我需要在 ConfigMgr 2012r2 中管理什么来管理远程笔记本电脑？

我正在规划我们的 System Center Configuration Manager 2012R2 部署。

有一件事我很难搞清楚，那就是我需要什么来支持远程笔记本电脑。我们有不少用户有时在家/在路上工作（因此他们的笔记本电脑在域中，但通常一次数周不连接到我们的网络）。我们还有许多用于演示等的笔记本电脑，它们根本不在域中，而且很少甚至从未连接到我们的内部网络。

到目前为止，我知道我需要 PKI 设置并正常工作，这应该不是什么大问题。

但是我是否需要在 DMZ 中为互联网客户端设置单独的服务器？如果需要，那么由哪些角色来设置？其中一篇技术文章说要设置一个完全独立的林。这真的有必要吗？

我可以简单地向内网站点服务器开放 HTTPS 吗？或者这会引入一些巨大的攻击媒介？

我确信有几种方法可以实现这一点，每种方法都有优点、缺点和安全隐患，但到目前为止，我甚至还没有列举出我的选择有哪些。

对于 MDMarra 的问题：

为了管理连接互联网的笔记本电脑，我希望（如果可能的话）：

• 保持硬件和软件清单最新
• 确保他们安装了 Windows 更新（希望从 MS 下载，而不是我的本地服务器）
• 检查端点防病毒状态
• 推出软件和第三方更新

当然，有些事情，比如操作系统部署和带外管理，根本无法远程实现。远程控制似乎也不支持远程控制，这很不幸，但我没有它也可以。

我们正在考虑为域连接的笔记本电脑设置 VPN，这可能会让事情变得更容易，但这仍然遥不可及。而且这对非域笔记本电脑没有帮助。