)
)
介绍
不安装软件的远程访问是混合工作、承包商和自带设备用户的一个实际目标。关键不是从架构中移除所有软件,而是从终端移除客户端部署。通过HTML5远程访问门户,用户可以打开一个安全的浏览器会话,以访问已发布的Windows应用程序或桌面。
TSplus远程访问免费试用
终极的Citrix/RDS替代方案,用于桌面/应用访问。安全、经济高效、本地/云端
什么是无需安装软件的远程访问?
远程访问不意味着任何地方都没有软件。远程访问仍然需要会话代理、身份验证、显示传输、加密和访问控制。真正的问题是这些软件在哪里运行。
在传统的 远程桌面协议 (RDP) 部署时,每个终端可能需要一个本地 RDP 客户端、一个 VPN 客户端、一个远程支持工具或一个自定义启动器。当用户从未管理的笔记本电脑、个人设备、平板电脑或受限机器连接时,这种模式会造成摩擦。
在基于浏览器的模型中,远程访问堆栈是集中式的。用户打开一个安全的 URL,登录并在浏览器中启动 Windows 应用程序或桌面。Microsoft Learn 描述了该 远程桌面网页客户端 作为通过兼容浏览器访问管理员发布的远程应用程序和桌面的方式。
对于IT团队,实际定义很明确:用户端没有部署远程访问客户端。
为什么IT团队选择无客户端远程访问?
无客户端远程访问解决了不仅仅是用户便利性的问题。它减少了终端依赖,简化了入职流程,并为管理员提供了一种更受控的方式来发布Windows资源。
第一个好处是设备灵活性。用户可以在支持浏览器和访问政策的情况下,从Windows、macOS、Linux、ChromeOS或平板电脑连接。这对承包商、外部合作伙伴、临时员工和自带设备环境非常有用。
第二个好处是降低支持开销。原生客户端会引入版本漂移、操作系统兼容性问题、本地防火墙问题、更新失败和配置错误。浏览器门户为用户提供了一条可预测的访问路径。
第三个好处是安全设计。IT团队可以仅发布用户所需的应用程序或桌面,而不是通过广泛的VPN访问将未管理的终端放置在内部网络上。 NIST SP 800-46 修订版 2 将远程访问、远程办公和自带设备视为需要明确政策和技术控制的安全敏感领域。
远程访问Windows的主要方式,无需客户端安装
几种技术可以减少本地安装工作,但它们并不能解决同样的问题。正确的选择取决于组织是否需要管理、帮助台支持或对业务应用程序的定期访问。
| 方法 | 最佳选择 | 最终用户安装 | 主要限制 |
|---|---|---|---|
| 本地远程桌面连接 | 来自管理的Windows PC的管理员访问 | 通常在Windows上没有 | 不适合未管理的终端或应用程序发布 |
| 远程桌面Web客户端 | 浏览器访问 RDS 应用程序和桌面 | 没有本地RDP客户端 | 需要RDS规划和基础设施 |
| 快速协助 | 临时支持会议 | 可能需要在 Microsoft Store 安装 | 不适合日常应用交付 |
| 浏览器扩展工具 | 个人或轻量远程控制 | 通常需要扩展或主机代理 | 不适合集中IT控制 |
| HTML5远程访问门户 | 企业访问Windows应用程序和桌面 | 没有终端客户端部署 | 需要服务器端网关设置 |
此比较显示了为什么“无下载”是不够的。IT团队应该评估架构,而不仅仅是用户面向的访问方法。
本地远程桌面连接
Windows包括本地的远程桌面连接客户端,通常称为mstsc.exe。它对管理员、内部支持团队和受控的Windows环境仍然很有用。
然而,原生RDP并不能完全解决无客户端访问的问题。外部访问通常需要VPN、RD网关或防火墙规划。发布单个应用程序也比给用户提供完整桌面更复杂。
本地 RDP 是一个有效的管理工具,但它与基于浏览器的应用程序交付策略并不相同。当设备、网络和用户已经由 IT 管理时,它的效果最佳。
远程桌面Web客户端
The 远程桌面网页客户端 将访问体验移入浏览器。用户可以打开一个门户并启动管理员发布的远程应用程序或桌面。微软文档指出,设置完成后,用户需要客户端 URL、他们的凭据和一个支持的浏览器。
这个模型更接近许多企业的需求。Windows 应用程序或桌面仍然运行在中央基础设施上,而浏览器则成为访问层。
权衡在于基础设施的复杂性。Microsoft Remote Desktop Services 部署仍然需要仔细处理证书、RD Gateway、RD Web Access、RD Connection Broker、许可、身份验证、浏览器兼容性和会话主机容量。
快速协助和远程支持工具
Quick Assist 是为支持而构建的,而不是应用交付。微软将 Quick Assist 描述为支持人员查看用户屏幕、进行注释或在故障排除会话中请求完全控制的一种方式。
该用例与对托管Windows应用程序的日常访问不同。快速协助依赖于助手、用户和互动支持会话。它不是一个集中式门户,用于向多个用户发布业务应用程序。
Microsoft支持文档还解释了Quick Assist可能需要从Microsoft Store安装,而受管理的设备可能会因政策阻止该安装。
浏览器扩展和消费者远程控制工具
一些远程控制产品宣传无需下载即可访问,但许多仍依赖于浏览器扩展、辅助应用程序、主机代理或基于帐户的中继服务。这对于个人使用或偶尔故障排除可能是可以接受的。
对于商业用途,IT团队需要更强有力的解决方案。管理员应验证是否可以集中撤销访问权限,是否有日志可用,是否可以强制实施多因素身份验证,以及用户是否可以被限制在特定应用程序而不是完整机器上。
浏览器扩展与HTML5远程访问门户并不相同。如果目标是减少终端部署并提高控制,底层架构很重要。
HTML5远程访问网页门户
HTML5远程访问网页门户通常是商业应用访问的最佳选择。IT从集中式主机发布Windows应用程序或完整桌面,用户通过安全的浏览器门户连接。
终端不需要本地 RDP 客户端。远程会话通过网络技术交付,而应用程序仍然托管在服务器端。
此模型特别适用于 遗留Windows应用程序 无法重写为SaaS应用程序。IT不再在每个终端上安装应用程序,而是集中托管并通过浏览器提供。
为什么HTML5远程访问门户适合商业使用?
HTML5远程访问门户将终端与应用程序运行时分开。用户的设备变成显示器、键盘和鼠标接口,而Windows工作负载则保持在IT控制之下。
这种方法为管理员提供了几个实际的优势:
- 集中应用程序发布
- 支持设备的基于浏览器的访问
- 减少对VPN客户端的依赖
- 通过单一 URL 实现一致的访问
- 为承包商和自带设备用户提供更简单的入职流程
- 集中认证和会话控制
- 减少对未管理终端的本地故障排除
结果是一个更清晰的操作模型。IT发布资源,而不是整个内部网络。
基于浏览器的远程访问安全要求
无客户端访问并不自动意味着安全访问。它仅仅改变了访问管理的位置。IT团队仍然需要确保身份、传输、会话暴露和管理控制的安全。
首先,每个浏览器门户都应使用带有效证书的 HTTPS。用户绝不应被训练去绕过浏览器安全警告,因为这种行为会削弱信任模型。
其次,组织应避免将原始 RDP 直接暴露于互联网。CISA 警告说,RDP 是一种常见的勒索软件感染途径,多因素身份验证对于降低恶意访问风险至关重要。
第三,管理员应实施强身份验证。对于生产环境,多因素身份验证、账户锁定策略和最小权限访问应作为基本要求。
第四,IT团队应仅发布用户所需的内容。许多用户只需要一个Windows应用程序,而不是完整的远程桌面。应用程序发布可以减少暴露并使会话更易于使用。
最后,集中访问应生成有用的日志。登录事件、会话活动、管理更改和失败的身份验证尝试应可供审计和调查。
何时基于浏览器的远程访问是合适的选择?
基于浏览器 remote access 在组织需要定期访问Windows应用程序而无需在用户设备上安装软件时,这是一个强有力的选择。
典型的使用案例包括:
- 需要有限访问内部应用程序的承包商
- 不应安装企业客户端的BYOD用户
- 跨多个操作系统的远程员工
- 需要访问一个托管应用程序的外部合作伙伴
- 分支机构使用瘦客户端或锁定设备
- 需要基于网络交付的传统Windows应用程序
- IT团队试图减少VPN和RDP客户端支持票务
此模型不太适合所有工作负载。图形密集型应用程序、高级 USB 重定向、低延迟多媒体和深度本地设备集成可能仍需要本地客户端或专用虚拟化平台。
IT团队实施清单
在部署基于浏览器的远程访问之前,IT团队应定义操作模型。第一个决定是用户是否需要完整的桌面、单个应用程序或两者兼而有之。应用程序发布通常比为每个用户提供完整桌面更安全且更易于支持。
接下来,定义身份和访问控制。确认用户将通过 Active Directory、本地 Windows 账户、单点登录、多因素身份验证或其他身份提供者进行身份验证。
然后审查网络暴露。决定网络门户的位置,如何终止HTTPS,哪些端口必须暴露,以及是否需要反向代理或网关层。
应用程序验证也很重要。一些Windows应用程序在多用户会话中表现不同,特别是如果它们是为单用户桌面安装设计的。
最后,测试真实的终端。验证来自Windows、macOS、Linux、平板电脑和符合用户环境的锁定设备的访问。
避免的常见错误
第一个错误是认为“无下载”意味着“无基础设施”。基于浏览器的远程访问减少了终端复杂性,但服务器端平台仍然需要进行安全保护、打补丁、监控和备份。
第二个错误是使用远程支持工具进行应用程序交付。帮助台屏幕共享工具不是商业应用程序的发布平台。
第三个错误是给每个用户提供一个完整的桌面,而他们只需要一个应用程序。完整的桌面有时是必要的,但发布的应用程序可以降低风险并提高可用性。
最终的错误是忽视用户旅程。用户需要一个清晰的门户网址、可靠的身份验证、明显的应用程序图标和可预测的会话行为。
TSplus Remote Access 如何提供帮助?
TSplus 远程访问 旨在为需要基于浏览器访问Windows应用程序和桌面的组织提供服务,而无需在每个用户终端上部署完整的远程桌面客户端。我们的解决方案提供对集中式Windows应用程序的访问,支持HTML5和RDP兼容客户端。
使用TSplus,管理员可以发布应用程序并将其分配给特定用户或组。TSplus文档将应用程序发布描述为控制用户可以访问哪些应用程序以及如何启动这些应用程序的一种方式。
对于中小企业、托管服务提供商和精简的IT团队来说,价值在于操作的简单性。用户通过安全的网络门户访问,启动分配给他们的应用程序,并通过浏览器工作,而IT则保持Windows应用程序的集中管理。
结论
不安装软件的远程访问最好理解为没有终端客户端部署,而不是无软件基础设施。对于商业环境,实际的路径是一个HTML5远程访问门户,允许用户通过浏览器访问发布的Windows应用程序或完整桌面,同时IT集中管理身份验证、应用程序发布、会话控制和安全策略。
TSplus远程访问免费试用
终极的Citrix/RDS替代方案,用于桌面/应用访问。安全、经济高效、本地/云端
)
)
)
