Perfis de ligação remota no Configuration Manager

Aplica-se a: Configuration Manager (branch atual)

Utilize Configuration Manager perfis de ligação remota para permitir que os seus utilizadores se liguem remotamente a computadores de trabalho. Estes perfis permitem-lhe implementar definições de Ligação ao Ambiente de Trabalho Remoto para utilizadores na sua hierarquia. Os utilizadores podem aceder a qualquer um dos computadores de trabalho primários através do Ambiente de Trabalho Remoto através de uma ligação VPN.

Importante

Quando especificar definições de perfil de ligação remota com Configuration Manager, o cliente armazena as definições na política local do Windows. Estas definições podem substituir as definições do Ambiente de Trabalho Remoto que configurar com outra aplicação. Além disso, se utilizar o Windows Política de Grupo para configurar as definições do Ambiente de Trabalho Remoto, as definições especificadas no Política de Grupo substituirão Configuration Manager definições.

Configuration Manager cria um grupo de segurança em clientes, o Remote PC Connect. Quando implementa um perfil de ligação remota, o cliente adiciona os utilizadores principais do computador a este grupo. Um administrador local pode adicionar ou remover utilizadores manualmente a este grupo, mas Configuration Manager atualiza a associação quando, em seguida, avalia a compatibilidade do perfil.

Importante

Se a relação de afinidade dispositivo/utilizador entre um utilizador e um dispositivo for alterada, Configuration Manager desativa o perfil de ligação remota e as definições da Firewall do Windows para impedir ligações ao computador.

Pré-requisitos

Dependências externas

• Se quiser permitir que os utilizadores se liguem a partir da Internet, instale e configure um servidor de Gateway de Ambiente de Trabalho Remoto. Para obter mais informações sobre como instalar e configurar um servidor de Gateway de Ambiente de Trabalho Remoto, veja Serviços de Ambiente de Trabalho Remoto – Acesso a partir de qualquer lugar.

• Se os clientes executarem uma firewall baseada no anfitrião, tem de ativar o programa de mstsc.exe. Quando configurar um perfil de ligação remota, ative a definição para Permitir exceção da Firewall do Windows para ligações em domínios windows e em redes privadas. Esta definição permite Configuration Manager configurar automaticamente a Firewall do Windows.

  Dica

  Política de Grupo definições para configurar a Firewall do Windows podem substituir a configuração que definiu no Configuration Manager. Se utilizar Política de Grupo para configurar a Firewall do Windows, certifique-se de que Política de Grupo definições não bloqueiam mstsc.exe.

  Se os clientes executarem uma firewall baseada no anfitrião diferente, configure manualmente esta dependência de firewall.

dependências de Configuration Manager

• Para que um utilizador se ligue a um computador de trabalho, esse computador tem de ser um dispositivo principal do utilizador. Para obter mais informações, veja Ligar utilizadores e dispositivos com afinidade dispositivo/utilizador.

• Para gerir perfis de ligação remota, a sua conta de utilizador precisa de permissões específicas no Configuration Manager. A função incorporada Gestor de Definições de Compatibilidade inclui as permissões necessárias para gerir estes perfis. Para obter mais informações, veja Configurar a administração baseada em funções.

Considerações sobre segurança e privacidade

Considerações de segurança

• Especifique manualmente a afinidade dispositivo/utilizador em vez de permitir que os utilizadores identifiquem o dispositivo primário. Não ative a configuração baseada na utilização.

  • Antes de poder implementar um perfil de ligação remota, tem de ativar a opção para Permitir que todos os utilizadores primários do computador de trabalho se liguem remotamente. Com esta configuração, deve sempre especificar manualmente a afinidade dispositivo/utilizador. Não considere autoritativas as informações que Configuration Manager recolhe dos utilizadores ou do dispositivo. Se implementar um perfil e um utilizador administrativo fidedigno não especificar a afinidade dispositivo/utilizador, os utilizadores não autorizados poderão receber privilégios elevados e podem ligar-se remotamente aos computadores.

  • Configuration Manager recolhe informações baseadas na utilização através de mensagens de estado, que são um canal de comunicação rápido, mas inseguro. Para ajudar a mitigar esta ameaça, utilize a assinatura SMB (Server Message Block) ou a segurança do Protocolo Internet (IPsec) entre computadores cliente e o ponto de gestão.

• Restringir direitos administrativos locais no computador do servidor do site. Um administrador local no servidor do site pode adicionar manualmente membros ao grupo de segurança Remote PC Connect que Configuration Manager cria e mantém automaticamente. Esta ação pode causar uma elevação de privilégios porque os membros recebem permissões de Ambiente de Trabalho Remoto.

Considerações sobre privacidade

Quando um utilizador se liga remotamente a um computador de trabalho, transfere um ficheiro .wsrdp. Este ficheiro contém o nome do dispositivo e o nome do Servidor do Gateway de Ambiente de Trabalho Remoto. Estes valores são necessários para criar a sessão de Ambiente de Trabalho Remoto. O ficheiro .wsrdp é transferido e guardado automaticamente localmente. Este ficheiro é substituído da próxima vez que o utilizador executar uma sessão de Ambiente de Trabalho Remoto.

Criar um perfil

1. Na consola do Configuration Manager, aceda à área de trabalho Ativos e Compatibilidade, expanda Definições de Compatibilidade e selecione Perfis de Ligação Remota.

2. No separador Base do friso, no grupo Criar , selecione Criar Perfil de Ligação Remota.

3. Na página Geral do Assistente para Criar Perfil de Ligação Remota, especifique um nome e uma descrição opcional para o perfil. Ambos os valores têm um limite máximo de 256 carateres.

4. Na página Definições do Perfil, especifique as seguintes definições:

   • Nome completo e porta do servidor do Gateway de Ambiente de Trabalho Remoto (opcional): especifique o nome do Servidor de Gateway de Ambiente de Trabalho Remoto a utilizar para ligações. Este valor tem os seguintes requisitos:

     • O nome do servidor não pode ter mais de 256 carateres.
     • Pode conter carateres em maiúsculas, minúsculas e numéricas.
     • Além dos períodos (.) entre segmentos e dois pontos (:) antes da porta, os únicos carateres especiais são travessão (–) e caráter de sublinhado (_).
     • Configuration Manager não suporta a utilização de um nome de domínio internacionalizado para este valor.

   • Permitir ligações apenas a partir de computadores que executam o Ambiente de Trabalho Remoto com Autenticação ao Nível da Rede: ativada por predefinição, esta definição adiciona um nível adicional de segurança para a ligação. Para obter mais informações, veja Conceder acesso ao Ambiente de Trabalho Remoto.

   • Ative as seguintes definições de ligação:

     • Permitir ligações remotas a computadores de trabalho

     • Permitir que todos os utilizadores principais do computador de trabalho se liguem remotamente

     • Permitir exceção da Firewall do Windows para ligações em domínios windows e em redes privadas

     Importante

     As três definições têm de ser as mesmas antes de poder continuar.

     Desative estas definições apenas quando implementar um perfil para desativar as ligações remotas.

5. Conclua o assistente.

O novo perfil é apresentado no nó Perfis de Ligação Remota na área de trabalho Ativos e Compatibilidade .

Implantar

1. Na consola do Configuration Manager, aceda à área de trabalho Ativos e Compatibilidade, expanda Definições de Compatibilidade e selecione Perfis de Ligação Remota.

2. Na lista Perfis de Ligação Remota , selecione o perfil que pretende implementar. No separador Base do friso, no grupo Implementação , selecione Implementar.

3. Na janela Implementar Perfil de Ligação Remota , especifique as seguintes informações:

   • Coleção: navegue para selecionar a coleção de dispositivos onde pretende implementar o perfil.

   • Remediar regras incompatíveis quando suportado: ative esta definição para remediar automaticamente as definições de perfil quando não estiverem em conformidade num dispositivo. O perfil pode não estar em conformidade quando não existe.

   • Permitir remediação fora da janela de manutenção: se configurar uma janela de manutenção para a coleção para a qual implementa o perfil, ative esta opção para permitir que Configuration Manager resolva-a fora da janela de manutenção. Para obter mais informações, consulte Como utilizar janelas de manutenção.

   • Gerar um alerta: ative esta opção para configurar um alerta de conformidade.

   • Especifique a agenda de avaliação de compatibilidade para esta linha de base de configuração: especifique uma agenda simples ou personalizada através da qual o cliente avalia o perfil.

4. Selecione OK para fechar a janela e criar a implementação.

Avaliação do cliente

O cliente avalia o perfil quando um utilizador inicia sessão.

Se um dispositivo deixar uma coleção na qual implementa um perfil de ligação remota, Configuration Manager desativa as definições no dispositivo. No entanto, para que este processo ocorra corretamente, tem de ter implementado, pelo menos, um item de configuração ou uma linha de base de configuração que contenha um item de configuração do site.

Resolução de conflitos

Não implemente mais do que um perfil de ligação remota com definições em conflito no mesmo dispositivo. Por exemplo, implementa dois perfis com definições diferentes na mesma coleção. Só pode configurar uma implementação de perfil para Remediar regras incompatíveis quando suportado. Esta implementação pode substituir as definições no outro perfil. Configuration Manager não suporta este tipo de implementação de perfil de ligação remota.

Monitorar

Na consola Configuration Manager, aceda à área de trabalho Monitorização e selecione Implementações. Na lista Implementações , selecione a implementação do perfil de ligação remota.

Pode rever as informações de resumo sobre a conformidade da implementação do perfil de ligação remota na página main. Para ver informações mais detalhadas, selecione a implementação do perfil. Em seguida, no separador Base do friso, no grupo Implementação , selecione Ver Estado. Esta ação abre a página Estado da Implementação .

A página Estado da Implementação contém os seguintes separadores:

• Conforme: apresenta a conformidade do perfil de ligação remota com base no número de recursos afetados.

  Importante

  O cliente não avalia um perfil de ligação remota se não for aplicável. No entanto, continua a ser compatível.

• Erro: apresenta uma lista de todos os erros para a implementação do perfil de ligação remota selecionada com base no número de recursos afetados.

• Não Conforme: apresenta uma lista de todas as regras não conformes no perfil de ligação remota com base no número de recursos afetados.

• Desconhecido: apresenta uma lista de todos os dispositivos que não reportaram conformidade para a implementação do perfil de ligação remota selecionada, juntamente com o cliente atual status dos dispositivos.

Em qualquer separador, abra uma regra para criar um subnódeo temporário no nó Utilizadores na área de trabalho Ativos e Compatibilidade . Este subnódeo contém todos os dispositivos com o estado de conformidade do separador selecionado.

O painel Detalhes do Recurso apresenta os dispositivos com o estado de conformidade selecionado para este perfil. Abra um dispositivo na lista para apresentar informações adicionais.

Relatórios

Configuration Manager inclui relatórios incorporados que pode utilizar para monitorizar informações sobre perfis de ligação remota. Estes relatórios têm a categoria de relatório de Gestão de Conformidade e Definições.

Importante

Utilize o caráter universal (%) quando utilizar os parâmetros Filtro do dispositivo e Filtro de utilizador nos relatórios para definições de compatibilidade.

Para obter mais informações sobre como configurar relatórios no Configuration Manager, veja Introdução aos relatórios.