Accesso sicuro alle risorse ovunque e con qualsiasi dispositivo

  • Articolo

 

Finalità della guida.

Destinatari della guida

Questa guida è destinata ad aziende del settore IT con architetti di infrastrutture, specialisti in sicurezza aziendale ed esperti di gestione dei dispositivi che vogliono conoscere le soluzioni disponibili per indirizzarsi verso l'informatica di consumo e la progettazione Bring Your Own Device (BYOD). La soluzione end-to-end descritta in questa guida fa parte della visione Microsoft della mobilità aziendale.

La tendenza attuale all'uso dei dispositivi in ogni situazione, siano essi dispositivi aziendali o personali, per accedere alle risorse aziendali in locale o sul cloud, ha reso indispensabile per le aziende IT la ricerca di soluzioni in grado di garantire maggiore produttività e soddisfazione degli utenti riguardo l'uso e l'identità dei dispositivi e un'esperienza ottimale di connessione alle risorse e alle applicazioni aziendali. Questa situazione comporta al tempo stesso numerosi problemi di gestione e sicurezza per le organizzazioni IT, che devono garantire la protezione dell'infrastruttura e dei dati aziendali da utenti malintenzionati. Tali aziende devono anche verificare che l'accesso alle risorse sia effettuato in conformità con i criteri aziendali, indipendentemente dal tipo di dispositivo o dalla posizione.

L'infrastruttura corrente può essere estesa implementando e configurando tecnologie diverse da Windows Server 2012 R2, per impostare una soluzione end-to-end per risolvere queste problematiche.

Il diagramma seguente illustra il problema affrontato in questa guida. Gli utenti usano dispositivi personali e aziendali per accedere alle applicazioni e ai dati sul cloud e in locale. Queste applicazioni e risorse possono trovarsi all'interno o all'esterno del firewall.

Proliferazione e accesso a dispositivi e applicazioni

Contenuto della guida alla soluzione:

  • Scenario, presentazione del problema e obiettivi

  • Progetto consigliato per la soluzione

  • Qual è la procedura per implementare questa soluzione?

Scenario, presentazione del problema e obiettivi

Questa sezione descrive lo scenario, il problema e gli obiettivi per un'organizzazione di esempio.

Scenario

L'organizzazione è una società di servizi bancari di medie dimensioni. Ha più di 5.000 dipendenti che usano i propri dispositivi personali (con Windows RT e iOS) per lavorare. Attualmente non hanno modo di accedere alle risorse aziendali da questi dispositivi.

L'infrastruttura corrente include una foresta di Active Directory con un controller di dominio in cui è installato Windows Server 2012. È anche disponibile un server di accesso remoto e un computer System Center Configuration Manager tramite System Center.

Presentazione del problema

Una recente relazione presentata dal team IT ai dirigenti della società evidenzia il fatto che un numero crescente di utenti porta i propri dispositivi personali in ufficio e necessita dell'accesso ai dati aziendali. I dirigenti comprendono questa tendenza di mercato per cui gli utenti usano sempre più i propri dispositivi per lavoro e vogliono implementare una soluzione che risponda a queste esigenze in modo sicuro. In breve, il team IT deve:

  • Permettere ai dipendenti di usare i dispositivi personali, oltre a quelli della società, per accedere alle applicazioni e ai dati aziendali, Sono inclusi PC e dispositivi mobili.

  • Garantire l'accesso sicuro alle risorse in base alle esigenze di ciascun utente e ai criteri aziendali relativi ai dispositivi. L'esperienza utente deve essere identica su tutti i dispositivi.

  • Identificare e gestire i dispositivi.

Obiettivi dell'organizzazione

Questa guida presenta una soluzione per estendere l'infrastruttura aziendale in modo da ottenere i vantaggi seguenti:

  • Registrazione semplificata dei dispositivi personali e aziendali.

  • Connessione trasparente con le risorse interne quando necessario.

  • Accesso coerente alle risorse aziendali su tutti i dispositivi.

Progetto consigliato per la soluzione

Per risolvere le problematiche aziendali e raggiungere i propri obiettivi, l'organizzazione deve implementare più scenari secondari, rappresentati insieme nell'illustrazione seguente.

Panoramica che mostra tutti i componenti della soluzione

  1. Consentire agli utenti di registrare i propri dispositivi e ottenere un'esperienza Single Sign-On

  2.  Configurare l'accesso trasparente alle risorse aziendali 

  3. Migliorare la gestione dei rischi del controllo degli accessi 

  4. Gestione unificata dei dispositivi

Consentire agli utenti di registrare i propri dispositivi e ottenere un'esperienza Single Sign-On

Questa parte della soluzione implica le fasi importanti descritte di seguito.

  • Gli amministratori IT possono configurare la registrazione dei dispositivi, per poterli associare all'infrastruttura Active Directory dell'azienda e usare tale associazione come autenticazione a due fattori trasparente. L'aggiunta all'area di lavoro è una nuova funzionalità di Active Directory che consente agli utenti di registrare i propri dispositivi in modo sicuro nella directory aziendale. In seguito alla registrazione, il dispositivo riceve un certificato che può essere usato per l'autenticazione quando l'utente accede alle risorse aziendali con tale dispositivo. Con questa associazione, i professionisti IT possono configurare criteri di accesso personalizzati per fare in modo che gli utenti siano autenticati e usino il proprio dispositivo aggiunto all'area di lavoro quando accedono alle risorse aziendali.

  • Gli amministratori IT possono configurare l'accesso Single Sign-On (SSO) dai dispositivi associati ad Active Directory nell'azienda. SSO consente all'utente finale di eseguire l'accesso una sola volta quando apre un'applicazione aziendale, senza che sia necessario reinserire le informazioni di accesso per tutte le altre applicazioni dell'azienda. In Windows Server 2012 R2, la funzionalità SSO è stata estesa ai dispositivi aggiunti all'area di lavoro. In questo modo, l'esperienza utente risulta migliorata e si evita il rischio che ogni applicazione archivi le proprie credenziali utente. Questa soluzione offre anche il vantaggio di limitare le possibilità di harvesting delle password su dispositivi personali o aziendali.

Il diagramma seguente offre una panoramica generale dell'aggiunta all'area di lavoro.

Aggiunta all'area di lavoro con registrazione dispositivi locale

Ognuna di queste funzionalità è descritta in dettaglio nella tabella seguente.

Elemento del progetto di soluzione

Perché è incluso in questa soluzione?

Aggiunta all'area di lavoro

L'aggiunta all'area di lavoro consente agli utenti di registrare i propri dispositivi in modo sicuro nella directory aziendale. In seguito alla registrazione, il dispositivo riceve un certificato che può essere usato per l'autenticazione quando l'utente accede alle risorse aziendali con tale dispositivo. Per altre informazioni, vedereHYPERLINK "https://technet.microsoft.com/library/dn280945.aspx" Aggiungere un dispositivo all'area di lavoro per l'accesso SSO e l'autenticazione a due fattori trasparente per tutte le applicazioni aziendali.

I ruoli del server e le tecnologie da configurare per questa funzionalità sono elencate nella tabella seguente.

Elemento del progetto di soluzione

Perché è incluso in questa soluzione?

Controller di dominio con aggiornamento dello schema di Windows Server 2012 R2

L'istanza di Servizi di dominio Active Directory fornisce una directory di identità per autenticare gli utenti e i dispositivi e per l'applicazione dei criteri di accesso e di configurazione centralizzata. Per altre informazioni sulla configurazione dell'infrastruttura dei servizi directory per questa soluzione, vedere Aggiornare controller di dominio a Windows Server 2012 R2 e Windows Server 2012.

Servizi di dominio Active Directory con il servizio DRS (Device Registration Service)

Servizi di dominio Active Directory consente agli amministratori di configurare il servizio DRS (Device Registration Service) e implementa il protocollo per l'aggiunta all'area di lavoro per un dispositivo da aggiungere all'area di lavoro con Active Directory. Servizi di dominio Active Directory è anche stato potenziato con il protocollo di autenticazione OAuth e con l'autenticazione dei dispositivi e i criteri di controllo degli accessi condizionale, tra cui i criteri utente, dispositivo e posizione. Per altre informazioni sulla pianificazione dell'infrastruttura di progettazione di AD FS, vedere Guida alla progettazione di AD FS in Windows Server 2012 R2.

Considerazioni di progettazione per la configurazione del controller di dominio

Per questa soluzione non è necessario un controller di dominio con Windows Server 2012 R2. È sufficiente un aggiornamento dello schema dell'installazione corrente di Servizi di dominio Active Directory. Per altre informazioni sull'estensione dello schema, vedere Installare Servizi di dominio Active Directory. Per aggiornare lo schema sui controller di dominio esistenti senza installare un controller di dominio che esegue Windows Server 2012 R2, è possibile eseguire Adprep.exe.

Per un elenco dettagliato delle nuove funzionalità, dei requisiti di sistema e dei prerequisiti da soddisfare prima di iniziare l'installazione, vedere Convalida dei prerequisiti di installazione di Servizi di dominio Active Directory e Requisiti di sistema.

Considerazioni di progettazione per ADFS

Per pianificare l'ambiente di AD FS, vedere Identificazione degli obiettivi della distribuzione di AD FS.

Configurare l'accesso trasparente alle risorse aziendali

Al giorno d'oggi, i dipendenti usano dispositivi mobili e si aspettano di poter accedere alle applicazioni necessarie per lavorare in qualsiasi luogo. Le aziende hanno adottato varie strategie per consentire questo tipo di accesso tramite VPN, DirectAccess e Gateway Desktop remoto.

Ma queste soluzioni, in un mondo in cui domina l'approccio Bring Your Own Device, non offrono il livello di isolamento di sicurezza necessario per molti clienti. Per soddisfare questo requisito, nel ruolo Routing e Accesso remoto di Windows Server è incluso il servizio ruolo Proxy applicazione Web. Questo servizio ruolo consente di pubblicare in modo selettivo le app Web line-of-business dell'azienda per l'accesso esterno alla rete aziendale.

Cartelle di lavoro è una nuova soluzione per la sincronizzazione dei file che consente agli utenti di sincronizzare i file da un file server aziendale ai propri dispositivi. Il protocollo usato per questa sincronizzazione è basato su HTTPS. In questo modo, risulta semplice pubblicare tramite Proxy applicazione Web. Gli utenti posso ora eseguire la sincronizzazione sia dalla rete Intranet che da Internet. Inoltre, i controlli di autorizzazione e autenticazione basati su ADFS descritti in precedenza possono essere applicati alla sincronizzazione dei file aziendali. I file vengono quindi archiviati in un percorso crittografato nel dispositivo. Questi file possono essere rimossi in modo selettivo quando si annulla la registrazione del dispositivo per operazioni di gestione.

DirectAccess e la VPN di Routing e Accesso remoto sono combinati in un unico ruolo Accesso remoto in Windows Server 2012 R2. Questo nuovo ruolo del server Accesso remoto consente l'amministrazione, la configurazione e il monitoraggio centralizzati dei servizi di accesso remoto basati sia su DirectAccess che su VPN.

Windows Server 2012 R2 fornisce un'infrastruttura VDI che permette al reparto IT dell'organizzazione di scegliere desktop personali e basati su macchine virtuali in pool, nonché desktop basati sulle sessioni. Offre anche varie opzioni di archiviazione, in base alle esigenze del reparto IT.

Il diagramma seguente illustra le tecnologie che è possibile implementare per garantire l'accesso trasparente alle risorse aziendali.

Soluzione per l'accesso e la protezione delle informazioni

Pianificazione dell'accesso alle risorse aziendali

Elemento del progetto di soluzione

Perché è incluso in questa soluzione?

Proxy applicazione Web

Consente la pubblicazione delle risorse aziendali, tra cui Multi-Factor Authentication e l'applicazione dei criteri di accesso condizionale quando gli utenti di connettono alle risorse. Per altre informazioni, vedere la Guida alla distribuzione del Proxy applicazione Web.

Cartelle di lavoro (file server) 

È una posizione centralizzata in un file server dell'ambiente aziendale configurata per consentire la sincronizzazione dei file con i dispositivi degli utenti. Le cartelle di lavoro possono essere pubblicate direttamente tramite un proxy inverso o Proxy applicazione Web per l'applicazione dei criteri di accesso condizionale. Per altre informazioni, vedere Panoramica di Cartelle di lavoro.

Accesso remoto

Questo nuovo ruolo del server Accesso remoto consente l'amministrazione, la configurazione e il monitoraggio centralizzati dei servizi di accesso remoto basati sia su DirectAccess che su VPN. DirectAccess di Windows Server 2012 offre inoltre vari aggiornamenti e miglioramenti per risolvere i blocchi della distribuzione e semplificare la gestione. Per altre informazioni, vedere Panoramica di Accesso wireless autenticato tramite 802.1X.

VDI

VDI consente all'organizzazione di offrire un desktop e applicazioni aziendali ai dipendenti in modo che possano accedere dai propri dispositivi personali e aziendali, da posizioni interne ed esterne con l'infrastruttura (i servizi ruolo Gestore connessione Desktop remoto, Host sessione Desktop remoto e Accesso Web Desktop remoto) in esecuzione nel data center aziendale. Per altre informazioni, vedere Virtual Desktop Infrastructure.
Considerazioni di progettazione per la distribuzione di Proxy applicazione Web

Questa sezione fornisce una presentazione dei passaggi di pianificazione necessari per distribuire Proxy applicazione Web e pubblicare le applicazioni tramite questo servizio. Lo scenario descrive i metodi di autenticazione preliminare disponibili, incluso l'uso di Active Directory Federation Services per l'autenticazione e l'autorizzazione, per sfruttare le funzionalità di Active Directory Federation Services, come l'aggiunta all'area di lavoro, Multi-Factor Authentication e il controllo degli accessi a più fattori. Questi passaggi della pianificazione sono spiegati in dettaglio in Pianificare la pubblicazione di applicazioni mediante il Proxy applicazione Web.

Considerazioni di progettazione per la distribuzione di Cartelle di lavoro

Questa sezione descrive il processo di progettazione per un'implementazione di Cartelle di lavoro e fornisce informazioni sui requisiti software, gli scenari di distribuzione, un elenco di controllo di progettazione e altre considerazioni sulla progettazione. Per creare un elenco di controllo di base, seguire i passaggi descritti in Progettazione di un'implementazione di Cartelle di lavoro.

Considerazioni di progettazione per la distribuzione dell'infrastruttura di accesso remoto

Questa sezione presenta le considerazioni generali da tenere presenti durante la pianificazione della distribuzione di un solo server di accesso remoto di Windows Server 2012 con funzionalità di base:

  1. Pianificare l'infrastruttura DirectAccess: pianificare la topologia di rete e del server, le impostazioni del firewall, i requisiti dei certificati, DNS, e Active Directory.

  2. Pianificare la distribuzione di DirectAccess: pianificare la distribuzione di client e server.

Migliorare la gestione dei rischi del controllo degli accessi

Con Windows Server 2012 R2, l'organizzazione può configurare il controllo per l'accesso alle risorse aziendali in base all'identità dell'utente, all'identità del dispositivo registrato e al percorso di rete dell'utente (sia all'interno dell'azienda che all'esterno). Grazie a Multi-Factor Authentication, integrato in Proxy applicazione Web, le aziende IT possono sfruttare ulteriori livelli di autenticazione quando utenti e dispositivi si connettono all'ambiente aziendale.

Per limitare facilmente i rischi associati ad account utente compromessi, in Windows Server 2012 R2 è molto più semplice implementare più fattori di autenticazione tramite Active Directory. Un modello di plug-in consente di configurare soluzioni di gestione dei rischi diverse direttamente in ADFS.

Sono disponibili numerosi miglioramenti della gestione dei rischi del controllo degli accessi in ADFS di Windows Server 2012 R2, inclusi i seguenti:

  • Controlli flessibili in base al percorso di rete per definire la modalità di autenticazione dell'utente per accedere a un'applicazione protetta con ADFS.

  • Criteri flessibili per determinare se un utente deve eseguire Multi-Factor Authentication in base ai dati dell'utente, ai dati del dispositivo e al percorso di rete.

  • Controlli in base all'applicazione in modo da ignorare SSO e richiedere all'utente di fornire le credenziali ogni volta che accede a un'applicazione riservata.

  • Criteri di accesso per applicazione flessibili basati sui dati dell'utente, i dati del dispositivo o il percorso di rete. Il blocco della Extranet di ADFS consente agli amministratori di proteggere gli account di Active Directory da attacchi di forza bruta da Internet.

  • Revoca dell'accesso per qualsiasi dispositivo aggiunto all'area di lavoro disabilitato o eliminato in Active Directory.

Il diagramma seguente illustra i miglioramenti di Active Directory per aumentare l'attenuazione dei rischi del controllo degli accessi.

Funzionalità di Active Directory in Windows Server 2012 R2

Considerazioni di progettazione per l'implementazione di governance di attenuazione dei rischi e accesso per utente, dispositivo e applicazioni

Elemento del progetto di soluzione

Perché è incluso in questa soluzione?

Aggiunta all'area di lavoro (abilitata dal servizio DRS [Device Registration Service])

L'organizzazione può implementare la governance IT con l'autenticazione del dispositivo e l'autenticazione a due fattori con SSO. I dispositivi aggiunti all'area di lavoro forniscono agli amministratori IT un maggiore livello di controllo per i dispositivi personali e aziendali. Per altre informazioni su DRS, vedere Aggiungere un dispositivo all'area di lavoro per l'accesso SSO e l'autenticazione a due fattori trasparente per tutte le applicazioni aziendali.

Multi-Factor Authentication

Mediante Azure Multi-Factor Authentication, le aziende IT possono applicare altri livelli di autenticazione e verifica di utenti e dispositivi. Per altre informazioni, vedere Informazioni su Azure Multi-Factor Authentication

Gestione unificata dei dispositivi

Oltre alla sicurezza e all'accesso, il reparto IT deve avere anche una buona strategia per gestire i PC e i dispositivi personali da una singola console di amministrazione. La gestione dei dispositivi include la configurazione di impostazioni per la sicurezza e la conformità, la raccolta dell'inventario software e hardware o la distribuzione del software. Il reparto IT deve anche disporre di una soluzione per proteggere la società eliminando i dati aziendali archiviati sul dispositivo mobile quando il dispositivo viene perso, rubato o messo in disuso.

La soluzione descritta in Gestire dispositivi mobili e PC eseguendo la migrazione a Configuration Manager con Windows Intune spiega in dettaglio la soluzione Gestione unificata dei dispositivi.

Considerazioni di progettazione per la gestione unificata dei dispositivi

È fondamentale risolvere i problemi di progettazione importanti prima di progettare un'infrastruttura BYOD (Bring Your Own Device) e per la gestione unificata dei dispositivi che consenta ai dipendenti di usare i propri dispositivi e proteggere i dati aziendali.

Il progetto di infrastruttura per il supporto di BYOD è descritto in Considerazioni su utenti e dispositivi per BYOD. Il progetto illustrato in questo documento usa una tecnologia basata su Microsoft. Le considerazioni e le opzioni di progettazione possono tuttavia essere applicate a qualsiasi infrastruttura usata per adottare il modello BYOD.

Per un comodo elenco di controllo in cui sono elencati i passaggi necessari per supportare la gestione dei dispositivi mobili, vedere Elenco di controllo per la gestione dei dispositivi mobili.

Qual è la procedura per implementare questa soluzione?

Configurare l'infrastruttura di base per abilitare la registrazione dei dispositivi

I passaggi seguenti consentono di eseguire la procedura dettagliata di configurazione del controller di dominio (ADDS), di ADFS e del servizio di registrazione dei dispositivi.

  1. Configurare il controller di dominio

    Installare il servizio ruolo Servizi di dominio Active Directory e innalzare di livello il computer a controller di dominio in Windows Server 2012 R2. In questo modo lo schema di Active Directory verrà aggiornato durante l'installazione del controller di dominio. Per altre informazioni e istruzioni dettagliate, vedere Installare Servizi di dominio Active Directory

  2. Installare e configurare il server federativo

    Per creare una soluzione di gestione di identità federate che estende l'identificazione distribuita, i servizi di autenticazione e di autorizzazione per le applicazioni Web oltre i confini di piattaforma e organizzazione, è possibile utilizzare Active Directory Federation Services (ADFS) con Windows Server 2012 R2. Con la distribuzione di ADFS, è possibile estendere a Internet le funzionalità di gestione delle identità esistenti dell'organizzazione. Per altre informazioni e istruzioni dettagliate, vedere Guida alla distribuzione di AD FS in Windows Server 2012 R2.

  3. Configurare il servizio DRS (Domain Registration Service)

    Dopo l'installazione di ADFS, è possibile abilitare DRS nel server federativo. La configurazione di DRS comporta la preparazione della foresta di Active Directory per supportare i dispositivi e quindi l'abilitazione di DRS. Per istruzioni dettagliate, vedere Configurare un server federativo con Device Registration Service.

  4. Configurare un server Web e di un'applicazione basata su attestazioni di esempio per verificare e testare la configurazione di ADFS e la registrazione del dispositivo

    È necessario configurare un server Web e un'applicazione basata su attestazioni di esempio e quindi seguire alcune procedure per verificare i passaggi precedenti. Eseguire i passaggi nell'ordine seguente:

    1. Installare il ruolo Server Web e Windows Identity Foundation

    2. Installare Windows Identity Foundation SDK

    3. Configurare la semplice app basata su attestazioni in IIS 

    4. Creare un trust della relying party nel server federativo

  5. Configurare e verificare l'aggiunta all'area di lavoro in dispositivi Windows e iOS

    Questa sezione fornisce le istruzioni per la configurazione dell'aggiunta all'area di lavoro in un dispositivo Windows e un dispositivo iOS e sull'accesso SSO a una risorsa aziendale.

    1. Aggiunta alla rete aziendale con un dispositivo Windows

    2. Aggiunta alla rete aziendale con un dispositivo iOS

Configurare l'accesso alle risorse aziendali

È necessario configurare le cartelle di lavoro di Servizi file, la virtualizzazione di Servizi Desktop remoto e l'accesso remoto.

  1. Configurare Proxy applicazione Web

    Questa sezione fornisce una presentazione dei passaggi di configurazione necessari per distribuire Proxy applicazione Web e pubblicare le applicazioni tramite questo servizio.

    1.  Configurare l'infrastruttura del Proxy applicazione Web: Descrive come configurare l'infrastruttura necessaria per distribuire Proxy applicazione Web.

    2. Installare e configurare il server Proxy applicazione Web: Descrive come configurare i server Proxy applicazione Web, inclusa la configurazione di eventuali certificati necessari, installare il servizio ruolo Proxy applicazione Web e aggiungere i server Proxy applicazione Web a un dominio.

    3. Pubblicare applicazioni con la preautenticazione di AD FS Descrive come pubblicare applicazioni mediante Proxy applicazione Web usando la preautenticazione di ADFS.

    4. Pubblicare applicazioni con la preautenticazione pass-through: Descrive come pubblicare applicazioni con la preautenticazione pass-through.

  2. Configurare Cartelle di lavoro

    La distribuzione di Cartelle di lavoro più semplice è costituita da un singolo file server (spesso denominato server di sincronizzazione) senza supporto per la sincronizzazione tramite Internet. Questa può essere una distribuzione utile per un laboratorio di testing oppure per la sincronizzazione di computer client che fanno parte di un dominio. Per creare una distribuzione semplice, è necessario eseguire almeno i passaggi seguenti:

    1.  Installare Cartelle di lavoro nei file server

    2.  Creare gruppi di sicurezza per Cartelle di lavoro

    3. Creare condivisioni di sincronizzazione per i dati degli utenti

    Per altre istruzioni dettagliate su come distribuire le cartelle di lavoro, vedere Distribuzione di Cartelle di lavoro.

  3. Configurare e verificare la virtualizzazione della sessione di Servizi Desktop remoto

    Una distribuzione standard VDI consente di installare i servizi ruolo appropriati in computer distinti. Una distribuzione standard fornisce un controllo più preciso dei desktop virtuali e degli insiemi di desktop virtuali non creandoli automaticamente.

    Questo ambiente di testing illustra il processo di creazione di una distribuzione standard di virtualizzazione delle sessioni con le operazioni seguenti:

    • Installazione dei servizi ruolo Gestore connessione desktop remoto, Host sessione Desktop remoto e Accesso Web Desktop remoto in computer distinti.

    • Creazione di un insieme di sessioni.

    • Pubblicazione di un desktop basato su sessione per ogni server Host sessione Desktop remoto nella raccolta.

    • Pubblicazione di applicazioni come i programmi RemoteApp.

    Per istruzioni dettagliate per configurare e verificare una distribuzione VDI, vedere Distribuzione standard della virtualizzazione delle sessioni di Servizi Desktop remoto.

  4. Configurare l'accesso remoto

    Windows Server 2012 riunisce DirectAccess e la VPN di Routing e Accesso remoto in un unico ruolo Accesso remoto. Di seguito sono riportati i passaggi di configurazione necessari per distribuire un singolo server di accesso remoto di Windows Server 2012 con le impostazioni di base.

    1. Configurare l'infrastruttura DirectAccess: Questo passaggio include la configurazione delle impostazioni della rete e del server, di DNS e di Active Directory.

    2. Configurare il server DirectAccess: Questo passaggio include la configurazione delle impostazioni dei computer client e del server DirectAccess.

    3. Verificare la distribuzione: Questo passaggio include i passaggi per la verifica della distribuzione.

Configurare la gestione dei rischi mediante la configurazione del controllo di accesso a più fattori e Multi-Factor Authentication

Configurare i criteri di autorizzazione per le singole applicazioni flessibili ed espressivi, con cui è possibile consentire o negare l'accesso in base all'utente, al dispositivo, al percorso di rete e allo stato di autenticazione configurando il controllo di accesso a più fattori. Configurare la gestione dei rischi aggiuntivi nell'ambiente con Multi-Factor Authentication.

  1. Configurare e verificare il controllo di accesso a più fattori

    Questa operazione implica i tre passaggi seguenti:

    1. Verificare il meccanismo di controllo degli accessi predefinito di AD FS

    2. Configurare i criteri di controllo degli accessi a più fattori in base ai dati dell'utente

    3. Verificare il meccanismo di controllo degli accessi a più fattori

  2. Configurare e verificare Multi-Factor Authentication

    Questa operazione implica i tre passaggi seguenti:

    1. Verificare il meccanismo di autenticazione predefinito di AD FS 

    2. Configurare l'autenticazione a più fattori nel server federativo

    3. Verificare il meccanismo di autenticazione a più fattori

Implementare la gestione unificata dei dispositivi

Seguire i passaggi seguenti per configurare la gestione dei dispositivi nella propria azienda.

  1. Installare la console di Gestione configurazione di System Center 2012 R2: Per impostazione predefinita, quando si installa un sito primario, anche la console di Gestione configurazione viene installata nel computer server del sito primario. Dopo aver installato il sito, è possibile installare ulteriori console di Gestione configurazione di System Center 2012 R2 in computer aggiuntivi per gestire il sito. L'installazione di una console di Configuration Manager 2007 e Gestione configurazione di System Center 2012 R2 nello stesso computer è supportata. L'installazione affiancata consente di usare un unico computer per gestire l'infrastruttura di Configuration Manager 2007 e i dispositivi mobili che è possibile gestire con Windows Intune o Gestione configurazione di System Center 2012 R2. Non è tuttavia possibile usare la console di gestione da Gestione configurazione di System Center 2012 R2 per gestire il sito di Configuration Manager 2007 e viceversa. Per altre informazioni, vedere Installare una console di Configuration Manager.

  2. Registrare i dispositivi mobili: La registrazione stabilisce una relazione tra l'utente, il dispositivo e il servizio Windows Intune. Gli utenti registrano i propri dispositivi mobili. Per altre informazioni su come registrare dispositivi mobili, vedere Registrazione di dispositivi mobili.

  3. Gestire i dispositivi mobili: Dopo avere installato e impostato le configurazioni di base per il sito primario autonomo, è possibile iniziare a configurare la gestione dei dispositivi mobili. Di seguito sono indicate le tipiche azioni che è possibile configurare:

    1. Per applicare le impostazioni di conformità per i dispositivi mobili, vedere Impostazioni di conformità per dispositivi mobili in Configuration Manager.

    2. Per creare e distribuire applicazioni nei dispositivi mobili, vedere Come creare e distribuire applicazioni per dispositivi mobili in Configuration Manager.

    3. Per configurare l'inventario hardware, vedere Come configurare l'inventario dell'hardware per dispositivi mobili registrati da Microsoft Intune e Configuration Manager.

    4. Per configurare l'inventario software, vedere Introduzione all'inventario software di Configuration Manager.

    5. Per cancellare il contenuto da dispositivi mobili, vedere Gestire i dispositivi mobili con Configuration Manager e Microsoft Intune.

Vedere anche

Tipo di contenuto

Riferimenti

Valutazione del prodotto/Guida introduttiva

pianificazione e progettazione

Risorse della community

Soluzioni correlate