Beveiligde toegang tot bedrijfsbronnen vanaf elke locatie op elk apparaat

Gepubliceerd: januari 2014

Van toepassing op: Windows Server 2012 R2

Hoe kan deze handleiding u helpen?

Voor wie is deze handleiding bedoeld?

Deze handleiding is bedoeld voor traditionele IT-bedrijven met infrastructuurarchitecten en enterprisebeveiligings- en apparaatbeheerspecialisten die willen weten welke oplossingen beschikbaar zijn voor consumerisatie van IT en Bring Your Own Device (BYOD). De end-to-end-oplossing die wordt besproken in deze handleiding, maakt deel uit van de visie van Microsoft Enterprise Mobility.

De huidige trend van de explosief groeiende hoeveelheid verschillende apparaten - bedrijfsapparaten, persoonlijke apparaten en consumenten die hun eigen apparaten gebruiken om toegang te verkrijgen tot bedrijfsbronnen op locatie of in de cloud - noodzaakt IT ertoe om te helpen de gebruikersproductiviteit en tevredenheid met betrekking tot het gebruik en de identiteit van apparaten te verhogen, evenals de ervaring van verbinding maken met bedrijfsbronnen en -toepassingen. Tegelijkertijd brengt dit talloze beheer- en beveiligingsproblemen met zich mee voor IT-organisaties. Deze moeten ervoor zorgen dat enterprise-infrastructuur en bedrijfsgegevens worden beschermd tegen kwade bedoelingen. Deze bedrijven moeten er ook voor zorgen dat de bronnen kunnen worden benaderd in overeenstemming met het bedrijfsbeleid, ongeacht het apparaattype of de locatie.

Uw huidige infrastructuur kan worden uitgebreid door verschillende technologieën van Windows Server 2012 R2 te implementeren en te configureren. Zo creëert u een end-to-end-oplossing om deze uitdagingen aan te gaan.

In het volgende diagram ziet u het probleem waarvoor deze handleiding een oplossing biedt. Het toont gebruikers die hun persoonlijke en zakelijke apparaten gebruiken om toepassingen en gegevens zowel in de cloud als op locatie te openen. Deze toepassingen en bronnen kunnen zich binnen of buiten de firewall bevinden.

Apparaten- en toepassingenexplosie en toegang

In deze handleiding met oplossingen vindt u:

  • Scenario, probleemstelling en doelstellingen

  • Aanbevolen ontwerp voor deze oplossing

  • Wat zijn de stappen voor het implementeren van deze oplossing?

Scenario, probleemstelling en doelstellingen

In dit gedeelte worden het scenario, de probleemstelling en de doelen voor een voorbeeldorganisatie beschreven.

Scenario

Uw organisatie is een middelgrote bank. Er werken meer dan 5.000 mensen die hun persoonlijke apparaten (Windows RT en iOS-gebaseerde apparaten) meenemen naar het werk. Momenteel kunnen ze de bedrijfsbronnen niet vanaf deze apparaten gebruiken.

Uw huidige infrastructuur omvat een Active Directory-forest dat een domeincontroller met Windows Server 2012 heeft. Het omvat tevens een Remote Access-server en System Center Configuration Manager via System Center.

Probleemstelling

Een rapport dat recent door het IT-team naar het managementteam van uw bedrijf is verzonden, toont aan dat meer en meer gebruikers hun persoonlijke apparaten meenemen naar het werk, en toegang nodig hebben tot bedrijfsgegevens. Het managementteam begrijpt deze trend in de markt, die ertoe leidt dat meer gebruikers hun eigen apparaten meebrengen, en wil ervoor zorgen dat het bedrijf een oplossing implementeert die aan deze behoefte beantwoord. Kort samengevat moet het IT-team van uw bedrijf:

  • Werknemers hun eigen apparaten en de apparaten van het bedrijf laten gebruiken om toegang tot bedrijfstoepassingen en -gegevens te krijgen.. Deze apparaten omvatten pc's en mobiele apparaten.

  • Beveiligde toegang bieden tot bronnen op basis van de behoeften van individuele gebruikers en conform het bedrijfsbeleid voor deze apparaten. De gebruikerservaring op verschillende apparaten moeten naadloos zijn.

  • De apparaten moeten worden geïdentificeerd en beheerd.

Doelstellingen van de organisatie

Deze handleiding biedt een oplossing voor het uitbreiden van de infrastructuur van uw bedrijf, zodat u het volgende kunt bereiken:

  • Vereenvoudigde registratie van persoonlijke en zakelijke apparaten.

  • Naadloze verbinding met interne bronnen wanneer dat nodig is.

  • Consistente toegang tot bedrijfsbronnen op verschillende apparaten.

Aanbevolen ontwerp voor deze oplossing

Als u het zakelijk probleem wilt oplossen en wilt voldoen aan alle eerder genoemde doelstellingen, moet uw organisatie meerdere subscenario's implementeren. Alle subscenario's worden samen weergegeven in de volgende afbeelding.

Overzicht van alle onderdelen van de oplossing

  1. Gebruikers de mogelijkheid bieden om hun apparaten te registreren en zich eenmalig aan te melden

  2. Naadloze toegang tot bedrijfsbronnen instellen

  3. Risicomanagement voor toegangsbeheer verbeteren

  4. Uniform apparaatbeheer

Gebruikers de mogelijkheid bieden om hun apparaten te registreren en zich eenmalig aan te melden

Dit deel van de oplossing bestaat uit de volgende belangrijke fasen.

  • IT-beheerders kunnen apparaatregistratie instellen, zodat het apparaat kan worden gekoppeld aan de Active Directory van het bedrijf, en deze koppeling gebruiken als een naadloze tweede-factorverificatie. Workplace Join is een nieuwe functie van Active Directory waarmee gebruikers kunnen hun apparaten veilig kunnen registreren bij de directory van uw bedrijf. Deze registratie voorziet het apparaat van een certificaat dat kan worden gebruikt om het apparaat te verifiëren als de gebruiker bedrijfsbronnen opent. Met deze koppeling kunnen IT-professionals aangepast toegangsbeleid configureren, zodat gebruikers worden geverifieerd en hun Workplace Join-apparaat kunnen gebruiken bij toegang tot bedrijfsbronnen.

  • IT-beheerders kunnen eenmalige aanmelding (SSO) van apparaten instellen die zijn gekoppeld aan de Active Directory van het bedrijf. Eenmalige aanmelding biedt een eindgebruiker de mogelijkheid zich één keer aan te melden bij een toepassing van het bedrijf. Bij andere bedrijfstoepassingen wordt niet opnieuw om de aanmeldingsgegevens gevraagd. In Windows Server 2012 R2 is de mogelijkheid voor SSO uitgebreid naar Workplace Joined-apparaten. Dit verbetert de ervaring van de eindgebruiker, zonder het risico dat elke toepassing de aanmeldingsgegevens opslaat. Dit heeft het bijkomende voordeel dat de mogelijkheden voor het verzamelen van wachtwoorden op persoonlijke of bedrijfsapparaten worden beperkt.

Het volgende diagram biedt een momentopname van Workplace Join op hoog niveau.

Werkplekdeelname met lokale apparaatregistratie

De volgende mogelijkheden worden in de volgende tabel beschreven.

Element oplossingsontwerp Waarom is het onderdeel van deze oplossing?

Workplace Join

Met Workplace Join kunnen gebruikers hun apparaten veilig registreren bij de directory van uw bedrijf. Deze registratie voorziet het apparaat van een certificaat dat kan worden gebruikt om het apparaat te verifiëren als de gebruiker bedrijfsbronnen opent. Zie voor meer informatie Join to Workplace from Any Device for SSO and Seamless Second Factor Authentication Across Company Applications (Deelnemen aan werkplek vanaf elk apparaat voor eenmalige aanmelding en naadloos verificatieproces voor tweede factor in bedrijfstoepassingen).

De serverfuncties en -technologieën die moeten worden geconfigureerd voor deze optie, worden in de volgende tabel weergegeven.

Element oplossingsontwerp Waarom is het onderdeel van deze oplossing?

Schema-update domeincontroller met Windows Server 2012 R2

De instantie Active Directory Domain Services (AD DS) biedt een identiteitsdirectory voor het verifiëren van gebruikers en apparaten en voor het afdwingen van beleidsregels voor toegang en gecentraliseerd configuratiebeleid. Zie voor meer informatie over het instellen van uw infrastructuur voor directoryservices voor deze oplossing Upgrade Domain Controllers to Windows Server 2012 R2 and Windows Server 2012 (Domeincontrollers upgraden naar Windows Server 2012 R2 en Windows Server 2012).

AD FS met de registratieservice voor apparaat

Met Active Directory Federation Services (AD FS) kunnen beheerders de registratieservice voor het apparaat (DRS) configureren en het Workplace Join-protocol implementeren voor een apparaat, zodat Workplace Join samenwerkt met Active Directory. Daarnaast is AD FS verbeterd met het OAuth-verificatieprotocol, evenals apparaatverificatie en beleid voor voorwaardelijk toegangsbeheer inclusief gebruiker, apparaat en locatie-criteria. Zie voor meer informatie over het plannen van uw AF DS-infrastructuur AD FS Design Guide in Windows Server 2012 R2 (Handleiding voor AD FS-ontwerp in Windows Server 2012 R2).

Ontwerpoverwegingen voor het instellen van uw domeincontroller

Voor deze oplossing hebt u geen domeincontroller met Windows Server 2012 R2 nodig. U hebt alleen een schema-update van uw huidige AD DS-installatie nodig. Zie voor meer informatie over het uitbreiden van het schema Install Active Directory Domain Services (Active Directory Domain Services installeren). U kunt het schema op bestaande domeincontrollers bijwerken zonder een domeincontroller te installeren waarop Windows Server 2012 R2 wordt uitgevoerd met Running Adprep.exe.

Voor een gedetailleerde lijst met nieuwe functies, systeemvereisten en voorwaarden waaraan moet worden voldaan voordat u met de installatie begint, gaat u naar AD DS installation prerequisite validation (Validatie van AD DS-installatievereisten) en System requirements (Systeemvereisten).

Ontwerpoverwegingen voor AD FS

Zie voor het plannen van de AD FS-omgeving Identifying Your AD FS Deployment Goals (Uw AD FS-implementatiedoelstellingen identificeren).

Naadloze toegang tot bedrijfsbronnen instellen

Vandaag de dag zijn werknemers mobiel en verwachten ze toegang te hebben tot de benodigde toepassingen, ongeacht waar ze zijn. Bedrijven passen meerdere strategieën toe om dit mogelijk te maken, via VPN, Direct Access en Extern bureaublad-gateway.

Echter, in een wereld van BYOD bieden deze benaderingen niet het beveiligingsniveau dat veel klanten nodig hebben. Om aan deze behoefte te kunnen voldoen, is de functieservice webtoepassingsproxy opgenomen in de functie van Windows Server RRAS (Routing and Remote Access Service). Met deze functieservice kunt u uw zakelijk Line-of-Business-web-apps selectief publiceren om toegang te krijgen van buiten het bedrijfsnetwerk.

Werkmappen is een nieuwe oplossing voor bestandssynchronisatie waarmee gebruikers hun bestanden van een bedrijfsbestandsserver naar hun apparaten synchroniseren. Het protocol voor deze synchronisatie is gebaseerd op HTTPS. Zo kunt u eenvoudig publiceren via de webtoepassingsproxy publiceren. Dat houdt in dat gebruikers nu van zowel het intranet als het internet kunnen synchroniseren. Het houdt ook in dat dezelfde AD FS-gebaseerde besturingselementen voor verificatie en autorisatie die eerder werden beschreven, kunnen worden toegepast op het synchroniseren van zakelijke bestanden. De bestanden worden vervolgens opgeslagen op een versleutelde locatie op het apparaat. Deze bestanden kunnen vervolgens selectief worden verwijderd wanneer het apparaat wordt verwijderd voor beheer.

VPN via DirectAccess en Routing and Remote Access Service (RRAS) worden gecombineerd tot één RAS-functie in Windows Server 2012 R2. Deze nieuwe RAS-serverfunctie staat gecentraliseerd beheer, configuratie en controle toe van externe toegangsservices via zowel DirectAccess als VPN.

Windows Server 2012 R2 biedt een Virtual Desktop Infrastructure (VDI) die de IT van uw organisatie de vrijheid biedt om te kiezen voor persoonlijke en gegroepeerde virtuele (VM) bureaubladen, evenals voor sessiegebaseerde bureaubladen. Ook biedt het IT verschillende opslagopties, afhankelijk van de vereisten.

Het volgende diagram illustreert de technologieën die u kunt implementeren om te zorgen voor naadloze toegang tot bedrijfsnetwerken.

Oplossing toegangs- en informatiebescherming

Toegang tot bedrijfsnetwerken plannen

Element oplossingsontwerp Waarom is het onderdeel van deze oplossing?

Webtoepassingsproxy

Staat het publiceren van zakelijke bronnen toe, zoals Multi-Factor Authentication en de uitvoering van het voorwaardelijke toegangsbeleid als gebruikers verbinding maken met bronnen. Zie voor meer informatie Web Application Proxy Deployment Guide (Implementatiehandleiding voor webtoepassingsproxy).

Werkmappen (bestandsserver)

Een centrale locatie op een bestandsserver in een bedrijfsomgeving die is geconfigureerd voor het synchroniseren van bestanden op apparaten van de gebruiker. Werkmappen kunnen rechtstreeks worden gepubliceerd via een omgekeerde proxy of via de webtoepassingsproxy voor de uitvoering van het voorwaardelijke toegangsbeleid. Zie voor meer informatie Work Folders Overview (Werkmappenoverzicht).

Externe toegang

Deze nieuwe RAS-serverfunctie staat gecentraliseerd beheer, configuratie en controle toe van externe toegangsservices via zowel DirectAccess als VPN. Bovendien biedt Windows Server 2012 DirectAccess biedt meerdere updates en verbeteringen om problemen met implementatieblokkeringen op te lossen en vereenvoudigd beheer te bieden. Zie voor meer informatie 802.1X Authenticated Wireless Access Overview (Overzicht 802.1X-geverifieerde draadloze toegang).

VDI

Met VDI kan uw organisatie een zakelijk bureaublad bieden, evenals toepassingen voor werknemers die ze kunnen openen via hun persoonlijke en zakelijke apparaten, vanaf zowel interne als externe locaties via de infrastructuur (de functieservices Remote Desktop Connection Broker, Remote Desktop Session Host, and Remote Desktop Web Access) die wordt uitgevoerd binnen het bedrijfsdatacenter. Zie voor meer informatie Virtual Desktop Infrastructure.

Ontwerpoverwegingen voor de implementatie van webtoepassingsproxy

Dit gedeelte biedt een inleiding tot de planningsstappen die vereist zijn voor het implementeren van webtoepassingsproxy en het publiceren van toepassingen via deze proxy. In dit scenario worden de beschikbare verificatiemethoden beschreven, inclusief het gebruik van AD FS voor verificatie en autorisatie. Hiermee kunt u profiteren van AD FS-functies, zoals Workplace Join, Multi-Factor Authentication (MFA) en toegangsbeheer met meerdere factoren. Deze planningsstappen worden in detail uitgelegd in Plan to Publish Applications through Web Application Proxy (Het publiceren van toepassingen via webtoepassingsproxy plannen).

Ontwerpoverwegingen bij de implementatie van werkmappen

In dit gedeelte wordt het ontwerpproces uitgelegd voor een implementatie van werkmappen en informatie gegeven over de softwarevereisten, implementatiescenario's, evenals een ontwerpcontrolelijst en aanvullende ontwerpoverwegingen. Volg de stappen in Designing a Work Folders Implementation (Een werkmappenimplementatie ontwerpen) voor het maken van een eenvoudige controlelijst.

Ontwerpoverwegingen bij het implementeren van RAS-infrastructuur

Dit gedeelte bevat algemene overwegingen die moeten worden meegenomen bij het plannen van de implementatie van één Windows Server 2012 RAS-server met de basisfuncties:

  1. Plan the DirectAccess Infrastructure (De DirectAccess-infrastructuur plannen): De netwerk- en servertopologie, firewallinstellingen, certificaatvereisten, DNS en Active Directory plannen.

  2. Plan the DirectAccess Deployment (De DirectAccess-implementatie plannen): Client- en serverimplementatie plannen.

Risicomanagement voor toegangsbeheer verbeteren

Uw organisatie kan met Windows Server 2012 R2 een besturingselement instellen voor toegang tot bedrijfsbronnen op basis van de identiteit van de gebruiker, de identiteit van het geregistreerde apparaat en de netwerklocatie van de gebruiker (of de gebruiker zich in het bedrijf bevindt of niet). Met de verificatie met meerdere factoren die is geïntegreerd in webtoepassingsproxy, kan IT profiteren van extra verificatielagen als gebruikers en apparaten verbinding maken met de bedrijfsomgeving.

Om de risico's van verdachte gebruikersaccounts te beperken, is het in Windows Server 2012 R2 veel eenvoudiger om meerdere factoren voor verificatie te implementeren met behulp van Active Directory. Met een invoegtoepassingsmodel kunt u verschillende oplossingen voor risicobeheer rechtstreeks in AD FS configureren.

Er zijn talloze verbeteringen beschikbaar voor risicomanagement voor toegangsbeheer in AD FS in Windows Server 2012 R2, waaronder de volgende:

  • Flexibele besturingselementen op basis van de netwerklocatie om te bepalen hoe een gebruiker wordt geverifieerd voor toegang tot een AD FS-beveiligde toepassing.

  • Flexibel beleid om te bepalen of een gebruiker Multi-Factor Authentication moet uitvoeren op basis van gegevens, apparaatgegevens en de netwerklocatie van de gebruiker.

  • Besturingselementen per toepassing voor het negeren van SSO en de gebruiker te dwingen altijd gebruikersgegevens in te voeren voor gevoelige toepassingen.

  • Flexibele toegang per toepassing op basis van gebruikersgegevens, apparaatgegevens of netwerklocatie. Met AD FS Extranet Lockout kunnen beheerders Active Directory-accounts beschermen tegen gewelddadige aanvallen via internet.

  • Toegang intrekken voor elk Workplace Joined-apparaat dat is uitgeschakeld of verwijderd uit Active Directory.

Het volgende diagram illustreert de Active Directory-uitbreidingen voor het verbeteren van de risicobeperking van toegangsbeheer.

AD-mogelijkheden in Windows Server 2012 R2

Ontwerpoverwegingen voor het implementeren van risicobeperking en toegangsbeheer voor gebruiker, apparaat en toepassingen

Element oplossingsontwerp Waarom is het onderdeel van deze oplossing?

Workplace Join (ingeschakeld door de Device Registration Service [DRS])

Uw organisatie kan IT-beheer implementeren met apparaatverificatie en verificatie met tweede factor en eenmalige aanmelding. Workplace Joined-apparaten bieden IT-beheerders hogere niveaus van beheer over persoonlijke apparaten en zakelijke apparaten. Zie voor meer informatie over DRS Join to Workplace from Any Device for SSO and Seamless Second Factor Authentication Across Company Applications (Deelnemen aan werkplek vanaf elk apparaat voor eenmalige aanmelding en naadloos verificatieproces voor tweede factor in bedrijfstoepassingen).

Multi-Factor Authentication

Met Azure Multi-Factor Authentication kan IT extra verificatielagen toepassen, evenals verificatie van gebruikers en apparaten. Zie voor meer informatie What is Azure Multi-Factor Authentication? (Wat is Azure Multi-Factor Authentication?)

Uniform apparaatbeheer

Naast beveiliging en toegang moet IT ook beschikken over een goede werkwijze om pc's en persoonlijke apparaten te beheren vanaf één beheerconsole. Apparaatbeheer omvat het instellen van beveiligings- en nalevingsinstellingen, de inventarisatie van software en hardware, en de implementatie van software. IT moet ook een oplossing hebben voor het beveiligen van het bedrijf door zakelijke gegevens die op een mobiel apparaat staan opgeslagen te kunnen wissen als het apparaat zoek, gestolen of buiten gebruik gesteld is.

In de oplossing Manage mobile devices and PCs by migrating to Configuration Manager with Windows Intune (Mobiele apparaten en pc's beheren door te migreren naar Configuration Manager met Windows Intune) wordt in detail de oplossing voor uniform apparaatbeheer uitgelegd.

Ontwerpoverwegingen bij uniform apparaatbeheer

Het is essentieel dat u belangrijke ontwerpvragen oplost voordat u een infrastructuur ontwerpt voor Bring Your Own Device (BYOD) en uniform apparaatbeheer waarmee werknemers hun eigen apparaten kunnen gebruiken en de gegevens van het bedrijf worden beschermd.

Het ontwerp van de infrastructuur voor de ondersteuning van BYOD wordt besproken in BYOD user and device considerations (Overwegingen voor BYOD-gebruikers en -apparaten). Het ontwerp dat in dit document wordt besproken, maakt gebruik van Microsoft-technologie. De ontwerpopties en overwegingen kunnen echter worden toegepast op elke infrastructuur die wordt gebruikt om in te spelen op het BYOD-model.

Voor een handige controlelijst waarin de stappen worden genoemd die nodig zijn voor de ondersteuning van het beheer van mobiele apparaten, gaat u naar Checklist for Mobile Device Management (Controlelijst voor beheer van mobiele apparaten).

Wat zijn de stappen voor het implementeren van deze oplossing?

De basisinfrastructuur instellen om apparaatregistratie mogelijk te maken

Met de volgende stappen wordt u door een stapsgewijze procedure geleid voor het instellen van de domeincontroller (AD DS), AD FS en Device registration Service.

  1. Uw domeincontroller instellen

    Installeer de functieservice van AD DS en stel uw computer in als domeincontroller in Windows Server 2012 R2. Hiermee wordt een upgrade uitgevoerd van uw AD DS-schema als onderdeel van de installatie van de domeincontroller. Zie voor meer informatie en stapsgewijze instructies Install Active Directory Domain Services (Active Directory Domain Services installeren). 

  2. De federatieserver installeren en configureren

    U kunt Active Directory Federation Services (AD FS) gebruiken met Windows Server 2012 R2 om oplossing te bouwen voor het beheer van federatieve identiteiten die uitgebreider is dan gedistribueerde identificatie, verificatie en autorisatieservices voor webgebaseerde toepassingen binnen de grenzen van de organisatie en de platformen. Door AD FS te implementeren, kunt u he bestaande identiteitsbeheer van uw organisatie uitbreiden naar het internet. Zie voor meer informatie en stapsgewijze instructies Windows Server 2012 R2 AD FS Deployment Guide (Implementatiehandleiding voor Windows Server 2012 R2 AD FS).

  3. Domain Registration Service configureren

    U kunt DRS inschakelen op uw federatieserver nadat u AD FS hebt geïnstalleerd. Het configureren van DRS omvat het voorbereiden van uw Active Directory-forest voor de ondersteuning van apparaten en vervolgens het inschakelen van DRS. Zie voor gedetailleerde instructies Configure a federation server with Device Registration Service (Een federatieserver configureren met Device Registration Service).

  4. Een webserver instellen en een voorbeeld van claims-gebaseerde toepassing voor het controleren en testen van de AD FS- en Device Registration Service-configuratie

    U stelt een webserver in en een voorbeeld van claims-toepassing. Vervolgens voert u bepaalde procedures uit om de bovenstaande stappen te controleren. Voer de stappen in de aangegeven volgorde uit:

    1. Install the Web Server role and the Windows Identity Foundation (Webserver-functie installeren en de Windows Identity Foundation)

    2. Install the Windows Identity Foundation SDK (Windows Identity Foundation SDK installeren)

    3. Configure the simple claims app in IIS (De app voor eenvoudige claims in IIS configureren)

    4. Create a relying party trust on your federation server (Een Relying Party Trust maken op uw federatieserver)

  5. Configure and verify Workplace Join on Windows and iOS devices (Workplace Join configureren en verifiëren op Windows- en iOS-apparaten)

    Dit gedeelte biedt instructies voor het instellen van Workplace Join op een Windows-apparaat, een iOS-apparaat en de SSO-ervaring met de bron van een bedrijf.

    1. Workplace Join with a Windows Device (Workplace Join met een Windows-apparaat)

    2. Workplace Join with a iOS-Device (Workplace Join met een iOS-apparaat)

Toegang configureren tot bedrijfsbronnen

De werkmappen voor bestandsservices, virtualisatie van extern bureaublad-services en externe toegang moeten worden geconfigureerd.

  1. Webtoepassingsproxy configureren

    Dit gedeelte biedt een inleiding tot de configuratiestappen die vereist zijn voor het implementeren van webtoepassingsproxy en het publiceren van toepassingen via deze proxy.

    1. Configure the Web Application Proxy Infrastructure (De infrastructuur voor webtoepassingsproxy configureren): Beschrijft hoe u de infrastructuur configureert die vereist is voor de implementatie van webtoepassingsproxy.

    2. Install and Configure the Web Application Proxy Server (Server voor webtoepassingsproxy installeren en configureren): Beschrijft hoe u de servers voor webtoepassingsproxy configureert, inclusief het configureren van vereiste certificaten, de installatie van de functieservice webtoepassingsproxy en het toevoegen van webtoepassingsproxyservers aan een domein.

    3. Publish Applications using AD FS Preauthentication (Toepassingen publiceren met vooraf-verificatie met AD FS): Beschrijft hoe u toepassingen publiceert via webtoepassingsproxy met vooraf-verificatie met AD FS.

    4. Publish Applications using AD Pass-through Preauthentication (Toepassingen publiceren met vooraf-verificatie met Pass-through): Beschrijft hoe u toepassingen publiceert met vooraf-verificatie met Pass-through.

  2. Werkmappen configureren

    De eenvoudigste werkmappenimplementatie is een bestandsserver (vaak een synchronisatieserver genoemd) zonder ondersteuning voor het synchroniseren via het internet. Dit kan een nuttige implementatie zijn voor een testomgeving of als een synchronisatie-oplossing voor clientcomputers in hetzelfde domein. Als u een eenvoudige implementatie wilt maken, zijn dit de stappen die u wilt minimaal moet volgen:

    1. Install Work Folders on file servers (Werkmappen installeren op bestandsservers)

    2. Create security groups for Work Folders (Beveiligingsgroepen maken voor werkmappen)

    3. Create sync shares for user data (Synchronisatieshares maken voor gebruikersgegevens)

    Voor extra gedetailleerde instructies over het implementeren van werkmappen gaat u naar Deploying Work Folders (Werkmappen implementeren).

  3. Configureer en controleer de sessievirtualisatie van extern bureaublad-services

    Met een standaard VDI-implementatie kunt u de juiste functieservices installeren op afzonderlijke computers. Een standaardimplementatie biedt meer controle over virtuele bureaubladen en virtuele bureaubladverzamelingen doordat ze niet automatisch worden gemaakt.

    Dit testlab begeleidt u bij het proces van het maken van een standaardimplementatie van sessievirtualisatie. Hiervoor gaat u als volgt te werk:

    • Installeer de functieservices RD Connection Broker, RD Session Host en RD Web Access op afzonderlijke computers.

    • Maak een sessieverzameling.

    • Publiceer een sessie-gebaseerd bureaublad voor elke RD Session Host-server in de verzameling.

    • Publiceer toepassingen als RemoteApp-programma's.

    Zie voor gedetailleerde stappen voor het configureren en controleren van een VDI-implementatie Remote Desktop Services Session Virtualization Standard Deployment (Standaardimplementatie van sessievirtualisatie voor Externe bureaublad-services).

  4. Externe toegang configureren

    Windows Server 2012 combineert VPN via DirectAccess en de Routing and Remote Access Service (RRAS) in één RAS-functie. Hier volgen de configuratiestappen die vereist voor de implementatie van één Windows Server 2012 RAS-server met basisinstellingen.

    1. Configure the DirectAccess Infrastructure (De DirectAccess-infrastructuur configureren): Deze stap omvat het configureren netwerk- en serverinstellingen, DNS-instellingen en Active Directory-instellingen.

    2. Configure the DirectAccess Server (De DirectAccess-server configureren): Deze stap omvat het configureren van DirectAccess-clientcomputers en -serverinstellingen.

    3. De implementatie controleren: Deze stap omvat stappen voor het controleren van de implementatie.

Configureer risicobeheer door Multifactor Access Control en Multi-Factor Authentication in te stellen

Stel flexibel en duidelijk autorisatiebeleid per toepassing in, waarmee u toegang kunt toestaan of weigeren op basis van gebruiker, apparaat, netwerklocatie en verificatiestatus door MultifactorAccess Control te configureren. Stel extra risicobeheer in uw omgeving in met Multi-Factor Authentication.

  1. Multifactor Access Control configureren en verifiëren

    Dit omvat de volgende drie stappen:

    1. Verify the default AD FS access control mechanism (Verifieer het standaardbeheermechanisme voor AD FS-toegang)

    2. Configure multi-factor access control policy based on user data (Multifactor Access Control-beleid configureren op basis van gebruikersgegevens)

    3. Verify multi-factor access control mechanism (Multifactor Access Control-mechanisme verifiëren)

  2. Configure and verify Multi-Factor Authentication (Multi-Factor Authentication configureren en verifiëren)

    Dit omvat de volgende drie stappen:

    1. Verify the default AD FS authentication mechanism (Verifieer het standaard AD FS-verificatiemechanisme)

    2. Configure MFA on your federation server (MFA configureren op uw federatieserver)

    3. Verify MFA mechanism (MFA-mechanisme verifiëren)

Uniform apparaatbeheer implementeren

Voer de volgende stappen uit om apparaatbeheer in te stellen in uw onderneming.

  1. De System Center 2012 R2 Configuration Manager-console installeren: Tijdens de installatie van een primaire site wordt de Configuration Manager-console standaard ook geïnstalleerd op de primaire siteserver. Nadat de site is geïnstalleerd, kunt u extra System Center 2012 R2 Configuration Manager-consoles installeren op extra computers voor het beheren van de site. Het installeren van een console van zowel Configuration Manager 2007 als System Center 2012 R2 Configuration Manager op dezelfde computer wordt ondersteund. Bij gezamenlijke installatie kunt hoeft u slechts één computer te gebruiken om zowel uw bestaande Configuration Manager 2007-infrastructuur te beheren als de mobiele apparaten die u beheert met Windows Intune met System Center 2012 R2 Configuration Manager. U kunt de beheerconsole van System Center 2012 R2 Configuration Manager echter niet gebruiken voor het beheren van uw Configuration Manager 2007-site en vice versa. Zie voor meer informatie Install a Configuration Manager Console (Een Configuration Manager-console installeren).

  2. Mobiele apparaten inschrijven: Met inschrijving wordt er een relatie vastgelegd tussen de gebruiker, het apparaat en de service Windows Intune. Gebruikers registreren hun eigen mobiele apparaten. Ga voor meer informatie over het inschrijven van mobiele apparaten naar Mobile Device Enrollment (Inschrijving van mobiel apparaat).

  3. Mobiele apparaten beheren: Nadat u de installatie hebt uitgevoerd en de basisconfiguraties voor uw zelfstandige primaire site hebt opgegeven, kunt u het beheer van mobiele apparaten gaan configureren. U kunt bijvoorbeeld de volgende acties configureren:

    1. Zie voor de toepassing van instellingen van naleving voor mobiele apparaten Compliance Settings for Mobile Devices in Configuration Manager (Instellingen van naleving voor mobiele apparaten in Configuration Manager).

    2. Zie voor het maken en implementeren van toepassingen voor mobiele apparaten How to Create and Deploy Applications for Mobile Devices in Configuration Manager (Het maken en implementeren van toepassingen voor mobiele apparaten in Configuration Manager).

    3. Zie voor het configureren van hardware-inventaris How to Configure Hardware Inventory for Mobile Devices Enrolled by Windows Intune and Configuration Manager (Hardware-inventarisatie configureren voor mobiele apparaten die zijn geregistreerd door Windows Intune en Configuration Manager).

    4. Zie voor het configureren van software-inventarisatie Introduction to Software Inventory in Configuration Manager (Inleiding tot software-inventarisatie in Configuration Manager).

    5. Zie voor het wissen van inhoud van mobiele apparaten How to Manage Mobile Devices by Using Configuration Manager and Windows Intune (Mobiele apparaten beheren met Configuration Manager en Windows Intune).

Zie ook

Content type Verwijzingen

Product evaluation/Getting started

Plannen en ontwerpen

Communitybronnen

Verwante oplossingen