será guardado até que o utilizador o elimine manualmente.

  • O ficheiro .wsrdp é transferido e guardado localmente, de forma automática. O ficheiro será substituído da próxima vez que o utilizador executar uma sessão de Ambiente de Trabalho Remoto.

  • Antes de configurar os perfis de ligação remota, considere os requisitos de privacidade.

Em seguida, é provável que pretenda criar e implementar perfis de ligação remota.

Para obter ajuda relativamente a todas as definições que pode utilizar, veja Como criar perfis de ligação remota no System Center Configuration Manager.

Garantir a compatibilidade do dispositivo com o System Center Configuration Manager

Mostrar: