Что мне нужно для управления удаленными ноутбуками в ConfigMgr 2012r2?

Я нахожусь в процессе планирования нашего развертывания System Center Configuration Manager 2012R2.

Мне трудно понять, что мне нужно для поддержки удаленных ноутбуков. У нас довольно много пользователей, которые иногда работают дома / в дороге (поэтому их ноутбуки находятся в домене, но часто не подключаются к нашей сети неделями). У нас также есть несколько ноутбуков, используемых для презентаций, и таких, которые вообще отсутствуют в домене, и редко, если вообще подключаются к нашей внутренней сети.

До сих пор я знаю, что мне нужно настроить и работать PKI, что не должно быть большой проблемой.

Но нужен ли мне отдельный сервер в DMZ для интернет-клиентов? Если да, то с какими ролями? В одной из статей technet говорится о настройке совершенно отдельного леса. Это действительно необходимо?

Могу ли я просто открыть HTTPS для сервера сайта интрасети? Или это вводит какой-то огромный вектор атаки?

Я уверен, что есть несколько способов настройки, каждый из которых имеет свои преимущества, недостатки и последствия для безопасности, но до сих пор мне даже не удалось перечислить, какие у меня есть варианты.

На вопрос М.Д.Марры:

Для управления подключенными к интернету ноутбуками я хочу (если возможно):

• Держите свои аппаратные и программные запасы в актуальном состоянии
• Убедитесь, что на них установлены обновления Windows (надеюсь, загруженные с MS, а не с моего локального сервера)
• Проверьте состояние антивируса конечной точки
• Выдавать обновления программного обеспечения и сторонних производителей

Конечно, некоторые вещи, такие как развертывание ОС и внешнее управление, просто не будут возможны удаленно. Похоже, что дистанционное управление также не поддерживается удаленно, и это прискорбно, но я могу жить без него.

Мы рассматриваем возможность установки VPN для ноутбуков, подключенных к домену, что, вероятно, упростит эту задачу, но это еще далеко. И это не поможет с не доменными ноутбуками.