在 System Center Configuration Manager 中使用遠端連線設定檔

 

適用於: System Center Configuration Manager (current branch)

使用 System Center Configuration Manager 遠端連線設定檔可允許您的使用者在未連線到網域或透過網際網路連線到其個人電腦時,從遠端連線到工作電腦。

使用者可以從下列裝置類型,連線到其工作電腦:

  • 執行 Microsoft Windows 的電腦

  • 執行 iOS 的裝置

  • 執行 Android 的裝置

您可使用遠端連線設定檔,為 Configuration Manager 階層中的使用者部署遠端桌面連線設定。 之後,使用者就可以藉由公司入口網站,使用該入口網站所提供的遠端桌面連線設定,透過遠端桌面存取其主要工作電腦。

如果您要讓使用者透過公司入口網站連線到其工作電腦,就必須使用 Microsoft Intune。 如果您不使用 Intune,使用者仍可使用遠端連線設定檔中的資訊,透過 VPN 連線以遠端桌面連線到其工作電腦。

System_CAPS_ICON_important.jpg 重要


當您藉由 Configuration Manager 主控台指定遠端連線設定檔的設定時,這些設定會儲存在用戶端電腦的本機原則中。 這些設定可能會覆寫其他應用程式所設定的遠端桌面設定。 此外,如果您使用 Windows 群組原則設定遠端桌面設定,群組原則中所指定的設定值就會覆寫那些用 Configuration Manager設定的設定值。

當您安裝 Configuration Manager時,會建立一個新安全性群組 [Remote PC Connect] 。 部署遠端連線設定檔時,您要部署設定檔之電腦的主要使用者即會填入此群組。 雖然本機系統管理員會將使用者名稱加入到此群組,當下一次評估已部署之遠端連線設定檔的相容性時,便會從群組中移除這些使用者。

如果以手動方式將使用者加入到此群組,使用者就會起始遠端連線,但連線資訊不會發佈在公司入口網站。

如果您手動將 Configuration Manager新增的使用者從群組中移除, Configuration Manager 會在下一次評估遠端連線設定檔的相容性時,自動加回使用者,以補救這項變更。

System_CAPS_ICON_important.jpg 重要


如果使用者和裝置之間的使用者裝置親和性關聯有變化 (例如,使用者連接的電腦不再是使用者的主要裝置時, Configuration Manager 會停用遠端連線設定檔及 Windows 防火牆設定,避免與電腦連線。

外部相依性

相依性詳細資訊
遠端桌面閘道伺服器。如果您想要讓使用者透過網際網路從公司網域外部連線,您必須安裝並設定遠端桌面閘道伺服器。

如果遠端桌面或終端機服務設定是由另一個應用程式或群組原則設定進行管理,則遠端連線設定檔可能無法正常作用。 當您從 Configuration Manager 主控台部署遠端連線設定檔時,其設定會儲存在用戶端電腦的本機原則中。 這些設定可能會覆寫其他應用程式所設定的遠端桌面設定。 此外,如果您使用群組原則設定來指定遠端桌面設定,群組原則設定中指定的設定便會覆寫由 Configuration Manager設定的設定值。

如需如何安裝及設定遠端桌面閘道伺服器的詳細資訊,請參閱 Windows Server 文件。
如果用戶端電腦執行主機型防火牆,則必須啟用 Mstsc.exe 程式。當您設定遠端連線設定檔時,您必須啟用 [允許 Windows 網域和私人網路上連線的 Windows 防火牆例外] 設定。 當啟用此設定時, Configuration Manager 會自動將 Windows 防火牆設定為啟用 Mstsc.exe 程式。 不過,如果用戶端電腦執行不同的主機型防火牆,您就必須手動設定此防火牆的相依性。

用於設定 Windows 防火牆的群組原則設定可以覆寫您在 Configuration Manager 中指定的設定。 如果您使用群組原則來設定 Windows 防火牆,請確認群組原則設定不會封鎖 Mstsc.exe 程式。

Configuration Manager 相依性

相依性詳細資訊
Configuration Manager 必須連接到 Microsoft Intune (稱作混合式設定)。如需將 Configuration Manager 連接到 Microsoft Intune 的詳細資訊,請參閱<使用 Configuration Manager 和 Microsoft Intune 管理行動裝置>。
若要讓使用者連線至公司網路上的工作電腦,該電腦必須是該使用者的主要裝置。如需使用者裝置親和性的詳細資訊,請參閱 System Center Configuration Manager 的連結使用者和裝置與使用者裝置親和性
若要管理遠端連線設定檔,必須授與特定的安全性權限。相容性設定管理員 安全性角色包括管理遠端連線設定檔所需的權限。 如需詳細資訊,請參閱
為 System Center Configuration Manager 設定以角色為基礎的系統管理

安全性考量

安全性最佳作法詳細資訊
手動指定使用者裝置親和性,而不是讓使用者識別自己的主要裝置。 此外,請勿啟用基於使用方式的設定。由於您必須先啟用 [允許工作電腦的所有主要使用者從遠端連線] ,才能部署遠端連線設定檔,所以請一律手動指定使用者裝置親和性。 請勿將由使用者或裝置收集到的資訊視為已授權。 如果您部署遠端連線設定檔,而且信任的系統管理使用者未指定使用者裝置親和性,未授權的使用者可能會獲得較高的權限,因而能夠從遠端連線到電腦。

如果您啟用基於使用方式的設定,則此資訊會透過 Configuration Manager 未提供安全保護的狀態訊息進行收集。 若要降低此威脅,請在用戶端電腦和管理點之間使用伺服器訊息區 (SMB) 簽署或網際網路通訊協定安全性 (IPsec)。
限制網站伺服器電腦上的本機系統管理權限。網站伺服器上具有本機系統管理權限的使用者可以手動新增成員至 Configuration Manager 自動建立及維護的遠端電腦連線安全性群組。 這可能會導致權限的提升,因為新增至此群組的成員會獲得遠端桌面權限。

隱私權考量

  • 如果使用者從公司入口網站起始與工作電腦的連線,便會下載副檔名為 .rdp 或 .wsrdp 的檔案,其中含有裝置名稱以及起始遠端桌面工作階段所需的遠端桌面閘道伺服器名稱。 檔案副檔名視裝置的作業系統而定。 例如,Windows 7 及 Windows 8 作業系統使用 .rdp 檔案,而 Windows 8.1 則使用 .wsrdp 檔案。

  • 使用者可以選擇開啟或儲存 .rdp 檔案。 如果使用者選擇開啟 .rdp 檔案,視瀏覽器所設定的保留設定而定,檔案可能會儲存在網頁瀏覽器的快取中。 如果使用者選擇儲存檔案,則檔案不會儲存在瀏覽器快取中。 檔案將會儲存到使用者手動將它刪除為止。

  • .wsrdp 檔案會從本機下載並且自動儲存於本機。 此檔案會在使用者下次執行遠端桌面工作階段時覆寫。

  • 設定遠端連線設定檔之前,請考慮您的隱私權需求。

接下來,您可能會想要開始建立及部署遠端連線設定檔。

如需您可使用之所有設定的說明,請參閱如何在 System Center Configuration Manager 中建立遠端連線設定檔

Ensure device compliance with System Center Configuration Manager (確定裝置與 System Center Configuration Manager 的相容性)

顯示: