TSplus Remote Access Logo

Czy chciałbyś zobaczyć stronę w innym języku?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Zmień język
Spis treści

Wprowadzenie

Zdalny dostęp bez instalacji oprogramowania jest praktycznym celem dla pracy hybrydowej, kontrahentów i użytkowników BYOD. Kluczem nie jest usunięcie całego oprogramowania z architektury; chodzi o usunięcie wdrożenia klienta z punktu końcowego. Dzięki portalowi zdalnego dostępu HTML5 użytkownicy otwierają bezpieczną sesję przeglądarki, aby uzyskać dostęp do opublikowanych aplikacji Windows lub pulpitów.

TSplus Darmowy okres próbny dostępu zdalnego

Ostateczna alternatywa dla Citrix/RDS w zakresie dostępu do pulpitu/aplikacji. Bezpieczne, opłacalne, lokalne/chmurowe

Rozpocznij bezpłatny okres próbny

Co oznacza zdalny dostęp bez instalowania oprogramowania?

Zdalny dostęp bez instalacji oprogramowania nie oznacza, że oprogramowanie nie istnieje nigdzie. Zdalny dostęp nadal wymaga pośrednictwa sesji, uwierzytelniania, transportu wyświetlania, szyfrowania i kontroli dostępu. Prawdziwe pytanie brzmi, gdzie to oprogramowanie działa.

W tradycyjnej Protokół Pulpitu Zdalnego (RDP) wdrożenie, każdy punkt końcowy może potrzebować natywnego klienta RDP, klienta VPN, narzędzia do zdalnego wsparcia lub niestandardowego uruchamiacza. Taki model powoduje tarcia, gdy użytkownicy łączą się z niezarządzanych laptopów, urządzeń osobistych, tabletów lub zablokowanych maszyn.

W modelu opartym na przeglądarce stos zdalnego dostępu jest scentralizowany. Użytkownik otwiera bezpieczny adres URL, loguje się i uruchamia aplikację lub pulpit systemu Windows w przeglądarce. Microsoft Learn opisuje to Klient sieciowy pulpitu zdalnego jako sposób na dostęp do aplikacji i pulpitów zdalnych publikowanych przez administratora za pośrednictwem kompatybilnej przeglądarki.

Dla zespołów IT praktyczna definicja jest jasna: żaden klient zdalnego dostępu nie jest wdrażany na punkcie końcowym użytkownika.

Dlaczego zespoły IT wybierają dostęp zdalny bez klienta?

Bezklienckie zdalne połączenie rozwiązuje więcej niż tylko problem wygody użytkownika. Zmniejsza zależność od punktów końcowych, upraszcza proces wprowadzania i daje administratorom bardziej kontrolowany sposób publikowania zasobów systemu Windows.

Pierwszą korzyścią jest elastyczność urządzeń. Użytkownicy mogą łączyć się z systemami Windows, macOS, Linux, ChromeOS lub tabletami, gdy przeglądarka i polityka dostępu są obsługiwane. Jest to przydatne dla wykonawców, zewnętrznych partnerów, pracowników tymczasowych oraz w środowiskach typu bring-your-own-device.

Drugą korzyścią jest niższy koszt wsparcia. Klienci natywni wprowadzają różnice w wersjach, problemy z kompatybilnością systemu operacyjnego, lokalne problemy z zaporą, nieudane aktualizacje i błędy konfiguracyjne. Portal przeglądarkowy zapewnia użytkownikom jedną przewidywalną ścieżkę dostępu.

Trzecim benefitem jest projektowanie bezpieczeństwa. Zamiast umieszczać niezarządzane punkty końcowe w sieci wewnętrznej za pomocą szerokiego dostępu VPN, zespoły IT mogą publikować tylko te aplikacje lub pulpity, które są potrzebne użytkownikom. NIST SP 800-46 Rev. 2 ramy zdalnego dostępu, telepracy i BYOD jako obszary wrażliwe na bezpieczeństwo, które wymagają określonych polityk i kontroli technicznych.

Główne sposoby zdalnego dostępu do systemu Windows bez instalacji klienta

Kilka technologii może zmniejszyć pracę związaną z lokalną instalacją, ale nie rozwiązują one tego samego problemu. Odpowiednia opcja zależy od tego, czy organizacja potrzebuje administracji, wsparcia helpdesk czy powtarzalnego dostępu do aplikacji biznesowych.

Metoda Najlepsze dla Instalacja końcowego użytkownika Główne ograniczenie
Natywne połączenie z pulpitem zdalnym Dostęp administratora z zarządzanych komputerów z systemem Windows Zazwyczaj brak na Windows Nie jest idealne dla niezarządzanych punktów końcowych lub publikacji aplikacji
Klient sieciowy pulpitu zdalnego Dostęp do aplikacji i pulpitów RDS przez przeglądarkę Brak lokalnego klienta RDP Wymaga planowania i infrastruktury RDS
Szybka pomoc Sesje wsparcia ad hoc Może wymagać instalacji z Microsoft Store Nie zaprojektowano do codziennej dostawy aplikacji
Narzędzia rozszerzeń przeglądarki Osobista lub lekka zdalna kontrola Często wymaga rozszerzenia lub agenta hosta Słabe dopasowanie do scentralizowanej kontroli IT
portal zdalnego dostępu HTML5 Dostęp do aplikacji i pulpitów Windows dla firm Brak wdrożenia klienta końcowego Wymaga konfiguracji bramy po stronie serwera

To porównanie pokazuje, dlaczego „brak pobierania” to za mało. Zespoły IT powinny ocenić architekturę, a nie tylko metodę dostępu dla użytkownika.

Natywne połączenie z pulpitem zdalnym

Windows zawiera natywny klient połączenia pulpitu zdalnego, powszechnie znany jako mstsc.exe. Pozostaje przydatny dla administratorów, wewnętrznych zespołów wsparcia i kontrolowanych środowisk Windows.

Jednak natywny RDP nie rozwiązuje w pełni problemu dostępu bezklienckiego. Zewnętrzny dostęp często wymaga planowania VPN, RD Gateway lub zapory sieciowej. Publikowanie poszczególnych aplikacji jest również bardziej skomplikowane niż udostępnienie użytkownikom pełnego pulpitu.

Natywne RDP jest ważnym narzędziem administracyjnym, ale nie jest tym samym co strategia dostarczania aplikacji oparta na przeglądarce. Działa najlepiej, gdy urządzenia, sieci i użytkownicy są już zarządzani przez IT.

Klient sieciowy pulpitu zdalnego

The Klient sieciowy pulpitu zdalnego przenosi doświadczenie dostępu do przeglądarki. Użytkownicy mogą otworzyć portal i uruchomić zdalne aplikacje lub pulpity, które opublikował administrator. Dokumentacja Microsoftu stwierdza, że po konfiguracji użytkownicy potrzebują adresu URL klienta, swoich danych logowania i obsługiwanej przeglądarki.

Ten model jest bliższy temu, czego wiele firm potrzebuje. Aplikacja Windows lub pulpit nadal działa na centralnej infrastrukturze, podczas gdy przeglądarka staje się warstwą dostępu.

Kompromis to złożoność infrastruktury. Wdrożenia usług zdalnego pulpitu Microsoft nadal wymagają starannej pracy wokół certyfikatów, bramy RD, dostępu do sieci RD, brokera połączeń RD, licencjonowania, uwierzytelniania, zgodności przeglądarek i pojemności hosta sesji.

Szybka pomoc i narzędzia wsparcia zdalnego

Quick Assist jest stworzony do wsparcia, a nie do dostarczania aplikacji. Microsoft opisuje Quick Assist jako sposób, w jaki personel wsparcia może zobaczyć ekran użytkownika, dodać adnotacje lub zażądać pełnej kontroli podczas sesji rozwiązywania problemów.

Ten przypadek użycia różni się od codziennego dostępu do hostowanych aplikacji Windows. Quick Assist zależy od pomocnika, użytkownika i interaktywnej sesji wsparcia. Nie jest to scentralizowany portal do publikowania aplikacji biznesowych dla wielu użytkowników.

Dokumentacja wsparcia Microsoftu wyjaśnia również, że Quick Assist może wymagać zainstalowania z Microsoft Store, a zarządzane urządzenia mogą blokować tę instalację zgodnie z polityką.

Rozszerzenie przeglądarki i narzędzia zdalnego sterowania dla konsumentów

Niektóre produkty do zdalnego sterowania reklamują dostęp bez pobierania, ale wiele z nich nadal polega na rozszerzeniach przeglądarki, aplikacjach pomocniczych, agentach hosta lub usługach pośredniczących opartych na koncie. Może to być akceptowalne do użytku osobistego lub okazjonalnego rozwiązywania problemów.

Dla zastosowań biznesowych zespoły IT potrzebują silniejszych odpowiedzi. Administratorzy powinni zweryfikować, czy dostęp może być centralnie cofnięty, czy logi są dostępne, czy można wymusić uwierzytelnianie wieloskładnikowe oraz czy użytkownicy mogą być ograniczeni do konkretnych aplikacji zamiast pełnych maszyn.

Rozszerzenie przeglądarki nie jest tym samym co portal zdalnego dostępu HTML5. Jeśli celem jest zmniejszenie wdrożenia punktów końcowych i poprawa kontroli, architektura leżąca u podstaw ma znaczenie.

HTML5 Portal Dostępu Zdalnego

Portal internetowy zdalnego dostępu HTML5 jest zazwyczaj najlepszym rozwiązaniem do uzyskiwania dostępu do aplikacji biznesowych. IT publikuje aplikacje Windows lub pełne pulpity z centralnych hostów, a użytkownicy łączą się przez bezpieczny portal przeglądarki.

Endpoint nie potrzebuje natywnego klienta RDP. Sesja zdalna jest dostarczana za pomocą technologii internetowych, podczas gdy aplikacja pozostaje hostowana po stronie serwera.

Ten model jest szczególnie przydatny do dziedziczne aplikacje Windows które nie mogą być przekształcone w aplikacje SaaS. Zamiast instalować aplikację na każdym punkcie końcowym, IT hostuje ją centralnie i dostarcza przez przeglądarkę.

Dlaczego portal dostępu zdalnego HTML5 pasuje do zastosowań biznesowych?

Portal zdalnego dostępu HTML5 oddziela punkt końcowy od środowiska uruchomieniowego aplikacji. Urządzenie użytkownika staje się interfejsem wyświetlacza, klawiatury i myszy, podczas gdy obciążenie systemu Windows pozostaje pod kontrolą IT.

To podejście daje administratorom kilka praktycznych zalet:

  • Centralne publikowanie aplikacji
  • Dostęp przez przeglądarkę z obsługiwanych urządzeń
  • Zmniejszona zależność od klientów VPN
  • Spójny dostęp przez jeden URL
  • Łatwiejsze wprowadzanie dla kontrahentów i użytkowników BYOD
  • Centralne uwierzytelnianie i kontrola sesji
  • Mniej lokalnego rozwiązywania problemów na niezarządzanych punktach końcowych

Wynik to czystszy model operacyjny. IT publikuje zasób, a nie całą wewnętrzną sieć.

Wymagania dotyczące bezpieczeństwa dla zdalnego dostępu opartego na przeglądarce

Dostęp bezkliencki nie oznacza automatycznie bezpiecznego dostępu. Zmienia tylko miejsce, w którym zarządzany jest dostęp. Zespoły IT nadal muszą zabezpieczyć tożsamość, transport, ekspozycję sesji i kontrolę administracyjną.

Po pierwsze, każdy portal przeglądarki powinien używać HTTPS z ważnymi certyfikatami. Użytkownicy nigdy nie powinni być szkoleni do omijania ostrzeżeń o bezpieczeństwie przeglądarki, ponieważ takie zachowanie osłabia model zaufania.

Po drugie, organizacje powinny unikać bezpośredniego udostępniania surowego RDP w internecie. CISA ostrzegła, że RDP jest powszechnym wektorem infekcji ransomware i że uwierzytelnianie wieloskładnikowe jest kluczowe dla zmniejszenia ryzyka złośliwego dostępu.

Po trzecie, administratorzy powinni stosować silną autoryzację. W środowiskach produkcyjnych wymagania podstawowe powinny obejmować uwierzytelnianie wieloskładnikowe, polityki blokady kont oraz dostęp z minimalnymi uprawnieniami.

Czwarte, zespoły IT powinny publikować tylko to, czego potrzebują użytkownicy. Wielu użytkowników wymaga jednej aplikacji Windows, a nie pełnego pulpitu zdalnego. Publikowanie aplikacji może zmniejszyć narażenie i ułatwić korzystanie z sesji.

W końcu, scentralizowany dostęp powinien generować przydatne logi. Wydarzenia logowania, aktywność sesji, zmiany administracyjne oraz nieudane próby uwierzytelnienia powinny być widoczne do audytu i dochodzenia.

Kiedy dostęp zdalny oparty na przeglądarce jest odpowiedni?

Oprogramowanie oparte na przeglądarce remote access jest idealnym rozwiązaniem, gdy organizacje potrzebują cyklicznego dostępu do aplikacji Windows bez instalowania oprogramowania na urządzeniach użytkowników.

Typowe przypadki użycia obejmują:

  • Wykonawcy, którzy potrzebują ograniczonego dostępu do aplikacji wewnętrznych
  • Użytkownicy BYOD, którzy nie powinni instalować klientów korporacyjnych
  • Zdalny personel pracujący w różnych systemach operacyjnych
  • Zewnętrzni partnerzy, którzy potrzebują dostępu do jednej hostowanej aplikacji
  • Biura oddziałów z cienkimi klientami lub zablokowanymi urządzeniami
  • Aplikacje Windows z przestarzałymi wersjami, które wymagają dostarczania przez internet
  • Zespoły IT próbujące zmniejszyć liczbę zgłoszeń dotyczących wsparcia VPN i klienta RDP

Ten model jest mniej odpowiedni dla każdego obciążenia. Aplikacje wymagające dużej mocy graficznej, zaawansowane przekierowanie USB, multimedia o niskim opóźnieniu oraz głęboka integracja lokalnych urządzeń mogą nadal wymagać natywnego klienta lub specjalistycznej platformy wirtualizacyjnej.

Lista kontrolna wdrożenia dla zespołów IT

Przed wdrożeniem zdalnego dostępu opartego na przeglądarce, zespoły IT powinny zdefiniować model operacyjny. Pierwsza decyzja dotyczy tego, czy użytkownicy potrzebują pełnych pulpitów, pojedynczych aplikacji, czy obu. Publikacja aplikacji jest często bezpieczniejsza i łatwiejsza w wsparciu niż przyznawanie każdemu użytkownikowi pełnego pulpitu.

Następnie zdefiniuj tożsamość i kontrolę dostępu. Potwierdź, czy użytkownicy będą się uwierzytelniać za pomocą Active Directory, lokalnych kont Windows, jednolitych logowań, uwierzytelniania wieloskładnikowego czy innego dostawcy tożsamości.

Następnie przeanalizuj ekspozycję sieci. Zdecyduj, gdzie będzie znajdować się portal internetowy, jak będzie zakończone HTTPS, które porty muszą być otwarte oraz czy wymagany jest odwrotny proxy lub warstwa bramy.

Weryfikacja aplikacji jest również ważna. Niektóre aplikacje systemu Windows zachowują się inaczej w sesjach wieloosobowych, szczególnie jeśli zostały zaprojektowane do instalacji na pojedynczym komputerze stacjonarnym.

Na koniec przetestuj rzeczywiste punkty końcowe. Zweryfikuj dostęp z systemów Windows, macOS, Linux, tabletów oraz zablokowanych urządzeń, które odpowiadają środowisku użytkownika.

Typowe błędy do unikania

Pierwszym błędem jest założenie, że „brak pobierania” oznacza „brak infrastruktury”. Zdalny dostęp oparty na przeglądarce zmniejsza złożoność punktów końcowych, ale platforma po stronie serwera nadal musi być zabezpieczona, aktualizowana, monitorowana i archiwizowana.

Drugim błędem jest używanie narzędzi wsparcia zdalnego do dostarczania aplikacji. Narzędzie do udostępniania ekranu pomocy technicznej nie jest platformą publikacyjną dla aplikacji biznesowych.

Trzecim błędem jest przyznawanie każdemu użytkownikowi pełnego pulpitu, gdy potrzebna jest tylko jedna aplikacja. Pełne pulpity są czasami konieczne, ale publikowane aplikacje mogą zmniejszyć ryzyko i poprawić użyteczność.

Ostatnim błędem jest ignorowanie ścieżki użytkownika. Użytkownicy potrzebują jasnego adresu URL portalu, niezawodnej autoryzacji, oczywistych ikon aplikacji i przewidywalnego zachowania sesji.

Jak TSplus Remote Access pomaga?

TSplus Zdalny Dostęp jest zaprojektowane dla organizacji, które potrzebują dostępu przez przeglądarkę do aplikacji i pulpitów systemu Windows bez wdrażania pełnego klienta pulpitu zdalnego na każdym punkcie końcowym użytkownika. Nasze rozwiązanie zapewnia dostęp do scentralizowanych aplikacji Windows na pełnym pulpicie zdalnym, z obsługą klientów zgodnych z HTML5 i RDP.

Z TSplus administratorzy mogą publikować aplikacje i przypisywać je do konkretnych użytkowników lub grup. Dokumentacja TSplus opisuje publikowanie aplikacji jako sposób kontrolowania, do których aplikacji użytkownicy mają dostęp i jak te aplikacje są uruchamiane.

Dla małych i średnich firm, dostawców usług zarządzanych oraz zwinnych zespołów IT, wartością jest operacyjna prostota. Użytkownicy uzyskują dostęp do bezpiecznego portalu internetowego, uruchamiają przypisane im aplikacje i pracują z przeglądarki, podczas gdy IT utrzymuje aplikacje Windows w centralizacji.

Wniosek

Zdalny dostęp bez instalacji oprogramowania najlepiej rozumieć jako brak wdrożenia klienta na końcówce, a nie jako infrastrukturę wolną od oprogramowania. W środowiskach biznesowych praktyczną drogą jest portal zdalnego dostępu HTML5, który pozwala użytkownikom na dostęp do opublikowanych aplikacji Windows lub pełnych pulpitów z przeglądarki, podczas gdy IT centralizuje uwierzytelnianie, publikację aplikacji, kontrolę sesji i politykę bezpieczeństwa.

TSplus Darmowy okres próbny dostępu zdalnego

Ostateczna alternatywa dla Citrix/RDS w zakresie dostępu do pulpitu/aplikacji. Bezpieczne, opłacalne, lokalne/chmurowe

Rozpocznij bezpłatny okres próbny

Udostępnij:

Facebook Twitter LinkedIn

Twój zespół TSplus

Dalsza lektura

back to top of the page icon