Bezpieczny dostęp do zasobów firmy z dowolnego miejsca i z każdego urządzenia
Opublikowano: styczeń 2014
Dotyczy: Windows Server 2012 R2
W czym może być pomocny ten przewodnik?
Dla kogo jest przeznaczony ten przewodnik?
Ten przewodnik jest przeznaczony dla tradycyjnych przedsiębiorstw IT zatrudniających architektów infrastruktury, specjalistów ds. zabezpieczeń i specjalistów ds. zarządzania urządzeniami, którzy chcą poznać dostępne rozwiązania dotyczące konsumeryzacji IT i modelu „Przynieś własne urządzenie” (BYOD, Bring Your Own Device). Omówione w tym przewodniku kompleksowe rozwiązanie jest częścią wizji firmy Microsoft dotyczącej mobilności przedsiębiorstwa.
Obecny trend masowego korzystania z urządzeń — firmowych i osobistych, używanych przez klientów w celu uzyskiwania dostępu do zasobów firmy lokalnie lub w chmurze — sprawia, że technologie informatyczne muszą zwiększać wydajność i komfort użytkowników w zakresie użytkowania i identyfikacji urządzeń, a także łączenia się z zasobami i aplikacjami firmowymi. Jednocześnie organizacje IT muszą stawić czoła licznym wyzwaniom związanym z zarządzaniem i bezpieczeństwem, aby chronić infrastrukturę przedsiębiorstwa i dane firmowe przed złośliwymi działaniami. Organizacje te muszą zapewnić dostęp do zasobów zgodny z zasadami obowiązującymi w firmie, niezależnie od typu urządzenia i lokalizacji.
Bieżącą infrastrukturę można rozszerzyć, implementując i konfigurując różne technologie w systemie Windows Server 2012 R2 w celu kompleksowego rozwiązania tych problemów.
Na poniższym diagramie zilustrowano problem, którego dotyczy ten przewodnik po rozwiązaniach. Diagram przedstawia użytkowników uzyskujących dostęp do aplikacji i danych — lokalnie i w chmurze — za pomocą urządzeń osobistych i firmowych. Te aplikacje i zasoby mogą znajdować się wewnątrz lub na zewnątrz zapory.
Części tego przewodnika:
Scenariusz, opis problemu i cele
Zalecany projekt tego rozwiązania
Jakie czynności należy wykonać w celu implementacji tego rozwiązania?
Scenariusz, opis problemu i cele
W tej sekcji przedstawiono scenariusz, opis problemu i cele przykładowej organizacji.
Scenariusz
Organizacja jest średnią firmą z branży bankowości. Zatrudnia ponad 5000 osób, które przynoszą do pracy swoje urządzenia osobiste (z systemami Windows RT i iOS). Obecnie pracownicy nie mogą uzyskiwać dostępu do zasobów firmy za pomocą tych urządzeń.
Bieżąca infrastruktura obejmuje las usługi Active Directory z kontrolerem domeny z zainstalowanym systemem Windows Server 2012. W jej skład wchodzą również serwer dostępu zdalnego i program System Center Configuration Manager (w ramach oprogramowania System Center).
Opis problemu
Ostatni raport przygotowany dla kierownictwa firmy przez zespół IT wskazuje, że coraz więcej użytkowników przynosi swoje urządzenia osobiste do pracy i potrzebuje dostępu do danych firmowych. Kierownictwo jest świadome tego trendu w branży i oczekuje, że coraz więcej użytkowników zacznie przynosić do pracy swoje urządzenia. Dlatego kierownictwo chce mieć pewność, że firma zaimplementuje rozwiązanie, które spełni postawione wymagania. Podsumowując, firmowy dział IT musi:
Umożliwić pracownikom dostęp do danych i aplikacji firmowych z poziomu urządzeń osobistych i firmowych. Do tych urządzeń należą komputery i urządzenia przenośne.
Zapewnić bezpieczny dostęp do zasobów zgodnie z potrzebami każdego użytkownika i zasadami firmy dotyczącymi tych urządzeń. Korzystanie z różnych urządzeń musi być bezproblemowe.
Identyfikować urządzenia i zarządzać nimi.
Cele organizacji
W tym przewodniku przedstawiono rozwiązanie umożliwiające rozszerzenie infrastruktury firmy, a przez to osiągnięcie następujących celów:
Uproszczona rejestracja urządzeń osobistych i firmowych.
Bezproblemowe nawiązywanie połączenia z zasobami wewnętrznymi, gdy są potrzebne.
Spójny dostęp do zasobów firmy z poziomu różnych urządzeń.
Zalecany projekt tego rozwiązania
Aby rozwiązać problem biznesowy i osiągnąć wszystkie wymienione cele, w organizacji należy zaimplementować kilka scenariuszy podrzędnych. Każdy z tych scenariuszy podrzędnych został przedstawiony na poniższej ilustracji.
Umożliwienie użytkownikom rejestrowania urządzeń i korzystania z logowania jednokrotnego
Skonfigurowanie łatwego dostępu do zasobów firmy
Usprawnienie zarządzania ryzykiem kontroli dostępu
Ujednolicenie zarządzania urządzeniami
Umożliwienie użytkownikom rejestrowania urządzeń i korzystania z logowania jednokrotnego
Ta część rozwiązania składa się z poniższych ważnych faz.
Administratorzy IT mogą skonfigurować rejestrację urządzeń, która umożliwi kojarzenie urządzeń z usługą Active Directory w firmie oraz używanie tego skojarzenia na potrzeby łatwego uwierzytelniania dwuskładnikowego. Dołączanie urządzenia w miejscu pracy to nowa funkcja usługi Active Directory, która umożliwia użytkownikom bezpieczne rejestrowanie swoich urządzeń w katalogu firmy. Podczas takiej rejestracji urządzenie otrzymuje certyfikat, który pozwala uwierzytelniać urządzenie, gdy użytkownik uzyskuje dostęp do zasobów firmy. Za pomocą tego skojarzenia specjaliści IT mogą skonfigurować niestandardowe zasady dostępu w celu określenia, że użytkownicy muszą uwierzytelnić się i korzystać ze swoich urządzeń dołączonych przy użyciu funkcji dołączania urządzenia w miejscu pracy, aby uzyskać dostęp do zasobów firmy.
Administratorzy IT mogą skonfigurować opcję logowania jednokrotnego dla urządzeń skojarzonych z usługą Active Directory w firmie. Usługa logowania jednokrotnego pozwala użytkownikowi końcowemu zalogować się raz podczas uzyskiwania dostępu do aplikacji udostępnionej przez firmę. Uzyskując dostęp do kolejnych aplikacji firmy, użytkownik nie będzie ponownie monitowany o podanie informacji logowania. W systemie Windows Server 2012 R2 funkcja logowania jednokrotnego została rozszerzona o urządzenia dołączone przy użyciu funkcji dołączania urządzenia w miejscu pracy. Usprawnia to obsługę użytkowników końcowych, eliminując jednocześnie ryzyko związane z przechowywaniem poświadczeń użytkowników w każdej aplikacji. Dodatkową korzyścią jest ograniczenie możliwości przechwycenia haseł na urządzeniach osobistych lub będących własnością firmy.
Na poniższym diagramie przedstawiono ogólnie funkcję dołączania urządzenia w miejscu pracy.
Każda z tych możliwości została szczegółowo opisana w poniższej tabeli.
Element projektu rozwiązania | Dlaczego występuje w tym rozwiązaniu? |
---|---|
Dołączanie urządzenia w miejscu pracy |
Funkcja dołączania urządzenia w miejscu pracy umożliwia użytkownikom bezpieczne rejestrowanie swoich urządzeń w katalogu firmy. Podczas takiej rejestracji urządzenie otrzymuje certyfikat, który pozwala uwierzytelniać urządzenie, gdy użytkownik uzyskuje dostęp do zasobów firmy. Aby uzyskać więcej informacji, zobacz Dołączanie dowolnego urządzenia w miejscu pracy na potrzeby logowania jednokrotnego i łatwego uwierzytelniania dwuskładnikowego w aplikacjach firmy. |
W poniższej tabeli wymieniono technologie i role serwera, które należy skonfigurować dla tej funkcji.
Element projektu rozwiązania | Dlaczego występuje w tym rozwiązaniu? |
---|---|
Kontroler domeny z aktualizacją schematu systemu Windows Server 2012 R2 |
Wystąpienie usług domenowych Active Directory (AD DS) zapewnia katalog tożsamości służący do uwierzytelniania użytkowników i urządzeń oraz do wymuszania zasad dostępu i scentralizowanych zasad konfiguracji. Aby uzyskać więcej informacji o konfigurowaniu infrastruktury usług katalogowych dla tego rozwiązania, zobacz Uaktualnianie kontrolerów domeny do systemów Windows Server 2012 R2 i Windows Server 2012. |
Usługi AD FS z usługą rejestracji urządzeń |
Usługi federacyjne Active Directory (AD FS) pozwalają administratorom skonfigurować usługę rejestracji urządzeń i zaimplementować protokół dołączania urządzenia w miejscu pracy, aby umożliwić dołączanie urządzeń w miejscu pracy przy użyciu usługi Active Directory. Ponadto usługi AD FS zostały ulepszone przez dodanie protokołu uwierzytelniania OAuth, a także uwierzytelniania urządzeń i zasad kontroli dostępu warunkowego z kryteriami dotyczącymi użytkowników, urządzeń i lokalizacji. Aby uzyskać więcej informacji na temat planowania infrastruktury projektu usług AD FS, zobacz Przewodnik dotyczący projektowania usług AD FS w systemie Windows Server 2012 R2. |
Zagadnienia dotyczące projektowania konfiguracji kontrolera domeny
To rozwiązanie nie wymaga kontrolera domeny z systemem Windows Server 2012 R2. Potrzebna jest tylko aktualizacja schematu bieżącej instalacji usług AD DS. Aby uzyskać więcej informacji na temat rozszerzania schematu, zobacz Instalowanie usług domenowych Active Directory. Schemat istniejących kontrolerów domeny można zaktualizować bez instalowania kontrolera domeny z systemem Windows Server 2012 R2, uruchamiając narzędzie Adprep.exe.
Aby uzyskać szczegółową listę nowych funkcji, wymagań systemowych i wymagań wstępnych do spełnienia przed rozpoczęciem instalacji, zobacz Weryfikowanie wymagań wstępnych instalacji usług AD DS i Wymagania systemowe.
Zagadnienia dotyczące projektowania usług AD FS
Aby zaplanować środowisko usług AD FS, zobacz Określanie celów wdrażania usług AD FS.
Skonfigurowanie łatwego dostępu do zasobów firmy
Obecnie pracownicy są mobilni i oczekują możliwości korzystania z aplikacji potrzebnych do pracy w dowolnym miejscu. Firmy wdrożyły różne strategie, aby to umożliwić przy użyciu sieci VPN, dostępu bezpośredniego i bram usług pulpitu zdalnego.
Jednak w środowisku, w którym pracownicy przynoszą do pracy własne urządzenia, zastosowanie powyższych strategii nie oferuje poziomu izolacji zabezpieczeń, którego wymaga większość klientów. Aby spełnić te wymagania, do roli Routing i dostęp zdalny (RRAS) w systemie Windows Server dołączono usługę roli Serwer proxy aplikacji sieci Web. Ta usługa roli umożliwia selektywne publikowanie firmowych aplikacji sieci Web, co pozwala na uzyskiwanie dostępu do nich spoza sieci firmowej.
Foldery robocze to nowe rozwiązanie do synchronizowania plików, które umożliwia synchronizację plików między firmowym serwerem plików a urządzeniami użytkowników. Protokół tej synchronizacji jest oparty na protokole HTTPS. Ułatwia to publikowanie za pośrednictwem serwera proxy aplikacji sieci Web. Dzięki temu użytkownicy mogą teraz synchronizować dane zarówno z intranetu, jak i z Internetu. Oznacza to również, że opisane wcześniej funkcje sterowania uwierzytelnianiem i autoryzacją oparte na usługach AD FS można stosować do synchronizowania plików firmowych. Pliki są przechowywane w zaszyfrowanej lokalizacji na urządzeniu. Jeśli rejestracja urządzenia zostanie cofnięta na potrzeby zarządzania, będzie można selektywnie usunąć te pliki.
W systemie Windows Server 2012 R2 funkcja DirectAccess oraz funkcja sieci VPN usługi Routing i dostęp zdalny zostały połączone w jedną rolę Dostęp zdalny. Nowa rola serwera Dostęp zdalny umożliwia scentralizowane administrowanie, konfigurowanie oraz monitorowanie funkcji DirectAccess i usług dostępu zdalnego opartych na sieci VPN.
System Windows Server 2012 R2 udostępnia infrastrukturę pulpitu wirtualnego (VDI), która umożliwia organizacji IT swobodne wybieranie osobistych i należących do puli pulpitów wirtualnych (opartych na maszynach wirtualnych), a także pulpitów opartych na sesji. Ten system oferuje również organizacjom IT różne opcje magazynowania, w zależności od wymagań.
Na poniższym diagramie przedstawiono technologie, które można zaimplementować, aby zapewnić łatwy dostęp do zasobów firmy.
Planowanie dostępu do zasobów firmy
Element projektu rozwiązania | Dlaczego występuje w tym rozwiązaniu? |
---|---|
Serwer proxy aplikacji sieci Web |
Umożliwia publikowanie zasobów firmy z uwzględnieniem uwierzytelniania wieloskładnikowego i wymuszania zasad dostępu warunkowego, gdy użytkownicy łączą się z zasobami. Aby uzyskać więcej informacji, zobacz Przewodnik dotyczący wdrażania serwera proxy aplikacji sieci Web. |
Foldery robocze (serwer plików) |
Centralna lokalizacja na serwerze plików w środowisku firmowym, która jest konfigurowana, aby umożliwić synchronizację plików z urządzeniami użytkowników. Foldery robocze mogą być publikowane bezpośrednio przez zwrotny serwer proxy lub za pośrednictwem serwera proxy aplikacji sieci Web na potrzeby wymuszania zasad dostępu warunkowego. Aby uzyskać więcej informacji, zobacz Foldery robocze — omówienie. |
Dostęp zdalny |
Nowa rola serwera Dostęp zdalny umożliwia scentralizowane administrowanie, konfigurowanie oraz monitorowanie funkcji DirectAccess i usług dostępu zdalnego opartych na sieci VPN. Ponadto funkcja DirectAccess systemu Windows Server 2012 udostępnia wiele aktualizacji i ulepszeń, które eliminują problemy przy wdrażaniu i upraszczają zarządzanie. Aby uzyskać więcej informacji, zobacz Dostęp bezprzewodowy uwierzytelniany metodą 802.1X — omówienie. |
Infrastruktura VDI |
Dzięki infrastrukturze VDI organizacja może udostępnić pracownikom środowisko pulpitu i aplikacje firmowe, które będą dostępne z poziomu urządzeń osobistych i firmowych, zarówno z wewnętrznych, jak i zewnętrznych lokalizacji za pośrednictwem infrastruktury (usług ról Broker połączeń usług pulpitu zdalnego, Host sesji usług pulpitu zdalnego oraz Dostęp w sieci Web do usług pulpitu zdalnego) działającej w firmowym centrum danych. Aby uzyskać więcej informacji, zobacz Infrastruktura pulpitów wirtualnych. |
Zagadnienia dotyczące projektowania wdrożenia serwera proxy aplikacji sieci Web
Ta sekcja zawiera wprowadzenie do procedury planowania wymaganej do wdrożenia serwera proxy aplikacji sieci Web i opublikowania aplikacji za jego pośrednictwem. W tym scenariuszu opisano dostępne metody uwierzytelniania wstępnego, w tym użycie usług AD FS do uwierzytelniania i autoryzacji, co pozwala na korzystanie z funkcji usług AD FS, takich jak dołączanie urządzenia w miejscu pracy, uwierzytelnianie wieloskładnikowe i wieloskładnikowa kontrola dostępu. Ta procedura planowania została omówiona szczegółowo w temacie Planowanie publikowania aplikacji za pośrednictwem serwera proxy aplikacji sieci Web.
Zagadnienia dotyczące projektowania wdrożenia folderów roboczych
W tej sekcji opisano proces projektowania implementacji folderów roboczych. Podano w niej również wymagania dotyczące oprogramowania, scenariusze wdrażania, listę kontrolną projektu oraz dodatkowe zagadnienia dotyczące projektu. Aby utworzyć podstawową listę kontrolną, wykonaj czynności opisane w temacie Projektowanie implementacji folderów roboczych.
Zagadnienia dotyczące projektowania wdrożenia infrastruktury dostępu zdalnego
W tej sekcji opisano ogólne zagadnienia, które należy wziąć pod uwagę podczas planowania wdrożenia pojedynczego serwera dostępu zdalnego systemu Windows Server 2012 z podstawowymi funkcjami:
Planowanie infrastruktury funkcji DirectAccess. Planowanie topologii sieci i serwerów, ustawień zapory, wymagań dotyczących certyfikatów, systemu DNS i usługi Active Directory.
Planowanie wdrożenia funkcji DirectAccess. Planowanie wdrożenia klientów i serwerów.
Usprawnienie zarządzania ryzykiem kontroli dostępu
Korzystając z systemu Windows Server 2012 R2, organizacja może skonfigurować kontrolę uzyskiwania dostępu do zasobów firmy na podstawie tożsamości użytkownika, tożsamości zarejestrowanego urządzenia i lokalizacji sieciowej użytkownika (czy użytkownik znajduje się w obrębie firmy). Dzięki wieloskładnikowemu uwierzytelnianiu zintegrowanemu z serwerem proxy aplikacji sieci Web działy IT mogą korzystać z dodatkowych warstw uwierzytelniania użytkowników i urządzeń nawiązujących połączenia ze środowiskiem firmowym.
Aby łatwo ograniczyć ryzyko związane z kontami użytkowników, których zabezpieczenia zostaną naruszone, w systemie Windows Server 2012 R2 można znacznie prościej zaimplementować wiele składników uwierzytelniania przy użyciu usługi Active Directory. Model wtyczek umożliwia konfigurowanie różnych rozwiązań do zarządzania ryzykiem bezpośrednio w usługach AD FS.
System Windows Server 2012 R2 zawiera liczne udoskonalenia zarządzania ryzykiem kontroli dostępu w usługach AD FS, takie jak:
Elastyczne opcje kontroli oparte na lokalizacji sieciowej, które pozwalają zarządzać sposobem uwierzytelniania użytkowników w celu uzyskania dostępu do aplikacji chronionej przy użyciu usług AD FS.
Elastyczne zasady umożliwiające ustalanie, czy użytkownik powinien przeprowadzać uwierzytelnianie wieloskładnikowe, na podstawie danych użytkownika, danych urządzenia i lokalizacji sieciowej.
Opcje kontroli dla poszczególnych aplikacji, umożliwiające zignorowanie logowania jednokrotnego i wymaganie od użytkownika poświadczeń za każdym razem, gdy uzyskuje on dostęp do poufnej aplikacji.
Elastyczne zasady dostępu do poszczególnych aplikacji oparte na danych użytkownika, danych urządzenia lub lokalizacji sieciowej. Blokowanie ekstranetu w usługach AD FS umożliwia administratorom ochronę kont usługi Active Directory przed atakami siłowymi z Internetu.
Możliwość odwołania praw dostępu dla dowolnego urządzenia dołączonego w miejscu pracy, który zostało wyłączone lub usunięte w usłudze Active Directory.
Na poniższym diagramie przedstawiono ulepszenia usługi Active Directory, które umożliwiają ograniczenie ryzyka związanego z kontrolą dostępu.
Zagadnienia dotyczące projektowania związane z ograniczaniem ryzyka oraz zarządzaniem dostępem dla użytkowników, urządzeń i aplikacji
Element projektu rozwiązania | Dlaczego występuje w tym rozwiązaniu? |
---|---|
Dołączanie urządzenia w miejscu pracy (obsługiwane przez usługę rejestracji urządzeń) |
W organizacji można zaimplementować zarządzanie danymi przez dział IT z uwzględnieniem uwierzytelniania urządzeń i uwierzytelniania dwuskładnikowego z logowaniem jednokrotnym. Dołączanie urządzeń w miejscu pracy umożliwia administratorom IT większą kontrolę nad urządzeniami osobistymi i firmowymi. Aby uzyskać więcej informacji na temat usługi rejestracji urządzeń, zobacz Dołączanie dowolnego urządzenia w miejscu pracy na potrzeby logowania jednokrotnego i łatwego uwierzytelniania dwuskładnikowego w aplikacjach firmy. |
Uwierzytelnianie wieloskładnikowe |
Dzięki uwierzytelnianiu wieloskładnikowemu w systemie Azure dział IT może stosować dodatkowe warstwy uwierzytelniania i weryfikacji użytkowników i urządzeń. Aby uzyskać więcej informacji, zobacz Co to jest uwierzytelnianie wieloskładnikowe w systemie Azure? |
Ujednolicenie zarządzania urządzeniami
Oprócz funkcji zabezpieczeń i dostępu działy IT potrzebują skutecznej strategii zarządzania komputerami i urządzeniami osobistymi z poziomu jednej konsoli administratora. Zarządzanie urządzeniami obejmuje definiowanie ustawień zabezpieczeń i zgodności, tworzenie spisów oprogramowania i sprzętu oraz wdrażanie oprogramowania. Dział IT musi mieć również gotowe rozwiązanie, które zapewni ochronę firmy przez czyszczenie firmowych danych przechowywanych na urządzeniu przenośnym w przypadku utraty lub kradzieży urządzenia bądź wycofania go z użytku.
W temacie Zarządzanie urządzeniami przenośnymi i komputerami dzięki migracji do programu Configuration Manager z usługą Windows Intune szczegółowo opisano rozwiązanie służące do ujednoliconego zarządzania urządzeniami.
Zagadnienia dotyczące projektowania ujednoliconego zarządzania urządzeniami
Należy pamiętać, że ważne pytania dotyczące projektu muszą zostać rozpatrzone przed zaprojektowaniem infrastruktury „Przynieś własne urządzenie” i ujednoliconego zarządzania urządzeniami, która umożliwi pracownikom korzystanie z własnych urządzeń i zapewni ochronę danych firmy.
Projekt infrastruktury obsługującej model „Przynieś własne urządzenie” omówiono w temacie Zagadnienia dotyczące użytkowników i urządzeń w modelu „Przynieś własne urządzenie”. W projekcie omówionym w tym dokumencie stosowana jest technologia firmy Microsoft. Jednak opcje i zagadnienia związane z projektowaniem można stosować dla dowolnej infrastruktury korzystającej z modelu „Przynieś własne urządzenie”.
Aby uzyskać przydatną listę kontrolną, która zawiera czynności wymagane do zarządzania urządzeniami przenośnymi, zobacz Lista kontrolna dotycząca zarządzania urządzeniami przenośnymi.
Jakie czynności należy wykonać w celu implementacji tego rozwiązania?
Skonfigurowanie infrastruktury podstawowej w celu umożliwienia rejestracji urządzeń
Poniżej przedstawiono krok po kroku proces konfigurowania kontrolera domeny (AD DS), usług AD FS i usługi rejestracji urządzeń.
Skonfigurowanie kontrolera domeny
Zainstaluj usługę roli AD DS i podwyższ poziom komputera do poziomu kontrolera domeny w systemie Windows Server 2012 R2. Spowoduje to uaktualnienie schematu usług AD DS w ramach instalacji kontrolera domeny. Aby uzyskać więcej informacji oraz instrukcje krok po kroku, zobacz Instalowanie usług domenowych Active Directory.
Zainstalowanie i skonfigurowanie serwera federacyjnego
Usługi federacyjne Active Directory (AD FS) w systemie Windows Server 2012 R2 umożliwiają utworzenie rozwiązania do federacyjnego zarządzania tożsamościami, w którym rozproszone usługi identyfikacji, uwierzytelniania i autoryzacji uwzględniają aplikacje oparte na sieci Web w obrębie różnych organizacji i platform. Przez wdrożenie usług AD FS można rozszerzyć istniejące możliwości organizacji w zakresie zarządzania tożsamościami na Internet. Aby uzyskać więcej informacji oraz instrukcje krok po kroku, zobacz Przewodnik dotyczący wdrażania usług AD FS w systemie Windows Server 2012 R2.
Skonfigurowanie usługi rejestracji domen
Po zainstalowaniu usług AD FS można włączyć usługę rejestracji urządzeń na serwerze federacyjnym. Konfigurowanie usługi rejestracji urządzeń obejmuje przygotowanie lasu usługi Active Directory do obsługi urządzeń, a następnie włączenie usługi rejestracji urządzeń. Aby uzyskać szczegółowe instrukcje, zobacz Konfigurowanie serwera federacyjnego przy użyciu usługi rejestracji urządzeń.
Skonfigurowanie serwera sieci Web i przykładowej aplikacji opartej na oświadczeniach w celu zweryfikowania i przetestowania konfiguracji usług AD FS i usługi rejestracji urządzeń
Należy skonfigurować serwer sieci Web i przykładową aplikację opartą na oświadczeniach, a następnie wykonać określone procedury w celu zweryfikowania powyższych czynności. Te czynności należy wykonać w następującej kolejności:
Skonfigurowanie i zweryfikowanie funkcji dołączania urządzenia w miejscu pracy na urządzeniach z systemami Windows i iOS
Ta sekcja zawiera instrukcje dotyczące konfigurowania funkcji dołączania urządzenia w miejscu pracy na urządzeniach z systemami Windows i iOS oraz logowania jednokrotnego do zasobu firmy.
Skonfigurowanie dostępu do zasobów firmy
Należy skonfigurować foldery robocze usług plików, wirtualizację usług pulpitu zdalnego i dostęp zdalny.
Skonfigurowanie serwera proxy aplikacji sieci Web
Ta sekcja zawiera wprowadzenie do procedury konfiguracji wymaganej do wdrożenia serwera proxy aplikacji sieci Web i opublikowania aplikacji za jego pośrednictwem.
Skonfigurowanie infrastruktury serwera proxy aplikacji sieci Web. Zawiera opis konfigurowania infrastruktury wymaganej do wdrożenia serwera proxy aplikacji sieci Web.
Zainstalowanie i skonfigurowanie serwera proxy aplikacji sieci Web. Zawiera opis konfigurowania serwerów proxy aplikacji sieci Web, w tym konfigurowania wszelkich wymaganych certyfikatów, instalowania usługi roli Serwer proxy aplikacji sieci Web oraz przyłączania serwerów proxy aplikacji sieci Web do domeny.
Opublikowanie aplikacji przy użyciu wstępnego uwierzytelniania usług AD FS. Zawiera opis publikowania aplikacji za pośrednictwem serwera proxy aplikacji sieci Web przy użyciu wstępnego uwierzytelniania usług AD FS.
Opublikowanie aplikacji przy użyciu przekazywanego uwierzytelniania wstępnego. Zawiera opis publikowania aplikacji przy użyciu przekazywanego uwierzytelniania wstępnego.
Skonfigurowanie folderów roboczych
Najprostsze wdrożenie folderów roboczych to pojedynczy serwer plików (często nazywany serwerem synchronizacji) bez obsługi synchronizowania za pośrednictwem Internetu, co może być przydatne w przypadku laboratoriów testowych lub rozwiązań synchronizacji dla komputerów klienckich przyłączonych do domeny. Poniżej przedstawiono minimalną procedurę, którą należy wykonać, aby utworzyć proste wdrożenie:
Aby uzyskać dodatkowe szczegółowe instrukcje dotyczące wdrażania folderów roboczych, zobacz Wdrażanie folderów roboczych.
Skonfigurowanie i zweryfikowanie wirtualizacji sesji usług pulpitu zdalnego
Standardowe wdrożenie infrastruktury VDI umożliwia zainstalowanie odpowiednich usług ról na oddzielnych komputerach. Standardowe wdrożenie zapewnia dokładniejszą kontrolę nad pulpitami wirtualnymi i kolekcjami pulpitów wirtualnych, ponieważ nie są one tworzone automatycznie.
W tym laboratorium testowym przedstawiono tworzenie standardowego wdrożenia wirtualizacji sesji obejmującego następujące czynności:
Instalowanie usług ról Broker połączeń usług pulpitu zdalnego, Host sesji usług pulpitu zdalnego oraz Dostęp w sieci Web do usług pulpitu zdalnego na oddzielnych komputerach.
Tworzenie kolekcji sesji.
Publikowanie pulpitu opartego na sesji dla każdego serwera hosta sesji usług pulpitu zdalnego w kolekcji.
Publikowanie aplikacji jako programów RemoteApp.
Aby uzyskać szczegółowe instrukcje dotyczące konfigurowania i weryfikowania wdrożenia infrastruktury VDI, zobacz Standardowe wdrożenie wirtualizacji sesji usług pulpitu zdalnego.
Skonfigurowanie dostępu zdalnego
W systemie Windows Server 2012 funkcja DirectAccess oraz funkcja sieci VPN usługi Routing i dostęp zdalny zostały połączone w jedną rolę Dostęp zdalny. Poniżej przedstawiono procedurę konfiguracji wymaganą do wdrożenia pojedynczego serwera dostępu zdalnego systemu Windows Server 2012 z podstawowymi ustawieniami.
Skonfigurowanie infrastruktury funkcji DirectAccess. Ten krok obejmuje konfigurowanie ustawień sieci i serwera, ustawień systemu DNS i ustawień usługi Active Directory.
Skonfigurowanie serwera funkcji DirectAccess. Ten krok obejmuje konfigurowanie ustawień serwera i komputerów klienckich funkcji DirectAccess.
Zweryfikowanie wdrożenia. Ten krok obejmuje czynności dotyczące weryfikacji wdrożenia.
Skonfigurowanie zarządzania ryzykiem przez skonfigurowanie wieloskładnikowej kontroli dostępu i uwierzytelniania wieloskładnikowego
Konfigurując wieloskładnikową kontrolę dostępu, można określić elastyczne i wszechstronne zasady autoryzacji dla poszczególnych aplikacji w celu przyznawania i odmawiania praw dostępu na podstawie użytkownika, urządzenia, lokalizacji sieciowej i stanu uwierzytelnienia. Uwierzytelnianie wieloskładnikowe umożliwia skonfigurowanie dodatkowej funkcji zarządzania ryzykiem w danym środowisku.
Skonfigurowanie i zweryfikowanie wieloskładnikowej kontroli dostępu
Ten etap składa się z trzech kroków:
Skonfigurowanie i zweryfikowanie uwierzytelniania wieloskładnikowego
Ten etap składa się z trzech kroków:
Implementowanie ujednoliconego zarządzania urządzeniami
Aby skonfigurować zarządzanie urządzeniami w przedsiębiorstwie, należy wykonać poniższe czynności.
Zainstalowanie konsoli programu System Center 2012 R2 Configuration Manager. Domyślnie po zainstalowaniu lokacji głównej konsola programu Configuration Manager również zostanie zainstalowana na komputerze serwera lokacji głównej. Po zainstalowaniu lokacji można zainstalować dodatkowe konsole programu System Center 2012 R2 Configuration Manager na dodatkowych komputerach w celu zarządzania lokacją. Obsługiwane jest instalowanie konsoli z programu Configuration Manager 2007 i programu System Center 2012 R2 Configuration Manager na tym samym komputerze. Taka instalacja równoległa umożliwia zarządzanie za pomocą jednego komputera istniejącą infrastrukturą programu Configuration Manager 2007 oraz urządzeniami przenośnymi zarządzanymi przy użyciu usługi Windows Intune z programem System Center 2012 R2 Configuration Manager. Nie można jednak używać konsoli zarządzania programu System Center 2012 R2 Configuration Manager do zarządzania lokacją programu Configuration Manager 2007 i na odwrót. Aby uzyskać więcej informacji, zobacz Instalowanie konsoli programu Configuration Manager.
Zarejestrowanie urządzeń przenośnych. Rejestracja umożliwia ustanowienie relacji między użytkownikiem, urządzeniem i usługą Windows Intune. Użytkownicy rejestrują własne urządzenia przenośne. Aby uzyskać informacje na temat rejestrowania urządzeń przenośnych, zobacz Rejestrowanie urządzeń przenośnych.
Zarządzanie urządzeniami przenośnymi. Po przeprowadzeniu instalacji i wykonaniu podstawowych czynności konfiguracyjnych dla autonomicznej lokacji głównej można rozpocząć konfigurowanie zarządzania urządzeniami przenośnymi. Poniżej przedstawiono typowe akcje, które można skonfigurować:
Aby zastosować ustawienia zgodności do urządzeń przenośnych, zobacz Ustawienia zgodności urządzeń przenośnych w programie Configuration Manager.
Aby utworzyć i wdrożyć aplikacje na urządzeniach przenośnych, zobacz Jak utworzyć i wdrożyć aplikacje dla urządzeń przenośnych w programie Configuration Manager.
Aby skonfigurować spis sprzętu, zobacz Jak skonfigurować spis sprzętu dla urządzeń przenośnych zarejestrowanych w usłudze Windows Intune i programie Configuration Manager.
Aby skonfigurować spis oprogramowania, zobacz Wprowadzenie do spisu oprogramowania w programie Configuration Manager.
Aby wyczyścić zawartość urządzeń przenośnych, zobacz Jak zarządzać urządzeniami przenośnymi przy użyciu programu Configuration Manager i usługi Windows Intune.