다음을 통해 공유


Configuration Manager 원격 연결 프로필

적용 대상: Configuration Manager(현재 분기)

Configuration Manager 원격 연결 프로필을 사용하여 사용자가 회사 컴퓨터에 원격으로 연결할 수 있도록 합니다. 이러한 프로필을 사용하면 계층 구조의 사용자에게 원격 데스크톱 연결 설정을 배포할 수 있습니다. 사용자는 VPN 연결을 통해 원격 데스크톱을 통해 기본 작업 컴퓨터에 액세스할 수 있습니다.

중요

Configuration Manager 사용하여 원격 연결 프로필 설정을 지정하면 클라이언트는 Windows 로컬 정책에 설정을 저장합니다. 이러한 설정은 다른 애플리케이션으로 구성하는 원격 데스크톱 설정을 재정의할 수 있습니다. 또한 Windows 그룹 정책 사용하여 원격 데스크톱 설정을 구성하는 경우 그룹 정책 지정된 설정이 Configuration Manager 설정을 재정의합니다.

Configuration Manager 클라이언트, 원격 PC 연결에 보안 그룹을 만듭니다. 원격 연결 프로필을 배포할 때 클라이언트는 컴퓨터의 기본 사용자를 이 그룹에 추가합니다. 로컬 관리자는 이 그룹에 사용자를 수동으로 추가하거나 제거할 수 있지만 Configuration Manager 다음에 프로필 준수를 평가할 때 멤버 자격을 업데이트합니다.

중요

사용자와 디바이스 간의 사용자 디바이스 선호도 관계가 변경되면 Configuration Manager 원격 연결 프로필 및 Windows 방화벽 설정을 사용하지 않도록 설정하여 컴퓨터에 대한 연결을 방지합니다.

필수 조건

외부 종속성

  • 사용자가 인터넷에서 연결할 수 있도록 하려면 원격 데스크톱 게이트웨이 서버를 설치하고 구성합니다. 원격 데스크톱 게이트웨이 서버를 설치하고 구성하는 방법에 대한 자세한 내용은 원격 데스크톱 서비스 - 어디서나 액세스를 참조하세요.

  • 클라이언트가 호스트 기반 방화벽을 실행하는 경우 mstsc.exe 프로그램을 사용하도록 설정해야 합니다. 원격 연결 프로필을 구성할 때 Windows 도메인 및 개인 네트워크의 연결에 대해 Windows 방화벽 예외 허용 설정을 사용하도록 설정합니다. 이 설정을 사용하면 Configuration Manager Windows 방화벽을 자동으로 구성할 수 있습니다.

    Windows 방화벽을 구성하는 그룹 정책 설정은 Configuration Manager 설정한 구성을 재정의할 수 있습니다. 그룹 정책 사용하여 Windows 방화벽을 구성하는 경우 그룹 정책 설정이 mstsc.exe 차단하지 않는지 확인합니다.

    클라이언트가 다른 호스트 기반 방화벽을 실행하는 경우 이 방화벽 종속성을 수동으로 구성합니다.

Configuration Manager 종속성

보안 및 개인 정보 보호 고려 사항

보안 고려 사항

  • 사용자가 기본 디바이스를 식별할 수 있도록 허용하는 대신 사용자 디바이스 선호도를 수동으로 지정합니다. 사용량 기반 구성을 사용하도록 설정하지 마세요.

    • 원격 연결 프로필을 배포하려면 작업 컴퓨터의 모든 기본 사용자가 원격으로 연결할 수 있도록 허용 옵션을 사용하도록 설정해야 합니다. 이 구성을 사용하면 항상 사용자 디바이스 선호도를 수동으로 지정해야 합니다. Configuration Manager 사용자 또는 디바이스에서 수집하는 정보를 신뢰할 수 있는 것으로 간주하지 마세요. 프로필을 배포하고 신뢰할 수 있는 관리자가 사용자 디바이스 선호도를 지정하지 않는 경우 권한이 없는 사용자는 상승된 권한을 받고 컴퓨터에 원격으로 연결할 수 있습니다.

    • Configuration Manager 빠르고 안전하지 않은 통신 채널인 상태 메시지를 통해 사용량 기반 정보를 수집합니다. 이 위협을 완화하려면 클라이언트 컴퓨터와 관리 지점 간에 SMB(서버 메시지 블록) 서명 또는 IPsec(인터넷 프로토콜 보안)을 사용합니다.

  • 사이트 서버 컴퓨터에서 로컬 관리 권한을 제한합니다. 사이트 서버의 로컬 관리자는 Configuration Manager 자동으로 만들고 유지 관리하는 원격 PC Connect 보안 그룹에 구성원을 수동으로 추가할 수 있습니다. 이 작업을 수행하면 멤버가 원격 데스크톱 권한을 받기 때문에 권한 상승이 발생할 수 있습니다.

개인 정보 고려 사항

사용자가 회사 컴퓨터에 원격으로 연결하면 .wsrdp 파일을 다운로드합니다. 이 파일에는 디바이스 이름 및 원격 데스크톱 게이트웨이 서버 이름이 포함됩니다. 이러한 값은 원격 데스크톱 세션을 만드는 데 필요합니다. .wsrdp 파일이 다운로드되고 자동으로 로컬로 저장됩니다. 이 파일은 다음에 사용자가 원격 데스크톱 세션을 실행할 때 덮어씁니다.

프로필 만들기

  1. Configuration Manager 콘솔에서 자산 및 규정 준수 작업 영역으로 이동하여 규정 준수 설정을 확장하고 원격 연결 프로필을 선택합니다.

  2. 리본의 탭에 있는 만들기 그룹에서 원격 연결 프로필 만들기를 선택합니다.

  3. 원격 연결 프로필 만들기 마법사일반 페이지에서 프로필에 대한 이름 및 선택적 설명을 지정합니다. 두 값의 최대 제한은 256자입니다.

  4. 프로필 설정 페이지에서 다음 설정을 지정합니다.

    • 원격 데스크톱 게이트웨이 서버의 전체 이름 및 포트(선택 사항): 연결에 사용할 원격 데스크톱 게이트웨이 서버의 이름을 지정합니다. 이 값에는 다음과 같은 요구 사항이 있습니다.

      • 서버 이름은 256자를 초과할 수 없습니다.
      • 대문자, 소문자 및 숫자 문자를 포함할 수 있습니다.
      • 세그먼트 사이의 마침표(.)와 포트 앞의 콜론(:)을 제외하고, 유일한 특수 문자는 대시() 및 밑줄(_)입니다.
      • Configuration Manager 이 값에 대해 국제화된 도메인 이름 사용을 지원하지 않습니다.
    • 네트워크 수준 인증을 사용하여 원격 데스크톱을 실행하는 컴퓨터에서만 연결 허용: 기본적으로 사용하도록 설정하면 연결에 대한 추가 보안 수준이 추가됩니다. 자세한 내용은 원격 데스크톱 액세스 권한 부여를 참조하세요.

    • 다음 연결 설정을 사용하도록 설정합니다.

      • 원격 연결이 컴퓨터에서 작동하도록 허용

      • 회사 컴퓨터의 모든 기본 사용자가 원격으로 연결할 수 있도록 허용

      • Windows 도메인 및 프라이빗 네트워크의 연결에 대한 Windows 방화벽 예외 허용

      중요

      계속하려면 세 설정이 모두 동일해야 합니다.

      원격 연결을 해제하기 위해 프로필을 배포할 때만 이러한 설정을 사용하지 않도록 설정합니다.

  5. 마법사를 완료합니다.

새 프로필은 자산 및 규정 준수 작업 영역의 원격 연결 프로필 노드에 표시됩니다.

배포

  1. Configuration Manager 콘솔에서 자산 및 규정 준수 작업 영역으로 이동하여 규정 준수 설정을 확장하고 원격 연결 프로필을 선택합니다.

  2. 원격 연결 프로필 목록에서 배포할 프로필을 선택합니다. 리본의 탭에 있는 배포 그룹에서 배포를 선택합니다.

  3. 원격 연결 프로필 배포 창에서 다음 정보를 지정합니다.

    • 컬렉션: 프로필을 배포할 디바이스 컬렉션을 찾습니다.

    • 지원되는 경우 비규격 규칙 수정: 디바이스에서 비준수 상태일 때 프로필 설정을 자동으로 수정하도록 이 설정을 사용하도록 설정합니다. 프로필이 없으면 비준수일 수 있습니다.

    • 유지 관리 기간 외부에서 수정 허용: 프로필을 배포할 컬렉션에 대한 유지 관리 기간을 구성하는 경우 이 옵션을 사용하도록 설정하여 유지 관리 기간 외부에서 수정할 Configuration Manager 있습니다. 자세한 내용은 유지 관리 기간을 사용하는 방법을 참조하세요.

    • 경고 생성: 준수 경고를 구성하려면 이 옵션을 사용하도록 설정합니다.

    • 이 구성 기준에 대한 준수 평가 일정 지정: 클라이언트가 프로필을 평가하는 단순 또는 사용자 지정 일정을 지정합니다.

  4. 확인을 선택하여 창을 닫고 배포를 만듭니다.

클라이언트 평가

클라이언트는 사용자가 로그인할 때 프로필을 평가합니다.

디바이스가 원격 연결 프로필을 배포하는 컬렉션을 벗어나면 Configuration Manager 디바이스에서 설정을 사용하지 않도록 설정합니다. 그러나 이 프로세스가 올바르게 수행되려면 사이트의 구성 항목이 포함된 구성 항목 또는 구성 기준이 하나 이상 이미 배포되어 있어야 합니다.

충돌 해결

동일한 디바이스에 충돌하는 설정이 있는 둘 이상의 원격 연결 프로필을 배포하지 마세요. 예를 들어 설정이 다른 두 프로필을 동일한 컬렉션에 배포합니다. 지원되는 경우 비규격 규칙을 수정하도록 프로필 배포를 하나만 구성합니다. 이 배포는 다른 프로필의 설정을 재정의할 수 있습니다. Configuration Manager 이러한 유형의 원격 연결 프로필 배포를 지원하지 않습니다.

모니터링

Configuration Manager 콘솔에서 모니터링 작업 영역으로 이동하고 배포를 선택합니다. 배포 목록에서 원격 연결 프로필 배포를 선택합니다.

기본 페이지에서 원격 연결 프로필 배포의 준수에 대한 요약 정보를 검토할 수 있습니다. 자세한 정보를 보려면 프로필 배포를 선택합니다. 그런 다음 리본의 탭에 있는 배포 그룹에서 상태 보기를 선택합니다. 이 작업을 수행하면 배포 상태 페이지가 열립니다.

배포 상태 페이지에는 다음 탭이 포함되어 있습니다.

  • 준수: 영향을 받는 자산 수에 따라 원격 연결 프로필의 준수를 표시합니다.

    중요

    해당되지 않는 경우 클라이언트는 원격 연결 프로필을 평가하지 않습니다. 그러나 여전히 규격을 보고합니다.

  • 오류: 영향을 받는 자산 수에 따라 선택한 원격 연결 프로필 배포에 대한 모든 오류 목록을 표시합니다.

  • 비준수: 영향을 받는 자산 수에 따라 원격 연결 프로필 내의 모든 비준수 규칙 목록을 표시합니다.

  • 알 수 없음: 선택한 원격 연결 프로필 배포에 대한 준수를 보고하지 않은 모든 디바이스의 목록을 디바이스의 현재 클라이언트 상태와 함께 표시합니다.

모든 탭에서 규칙을 열어 자산 및 규정 준수 작업 영역의 사용자 노드 아래에 임시 하위 노드를 만듭니다. 이 하위 노드에는 선택한 탭의 준수 상태가 있는 모든 디바이스가 포함됩니다.

자산 세부 정보 창에는 이 프로필에 대해 선택한 준수 상태가 있는 디바이스가 표시됩니다. 목록에서 디바이스를 열어 추가 정보를 표시합니다.

보고서

Configuration Manager 원격 연결 프로필에 대한 정보를 모니터링하는 데 사용할 수 있는 기본 제공 보고서가 포함되어 있습니다. 이러한 보고서에는 준수 및 설정 관리의 보고서 범주가 있습니다.

중요

준수 설정에 대한 보고서에서 디바이스 필터사용자 필터 매개 변수를 사용할 때 와일드카드 문자(%)를 사용합니다.

Configuration Manager 보고를 구성하는 방법에 대한 자세한 내용은 보고 소개를 참조하세요.