Sicherer Zugriff auf Ressourcen über alle Standorte und Geräte

  • Artikel

 

Wie kann Ihnen diese Anleitung helfen?

An wen richtet sich dieses Handbuch?

Dieses Handbuch richtet sich an herkömmliche IT-Unternehmen, die Infrastrukturarchitekten, Unternehmenssicherheitsspezialisten und Geräteverwaltungsspezialisten haben, die wissen möchten, welche Lösungen für die Verwendung durch die IT und für BYOD verfügbar sind (Bring Your Own Device). Die in diesem Handbuch beschriebene End-to-End-Lösung ist Teil der Microsoft Enterprise Mobilität-Zielsetzung.

Der aktuelle Trend der Explosion von Geräten – unternehmenseigene Geräte, persönliche Geräte und Kunden, die mit ihren Geräten auf Unternehmensressourcen am Standort oder in der Cloud zugreifen – macht es für die IT erforderlich, die Benutzerproduktivität und -zufriedenheit in Bezug auf die Verwendung und die Identität von Geräten sowie die Erfahrung des Verbindens mit Unternehmensressourcen und Anwendungen zu steigern. Zur gleichen Zeit gibt es zahlreiche Verwaltungs- und Sicherheitsherausforderungen für IT-Organisationen, die sicherstellen müssen, dass die Unternehmensinfrastruktur und Unternehmensdaten vor böswilligen Absichten geschützt sind. Diese Unternehmen müssen auch sicherstellen, dass auf Ressourcen gemäß Unternehmensrichtlinien zugegriffen werden kann, unabhängig vom Gerätetyp oder Standort.

Die aktuelle Infrastruktur kann durch Implementieren und Konfigurieren von verschiedenen Technologien von Windows Server 2012 R2 zum Einrichten einer End-to-End-Lösung für den Umgang mit diesen Herausforderungen erweitert werden.

Das folgende Diagramm veranschaulicht das Problem, das in diesem Handbuch behandelt wird. Es zeigt Benutzer, die ihre persönlichen und unternehmenseigenen Geräte für den Zugriff auf Anwendungen und Daten in der Cloud und am Standort verwenden. Diese Anwendungen und Ressourcen können sich innerhalb oder außerhalb der Firewall befinden.

Geräte und Anwendungen – Explosion und Zugriff

Inhalt dieser Lösungsanleitung:

  • Szenario, Problemerläuterung und Ziele

  • Empfohlener Entwurf für diese Lösung

  • Was sind die Schritte zur Implementierung dieser Lösung?

Szenario, Problemerläuterung und Ziele

Dieser Abschnitt beschreibt das Szenario, die Problemerläuterung und Ziele für eine Beispielorganisation.

Szenario

Ihre Organisation ist ein mittelgroßes Bankunternehmen. Sie beschäftigt mehr als 5.000 Personen, die ihre persönlichen Geräten (Windows RT- und iOS-basierte Geräten) zur Arbeit mitbringen. Aktuell besteht keine Möglichkeit zum Zugriff auf Unternehmensressourcen von diesen Geräten aus.

Ihre aktuelle Infrastruktur umfasst eine Active Directory-Gesamtstruktur, die über einen Domänencontroller mit Windows Server 2012 verfügt. Darüber hinaus umfasst Sie einen RAS-Server und einen System Center Configuration Manager über System Center.

Problemerläuterung

Ein aktueller Bericht, der Ihrem Unternehmensverwaltungsteam vom IT-Team zur Verfügung gestellt wurde, zeigt, dass immer mehr Benutzer persönliche Geräte zur Arbeit mitbringen und auf Unternehmensdaten zugreifen müssen. Das Verwaltungsteam erkennt diese Entwicklung auf dem Markt, die dazu führt, dass mehr Benutzer ihre eigenen Geräte einbinden, und möchte sicherstellen, dass das Unternehmen eine Lösung implementiert, die diese Anforderung sicher unterstützt. Zusammenfassend muss das IT-Team Ihres Unternehmens Folgendes leisten:

  • Mitarbeitern die Möglichkeit zur Verwendung persönlicher sowie auch unternehmenseigener Geräte für den Zugriff auf Unternehmensanwendungen und -daten zu geben. Zu diesen Geräten zählen PCs und mobile Geräte.

  • Sicheren Zugriff auf Ressourcen entsprechend den Anforderungen der Benutzer und den Richtlinien des Unternehmens für diese Geräte bereitstellen. Die Benutzererfahrung auf allen Geräten muss einheitlich sein.

  • Die Geräte identifizieren und verwalten.

Organisationsziele

Dieses Handbuch erstellt eine Lösung für das Erweitern der Infrastruktur des Unternehmens, um Folgendes zu erreichen:

  • Vereinfachte Registrierung persönlicher und unternehmenseigener Geräte.

  • Nahtlose Verbindung mit internen Ressourcen, wenn erforderlich.

  • Konsistenter Zugriff auf Unternehmensressourcen über alle Geräte.

Empfohlener Entwurf für diese Lösung

Um das Geschäftsproblem zu lösen und alle oben erwähnten Ziele zu erreichen, muss Ihre Organisation mehrere Unterszenarios implementieren. Alle diese Unterszenarios werden zusammen in der folgenden Abbildung dargestellt.

Übersicht, die alle Lösungskomponenten anzeigt

  1. Benutzern das Registrieren ihrer Geräte ermöglichen und eine einmalige Anmeldung bereitstellen

  2.  Nahtlosen Zugriff auf Unternehmensressourcen einrichten 

  3. Risikomanagement der Zugriffssteuerung verbessern. 

  4. Einheitliche Geräteverwaltung

Benutzern das Registrieren ihrer Geräte ermöglichen und eine einmalige Anmeldung bereitstellen

Dieser Teil der Lösung umfasst die folgenden wichtigen Phasen.

  • IT-Administratoren können die Geräteregistrierung einrichten, sodass das Gerät dem Active Directory des Unternehmens zugeordnet werden kann, und diese Zuordnung als nahtlose zweistufige Authentifizierung verwenden. Arbeitsplatzbeitritt ist ein neues Feature von Active Directory, das es Benutzern ermöglicht, ihre Geräte bei Ihrem Unternehmensverzeichnis sicher zu registrieren. Diese Registrierung stellt dem Gerät ein Zertifikat bereit, das verwendet werden kann, um das Gerät zu authentifizieren, wenn der Benutzer auf Unternehmensressourcen zugreift. Mithilfe dieser Zuordnung können IT-Spezialisten benutzerdefinierte Zugriffsrichtlinien konfigurieren, die erfordern, dass Benutzer authentifiziert werden und mit ihrem Arbeitsplatzbeitrittgerät auf Unternehmensressourcen zugreifen können.

  • IT-Administratoren können einmaliges Anmelden (SSO) über Geräte einrichten, die dem Active Directory des Unternehmens zugeordnet sind. SSO ist die Möglichkeit für den Endbenutzer, sich einmal anzumelden, wenn er auf eine vom Unternehmen bereitgestellte Anwendung zugreift, ohne dass Anmeldeinformationen erneut abgefragt werden, wenn er auf zusätzliche Unternehmensanwendungen zugreift. In Windows Server 2012 R2 wurde die SSO-Funktion auf Arbeitsplatzbeitrittgeräte ausgeweitet. Dies verbessert die Benutzerfreundlichkeit und vermeidet das Risiko, dass jede Anwendung Anmeldeinformationen des Benutzers speichert. Dies hat den zusätzlichen Vorteil, dass die Möglichkeiten für den Kennwortmissbrauch auf persönlichen und unternehmenseigenen Geräten eingeschränkt werden.

Das folgende Diagramm bietet eine allgemeine Momentaufnahme des Arbeitsplatzbeitritts.

Arbeitsplatzbeitritt mit lokaler Geräteregistrierung

Alle diese Funktionen werden in der folgenden Tabelle beschrieben.

Entwurfselement der Lösung

Warum ist es in dieser Lösung enthalten?

Arbeitsplatzbeitritt

Arbeitsplatzbeitritt ermöglicht Benutzern das sichere Registrieren ihrer Geräte am Unternehmensverzeichnis. Diese Registrierung stellt dem Gerät ein Zertifikat bereit, das verwendet werden kann, um das Gerät zu authentifizieren, wenn der Benutzer auf Unternehmensressourcen zugreift. Weitere Informationen finden Sie unter Arbeitsplatzbeitritt von einem beliebigen Gerät für SSO und die nahtlose zweistufige Authentifizierung bei allen Unternehmensanwendungen.

Die Serverrollen und Technologien, die für diese Funktion konfiguriert werden müssen, sind in der folgenden Tabelle aufgeführt.

Entwurfselement der Lösung

Warum ist es in dieser Lösung enthalten?

Domänencontroller mit Windows Server 2012 R2-Schemaaktualisierung

Die AD DS-Instanz (Active Directory Domain Services) bietet ein Identitätsverzeichnis für die Authentifizierung von Benutzern und Geräten und für die Durchsetzung von Zugriffsrichtlinien und zentralisierten Konfigurationsrichtlinien. Weitere Informationen zum Einrichten der Verzeichnisdienstinfrastruktur für diese Lösung finden Sie unter Aktualisieren von Domänencontrollern auf Windows Server 2012 R2 und Windows Server 2012.

AD FS mit Device Registration Service (Geräteregistrierungsdienst)

Mit Active Directory Federation Services (AD FS) können Administratoren DRS (Device Registration Service) konfigurieren und das Arbeitsplatzbeitrittprotokoll für ein Gerät für den Arbeitsplatzbeitritt mit Active Directory implementieren. Darüber hinaus wurde AD FS mit dem OAuth-Authentifizierungsprotokoll und Geräteauthentifizierungs- sowie bedingten Zugriffssteuerungsrichtlinien verbessert, die Benutzer-, Geräte- und Standortkriterien enthalten. Weitere Informationen zur Planung der Infrastruktur des AD FS-Entwurfs finden Sie im AD FS-Entwurfshandbuch in Windows Server 2012 R2.

Entwurfsaspekte für die Einrichtung des Domänencontrollers

Sie benötigen für diese Lösung keinen Domänencontroller unter Windows Server 2012 R2. Sie benötigen lediglich eine Schemaaktualisierung aus der aktuellen AD DS-Installation. Weitere Informationen zum Erweitern des Schemas finden Sie unter Installieren von Active Directory-Domänendiensten. Sie können das Schema auf vorhandenen Domänencontrollern aktualisieren, ohne einen Domänencontroller mit Windows Server 2012 R2 zu installieren, indem Sie "Adprep.exe" ausführen.

Eine detaillierte Liste der neuen Features, Systemanforderungen und Voraussetzungen, die vor der Installation erfüllt sein müssen, finden Sie unter Validierung der AD DS-Installationsvoraussetzungen und Systemanforderungen.

Überlegungen zum Entwurf für AD FS

Informationen zur Planung der AD FS-Umgebung finden Sie unter Identifizieren der AD FS-Bereitstellungsziele.

Nahtlosen Zugriff auf Unternehmensressourcen einrichten

Mitarbeiter von heute sind mobil und erwarten, dass sie auf die Anwendungen, die sie für ihre Arbeit benötigen, von überall zugreifen können. Unternehmen haben mehrere Strategien übernommen, um dies mithilfe von VPN, Direktzugriff und Remotedesktopgateways zu ermöglichen.

In einer Welt mit BYOD bieten diese Ansätze aber nicht die Sicherheitsisolationsstufe, die viele Kunden brauchen. Um diese Anforderungen zu erfüllen, ist der Webanwendungsproxy-Rollendienst in der Windows Server-RRAS-Rolle (Routing and Remote Access Service) enthalten. Dieser Rollendienst ermöglicht Ihnen das selektive Veröffentlichen der LOB-Webanwendungen für den Zugriff von außerhalb des Unternehmensnetzwerks.

Arbeitsordner ist eine neue Dateisynchronisierungslösung, die es Benutzern ermöglicht, ihre Dateien von einem Unternehmensdateiserver auf ihren Geräten zu synchronisieren. Das Protokoll für diese Synchronisierung ist HTTPS-basiert. Dies vereinfacht die Veröffentlichung über den Webanwendungsproxy. Das bedeutet, dass Benutzer nun über das Intranet und das Internet synchronisieren können. Es bedeutet auch, dass die gleichen AD FS-basierten Authentifizierungs- und Autorisierungskontrollen, die zuvor beschriebenen wurden, auf das Synchronisieren von Unternehmensdateien angewendet werden können. Die Dateien werden dann an einem verschlüsselten Speicherort auf dem Gerät gespeichert. Diese Dateien können dann selektiv entfernt werden, wenn die Registrierung für das Gerät zur Verwaltung aufgehoben wird.

DirectAccess- und RRAS-VPNs (Routing and Remote Access Service) werden in einer einzigen Remotezugriffsrolle in Windows Server 2012 R2 kombiniert. Diese neue RAS-Rolle ermöglicht die zentrale Verwaltung, Konfiguration und Überwachung von DirectAccess- und VPN-basierten Remotezugriffsdiensten.

Windows Server 2012 R2 bietet eine virtuelle Desktopinfrastruktur (Virtual Desktop Infrastructure, VDI), die der IT Ihrer Organisation die Freiheit gibt, persönliche und im Pool zusammengefasste VM-basierte Desktops sowie sitzungsbasierte Desktops auszuwählen. Außerdem erhält die IT je nach ihren Anforderungen mehrere Speicheroptionen.

Das folgende Diagramm zeigt die Technologien, die Sie implementieren können, um den nahtlosen Zugriff auf Unternehmensressourcen sicherzustellen.

Lösung für Zugriffs- und Datenschutz

Planen des Zugriffs auf Unternehmensressourcen

Entwurfselement der Lösung

Warum ist es in dieser Lösung enthalten?

Webanwendungsproxy

Ermöglicht die Veröffentlichung von Unternehmensressourcen, einschließlich mehrstufige Authentifizierung, und die Durchsetzung der bedingten Zugriffsrichtlinien, wenn Benutzer eine Verbindung mit Ressourcen herstellen. Weitere Informationen finden Sie im Bereitstellungshandbuch für den Webanwendungsproxy.

Arbeitsordner (Dateiserver) 

Ein zentraler Speicherort auf einem Dateiserver in der Umgebung des Unternehmens, der konfiguriert wurde, um die Synchronisierung von Dateien auf Benutzergeräten zu ermöglichen. Arbeitsordner können direkt über einen Reverseproxy oder über den Webanwendungsproxy für die Durchsetzung der bedingten Zugriffsrichtlinie veröffentlicht werden. Weitere Informationen finden Sie unter Arbeitsordner: Übersicht.

Remotezugriff

Diese neue RAS-Rolle ermöglicht die zentrale Verwaltung, Konfiguration und Überwachung von DirectAccess- und VPN-basierten Remotezugriffsdiensten. Darüber hinaus stellt Windows Server 2012 DirectAccess mehrere Aktualisierungen und Verbesserungen für die Bereitstellungsblocker und eine vereinfachte Verwaltung bereit. Weitere Informationen finden Sie unter Authentifizierter 802.1X-Drahtloszugriff: Übersicht.

VDI

VDI ermöglicht Ihrer Organisation die Bereitstellung von Unternehmensdesktops und -anwendungen für Mitarbeiter, auf die sie über ihre persönlichen und unternehmenseigenen Geräte von internen und externen Standorten aus mit der Infrastruktur (die Rollendienste Remote Desktop Connection Broker, Remote Desktop Session Host und Remote Desktop Web Access), die im Unternehmensrechenzentrum ausgeführt werden, zugreifen können. Weitere Informationen finden Sie unter Virtuelle Desktopinfrastruktur.
Überlegungen zum Entwurf für die Bereitstellung des Webanwendungsproxys

Dieser Abschnitt enthält eine Einführung in die Planungsschritte, die zum Bereitstellen des Webanwendungsproxys und zum Veröffentlichen von Anwendungen erforderlich sind. Dieses Szenario beschreibt die verfügbaren Vorauthentifizierungsmethoden mit AD FS für die Authentifizierung und Autorisierung. Auf diese Weise können Sie von den AD FS-Features profitieren, einschließlich Arbeitsplatzbeitritt, mehrstufige Authentifizierung (MFA) und mehrstufige Zugriffssteuerung. Diese Planungsschritte werden ausführlich unter Planen der Anwendungsveröffentlichung per Webanwendungsproxy erläutert.

Überlegungen zum Entwurf für die Bereitstellung von Arbeitsordnern

In diesem Abschnitt wird der Entwurfsprozess für eine Arbeitsordnerimplementierung erläutert, und Informationen zu den Softwareanforderungen, Bereitstellungsszenarien, eine Prüfliste für den Entwurf und weitere Überlegungen zum Entwurf werden bereitgestellt. Führen Sie die Schritte unter Entwerfen einer Arbeitsordnerimplementierung aus, um eine grundlegende Prüfliste zu erstellen.

Überlegungen zum Entwurf für die Bereitstellung der Remotezugriffsinfrastruktur

Dieser Abschnitt beschreibt allgemeine Überlegungen, die beim Planen der Bereitstellung eines einzelnen Windows Server 2012-RAS-Servers mit grundlegenden Funktionen berücksichtigt werden müssen:

  1. Planen der DirectAccess-Infrastruktur: Planen Sie die Netzwerk- und Servertopologie, Firewalleinstellungen, Zertifikatsanforderungen, DNS und Active Directory.

  2. Planen der DirectAccess-Bereitstellung: Planen Sie die Bereitstellung von Client und Server.

Risikomanagement der Zugriffssteuerung verbessern.

Mit Windows Server 2012 R2 kann Ihre Organisation eine Kontrolle einrichten, um auf Unternehmensressourcen auf Grundlage der Identität des Benutzers, der Identität des registrierten Geräts und des Benutzernetzwerkstandorts (ob sich der Benutzer am Standort des Unternehmens oder außerhalb befindet) zugreifen. Mithilfe der im Webanwendungsproxy integrierten mehrstufigen Authentifizierung kann die IT zusätzliche Ebenen der Authentifizierung nutzen, wenn Benutzer und Geräte eine Verbindung zur Unternehmensumgebung herstellen.

Um die Risiken im Zusammenhang mit gehackten Benutzerkonten in Windows Server 2012 R2 problemlos einzuschränken, ist es viel einfacher, mehrere Authentifizierungsstufen mithilfe von Active Directory zu implementieren. Mit einem Plug-In-Modell können Sie verschiedene Risikomanagementlösungen direkt in AD FS konfigurieren.

Es gibt zahlreiche Zugriffssteuerungs-Risikomanagementverbesserungen in AD FS in Windows Server 2012 R2, u. a. folgende:

  • Flexible Kontrolle auf Grundlage des Netzwerkstandorts, um zu steuern, wie sich ein Benutzer authentifiziert, um auf eine AD FS-gesicherte Anwendung zuzugreifen.

  • Flexible Richtlinien, um zu ermitteln, ob ein Benutzer die mehrstufige Authentifizierung basierend auf Benutzerdaten, Gerätedaten und Netzwerkstandort durchführen muss.

  • Steuerung pro Anwendung, um SSO zu ignorieren und den Benutzer zu zwingen, bei jedem Zugriff auf eine vertrauliche Anwendung Anmeldeinformationen anzugeben.

  • Flexible Zugriffsrichtlinien pro Anwendung basierend auf Benutzerdaten, Gerätedaten oder Netzwerkstandort. AD FS Extranet Lockout ermöglicht Administratoren den Schutz von Active Directory-Konten vor böswilligen Angriffen aus dem Internet.

  • Sperrung des Zugriffs für alle Arbeitsplatzbeitrittgeräte, die in Active Directory gelöscht oder deaktiviert werden.

Das folgende Diagramm zeigt die Active Directory-Erweiterungen für das Minimieren des Zugriffssteuerungsrisikos.

AD-Funktionen unter Windows Server 2012 R2

Entwurfsüberlegungen zum Implementieren der Risikominimierung und Zugriffssteuerung für Benutzer, Geräte und Anwendungen.

Entwurfselement der Lösung

Warum ist es in dieser Lösung enthalten?

Arbeitsplatzbeitritt (ermöglicht durch Device Registration Service [DRS])

Ihre Organisation kann IT-Steuerung mit Geräteauthentifizierung und zweistufiger Authentifizierung mit SSO implementieren. Arbeitsplatzbeitrittgeräte bieten IT-Administratoren eine bessere Kontrolle über persönliche Geräte und unternehmenseigene Geräte. Weitere Informationen zu DRS finden Sie unter Arbeitsplatzbeitritt von einem beliebigen Gerät für SSO und die nahtlose zweistufige Authentifizierung bei allen Unternehmensanwendungen.

Mehrstufige Authentifizierung

Über Azure Multi-Factor Authentication kann die IT zusätzliche Ebenen der Authentifizierung und Überprüfung von Benutzern und Geräten anwenden. Weitere Informationen finden Sie unter Was ist Azure Multi-Factor Authentication?

Einheitliche Geräteverwaltung

Zusätzlich zu Sicherheit und Zugriff benötigt die IT auch eine gute Strategie zum Verwalten von PCs und persönlichen Geräten von einer einzigen Verwaltungskonsole aus. Das Verwalten von Geräten schließt die Einrichtung von Sicherheits- und Kompatibilitäteinrichtungen, das Erfassen des Software- und Hardwarebestands oder die Bereitstellung von Software ein. Die IT muss auch über eine Lösung zum Schutz des Unternehmens durch Löschen der Unternehmensdaten verfügen, die auf dem mobilen Gerät gespeichert werden, wenn das Gerät verloren geht, gestohlen oder außer Betrieb genommen wird.

Die Lösung, mobile Geräte und PCs durch die Migration zu Configuration Manager mit Windows Intune zu verwalten, erläutert die Unified Device Management-Lösung (einheitliche Geräteverwaltung) detailliert.

Überlegungen zum Entwurf für die einheitliche Geräteverwaltung

Es ist von zentraler Bedeutung, dass Sie wichtige Entwurfsfragen vor dem Entwerfen einer BYOD- (Bring Your Own Device) und Unified Device Management-Infrastruktur klären, damit Mitarbeiter ihre eigenen Geräte verwenden können und die Daten des Unternehmens geschützt werden.

Der Infrastrukturentwurf zur Unterstützung von BYOD wird in BYOD-Benutzer- und -Geräteüberlegungen erläutert. Der Entwurf, der in diesem Dokument erläutert wird, verwendet Microsoft-basierte Technologien. Die Entwurfsoptionen und -überlegungen können aber auf jede Infrastruktur angewendet werden, um das BYOD-Modell zu nutzen.

Eine praktische Checkliste, in der die erforderlichen Schritte zum Unterstützen der Verwaltung mobiler Geräte aufgelistet sind, finden Sie unter Checkliste für die Verwaltung mobiler Geräte.

Was sind die Schritte zur Implementierung dieser Lösung?

Einrichten der zentralen Infrastruktur zum Ermöglichen der Geräteregistrierung

Die folgenden Schritte führen Sie durch die einzelnen Schritte beim Einrichten des Domänencontrollers (AD DS), von AD FS und Device Registration Service.

  1. Einrichten des Domänencontrollers

    Installieren Sie den AD DS-Rollendienst und stufen Sie den Computer zu einem Domänencontroller in Windows Server 2012 R2 hoch. Dadurch wird das AD DS-Schema als Teil der Installation des Domänencontrollers aktualisiert. Weitere Informationen und schrittweise Anleitungen finden Sie unter Installieren von Active Directory-Domänendiensten

  2. Installieren und Konfigurieren des Verbundservers

    Sie können Active Directory Federation Services (AD FS) mit Windows Server 2012 R2 verwenden, um eine Verbund-Identitätsverwaltungslösung zu erstellen, die die verteilten Identifizierungs-, Authentifizierungs- und Autorisierungsdienste auf webbasierte Anwendungen über Organisation- und Plattformgrenzen hinweg erweitert. Durch die Bereitstellung von AD FS können Sie die vorhandenen Identitätsverwaltungsfunktionen Ihrer Organisation auf das Internet erweitern. Weitere Informationen und schrittweise Anleitungen finden Sie im Bereitstellungshandbuch für AD FS unter Windows Server 2012 R2.

  3. Konfigurieren von DRS (Domain Registration Service)

    Sie können auf dem Verbundserver DRS aktivieren, nachdem Sie AD FS installiert haben. Das Konfigurieren von DRS umfasst die Vorbereitung der Active Directory-Gesamtstruktur für die Unterstützung von Geräten und dann das Aktivieren von DRS. Detaillierte Anweisungen finden Sie unter Konfigurieren eines Verbundservers mit dem Geräteregistrierungsdienst.

  4. Einrichten eines Webservers und einer beispielhaften anspruchsbasierten Anwendung zum Überprüfen und Testen der AD FS- und der Geräteregistrierungskonfiguration

    Sie müssen einen Webserver und eine beispielhafte Anspruchsanwendung einrichten und dann bestimmten Verfahren folgen, um die oben genannten Schritte zu überprüfen. Führen Sie die Schritte in der folgenden Reihenfolge aus:

    1. Installieren der Webserverrolle und von Windows Identity Foundation

    2. Installieren von Windows Identity Foundation SDK

    3. Konfigurieren der einfachen Anspruchsanwendung in IIS 

    4. Erstellen einer Vertrauensstellung der vertrauenden Seite auf dem Verbundserver

  5. Konfigurieren und Überprüfen des Arbeitsplatzbeitritts auf Windows- und iOS-Geräten

    Dieser Abschnitt enthält Anweisungen zum Einrichten des Arbeitsplatzbeitritts auf einem Windows-Gerät, einem iOS-Gerät und zu SSO auf einer Unternehmensressource.

    1. Arbeitsplatzbeitritt mit einem Windows-Gerät

    2. Arbeitsplatzbeitritt mit einem iOS-Gerät

Konfigurieren des Zugriffs auf Unternehmensressourcen

Sie müssen Dateidienst-Arbeitsordner, Remotedesktop-Dienstvirtualisierung und Remotezugriff konfigurieren.

  1. Konfigurieren des Webanwendungsproxys

    Dieser Abschnitt enthält eine Einführung in die erforderlichen Konfigurationsschritte zum Bereitstellen des Webanwendungsproxys und Veröffentlichen von Anwendungen darüber.

    1.  Konfigurieren der Infrastruktur für den Webanwendungsproxy: Beschreibt die Konfiguration der erforderlichen Infrastruktur zum Bereitstellen des Webanwendungsproxys.

    2. Installieren und Konfigurieren des Webanwendungsproxy-Servers: Beschreibt die Konfiguration der Webanwendungsproxy-Server, einschließlich der Konfiguration aller erforderlichen Zertifikate, Installieren des Webanwendungsproxy-Rollendiensts und den Beitritt der Webanwendungsproxy-Server zu einer Domäne.

    3. Veröffentlichen von Anwendungen mit AD FS-Vorauthentifizierung: Beschreibt, wie Sie Anwendungen per Webanwendungsproxy mit AD FS-Vorauthentifizierung veröffentlichen.

    4. Veröffentlichen von Anwendungen mit PassThrough-Vorauthentifizierung: Beschreibt, wie Sie Anwendungen mit Passthrough-Vorauthentifizierung veröffentlichen.

  2. Konfigurieren von Arbeitsordnern

    Die einfachste Arbeitsordnerbereitstellung ist ein einzelner Dateiserver (oft als Synchronisierungsserver bezeichnet) ohne Unterstützung der Synchronisierung über das Internet, die eine hilfreiche Bereitstellung für eine Testumgebung oder als Synchronisierungslösung für Clientcomputer sein kann, die der Domäne beigetreten sind. Zum Erstellen einer einfachen Bereitstellung sind mindestens folgende Schritte erforderlich:

    1.  Installieren von Arbeitsordnern auf Dateiservern

    2.  rstellen von Sicherheitsgruppen für Arbeitsordner

    3. Erstellen von Synchronisierungsfreigaben für Benutzerdaten

    Weitere Informationen zum Bereitstellen von Arbeitsordnern finden Sie unter Bereitstellen von Arbeitsordnern.

  3. Konfigurieren und Überprüfen der Sitzungsvirtualisierung für Remotedesktopdienste

    Eine VDI-Standardbereitstellung ermöglicht Ihnen das Installieren der entsprechenden Rollendienste auf separaten Computern. Eine Standardbereitstellung bietet eine genauere Steuerung der virtuellen Desktops und Sammlungen virtueller Desktops, indem sie nicht automatisch erstellt werden.

    Diese Testumgebung führt Sie wie folgt durch den Prozess zum Erstellen einer Standardbereitstellung für eine Sitzungsvirtualisierung:

    • Installieren der Rollendienste RD Connection Broker, RD Session Host und RD Web Access auf separaten Computern.

    • Erstellen einer Sitzungssammlung.

    • Veröffentlichen eines sitzungsbasierten Desktops für jeden RD Session Host-Server in der Sammlung.

    • Veröffentlichen von Anwendungen als RemoteApp-Programme.

    Ausführliche Informationen zum Konfigurieren und Überprüfen einer VDI-Bereitstellung finden Sie unter Sitzungsvirtualisierungs-Standardbereitstellung für Remotedesktopdienste.

  4. Konfigurieren des Remotezugriffs

    Windows Server 2012 kombiniert DirectAccess- und RRAS-VPN (Routing and Remote Access Service) in einer einzigen Remotezugriffsrolle. Im folgenden werden die Konfigurationsschritte ausgeführt, die zum Bereitstellen eines einzelnen Windows Server 2012-Remotezugriffsservers mit grundlegenden Einstellungen erforderlich sind.

    1. Konfigurieren der DirectAccess-Infrastruktur: Dieser Schritt umfasst die Konfiguration der Netzwerk- und Servereinstellungen, DNS-Einstellungen und Active Directory-Einstellungen.

    2. Konfigurieren des DirectAccess-Servers: Dieser Schritt umfasst die Konfiguration der DirectAccess-Clientcomputer- und -Servereinstellungen.

    3. Überprüfen der Bereitstellung: Dieser Schritt umfasst die Schritte zum Überprüfen der Bereitstellung.

Konfigurieren des Risikomanagements durch Einrichten der mehrstufigen Zugriffssteuerung und mehrstufigen Authentifizierung

Richten Sie flexible und deutliche Autorisierungsrichtlinien pro Anwendung ein, mit denen Sie den Zugriff basierend auf Benutzer, Gerät, Netzwerkstandort und Authentifizierungsstatus durch Konfigurieren der mehrstufigen Zugriffssteuerung zulassen oder verweigern können. Richten Sie zusätzliches Risikomanagement mit mehrstufiger Authentifizierung in Ihrer Umgebung ein.

  1. Konfigurieren und Überprüfen der mehrstufigen Zugriffssteuerung

    Dies umfasst die folgenden drei Schritte:

    1. Überprüfen des Standardmechanismus für die AD FS-Zugriffssteuerung

    2. Konfigurieren von Richtlinien für die mehrstufige Zugriffssteuerung auf Grundlage von Benutzerdaten

    3. Überprüfen des Mechanismus für die mehrstufige Zugriffssteuerung

  2. Konfigurieren und Überprüfen der mehrstufigen Authentifizierung

    Dies umfasst die folgenden drei Schritte:

    1. Überprüfen des Standardmechanismus für die AD FS-Authentifizierung 

    2. Konfigurieren der mehrstufigen Authentifizierung auf dem Verbundserver

    3. Überprüfen des MFA-Mechanismus

Implementieren der einheitlichen Geräteverwaltung

Führen Sie die folgenden Schritte zum Einrichten der Geräteverwaltung in Ihrem Unternehmen aus.

  1. Installieren Sie die System Center 2012 R2 Configuration Manager-Konsole: Bei der Installation einer primären Website wird die Configuration Manager-Konsole ebenfalls auf dem Servercomputer der primären Website installiert. Nach der Installation der Website können Sie weitere System Center 2012 R2 Configuration Manager-Konsolen auf weiteren Computern zum Verwalten der Website installieren. Die Installation einer Konsole von Configuration Manager 2007 und System Center 2012 R2 Configuration Manager aus auf demselben Computer wird unterstützt. Diese parallele Installation ermöglicht Ihnen die Verwendung eines einzelnen Computers, um die vorhandene Infrastruktur von Configuration Manager 2007 und die mobilen Geräte, die Sie mit Windows Intune mit System Center 2012 R2 Configuration Manager verwalten, zu verwalten. Allerdings können Sie keine Verwaltungskonsole von System Center 2012 R2 Configuration Manager zur Verwaltung Ihrer Configuration Manager 2007-Website und umgekehrt verwenden. Weitere Informationen finden Sie unter Installieren einer Configuration Manager-Konsole.

  2. Registrieren mobiler Geräte: Die Registrierung stellt eine Beziehung zwischen dem Benutzer, dem Gerät und dem Windows Intune-Dienst her. Benutzer registrieren ihre eigenen mobilen Geräte. Weitere Informationen zum Anmelden mobiler Geräte finden Sie unter Anmeldung mobiler Geräte.

  3. Verwaltung mobiler Geräte: Nach der Installation und dem Durchführen der Basiskonfiguration für eigenständige primäre Site können Sie beginnen, die Verwaltung mobiler Geräte zu konfigurieren. Im Folgenden werden die typischen Aktionen aufgeführt, die Sie konfigurieren können:

    1. Informationen zum Anwenden von Compliance-Einstellung auf mobilen Geräte finden Sie unter Kompatibilitätseinstellungen für mobile Geräte in Configuration Manager.

    2. Informationen zum Erstellen und Bereitstellen von Anwendungen auf mobilen Geräten finden Sie unter Erstellen und Bereitstellen von Anwendungen für mobile Geräte in Configuration Manager.

    3. Informationen zum Konfigurieren der Hardwareinventur finden Sie in Konfigurieren von Hardwareinventur für mobile Geräte, die von Microsoft Intune in Configuration Manager angemeldet werden.

    4. Informationen zum Konfigurieren der Softwareinventur finden Sie unter Einführung in die Softwareinventur in Configuration Manager.

    5. Informationen zum Löschen des Inhalts von mobilen Geräten finden Sie unter Verwalten von mobilen Geräten mit Configuration Manager und Microsoft Intune.

Weitere Informationen

Inhaltstyp

Verweise

Produktbewertung/Erste Schritte

Planung und Entwurf

Communityressourcen

Verwandte Lösungen