Proteger acesso a rec. da empresa de qualquer local e dispositivo

  • Artigo

 

Como este guia pode ajudar?

A quem este guia se destina?

Este guia destina-se a empresas de TI tradicionais com arquitetos de infraestrutura, especialistas em segurança da empresa e especialistas em gerenciamento de dispositivo que desejem entender quais soluções estão disponíveis para consumo de TI e BYOD (Bring Your Own Device, traga seu próprio dispositivo). A solução de ponta a ponta discutida neste guia faz parte da visão de Mobilidade Empresarial da Microsoft.

A tendência atual de explosão de dispositivos — dispositivos de propriedade da empresa, dispositivos pessoais e consumidores usando seus dispositivos para acessar recursos corporativos locais ou na nuvem — torna fundamental para a TI ajudar a aumentar a produtividade e a satisfação do usuário relacionadas ao uso e à identidade dos dispositivos, bem como a experiência de conexão a aplicativos e recursos corporativos. Ao mesmo tempo, oferece diversos desafios de gerenciamento e segurança para as organizações de TI, que devem garantir que a infraestrutura corporativa e dados corporativos estejam protegidos contra tentativas mal-intencionadas. Essas empresas também devem garantir que os recursos possam ser acessados em conformidade com políticas corporativas, independentemente do tipo de dispositivo ou local.

A infraestrutura atual pode ser estendida implementando e configurando diferentes tecnologias do Windows Server 2012 R2 para configurar uma solução de ponta a ponta para lidar com esses desafios.

O diagrama a seguir ilustra o problema neste guia de solução de endereços. Ela mostra usuários usando seus dispositivos pessoais e corporativos para acessar aplicativos e dados tanto na nuvem quanto local. Esses aplicativos e recursos podem estar dentro ou fora do firewall.

Acesso e detalhamento de dispositivos e aplicativos

Neste guia de solução:

  • Cenário, declaração do problema e metas

  • Design recomendado para esta solução

  • Quais são as etapas para implementar essa solução?

Cenário, declaração do problema e metas

Esta seção descreve o cenário, o problema e as metas de um exemplo de organização.

Cenário

Sua organização é uma empresa bancária de médio porte. Ela emprega mais de 5.000 pessoas que levam seus dispositivos pessoais (baseados em Windows RT e iOS) para o trabalho. Atualmente, elas não têm como acessar os recursos da empresa nesses dispositivos.

A infraestrutura atual inclui uma floresta do Active Directory que possui um controlador de domínio com Windows Server 2012 instalado. Também inclui um servidor de acesso remoto e o Gerenciador de Configurações do System Center por meio do System Center.

Declaração do problema

Um relatório recente emitido para a equipe de gerenciamento da empresa pela equipe de TI mostra que mais usuários estão começando a levar seus dispositivos pessoais para o trabalho e precisam acessar os dados da empresa. A equipe de gerenciamento compreende essa tendência do setor, que leva a mais usuários levarem seus próprios dispositivos, e deseja garantir que a empresa implemente uma solução que adote essa demanda com segurança. Para resumir, sua empresa precisa que a equipe de TI:

  • Permitir que os funcionários usem dispositivos pessoais, bem como dispositivos da empresa, para acessar dados e aplicativos corporativos. Esses dispositivos incluem computadores e dispositivos móveis.

  • Forneça acesso seguro a recursos de acordo com as necessidades de cada usuário e com as políticas da empresa para esses dispositivos. A experiência do usuário em dispositivos deve ser contínua.

  • Identifique e gerenciar os dispositivos.

Metas da organização

Este guia reúne uma solução para expandir a infraestrutura de sua empresa para obter o seguinte:

  • Registro simplificado de dispositivos pessoais e corporativos.

  • Conexão direta a recursos internos quando necessário.

  • Acesso consistente aos recursos da empresa em dispositivos.

Design recomendado para esta solução

Para resolver o problema de negócios e atender a todas as metas mencionadas anteriormente, a sua organização precisa implementar vários subcenários. Cada um desses subcenários é representado coletivamente na ilustração a seguir.

Visão geral que exibe todos os componentes da solução

  1. Permitir que os usuários registrem seus dispositivos e obtenham uma experiência de logon único

  2.  Configurar o acesso contínuo aos recursos corporativos 

  3. Melhorar o gerenciamento de riscos de controle de acesso 

  4. Gerenciamento de Dispositivo Unificado

Permitir que os usuários registrem seus dispositivos e obtenham uma experiência de logon único

Essa parte da solução envolve as seguintes fases importantes.

  • Os administradores de TI podem configurar o registro de dispositivos, que permite que dispositivos sejam associados ao Active Directory da empresa e usem essa associação como uma autenticação de dois fatores contínua. Ingresso no local de trabalho é um novo recurso do Active Directory que permite aos usuários registrar seus dispositivos com segurança no diretório de sua empresa. Esse registro provisiona ao dispositivo um certificado que pode ser usado para autenticar o dispositivo quando o usuário estiver acessando recursos da empresa. Usando essa associação, os profissionais de TI podem configurar políticas de acesso personalizadas para exigir que os usuários estejam tanto autenticados quanto usando o dispositivo ingressado no local de trabalho ao acessarem recursos da empresa.

  • Os administradores de TI podem configurar SSO (logon único) de dispositivos associados ao Active Directory da empresa. SSO é a capacidade de um usuário final entrar uma única vez para acessar um aplicativo fornecido pela empresa e não ser solicitado a fornecer suas informações de entrada durante o acesso a aplicativos da empresa adicionais. No Windows Server 2012 R2, o recurso de SSO é estendido para dispositivos ingressados locais de trabalho. Isso melhora a experiência do usuário final, evitando o risco de fazer cada aplicativo armazenar credenciais de usuário. Isso tem o benefício adicional de limitar as oportunidades de coleta de senha nos dispositivos pessoais ou da empresa.

O diagrama a seguir fornece um instantâneo de alto nível do ingresso no local de trabalho.

Ingresso no local de trabalho com registro do dispositivo local

Cada uma dessas funcionalidades é detalhada na tabela a seguir.

Elemento de Design da Solução

Por que está incluído nesta solução?

Ingresso no local de trabalho

Ingresso no local de trabalho permite aos usuários registrar com segurança seus dispositivos no diretório de sua empresa. Esse registro provisiona ao dispositivo um certificado que pode ser usado para autenticar o dispositivo quando o usuário estiver acessando recursos da empresa. Para obter mais informações, consulte HYPERLINK "https://technet.microsoft.com/library/dn280945.aspx" Ingresso no local de trabalho de qualquer dispositivo para SSO e autenticação de dois fatores contínua em aplicativos da empresa.

As funções e tecnologias de servidor que precisam ser configuradas para essa funcionalidade são listadas na tabela a seguir.

Elemento de Design da Solução

Por que está incluído nesta solução?

Controlador de domínio com a atualização de esquema do Windows Server 2012 R2

A instância dos Serviços de Domínio Active Directory (AD DS) fornece um diretório de identidade para autenticar usuários e dispositivos e para impor políticas de acesso e políticas de configuração centralizadas. Para obter mais informações sobre como configurar sua infraestrutura de serviços de diretório para essa solução, consulte Atualizar controladores de domínio para o Windows Server 2012 R2 e Windows Server 2012.

AD FS com o serviço de registro de dispositivos

Os Serviços de Federação do Active Directory (AD FS) permitem aos administradores configurar o serviço de registro de dispositivo (DRS) e implementar o protocolo de ingresso para um dispositivo de ingresso com o Active Directory. Além disso, o AD FS foi aprimorado com o protocolo de autenticação OAuth, bem como autenticação de dispositivo e políticas de controle de acesso condicional que incluem os critérios de usuário, dispositivo e localização. Para obter mais informações sobre como planejar a infraestrutura de design do AD FS, consulte o Guia de Design do AD FS no Windows Server 2012 R2.

Considerações de design para configurar o controlador de domínio

Não é necessário um controlador de domínio que execute o Windows Server 2012 R2 para essa solução. Tudo de que você precisa é uma atualização de esquema da sua instalação atual do AD DS. Para obter mais informações sobre como estender o esquema, consulte Instalar os Serviços de Domínio do Active Directory. Você pode atualizar o esquema em controladores de domínio existentes sem instalar um controlador de domínio que executa o Windows Server 2012 R2 Executando Adprep.exe.

Para obter uma lista detalhada dos novos recursos, requisitos do sistema e pré-requisitos que devem ser atendidos antes de você começar a instalação, consulte Validação de pré-requisitos de instalação do AD DS e Requisitos de sistema.

Considerações de design para AD FS

Para planejar o ambiente do AD FS, consulte Identificando as metas de implantação do AD FS.

Configurar o acesso contínuo aos recursos corporativos

Funcionários atuais são móveis e esperam poder acessar os aplicativos de que precisam para realizar seu trabalho onde quer que estejam. As empresas adotaram várias estratégias para habilitar isso usando VPN, acesso direto e gateways de Área de Trabalho Remota.

No entanto, em um mundo de trazer seu próprio dispositivo, essas abordagens não oferecem o nível de isolamento de segurança de que muitos clientes precisam. Para ajudar a atender a essa necessidade, o serviço de função proxy de aplicativo Web está incluído na função RRAS (Routing and Remote Access Service, roteamento e serviço de acesso remoto) do Windows Server. Esse serviço de função permite publicar seletivamente seus aplicativos Web de linha de negócios corporativos para acesso de fora da rede corporativa.

Pastas de trabalho são uma nova solução de sincronização de arquivo que permite aos usuários sincronizar seus arquivos de um servidor de arquivos corporativo para seus dispositivos. O protocolo para esta sincronização é baseado em HTTPS. Isso facilita a publicação por meio do proxy de aplicativo Web. Isso significa que os usuários agora podem ser sincronizados de intranet e Internet. Isso também significa que o mesmo os controles de autenticação e autorização baseados em AD FS descritos anteriormente podem ser aplicados a sincronização de arquivos corporativos. Em seguida, os arquivos são armazenados em um local criptografado no dispositivo. Esses arquivos então podem ser removidos seletivamente quando o dispositivo tem sua inscrição cancelada para gerenciamento.

DirectAccess e VPN de RRAS (Routing and Remote Access Service, roteamento e serviço de acesso remoto) são combinados em uma única função de acesso remoto no Windows Server 2012 R2. Essa nova função de servidor de acesso remoto permite administração, configuração e monitoramento centralizados de serviços de acesso remoto baseados em DirectAccess e VPN.

O Windows Server 2012 R2 fornece uma VDI (Virtual Desktop Infrastructure) que permite à TI da sua organização a liberdade para escolher áreas de trabalho de base pessoal e pool virtual (VM), bem como áreas de trabalho baseadas em sessão. Ele também oferece à TI várias opções de armazenamento com base nas necessidades.

O diagrama a seguir ilustra as tecnologias que podem ser implementadas para garantir o acesso contínuo a recursos corporativos.

Solução de proteção de informações e acesso

Planejando o acesso aos recursos corporativos

Elemento de Design da Solução

Por que está incluído nesta solução?

Proxy de aplicativo Web

Permite a publicação de recursos corporativos, incluindo Multi-Factor Authentication e imposição políticas de acesso condicional quando os usuários se conectam a recursos. Para obter mais informações, consulte Guia de implantação do Proxy de Aplicativo Web.

Pastas de trabalho (servidor de arquivos) 

Um local centralizado em um servidor de arquivos no ambiente corporativo configurado para permitir a sincronização de arquivos com dispositivos de usuário. Pastas de trabalho podem ser publicadas diretamente por meio de um proxy reverso ou por meio do Proxy de aplicativo Web para a imposição de política de acesso condicional. Para obter mais informações, consulte Visão geral de Pastas de Trabalho.

Acesso remoto

Essa nova função de servidor de acesso remoto permite administração, configuração e monitoramento centralizados de serviços de acesso remoto baseados em DirectAccess e VPN. Além disso, o DirectAccess do Windows Server 2012 fornece várias atualizações e aprimoramentos para abordar bloqueadores de implantação e fornecer gerenciamento simplificado. Para obter mais informações, consulte Visão geral de acesso sem Fio Autenticado 802.1X.

VDI

VDI permite que a sua organização forneça uma área de trabalho corporativa e que os funcionários possam acessar em seus dispositivos pessoais e corporativos, de locais internos e externos com a infraestrutura (os serviços Agente de Conexão de Área de Trabalho Remota, Host da Sessão de Área de Trabalho Remota e Acesso via Web à Área de Trabalho Remota) em execução dentro do datacenter corporativo. Para obter mais informações, consulte Infraestrutura da Área de Trabalho Virtual.

Considerações de design para implantar o proxy de aplicativo Web

Esta seção fornece uma introdução às etapas de planejamento necessárias para implantar o proxy de aplicativo Web e publicar aplicativos através dele. Este cenário descreve os métodos de pré-autenticação disponíveis, incluindo o uso do AD FS para autenticação e autorização, que permite que você se beneficie dos recursos do AD FS, incluindo ingresso, Multi-Factor Authentication (MFA) e controle de acesso multifatorial. Essas etapas de planejamento são explicadas em detalhes em Planejar a publicação de aplicativos por meio do proxy de aplicativo Web.

Considerações de design para implantação de pastas de trabalho

Esta seção explica o processo de design de uma implementação de pastas de trabalho e fornece informações sobre os requisitos de software, cenários de implantação, uma lista de verificação de design e considerações de design adicionais. Siga as etapas em Projetando uma implementação de pastas de trabalho para criar uma lista de verificação básica.

Considerações de design para implantar a infraestrutura de acesso remoto

Esta seção descreve as considerações gerais que devem ser seguidas durante o planejamento para implantar um único servidor de acesso remoto do Windows Server 2012 com recursos básicos:

  1. Planejar a infraestrutura do DirectAccess: Planejar a topologia de rede e servidor, as configurações de firewall, os requisitos de certificado, DNS e Active Directory.

  2. Planejar a implantação do DirectAccess: Planejar a implantação de cliente e servidor.

Melhorar o gerenciamento de riscos de controle de acesso

Com o Windows Server 2012 R2, sua organização pode configurar o controle para acessar os recursos da empresa com base na identidade do usuário, na identidade do dispositivo registrado e no local da rede do usuário (esteja o usuário dentro do limite corporativo ou não). Usando a Multi-Factor Authentication integrada ao proxy de aplicativo Web, a TI pode aproveitar camadas adicionais de autenticação conforme usuários e dispositivos conectam-se ao ambiente corporativo.

Para facilmente limitar os riscos associados a contas de usuário comprometidas, no Windows Server 2012 R2, é muito mais simples implementar vários fatores de autenticação usando o Active Directory. Um modelo de plug-in permite configurar diferentes soluções de gerenciamento de riscos diretamente no AD FS.

Há vários aprimoramentos de gerenciamento de riscos de controle de acesso no AD FS no Windows Server 2012 R2, incluindo:

  • Controles flexíveis com base no local de rede para determinar como um usuário é autenticado para acessar um aplicativo protegido por AD FS.

  • Políticas flexíveis para determinar se um usuário precisa executar Multi-Factor Authentication com base em dados do usuário, dados de dispositivo e local de rede.

  • Controles por aplicativo para ignorar SSO e forçar o usuário a fornecer credenciais sempre que acessar um aplicativo confidencial.

  • Políticas de acesso por aplicativo flexíveis com base em dados do usuário, dados de dispositivo ou local de rede. Bloqueio de Extranet do AD FS permite aos administradores proteger contas do Active Directory contra ataques de força bruta da Internet.

  • Revogação de acesso para qualquer dispositivo ingressado no local de trabalho que esteja desabilitado ou excluído no Active Directory.

O diagrama a seguir ilustra os aprimoramentos do Active Directory para melhorar a redução de riscos de controle de acesso.

Recursos do AD no Windows Server 2012 R2

Considerações para a implementação de controle de acesso e redução de risco de usuário, dispositivos e aplicativos de design

Elemento de design da solução

Por que está incluído nesta solução?

Ingresso no local de trabalho (habilitado pelo DRS [Device Registration Service, serviço de registro do dispositivo])

Sua organização pode implementar o controle de TI com autenticação de dispositivo e autenticação de dois fatores com SSO. Dispositivos de ingressados locais de trabalho fornecem aos administradores de TI níveis mais altos de controle para dispositivos pessoais e corporativos. Para obter mais informações sobre DRS, consulte Ingresso no local de trabalho por meio de qualquer dispositivo para SSO e autenticação de dois fatores contínua em aplicativos da empresa.

Multi-Factor Authentication

Por meio da Multi-Factor Authentication do Azure, a TI pode aplicar camadas adicionais de autenticação e verificação de usuários e dispositivos. Para obter mais informações, consulte O que é a Azure Multi-Factor Authentication?

Gerenciamento de Dispositivo Unificado

Além de segurança e acesso, a IT também precisa ter uma boa estratégia para gerenciar computadores e dispositivos pessoais a partir de um console único administrador. O gerenciamento de dispositivos inclui definir configurações de segurança e conformidade, coletar o inventário de software e hardware ou implantar software. A IT também deve ter uma solução para proteger a empresa apagando dados corporativos armazenados no dispositivo móvel quando o dispositivo for perdido, roubado ou removido do uso.

A solução Gerenciar dispositivos móveis e PCs migrando para o Configuration Manager com o Windows Intune explica detalhadamente a solução de gerenciamento unificado de dispositivo.

Considerações de design para gerenciamento de dispositivo unificado

É muito importante que você aborde questões de design importantes antes de criar uma infraestrutura BYOD e de gerenciamento de dispositivo unificado que permita aos funcionários usar seus próprios dispositivos e proteger os dados da empresa.

O design de infraestrutura para dar suporte a BYOD é abordado em Considerações sobre usuários e dispositivos do BYOD. O design discutido neste documento usa tecnologia baseada em Microsoft. No entanto, as opções e considerações de design podem ser aplicadas a qualquer infraestrutura usada para adotar o modelo BYOD.

Para uma lista de verificação com as etapas necessárias para dar suporte ao gerenciamento de dispositivos móveis, consulte Lista de verificação de gerenciamento de dispositivos móveis.

Quais são as etapas para implementar essa solução?

Configurar a infraestrutura principal para habilitar o registro de dispositivos

As etapas a seguir o conduzem pelo processo passo a passo para configurar o controlador de domínio (AD DS), o AD FS e o Serviço de Registro de Dispositivos.

  1. Configurar o controlador de domínio

    Instalar o serviço de função do AD DS e promover o computador para ser um controlador de domínio no Windows Server 2012 R2. Isso irá atualizar o esquema do AD DS como parte da instalação do controlador de domínio. Para obter mais informações e instruções passo a passo, consulte Instalar os Serviços de Domínio do Active Directory

  2. Instalar e configurar o servidor de federação

    Você pode usar os Serviços de Federação do Active Directory (AD FS) com o Windows Server 2012 R2 para compilar uma solução de gerenciamento de identidade federada que estenda identificação distribuída, autenticação e serviços de autorização para aplicativos baseados na web em toda a organização e limites de plataforma. Ao implantar o AD FS, você pode estender recursos de gerenciamento de identidade existentes da sua organização com a Internet. Para obter mais informações e instruções passo a passo, consulte o Guia de implantação do AD FS do Windows Server 2012 R2.

  3. Configurar o serviço de registro de domínio

    Você pode habilitar o DRS no servidor de federação depois de instalar o AD FS. Configurar o DRS envolve a preparação de floresta do Active Directory para dar suporte a dispositivos e habilitar o DRS. Para obter instruções detalhadas, consulte Configurar um servidor de federação com o Serviço de Registro de Dispositivos.

  4. Configurar um servidor web e um aplicativo de exemplo baseado em declarações para verificar e testar a configuração do AD FS e do Registro de Dispositivo

    Você precisa configurar um servidor web e um aplicativo de declarações de exemplo e seguir determinados procedimentos para verificar as etapas acima. Execute as etapas na seguinte ordem:

    1. Instalar a função Servidor Web e o Windows Identity Foundation

    2. Instalar o SDK do Windows Identity Foundation

    3. Configurar o aplicativo de declarações simples em IIS 

    4. Criar um objeto de confiança de terceira parte confiável no servidor de federação

  5. Configurar e verificar o ingresso no local de trabalho em dispositivos Windows e iOS

    Esta seção fornece instruções para configurar o ingresso no local de trabalho em um dispositivo Windows, um dispositivo iOS e a experiência de SSO para um recurso de empresa.

    1. Ingresso no local de trabalho com um dispositivo do Windows

    2. Ingresso no Local de Trabalho com um dispositivo iOS

Configurar o acesso aos recursos corporativos

Você precisa configurar as pastas de trabalho de serviços de arquivo, virtualização de Serviços de Área de Trabalho Remota e acesso remoto.

  1. Configurar o proxy de aplicativo Web

    Esta seção fornece uma introdução às etapas de configuração necessárias para implantar o proxy de aplicativo Web e publicar aplicativos através dele.

    1.  Configurar a infraestrutura do proxy de aplicativo Web: Descreve como configurar a infraestrutura necessária para implantar o proxy de aplicativo Web.

    2. Instalar e configurar o servidor proxy de aplicativo Web: Descreve como configurar os servidores proxy de aplicativo Web, incluindo a configuração de quaisquer certificados necessários, instalação do serviço de função proxy de aplicativo Web e ingresso de servidores proxy de aplicativo Web em um domínio.

    3. Publicar aplicativos usando a pré-autenticação do AD FS: Descreve como publicar aplicativos por meio do proxy de aplicativo Web usando a pré-autenticação do AD FS.

    4. Publicar aplicativos usando a pré-autenticação de passagem: Descreve como publicar aplicativos usando a pré-autenticação de passagem.

  2. Configurar pastas de trabalho

    A implantação de pastas de trabalho mais simples é um único servidor de arquivos (geralmente chamado de servidor de sincronização) sem suporte para sincronização através da Internet, que pode ser uma implantação útil para um laboratório de teste ou como uma solução de sincronização para computadores cliente associados ao domínio. Para criar uma implantação simples, estas são as etapas mínimas a seguir:

    1.  Instalar Pastas de Trabalho em servidores de arquivos

    2.  Criar grupos de segurança para Pastas de Trabalho

    3. Criar compartilhamentos de sincronização para dados de usuário

    Para obter instruções mais detalhadas sobre como implantar pastas de trabalho, consulte Implantando pastas de trabalho.

  3. Configurar e verificar a virtualização de sessão de Serviços de Área de Trabalho Remota

    Uma implantação padrão de VDI permite instalar os serviços de função adequados em computadores separados. Uma implantação padrão fornece controle mais preciso de áreas de trabalho virtuais e coleções de área de trabalho virtual, não as cria automaticamente.

    Este laboratório de teste orienta o processo de criação de uma implantação de virtualização de sessão padrão fazendo o seguinte:

    • Instalando os serviços de função Agente de Conexão de Área de Trabalho Remota, Host de Sessão de Área de Trabalho Remota e Acesso via Web Remoto em computadores separados.

    • Criando uma coleção de sessão.

    • Publicando uma área de trabalho baseada em sessão para cada servidor de Host da Sessão de Área de Trabalho Remota na coleção.

    • Publicando aplicativos como programas RemoteApp.

    Para obter etapas detalhadas configurar e verificar uma implantação de VDI, consulte Implantação padrão da Virtualização de Sessão nos Serviços de Área de Trabalho Remota.

  4. Configurar o acesso remoto

    O Windows Server 2012 combina o DirectAccess e o VPN de RRAS (Routing and Remote Access Service, serviço de roteamento e acesso remoto) em uma única função de acesso remoto. A seguir estão as etapas de configuração necessárias para implantar um único servidor de acesso remoto do Windows Server 2012 com configurações básicas.

    1. Configurar a infraestrutura do DirectAccess: Esta etapa inclui definir configurações de rede e as configurações do servidor, configurações de DNS e do Active Directory.

    2. Configurar o servidor DirectAccess: Esta etapa inclui a configuração de computadores cliente DirectAccess e as configurações do servidor.

    3. Verificar a implantação: Esta etapa inclui as etapas para verificar a implantação.

Configurar o gerenciamento de riscos configurando o controle de acesso multifatorial e Multi-Factor Authentication

Configurar políticas de autorização conforme as políticas de autorização de aplicativo, através das quais você pode permitir ou negar acesso com base em usuário, dispositivo, local de rede e estado de autenticação configurando o controle de acesso multifatorial. Configurar gerenciamento de riscos adicional no seu ambiente com Multi-Factor Authentication.

  1. Configurar e verificar o controle de acesso multifatorial

    Isso envolve as três etapas a seguir:

    1. Verificar o mecanismo de controle de acesso do AD FS padrão

    2. Configurar a política de controle de acesso multifator com base nos dados do usuário

    3. Verificar do mecanismo de controle de acesso multifator

  2. Configurar e verificar a Multi-Factor Authentication

    Isso envolve as três etapas a seguir:

    1. Verificar o mecanismo de autenticação do AD FS padrão 

    2. Configurar a MFA no servidor de federação

    3. Verificar o mecanismo da MFA

Implementar o gerenciamento de dispositivo unificado

Siga as etapas abaixo para configurar o gerenciamento de dispositivos em sua empresa.

  1. Instalar o console do Gerenciador de Configurações do System Center 2012 R2: Por padrão, quando você instala um site primário, o console do Gerenciador de Configurações também é instalado no computador do servidor de site primário. Depois de instalar o site, você pode instalar consoles adicionais do Gerenciador de Configurações do System Center 2012 R2 em computadores adicionais para gerenciar o site. Há suporte para a instalação de um console do Gerenciador de Configurações 2007 e do Gerenciador de Configurações do System Center 2012 R2 no mesmo computador. Essa instalação lado a lado permite usar um único computador para gerenciar sua infraestrutura existente do Configuration Manager 2007 e os dispositivos móveis que você gerencia usando o Windows Intune com o System Center 2012 R2 Configuration Manager. No entanto, você não pode usar o console de gerenciamento do Gerenciador de Configurações do System Center 2012 R2 para gerenciar o site do Gerenciador de Configurações 2007, e vice-versa. Para obter mais informações, consulte Instalar um console do Configuration Manager.

  2. Registrar dispositivos móveis: Registro estabelece uma relação entre o usuário, o dispositivo e o serviço Windows Intune. Os usuários registram seus próprios dispositivos móveis. Para obter mais informações sobre como registrar dispositivos móveis, consulte Registro do dispositivo móvel.

  3. Gerenciar dispositivos móveis: Após a instalação e verificação das configurações básicas de seu site primário autônomo, você pode começar a configurar o gerenciamento dos dispositivos móveis. Estas são as ações típicas que você pode configurar:

    1. Para aplicar a configuração de conformidade para dispositivos móveis, consulte Configurações de conformidade para dispositivos móveis no Configuration Manager.

    2. Para criar e implantar aplicativos em dispositivos móveis, consulte Como criar e implantar aplicativos de dispositivos móveis no Configuration Manager.

    3. Para configurar o inventário de hardware, consulte Como configurar o inventário de hardware para dispositivos móveis registrados pelo Windows Intune e pelo Configuration Manager.

    4. Para configurar o inventário de software, consulte Introdução ao inventário de software no Configuration Manager.

    5. Para apagar conteúdo de dispositivos móveis, consulte Como gerenciar dispositivos móveis usando o Configuration Manager e o Windows Intune.

Consulte Também

Tipo de conteúdo

Referências

Avaliação do produto/Introdução

Planejamento e design

Recursos da comunidade

Soluções relacionadas