Bezpieczny dostęp do zasobów firmy z dowolnego miejsca i z każdego urządzenia

  • Artykuł

Opublikowano: styczeń 2014

Dotyczy: Windows Server 2012 R2

W czym może być pomocny ten przewodnik?

Dla kogo jest przeznaczony ten przewodnik?

Ten przewodnik jest przeznaczony dla tradycyjnych przedsiębiorstw IT zatrudniających architektów infrastruktury, specjalistów ds. zabezpieczeń i specjalistów ds. zarządzania urządzeniami, którzy chcą poznać dostępne rozwiązania dotyczące konsumeryzacji IT i modelu „Przynieś własne urządzenie” (BYOD, Bring Your Own Device). Omówione w tym przewodniku kompleksowe rozwiązanie jest częścią wizji firmy Microsoft dotyczącej mobilności przedsiębiorstwa.

Obecny trend masowego korzystania z urządzeń — firmowych i osobistych, używanych przez klientów w celu uzyskiwania dostępu do zasobów firmy lokalnie lub w chmurze — sprawia, że technologie informatyczne muszą zwiększać wydajność i komfort użytkowników w zakresie użytkowania i identyfikacji urządzeń, a także łączenia się z zasobami i aplikacjami firmowymi. Jednocześnie organizacje IT muszą stawić czoła licznym wyzwaniom związanym z zarządzaniem i bezpieczeństwem, aby chronić infrastrukturę przedsiębiorstwa i dane firmowe przed złośliwymi działaniami. Organizacje te muszą zapewnić dostęp do zasobów zgodny z zasadami obowiązującymi w firmie, niezależnie od typu urządzenia i lokalizacji.

Bieżącą infrastrukturę można rozszerzyć, implementując i konfigurując różne technologie w systemie Windows Server 2012 R2 w celu kompleksowego rozwiązania tych problemów.

Na poniższym diagramie zilustrowano problem, którego dotyczy ten przewodnik po rozwiązaniach. Diagram przedstawia użytkowników uzyskujących dostęp do aplikacji i danych — lokalnie i w chmurze — za pomocą urządzeń osobistych i firmowych. Te aplikacje i zasoby mogą znajdować się wewnątrz lub na zewnątrz zapory.

Rozłożenie i dostęp do urządzeń i aplikacji

Części tego przewodnika:

  • Scenariusz, opis problemu i cele

  • Zalecany projekt tego rozwiązania

  • Jakie czynności należy wykonać w celu implementacji tego rozwiązania?

Scenariusz, opis problemu i cele

W tej sekcji przedstawiono scenariusz, opis problemu i cele przykładowej organizacji.

Scenariusz

Organizacja jest średnią firmą z branży bankowości. Zatrudnia ponad 5000 osób, które przynoszą do pracy swoje urządzenia osobiste (z systemami Windows RT i iOS). Obecnie pracownicy nie mogą uzyskiwać dostępu do zasobów firmy za pomocą tych urządzeń.

Bieżąca infrastruktura obejmuje las usługi Active Directory z kontrolerem domeny z zainstalowanym systemem Windows Server 2012. W jej skład wchodzą również serwer dostępu zdalnego i program System Center Configuration Manager (w ramach oprogramowania System Center).

Opis problemu

Ostatni raport przygotowany dla kierownictwa firmy przez zespół IT wskazuje, że coraz więcej użytkowników przynosi swoje urządzenia osobiste do pracy i potrzebuje dostępu do danych firmowych. Kierownictwo jest świadome tego trendu w branży i oczekuje, że coraz więcej użytkowników zacznie przynosić do pracy swoje urządzenia. Dlatego kierownictwo chce mieć pewność, że firma zaimplementuje rozwiązanie, które spełni postawione wymagania. Podsumowując, firmowy dział IT musi:

  • Umożliwić pracownikom dostęp do danych i aplikacji firmowych z poziomu urządzeń osobistych i firmowych. Do tych urządzeń należą komputery i urządzenia przenośne.

  • Zapewnić bezpieczny dostęp do zasobów zgodnie z potrzebami każdego użytkownika i zasadami firmy dotyczącymi tych urządzeń. Korzystanie z różnych urządzeń musi być bezproblemowe.

  • Identyfikować urządzenia i zarządzać nimi.

Cele organizacji

W tym przewodniku przedstawiono rozwiązanie umożliwiające rozszerzenie infrastruktury firmy, a przez to osiągnięcie następujących celów:

  • Uproszczona rejestracja urządzeń osobistych i firmowych.

  • Bezproblemowe nawiązywanie połączenia z zasobami wewnętrznymi, gdy są potrzebne.

  • Spójny dostęp do zasobów firmy z poziomu różnych urządzeń.

Zalecany projekt tego rozwiązania

Aby rozwiązać problem biznesowy i osiągnąć wszystkie wymienione cele, w organizacji należy zaimplementować kilka scenariuszy podrzędnych. Każdy z tych scenariuszy podrzędnych został przedstawiony na poniższej ilustracji.

Omówienie zawierające wszystkie składniki rozwiązania

  1. Umożliwienie użytkownikom rejestrowania urządzeń i korzystania z logowania jednokrotnego

  2. Skonfigurowanie łatwego dostępu do zasobów firmy

  3. Usprawnienie zarządzania ryzykiem kontroli dostępu

  4. Ujednolicenie zarządzania urządzeniami

Umożliwienie użytkownikom rejestrowania urządzeń i korzystania z logowania jednokrotnego

Ta część rozwiązania składa się z poniższych ważnych faz.

  • Administratorzy IT mogą skonfigurować rejestrację urządzeń, która umożliwi kojarzenie urządzeń z usługą Active Directory w firmie oraz używanie tego skojarzenia na potrzeby łatwego uwierzytelniania dwuskładnikowego. Dołączanie urządzenia w miejscu pracy to nowa funkcja usługi Active Directory, która umożliwia użytkownikom bezpieczne rejestrowanie swoich urządzeń w katalogu firmy. Podczas takiej rejestracji urządzenie otrzymuje certyfikat, który pozwala uwierzytelniać urządzenie, gdy użytkownik uzyskuje dostęp do zasobów firmy. Za pomocą tego skojarzenia specjaliści IT mogą skonfigurować niestandardowe zasady dostępu w celu określenia, że użytkownicy muszą uwierzytelnić się i korzystać ze swoich urządzeń dołączonych przy użyciu funkcji dołączania urządzenia w miejscu pracy, aby uzyskać dostęp do zasobów firmy.

  • Administratorzy IT mogą skonfigurować opcję logowania jednokrotnego dla urządzeń skojarzonych z usługą Active Directory w firmie. Usługa logowania jednokrotnego pozwala użytkownikowi końcowemu zalogować się raz podczas uzyskiwania dostępu do aplikacji udostępnionej przez firmę. Uzyskując dostęp do kolejnych aplikacji firmy, użytkownik nie będzie ponownie monitowany o podanie informacji logowania. W systemie Windows Server 2012 R2 funkcja logowania jednokrotnego została rozszerzona o urządzenia dołączone przy użyciu funkcji dołączania urządzenia w miejscu pracy. Usprawnia to obsługę użytkowników końcowych, eliminując jednocześnie ryzyko związane z przechowywaniem poświadczeń użytkowników w każdej aplikacji. Dodatkową korzyścią jest ograniczenie możliwości przechwycenia haseł na urządzeniach osobistych lub będących własnością firmy.

Na poniższym diagramie przedstawiono ogólnie funkcję dołączania urządzenia w miejscu pracy.

Przyłączanie do obszaru roboczego przy użyciu lokalnej rejestracji urządzenia

Każda z tych możliwości została szczegółowo opisana w poniższej tabeli.

Element projektu rozwiązania Dlaczego występuje w tym rozwiązaniu?

Dołączanie urządzenia w miejscu pracy

Funkcja dołączania urządzenia w miejscu pracy umożliwia użytkownikom bezpieczne rejestrowanie swoich urządzeń w katalogu firmy. Podczas takiej rejestracji urządzenie otrzymuje certyfikat, który pozwala uwierzytelniać urządzenie, gdy użytkownik uzyskuje dostęp do zasobów firmy. Aby uzyskać więcej informacji, zobacz Dołączanie dowolnego urządzenia w miejscu pracy na potrzeby logowania jednokrotnego i łatwego uwierzytelniania dwuskładnikowego w aplikacjach firmy.

W poniższej tabeli wymieniono technologie i role serwera, które należy skonfigurować dla tej funkcji.

Element projektu rozwiązania Dlaczego występuje w tym rozwiązaniu?

Kontroler domeny z aktualizacją schematu systemu Windows Server 2012 R2

Wystąpienie usług domenowych Active Directory (AD DS) zapewnia katalog tożsamości służący do uwierzytelniania użytkowników i urządzeń oraz do wymuszania zasad dostępu i scentralizowanych zasad konfiguracji. Aby uzyskać więcej informacji o konfigurowaniu infrastruktury usług katalogowych dla tego rozwiązania, zobacz Uaktualnianie kontrolerów domeny do systemów Windows Server 2012 R2 i Windows Server 2012.

Usługi AD FS z usługą rejestracji urządzeń

Usługi federacyjne Active Directory (AD FS) pozwalają administratorom skonfigurować usługę rejestracji urządzeń i zaimplementować protokół dołączania urządzenia w miejscu pracy, aby umożliwić dołączanie urządzeń w miejscu pracy przy użyciu usługi Active Directory. Ponadto usługi AD FS zostały ulepszone przez dodanie protokołu uwierzytelniania OAuth, a także uwierzytelniania urządzeń i zasad kontroli dostępu warunkowego z kryteriami dotyczącymi użytkowników, urządzeń i lokalizacji. Aby uzyskać więcej informacji na temat planowania infrastruktury projektu usług AD FS, zobacz Przewodnik dotyczący projektowania usług AD FS w systemie Windows Server 2012 R2.

Zagadnienia dotyczące projektowania konfiguracji kontrolera domeny

To rozwiązanie nie wymaga kontrolera domeny z systemem Windows Server 2012 R2. Potrzebna jest tylko aktualizacja schematu bieżącej instalacji usług AD DS. Aby uzyskać więcej informacji na temat rozszerzania schematu, zobacz Instalowanie usług domenowych Active Directory. Schemat istniejących kontrolerów domeny można zaktualizować bez instalowania kontrolera domeny z systemem Windows Server 2012 R2, uruchamiając narzędzie Adprep.exe.

Aby uzyskać szczegółową listę nowych funkcji, wymagań systemowych i wymagań wstępnych do spełnienia przed rozpoczęciem instalacji, zobacz Weryfikowanie wymagań wstępnych instalacji usług AD DS i Wymagania systemowe.

Zagadnienia dotyczące projektowania usług AD FS

Aby zaplanować środowisko usług AD FS, zobacz Określanie celów wdrażania usług AD FS.

Skonfigurowanie łatwego dostępu do zasobów firmy

Obecnie pracownicy są mobilni i oczekują możliwości korzystania z aplikacji potrzebnych do pracy w dowolnym miejscu. Firmy wdrożyły różne strategie, aby to umożliwić przy użyciu sieci VPN, dostępu bezpośredniego i bram usług pulpitu zdalnego.

Jednak w środowisku, w którym pracownicy przynoszą do pracy własne urządzenia, zastosowanie powyższych strategii nie oferuje poziomu izolacji zabezpieczeń, którego wymaga większość klientów. Aby spełnić te wymagania, do roli Routing i dostęp zdalny (RRAS) w systemie Windows Server dołączono usługę roli Serwer proxy aplikacji sieci Web. Ta usługa roli umożliwia selektywne publikowanie firmowych aplikacji sieci Web, co pozwala na uzyskiwanie dostępu do nich spoza sieci firmowej.

Foldery robocze to nowe rozwiązanie do synchronizowania plików, które umożliwia synchronizację plików między firmowym serwerem plików a urządzeniami użytkowników. Protokół tej synchronizacji jest oparty na protokole HTTPS. Ułatwia to publikowanie za pośrednictwem serwera proxy aplikacji sieci Web. Dzięki temu użytkownicy mogą teraz synchronizować dane zarówno z intranetu, jak i z Internetu. Oznacza to również, że opisane wcześniej funkcje sterowania uwierzytelnianiem i autoryzacją oparte na usługach AD FS można stosować do synchronizowania plików firmowych. Pliki są przechowywane w zaszyfrowanej lokalizacji na urządzeniu. Jeśli rejestracja urządzenia zostanie cofnięta na potrzeby zarządzania, będzie można selektywnie usunąć te pliki.

W systemie Windows Server 2012 R2 funkcja DirectAccess oraz funkcja sieci VPN usługi Routing i dostęp zdalny zostały połączone w jedną rolę Dostęp zdalny. Nowa rola serwera Dostęp zdalny umożliwia scentralizowane administrowanie, konfigurowanie oraz monitorowanie funkcji DirectAccess i usług dostępu zdalnego opartych na sieci VPN.

System Windows Server 2012 R2 udostępnia infrastrukturę pulpitu wirtualnego (VDI), która umożliwia organizacji IT swobodne wybieranie osobistych i należących do puli pulpitów wirtualnych (opartych na maszynach wirtualnych), a także pulpitów opartych na sesji. Ten system oferuje również organizacjom IT różne opcje magazynowania, w zależności od wymagań.

Na poniższym diagramie przedstawiono technologie, które można zaimplementować, aby zapewnić łatwy dostęp do zasobów firmy.

Rozwiązanie ochrony dostępu i informacji

Planowanie dostępu do zasobów firmy

Element projektu rozwiązania Dlaczego występuje w tym rozwiązaniu?

Serwer proxy aplikacji sieci Web

Umożliwia publikowanie zasobów firmy z uwzględnieniem uwierzytelniania wieloskładnikowego i wymuszania zasad dostępu warunkowego, gdy użytkownicy łączą się z zasobami. Aby uzyskać więcej informacji, zobacz Przewodnik dotyczący wdrażania serwera proxy aplikacji sieci Web.

Foldery robocze (serwer plików)

Centralna lokalizacja na serwerze plików w środowisku firmowym, która jest konfigurowana, aby umożliwić synchronizację plików z urządzeniami użytkowników. Foldery robocze mogą być publikowane bezpośrednio przez zwrotny serwer proxy lub za pośrednictwem serwera proxy aplikacji sieci Web na potrzeby wymuszania zasad dostępu warunkowego. Aby uzyskać więcej informacji, zobacz Foldery robocze — omówienie.

Dostęp zdalny

Nowa rola serwera Dostęp zdalny umożliwia scentralizowane administrowanie, konfigurowanie oraz monitorowanie funkcji DirectAccess i usług dostępu zdalnego opartych na sieci VPN. Ponadto funkcja DirectAccess systemu Windows Server 2012 udostępnia wiele aktualizacji i ulepszeń, które eliminują problemy przy wdrażaniu i upraszczają zarządzanie. Aby uzyskać więcej informacji, zobacz Dostęp bezprzewodowy uwierzytelniany metodą 802.1X — omówienie.

Infrastruktura VDI

Dzięki infrastrukturze VDI organizacja może udostępnić pracownikom środowisko pulpitu i aplikacje firmowe, które będą dostępne z poziomu urządzeń osobistych i firmowych, zarówno z wewnętrznych, jak i zewnętrznych lokalizacji za pośrednictwem infrastruktury (usług ról Broker połączeń usług pulpitu zdalnego, Host sesji usług pulpitu zdalnego oraz Dostęp w sieci Web do usług pulpitu zdalnego) działającej w firmowym centrum danych. Aby uzyskać więcej informacji, zobacz Infrastruktura pulpitów wirtualnych.

Zagadnienia dotyczące projektowania wdrożenia serwera proxy aplikacji sieci Web

Ta sekcja zawiera wprowadzenie do procedury planowania wymaganej do wdrożenia serwera proxy aplikacji sieci Web i opublikowania aplikacji za jego pośrednictwem. W tym scenariuszu opisano dostępne metody uwierzytelniania wstępnego, w tym użycie usług AD FS do uwierzytelniania i autoryzacji, co pozwala na korzystanie z funkcji usług AD FS, takich jak dołączanie urządzenia w miejscu pracy, uwierzytelnianie wieloskładnikowe i wieloskładnikowa kontrola dostępu. Ta procedura planowania została omówiona szczegółowo w temacie Planowanie publikowania aplikacji za pośrednictwem serwera proxy aplikacji sieci Web.

Zagadnienia dotyczące projektowania wdrożenia folderów roboczych

W tej sekcji opisano proces projektowania implementacji folderów roboczych. Podano w niej również wymagania dotyczące oprogramowania, scenariusze wdrażania, listę kontrolną projektu oraz dodatkowe zagadnienia dotyczące projektu. Aby utworzyć podstawową listę kontrolną, wykonaj czynności opisane w temacie Projektowanie implementacji folderów roboczych.

Zagadnienia dotyczące projektowania wdrożenia infrastruktury dostępu zdalnego

W tej sekcji opisano ogólne zagadnienia, które należy wziąć pod uwagę podczas planowania wdrożenia pojedynczego serwera dostępu zdalnego systemu Windows Server 2012 z podstawowymi funkcjami:

  1. Planowanie infrastruktury funkcji DirectAccess. Planowanie topologii sieci i serwerów, ustawień zapory, wymagań dotyczących certyfikatów, systemu DNS i usługi Active Directory.

  2. Planowanie wdrożenia funkcji DirectAccess. Planowanie wdrożenia klientów i serwerów.

Usprawnienie zarządzania ryzykiem kontroli dostępu

Korzystając z systemu Windows Server 2012 R2, organizacja może skonfigurować kontrolę uzyskiwania dostępu do zasobów firmy na podstawie tożsamości użytkownika, tożsamości zarejestrowanego urządzenia i lokalizacji sieciowej użytkownika (czy użytkownik znajduje się w obrębie firmy). Dzięki wieloskładnikowemu uwierzytelnianiu zintegrowanemu z serwerem proxy aplikacji sieci Web działy IT mogą korzystać z dodatkowych warstw uwierzytelniania użytkowników i urządzeń nawiązujących połączenia ze środowiskiem firmowym.

Aby łatwo ograniczyć ryzyko związane z kontami użytkowników, których zabezpieczenia zostaną naruszone, w systemie Windows Server 2012 R2 można znacznie prościej zaimplementować wiele składników uwierzytelniania przy użyciu usługi Active Directory. Model wtyczek umożliwia konfigurowanie różnych rozwiązań do zarządzania ryzykiem bezpośrednio w usługach AD FS.

System Windows Server 2012 R2 zawiera liczne udoskonalenia zarządzania ryzykiem kontroli dostępu w usługach AD FS, takie jak:

  • Elastyczne opcje kontroli oparte na lokalizacji sieciowej, które pozwalają zarządzać sposobem uwierzytelniania użytkowników w celu uzyskania dostępu do aplikacji chronionej przy użyciu usług AD FS.

  • Elastyczne zasady umożliwiające ustalanie, czy użytkownik powinien przeprowadzać uwierzytelnianie wieloskładnikowe, na podstawie danych użytkownika, danych urządzenia i lokalizacji sieciowej.

  • Opcje kontroli dla poszczególnych aplikacji, umożliwiające zignorowanie logowania jednokrotnego i wymaganie od użytkownika poświadczeń za każdym razem, gdy uzyskuje on dostęp do poufnej aplikacji.

  • Elastyczne zasady dostępu do poszczególnych aplikacji oparte na danych użytkownika, danych urządzenia lub lokalizacji sieciowej. Blokowanie ekstranetu w usługach AD FS umożliwia administratorom ochronę kont usługi Active Directory przed atakami siłowymi z Internetu.

  • Możliwość odwołania praw dostępu dla dowolnego urządzenia dołączonego w miejscu pracy, który zostało wyłączone lub usunięte w usłudze Active Directory.

Na poniższym diagramie przedstawiono ulepszenia usługi Active Directory, które umożliwiają ograniczenie ryzyka związanego z kontrolą dostępu.

Możliwości usług AD w systemie Windows Server 2012 R2

Zagadnienia dotyczące projektowania związane z ograniczaniem ryzyka oraz zarządzaniem dostępem dla użytkowników, urządzeń i aplikacji

Element projektu rozwiązania Dlaczego występuje w tym rozwiązaniu?

Dołączanie urządzenia w miejscu pracy (obsługiwane przez usługę rejestracji urządzeń)

W organizacji można zaimplementować zarządzanie danymi przez dział IT z uwzględnieniem uwierzytelniania urządzeń i uwierzytelniania dwuskładnikowego z logowaniem jednokrotnym. Dołączanie urządzeń w miejscu pracy umożliwia administratorom IT większą kontrolę nad urządzeniami osobistymi i firmowymi. Aby uzyskać więcej informacji na temat usługi rejestracji urządzeń, zobacz Dołączanie dowolnego urządzenia w miejscu pracy na potrzeby logowania jednokrotnego i łatwego uwierzytelniania dwuskładnikowego w aplikacjach firmy.

Uwierzytelnianie wieloskładnikowe

Dzięki uwierzytelnianiu wieloskładnikowemu w systemie Azure dział IT może stosować dodatkowe warstwy uwierzytelniania i weryfikacji użytkowników i urządzeń. Aby uzyskać więcej informacji, zobacz Co to jest uwierzytelnianie wieloskładnikowe w systemie Azure?

Ujednolicenie zarządzania urządzeniami

Oprócz funkcji zabezpieczeń i dostępu działy IT potrzebują skutecznej strategii zarządzania komputerami i urządzeniami osobistymi z poziomu jednej konsoli administratora. Zarządzanie urządzeniami obejmuje definiowanie ustawień zabezpieczeń i zgodności, tworzenie spisów oprogramowania i sprzętu oraz wdrażanie oprogramowania. Dział IT musi mieć również gotowe rozwiązanie, które zapewni ochronę firmy przez czyszczenie firmowych danych przechowywanych na urządzeniu przenośnym w przypadku utraty lub kradzieży urządzenia bądź wycofania go z użytku.

W temacie Zarządzanie urządzeniami przenośnymi i komputerami dzięki migracji do programu Configuration Manager z usługą Windows Intune szczegółowo opisano rozwiązanie służące do ujednoliconego zarządzania urządzeniami.

Zagadnienia dotyczące projektowania ujednoliconego zarządzania urządzeniami

Należy pamiętać, że ważne pytania dotyczące projektu muszą zostać rozpatrzone przed zaprojektowaniem infrastruktury „Przynieś własne urządzenie” i ujednoliconego zarządzania urządzeniami, która umożliwi pracownikom korzystanie z własnych urządzeń i zapewni ochronę danych firmy.

Projekt infrastruktury obsługującej model „Przynieś własne urządzenie” omówiono w temacie Zagadnienia dotyczące użytkowników i urządzeń w modelu „Przynieś własne urządzenie”. W projekcie omówionym w tym dokumencie stosowana jest technologia firmy Microsoft. Jednak opcje i zagadnienia związane z projektowaniem można stosować dla dowolnej infrastruktury korzystającej z modelu „Przynieś własne urządzenie”.

Aby uzyskać przydatną listę kontrolną, która zawiera czynności wymagane do zarządzania urządzeniami przenośnymi, zobacz Lista kontrolna dotycząca zarządzania urządzeniami przenośnymi.

Jakie czynności należy wykonać w celu implementacji tego rozwiązania?

Skonfigurowanie infrastruktury podstawowej w celu umożliwienia rejestracji urządzeń

Poniżej przedstawiono krok po kroku proces konfigurowania kontrolera domeny (AD DS), usług AD FS i usługi rejestracji urządzeń.

  1. Skonfigurowanie kontrolera domeny

    Zainstaluj usługę roli AD DS i podwyższ poziom komputera do poziomu kontrolera domeny w systemie Windows Server 2012 R2. Spowoduje to uaktualnienie schematu usług AD DS w ramach instalacji kontrolera domeny. Aby uzyskać więcej informacji oraz instrukcje krok po kroku, zobacz Instalowanie usług domenowych Active Directory

  2. Zainstalowanie i skonfigurowanie serwera federacyjnego

    Usługi federacyjne Active Directory (AD FS) w systemie Windows Server 2012 R2 umożliwiają utworzenie rozwiązania do federacyjnego zarządzania tożsamościami, w którym rozproszone usługi identyfikacji, uwierzytelniania i autoryzacji uwzględniają aplikacje oparte na sieci Web w obrębie różnych organizacji i platform. Przez wdrożenie usług AD FS można rozszerzyć istniejące możliwości organizacji w zakresie zarządzania tożsamościami na Internet. Aby uzyskać więcej informacji oraz instrukcje krok po kroku, zobacz Przewodnik dotyczący wdrażania usług AD FS w systemie Windows Server 2012 R2.

  3. Skonfigurowanie usługi rejestracji domen

    Po zainstalowaniu usług AD FS można włączyć usługę rejestracji urządzeń na serwerze federacyjnym. Konfigurowanie usługi rejestracji urządzeń obejmuje przygotowanie lasu usługi Active Directory do obsługi urządzeń, a następnie włączenie usługi rejestracji urządzeń. Aby uzyskać szczegółowe instrukcje, zobacz Konfigurowanie serwera federacyjnego przy użyciu usługi rejestracji urządzeń.

  4. Skonfigurowanie serwera sieci Web i przykładowej aplikacji opartej na oświadczeniach w celu zweryfikowania i przetestowania konfiguracji usług AD FS i usługi rejestracji urządzeń

    Należy skonfigurować serwer sieci Web i przykładową aplikację opartą na oświadczeniach, a następnie wykonać określone procedury w celu zweryfikowania powyższych czynności. Te czynności należy wykonać w następującej kolejności:

    1. Zainstalowanie roli Serwer sieci Web i składnika Windows Identity Foundation

    2. Zainstalowanie zestawu SDK składnika Windows Identity Foundation

    3. Skonfigurowanie prostej aplikacji opartej na oświadczeniach w programie IIS

    4. Utworzenie zaufania jednostki uzależnionej na serwerze federacyjnym

  5. Skonfigurowanie i zweryfikowanie funkcji dołączania urządzenia w miejscu pracy na urządzeniach z systemami Windows i iOS

    Ta sekcja zawiera instrukcje dotyczące konfigurowania funkcji dołączania urządzenia w miejscu pracy na urządzeniach z systemami Windows i iOS oraz logowania jednokrotnego do zasobu firmy.

    1. Dołączanie urządzenia z systemem Windows w miejscu pracy

    2. Dołączanie urządzenia z systemem iOS w miejscu pracy

Skonfigurowanie dostępu do zasobów firmy

Należy skonfigurować foldery robocze usług plików, wirtualizację usług pulpitu zdalnego i dostęp zdalny.

  1. Skonfigurowanie serwera proxy aplikacji sieci Web

    Ta sekcja zawiera wprowadzenie do procedury konfiguracji wymaganej do wdrożenia serwera proxy aplikacji sieci Web i opublikowania aplikacji za jego pośrednictwem.

    1. Skonfigurowanie infrastruktury serwera proxy aplikacji sieci Web. Zawiera opis konfigurowania infrastruktury wymaganej do wdrożenia serwera proxy aplikacji sieci Web.

    2. Zainstalowanie i skonfigurowanie serwera proxy aplikacji sieci Web. Zawiera opis konfigurowania serwerów proxy aplikacji sieci Web, w tym konfigurowania wszelkich wymaganych certyfikatów, instalowania usługi roli Serwer proxy aplikacji sieci Web oraz przyłączania serwerów proxy aplikacji sieci Web do domeny.

    3. Opublikowanie aplikacji przy użyciu wstępnego uwierzytelniania usług AD FS. Zawiera opis publikowania aplikacji za pośrednictwem serwera proxy aplikacji sieci Web przy użyciu wstępnego uwierzytelniania usług AD FS.

    4. Opublikowanie aplikacji przy użyciu przekazywanego uwierzytelniania wstępnego. Zawiera opis publikowania aplikacji przy użyciu przekazywanego uwierzytelniania wstępnego.

  2. Skonfigurowanie folderów roboczych

    Najprostsze wdrożenie folderów roboczych to pojedynczy serwer plików (często nazywany serwerem synchronizacji) bez obsługi synchronizowania za pośrednictwem Internetu, co może być przydatne w przypadku laboratoriów testowych lub rozwiązań synchronizacji dla komputerów klienckich przyłączonych do domeny. Poniżej przedstawiono minimalną procedurę, którą należy wykonać, aby utworzyć proste wdrożenie:

    1. Zainstalowanie folderów roboczych na serwerach plików

    2. Utworzenie grup zabezpieczeń dla folderów roboczych

    3. Utworzenie udziałów synchronizacji dla danych użytkowników

    Aby uzyskać dodatkowe szczegółowe instrukcje dotyczące wdrażania folderów roboczych, zobacz Wdrażanie folderów roboczych.

  3. Skonfigurowanie i zweryfikowanie wirtualizacji sesji usług pulpitu zdalnego

    Standardowe wdrożenie infrastruktury VDI umożliwia zainstalowanie odpowiednich usług ról na oddzielnych komputerach. Standardowe wdrożenie zapewnia dokładniejszą kontrolę nad pulpitami wirtualnymi i kolekcjami pulpitów wirtualnych, ponieważ nie są one tworzone automatycznie.

    W tym laboratorium testowym przedstawiono tworzenie standardowego wdrożenia wirtualizacji sesji obejmującego następujące czynności:

    • Instalowanie usług ról Broker połączeń usług pulpitu zdalnego, Host sesji usług pulpitu zdalnego oraz Dostęp w sieci Web do usług pulpitu zdalnego na oddzielnych komputerach.

    • Tworzenie kolekcji sesji.

    • Publikowanie pulpitu opartego na sesji dla każdego serwera hosta sesji usług pulpitu zdalnego w kolekcji.

    • Publikowanie aplikacji jako programów RemoteApp.

    Aby uzyskać szczegółowe instrukcje dotyczące konfigurowania i weryfikowania wdrożenia infrastruktury VDI, zobacz Standardowe wdrożenie wirtualizacji sesji usług pulpitu zdalnego.

  4. Skonfigurowanie dostępu zdalnego

    W systemie Windows Server 2012 funkcja DirectAccess oraz funkcja sieci VPN usługi Routing i dostęp zdalny zostały połączone w jedną rolę Dostęp zdalny. Poniżej przedstawiono procedurę konfiguracji wymaganą do wdrożenia pojedynczego serwera dostępu zdalnego systemu Windows Server 2012 z podstawowymi ustawieniami.

    1. Skonfigurowanie infrastruktury funkcji DirectAccess. Ten krok obejmuje konfigurowanie ustawień sieci i serwera, ustawień systemu DNS i ustawień usługi Active Directory.

    2. Skonfigurowanie serwera funkcji DirectAccess. Ten krok obejmuje konfigurowanie ustawień serwera i komputerów klienckich funkcji DirectAccess.

    3. Zweryfikowanie wdrożenia. Ten krok obejmuje czynności dotyczące weryfikacji wdrożenia.

Skonfigurowanie zarządzania ryzykiem przez skonfigurowanie wieloskładnikowej kontroli dostępu i uwierzytelniania wieloskładnikowego

Konfigurując wieloskładnikową kontrolę dostępu, można określić elastyczne i wszechstronne zasady autoryzacji dla poszczególnych aplikacji w celu przyznawania i odmawiania praw dostępu na podstawie użytkownika, urządzenia, lokalizacji sieciowej i stanu uwierzytelnienia. Uwierzytelnianie wieloskładnikowe umożliwia skonfigurowanie dodatkowej funkcji zarządzania ryzykiem w danym środowisku.

  1. Skonfigurowanie i zweryfikowanie wieloskładnikowej kontroli dostępu

    Ten etap składa się z trzech kroków:

    1. Zweryfikowanie domyślnego mechanizmu kontroli dostępu usług AD FS

    2. Skonfigurowanie zasad wieloskładnikowej kontroli dostępu na podstawie danych użytkownika

    3. Zweryfikowanie mechanizmu wieloskładnikowej kontroli dostępu

  2. Skonfigurowanie i zweryfikowanie uwierzytelniania wieloskładnikowego

    Ten etap składa się z trzech kroków:

    1. Zweryfikowanie domyślnego mechanizmu uwierzytelniania usług AD FS

    2. Skonfigurowanie uwierzytelniania wieloskładnikowego na serwerze federacyjnym

    3. Zweryfikowanie mechanizmu uwierzytelniania wieloskładnikowego

Implementowanie ujednoliconego zarządzania urządzeniami

Aby skonfigurować zarządzanie urządzeniami w przedsiębiorstwie, należy wykonać poniższe czynności.

  1. Zainstalowanie konsoli programu System Center 2012 R2 Configuration Manager. Domyślnie po zainstalowaniu lokacji głównej konsola programu Configuration Manager również zostanie zainstalowana na komputerze serwera lokacji głównej. Po zainstalowaniu lokacji można zainstalować dodatkowe konsole programu System Center 2012 R2 Configuration Manager na dodatkowych komputerach w celu zarządzania lokacją. Obsługiwane jest instalowanie konsoli z programu Configuration Manager 2007 i programu System Center 2012 R2 Configuration Manager na tym samym komputerze. Taka instalacja równoległa umożliwia zarządzanie za pomocą jednego komputera istniejącą infrastrukturą programu Configuration Manager 2007 oraz urządzeniami przenośnymi zarządzanymi przy użyciu usługi Windows Intune z programem System Center 2012 R2 Configuration Manager. Nie można jednak używać konsoli zarządzania programu System Center 2012 R2 Configuration Manager do zarządzania lokacją programu Configuration Manager 2007 i na odwrót. Aby uzyskać więcej informacji, zobacz Instalowanie konsoli programu Configuration Manager.

  2. Zarejestrowanie urządzeń przenośnych. Rejestracja umożliwia ustanowienie relacji między użytkownikiem, urządzeniem i usługą Windows Intune. Użytkownicy rejestrują własne urządzenia przenośne. Aby uzyskać informacje na temat rejestrowania urządzeń przenośnych, zobacz Rejestrowanie urządzeń przenośnych.

  3. Zarządzanie urządzeniami przenośnymi. Po przeprowadzeniu instalacji i wykonaniu podstawowych czynności konfiguracyjnych dla autonomicznej lokacji głównej można rozpocząć konfigurowanie zarządzania urządzeniami przenośnymi. Poniżej przedstawiono typowe akcje, które można skonfigurować:

    1. Aby zastosować ustawienia zgodności do urządzeń przenośnych, zobacz Ustawienia zgodności urządzeń przenośnych w programie Configuration Manager.

    2. Aby utworzyć i wdrożyć aplikacje na urządzeniach przenośnych, zobacz Jak utworzyć i wdrożyć aplikacje dla urządzeń przenośnych w programie Configuration Manager.

    3. Aby skonfigurować spis sprzętu, zobacz Jak skonfigurować spis sprzętu dla urządzeń przenośnych zarejestrowanych w usłudze Windows Intune i programie Configuration Manager.

    4. Aby skonfigurować spis oprogramowania, zobacz Wprowadzenie do spisu oprogramowania w programie Configuration Manager.

    5. Aby wyczyścić zawartość urządzeń przenośnych, zobacz Jak zarządzać urządzeniami przenośnymi przy użyciu programu Configuration Manager i usługi Windows Intune.

Zobacz też

Typ zawartości Dokumentacja

Ocena produktu/wprowadzenie do produktu

Planowanie i projektowanie

Zasoby społeczności

Rozwiązania pokrewne