Acesso seguro a recursos da empresa a partir de qualquer local, em qualquer dispositivo

  • Artigo

Publicada: Janeiro de 2014

Atualizada: Junho de 2014

Aplica-se a: Windows Server 2012 R2

De que forma este guia pode ser útil?

A quem se destina este guia?

Este guia destina-se a empresas de TI tradicionais que têm arquitetos de infraestruturas, especialistas de segurança empresarial e especialistas de gestão de dispositivos que querem compreender que soluções estão disponíveis para o consumismo de TI e de Bring Your Own Device (BYOD). A solução ponto a ponto apresentada neste guia é parte da visão do Microsoft Enterprise Mobility.

A tendência atual da explosão de dispositivos — da empresa, pessoais e dos consumidores que utilizam os seus dispositivos para aceder a recursos empresariais no local ou na nuvem — torna imperativo que a TI ajude a aumentar a produtividade e a satisfação dos utilizadores no que respeita à utilização e identidade dos dispositivos, e à experiência de ligação a recursos e aplicações empresariais. Ao mesmo tempo, apresenta inúmeros desafios de gestão e segurança às organizações de TI, que têm de garantir que a infraestrutura da empresa e os respetivos dados estão protegidos de intenções maliciosas. Estas empresas têm também de certificar-se de que os recursos podem ser acedidos em conformidade com as políticas da empresa, independentemente do tipo de dispositivo ou local.

A sua infraestrutura atual pode ser alargada ao implementar e configurar diferentes tecnologias do Windows Server 2012 R2 para configurar uma solução ponto a ponto para lidar com estes desafios.

O diagrama seguinte ilustra o problema de que trata este guia de soluções. Mostra utilizadores a utilizar os seus dispositivos pessoais e de empresa para aceder a aplicações e dados da nuvem e do local. Estes recursos e aplicações podem estar dentro ou fora da firewall.

Acesso e explosão de dispositivos e aplicações

Neste guia de soluções:

  • Cenário, declaração de problema e objetivos

  • Design recomendado para esta solução

  • Quais são os passos para implementar esta solução?

Cenário, declaração de problema e objetivos

Esta secção descreve o cenário, a declaração de problema e os objetivos para uma organização de exemplo.

Cenário

A sua organização é uma entidade bancária de tamanho médio. Emprega mais de 5.000 pessoas que levam para o trabalho os seus dispositivos pessoais (baseados em Windows RT e iOS). Atualmente, não têm forma de aceder aos recursos empresariais a partir destes dispositivos.

A sua infraestrutura atual inclui uma floresta de Active Directory que tem um controlador de domínio com o Windows Server 2012 instalado. Também inclui um servidor de Acesso Remoto e um System Center Configuration Manager através de System Center.

Declaração de problema

Um relatório recente emitido para a equipa de gestão da sua empresa pela equipa de TI mostra que cada vez mais utilizadores começam a levar os seus dispositivos pessoais para o trabalho e precisam de acesso aos dados da empresa. A equipa de gestão compreende esta tendência de mercado que leva a que mais utilizadores levem os seus dispositivos, e quer garantir que a empresa implementa uma solução que compreenda de forma segura esta procura. Resumindo, a equipa de TI da sua empresa precisa de:

  • Permitir que os funcionários utilizem os dispositivos pessoais, bem como os dispositivos da empresa para aceder a aplicações e dados da empresa. Estes dispositivos incluem PCs e dispositivos móveis.

  • Fornecer acesso seguro a recursos de acordo com as necessidades de cada utilizador e as políticas da empresa para estes dispositivos. A experiência de utilizador entre dispositivos tem de ser totalmente integrada.

  • Identificar e gerir os dispositivos.

Objetivos da Organização

Este guia monta uma solução para alargar a infraestrutura da sua empresa de forma a alcançar o seguinte:

  • Registo simplificado de dispositivos pessoais e empresariais.

  • Ligação totalmente integrada de recursos internos quando necessário.

  • Acesso consistente a recursos empresariais entre dispositivos.

Design recomendado para esta solução

Para resolver o seu problema empresarial e atingir todos os objetivos supra mencionados, a sua organização precisa de implementar vários subcenários. Cada um destes subcenários está representado coletivamente na ilustração que se segue.

Descrição geral que apresenta todos os componentes da solução

  1. Permitir que os utilizadores registem os seus dispositivos e tenham uma só experiência de início de sessão único

  2. Configurar o acesso totalmente integrado aos recursos empresariais

  3. Melhorar a Gestão de Riscos de Controlo de Acessos

  4. Gestão de Dispositivos Unificada

Permitir que os utilizadores registem os seus dispositivos e tenham uma só experiência de início de sessão único

Esta parte da solução envolve as fases importantes que se seguem.

  • Os administradores de TI podem configurar o registo de dispositivos, o que permite que o dispositivo seja associado ao Active Directory da empresa e utilizar esta associação como autenticação de segundo fator totalmente integrada. A Associação à Área de Trabalho é uma nova funcionalidade do Active Directory que permite que os utilizadores registem com segurança os seus dispositivos no diretório da sua empresa. O registo provisiona o dispositivo com um certificado que pode ser utilizado para autenticar o dispositivo quando o utilizador acede aos recursos da empresa. Ao utilizar esta associação, os profissionais de TI podem configurar políticas de acesso personalizadas para requerer que os utilizadores sejam autenticados e a utilizar os respetivos dispositivos Associados à Área de Trabalho quando acedem aos recursos empresariais.

  • Os administradores de TI podem configurar o início de sessão único (SSO) a partir de dispositivos que estão associados ao Active Directory da empresa. O SSO é a capacidade de um utilizador final iniciar sessão quando acede a uma aplicação fornecida pela sua empresa e não lhe serem pedidas novamente as informações de início de sessão quando acede a aplicações da empresa adicionais. No Windows Server 2012 R2, a capacidade SSO é alargada a dispositivos Associados à Área de Trabalho. Isto irá melhorar a experiência do utilizador final, enquanto evita o risco de cada aplicação armazenar credenciais de utilizador. Isto tem o benefício adicional de limitar as oportunidades para a recolha de palavras-passe em dispositivos pessoais ou da empresa.

O diagrama que se segue fornece um instantâneo de nível elevado da Associação à Área de Trabalho.

Associação de Área de Trabalho com Registo do Dispositivo no local

Cada uma destas capacidades está detalhada na tabela que se segue.

Elemento de Design da Solução Porque está incluído nesta solução?

Associação à Área de Trabalho

A Associação à Área de Trabalho permite que os utilizadores registem com segurança os seus dispositivos no diretório da sua empresa. O registo provisiona o dispositivo com um certificado que pode ser utilizado para autenticar o dispositivo quando o utilizador acede aos recursos da empresa. Para obter mais informações, consulte Associe-se à Área de Trabalho a Partir de Qualquer Dispositivo para SSO e Autenticação Totalmente Integrada de Segundo Fator em Todas as Aplicações da Empresa.

As funções de servidor e as tecnologias que precisam de ser configuradas para esta capacidade são apresentadas na tabela que se segue.

Elemento de Concepção da Solução Porque está incluído nesta solução?

Controlador de Domínio com atualização de esquema do Windows Server 2012 R2

A instância dos Serviços de Domínio do Active Directory (AD DS) fornece um diretório de identidade para autenticar utilizadores e dispositivos e para a imposição de políticas de acesso e políticas de configuração centralizadas. Para obter mais informações sobre a configuração da infraestrutura dos serviços de diretório, consulte Atualizar os Controladores de Domínio para o Windows Server 2012 R2 e Windows Server 2012.

AD FS com Serviço de Registo de Dispositivos

Os Serviços de Federação do Active Directory (AD FS) permitem que os administradores configurem o Serviço de Registo de Dispositivos (DRS) e implementa o protocolo de Associação à Área de Trabalho para um dispositivo à Associação à Área de Trabalho com o Active Directory. Adicionalmente, o AD FS foi melhorado com o protocolo de autenticação OAuth, bem como com uma autenticação de dispositivo e políticas de controlo de acesso condicional que incluem critérios de utilizador, dispositivo e localização. Para obter mais informações sobre o planeamento da sua infraestrutura de design do AD FS, consulte o Guia de Design do AD FS no Windows Server 2012 R2.

Considerações de design para configurar o controlador de domínio

Para esta solução, não precisa de um controlador de domínio que execute o Windows Server 2012 R2. Tudo o que precisa é de um esquema de atualização da sua instalação AD DS atual. Para obter mais informações sobre o alargamento do esquema, consulte Instalar os Serviços de Domínio do Active Directory. Pode atualizar o esquema em controladores de domínio existentes sem instalar um controlador de domínio que execute o Windows Server 2012 R2 ao Executar o Adprep.exe.

Para obter uma lista detalhada de novas funcionalidades, requisitos de sistema e pré-requisitos que têm de ser cumpridos antes de iniciar a instalação, consulte a Validação de pré-requisitos de instalação do AD DS e Requisitos de sistema.

Considerações de design para o AD FS

Para planear o ambiente AD FS, consulte Identificar os Seus Objetivos de Implementação AD FS.

Configurar o acesso totalmente integrado aos recursos empresariais

Os funcionários de hoje em dia são móveis e esperam ser capazes de aceder às aplicações de que precisam para trabalhar onde quer que estejam. As empresas adotaram várias estratégias para que isto seja possível utilizando VPN, Acesso Direto e Gateways de Ambiente de Trabalho Remoto.

No entanto, num mundo de Bring Your Own Device, estas abordagens não oferecem o nível de isolamento de segurança que muitos clientes precisam. Para ajudar a ir ao encontro desta necessidade, o serviço de função do Proxy de Aplicações Web está incluído na função de Servidor Windows RRAS (Serviço de Encaminhamento e Acesso Remoto). Esta função de serviço permite-lhe publicar seletivamente as aplicações Web de Linha de Negócio da sua empresa para acesso a partir de fora da rede empresarial.

Pastas de Trabalho é uma nova solução de sincronização que permite que os utilizadores sincronizem os seus ficheiros a partir de um servidor de ficheiros empresarial com os dispositivos deles. O protocolo para esta sincronização é baseado em HTTPS. Isto facilita a publicação através do Proxy de Aplicações Web. Isto significa que os utilizadores agora podem sincronizar a partir da intranet e da Internet. Isto também significa que os mesmos controlos de autorização e autenticação baseados em AD FS descritos anteriormente podem ser aplicados à sincronização de ficheiros empresariais. Os ficheiros são, então, sincronizados num local encriptado no dispositivo. Estes ficheiros podem, então, ser seletivamente removidos quando for cancelado o registo do dispositivo para gestão.

O DirectAccess e a VPN do Serviço de Encaminhamento e Acesso Remoto (RRAS) são combinados numa única função de Acesso Remoto no Windows Server 2012 R2. Esta nova função de servidor de Acesso Remoto permite a administração, configuração e monitorização centralizadas do DirectAccess e dos serviços de acesso remotos baseados na VPN.

O Windows Server 2012 R2 fornece uma Infraestrutura de Ambiente de Trabalho Virtual (VDI) que proporciona às TI da sua organização a liberdade para escolherem ambientes de trabalho pessoais e ambientes de trabalho virtuais agrupados baseados em VM, bem como ambientes de trabalho baseados em sessões. Também oferece às TI várias opções de armazenamento baseadas nos requisitos delas.

O diagrama seguinte ilustra as tecnologias que pode implementar para garantir o acesso totalmente integrado aos recursos empresariais.

Solução de Proteção de Informações e Acesso

Planear o acesso aos recursos empresariais

Elemento de Concepção da Solução Porque está incluído nesta solução?

Proxy de Aplicações Web

Permite a publicação de recursos empresariais, incluindo o Multi-Factor Authentication e a imposição de políticas de acesso condicional quando os utilizadores se ligam aos recursos. Para obter mais informações, consulte Guia de Implementação do Proxy de Aplicações Web.

Pastas de Trabalho (Servidor de Ficheiros)

Um local centralizado num servidor de ficheiros no ambiente empresarial que está configurado para permitir a sincronização de ficheiros para dispositivos de utilizador. As Pastas de Trabalho podem ser publicadas diretamente através de um proxy inverso ou através do Proxy de Aplicações Web para a imposição de políticas de acesso condicional. Para obter mais informações, consulte Descrição Geral das Pastas de Trabalho.

Acesso Remoto

Esta nova função de servidor de Acesso Remoto permite a administração, configuração e monitorização centralizadas do DirectAccess e dos serviços de acesso remotos baseados na VPN. Adicionalmente, o DirectAccess do Windows Server 2012 fornece várias atualizações e melhoramentos para lidar com os bloqueadores de implementação e fornecer gestão simplificada. Para obter mais informações, consulte Descrição Geral de Acesso Sem Fios Autenticado 802.1X.

VDI

A VDI permite que a sua organização forneça um ambiente de trabalho e aplicações empresariais aos funcionários para que estes lhes possam aceder a partir dos dispositivos pessoais e empresariais deles, tanto a partir de locais internos como de locais externos com a infraestrutura (serviços de função de Mediador de Ligações do Ambiente de Trabalho Remoto, de Anfitrião de Sessões do Ambiente de Trabalho Remoto e de Acesso Web do Ambiente de Trabalho Remoto) que está a ser executada dentro do centro de dados empresarial. Para obter mais informações, consulte Infraestrutura de Ambiente de Trabalho Virtual.

Considerações de design para implementar o Proxy de Aplicações Web

Esta secção fornece uma introdução aos passos de planeamento requeridos para implementar o Proxy de Aplicações Web e publicar aplicações através dele. Este cenário descreve os métodos de pré-autenticação disponíveis, incluindo a utilização do AD FS para autenticação e autorização, o que lhe permite beneficiar das funcionalidades do AD FS, incluindo a Associação à Área de Trabalho, Multi-Factor Authentication (MFA) e o controlo de acessos multifator. Estes passos de planeamento são explicados em detalhe em Planear a Publicação de Aplicações através do Proxy de Aplicações Web.

Considerações de design para implementar as Pastas de Trabalho

Esta secção explica o processo de design para uma implementação de Pastas de Trabalho e fornece informações sobre os requisitos de software, cenários de implementação, listas de verificação de design e considerações de design adicionais. Siga os passos em Fazer o Design de uma Implementação de Pastas de Trabalho para criar uma lista de verificação básica.

Considerações de design para implementar a Infraestrutura de Acesso Remoto

Esta secção descreve as considerações gerais necessárias durante o planeamento da implementação de um único servidor Windows Server 2012 de Acesso Remoto com funcionalidades básicas:

  1. Planear a Infraestrutura DirectAccess: Planear a topologia de servidor e de rede, definições de firewall, requisitos de certificado, DNS e Active Directory.

  2. Planear a Implementação do DirectAccess: Planear a implementação do cliente e do servidor.

Melhorar a Gestão de Riscos de Controlo de Acessos

Com o Windows Server 2012 R2, a sua organização pode configurar o controlo para aceder a recursos empresariais baseado na identidade do utilizador, na identidade do dispositivo registado e da localização de rede do utilizador (se o utilizador está dentro da fronteira empresarial ou não). Ao utilizar a autenticação multifator integrada no Proxy de Aplicações Web, as TI podem tirar partido das camadas adicionais de autenticação à medida que os utilizadores e dispositivos se ligam ao ambiente empresarial.

Para limitar facilmente os riscos associados a contas de utilizador comprometidas, no Windows Server 2012 R2 é muito mais simples implementar vários fatores de autenticação utilizando o Active Directory. Um modelo de plug-in permite-lhe configurar diferente soluções de gestão de riscos diretamente para o AD FS.

Existem inúmeros melhoramentos de gestão de riscos de controlo de acessos no AD FS no Windows Server2012 R2, incluindo o seguinte:

  • Controlos flexíveis baseados na localização de rede para governar a forma como o utilizador autentica o acesso a uma aplicação segura por AD FS.

  • As políticas flexíveis determinam se o utilizador precisa de realizar o Multi-Factor Authentication baseada em dados de utilizador, dados de dispositivo e localização de rede.

  • Controlos por aplicação para ignorar o SSO e forçar o utilizador a fornecer credenciais sempre que aceder a aplicações confidenciais.

  • Políticas de acesso por aplicação flexíveis baseadas em dados de utilizador, dados de dispositivo ou localização de rede. O Bloqueio de Extranet do AD FS permite que os administradores protejam contas do Active Directory de ataques de força bruta vindos da Internet.

  • Revogação do acesso para qualquer dispositivo Associado à Área de Trabalho que está desativado ou eliminado no Active Directory.

O seguinte diagrama ilustra os melhoramentos do Active Directory para melhorar a mitigação de riscos de controlo de acesso.

Capacidades do AD no Windows Server 2012 R2

Considerações de design para implementar mitigação de riscos e governação de acesso para o utilizador, dispositivo e aplicações

Elemento de concepção da solução Porque está incluído nesta solução?

A Associação à Área de Trabalho (permitida pelo Serviço de Registo de Dispositivos [DRS])

A sua organização pode implementar a governação de TI com a autenticação de dispositivo e de segundo fator com SSO. Os dispositivos Associados à Área de Trabalho fornecem aos administradores de TI maiores níveis de controlo dos dispositivos pessoais e empresariais. Para obter mais informações sobre o DRS, consulte Associe-se à Área de Trabalho a Partir de Qualquer Dispositivo para SSO e Autenticação Totalmente Integrada de Segundo Fator em Todas as Aplicações da Empresa.

Multi-Factor Authentication

Através do Multi-Factor Authentication do Azure, as TI podem aplicar camadas adicionais de autenticação e verificação de utilizadores e dispositivos. Para obter mais informações, consulte O que é o Multi-Factor Authentication do Azure?

Gestão de Dispositivos Unificada

Para além da segurança e do acesso, as TI também precisam de ter colocada um boa estratégia para gerir PCs e dispositivos pessoais a partir de uma única consola de administrador. A gestão de dispositivos inclui a preparação das definições de segurança e de conformidade, a reunião de inventário de software e de hardware ou a implementação de software. As TI também têm de ter colocada uma solução para proteger a empresa ao limpar os dados empresariais armazenados em dispositivos móveis perdidos, roubados ou que já não são utilizados.

A solução, Gerir dispositivos móveis e PCs ao migrar para o Configuration Manager com Windows Intune, explica em detalhe a solução Gestão de Dispositivos Unificada.

Considerações de design para gestão de dispositivos unificada

É essencial que trate das questões de design importantes antes de conceber uma infraestrutura de Bring Your Own Device (BYOD) e de Gestão de Dispositivos Unificada que permite aos funcionários utilizarem os seus próprios dispositivos e protege os dados da empresa.

O design da infraestrutura para suportar o BYOD é apresentado em Considerações de utilizador e dispositivo BYOD. O design mencionado neste documento usa tecnologia Microsoft. No entanto, as opções e considerações de design podem ser aplicadas a qualquer infraestrutura usada para aderir ao modelo BYOD.

Para obter uma lista de verificação útil que apresenta os passos requeridos para suportar a gestão de dispositivos móveis, consulte Lista de Verificação Para Dispositivos Móveis.

Quais são os passos para implementar esta solução?

Configurar a infraestrutura de núcleo para permitir o registo de dispositivos

Os passos que se seguem acompanham-no no processo passo-a-passo de configuração do controlador de domínio (AD DS), AD FS e do Serviço de Registo de Dispositivos.

  1. Configure o seu controlador de domínio

    Instale o serviço de função AD DS e promova o seu computador para que seja um controlador de domínio no Windows Server 2012 R2. Isto irá atualizar o seu esquema AD DS como parte da instalação do controlador de domínio. Para obter mais informações e instruções passo-a-passo, consulte Instalar os Serviços de Domínio do Active Directory

  2. Instalar e configurar o servidor de federação

    Pode utilizar os Serviços de Federação do Active Directory (AD FS) com o Windows Server 2012 R2 para construir uma solução de gestão de identidade que alarga a identificação distribuída, a autenticação e os serviços de autorização para aplicações baseadas na Web entre as fronteiras da organização e das plataformas. Ao implementar o AD FS, pode alargar as capacidades de gestão de identidade existentes da sua organização para a Internet. Para obter mais informações e instruções passo-a-passo, consulte Guia de Implementação AD FS do Windows Server 2012 R2.

  3. Configurar o Serviço de Registo de Domínio

    Pode ativar o DRS no seu servidor de federação depois de instalar o AD FS. A configuração do DRS envolve a preparação da sua floresta do Active Directory para suportar dispositivos e, então, ativar o DRS. Para obter informações detalhadas, consulte Configurar um servidor de federação com o Serviço de Registo de Dispositivos.

  4. Configure um servidor Web e uma aplicação de amostra baseada em afirmações para verificar e testar a configuração do AD FS e do Registo de Dispositivos

    Precisa de configurar um servidor Web e uma aplicação baseada em afirmações e, em seguida, seguir determinados procedimentos para validar os passos descritos acima. Realize os passos na seguinte ordem:

    1. Instalar a função de Servidor Web e o Windows Identity Foundation

    2. Instalar o SDK do Windows Identity Foundation

    3. Configurar a aplicação de afirmações simples no IIS

    4. Criar uma fidedignidade de entidade confiadora no seu servidor de federação

  5. Configurar e verificar a Associação à Área de Trabalho em dispositivos Windows e iOS

    Esta secção fornece instruções para configurar a Associação à Área de Trabalho num dispositivo Windows, um dispositivo iOS e experiência de SSO para um recurso de empresa.

    1. Associação à Área de Trabalho com um Dispositivo Windows

    2. Associação à Área de Trabalho com um Dispositivo iOS

Configurar o acesso aos recursos empresariais

Precisa de configurar as pastas de Trabalho de Serviços de Ficheiros, Virtualização de Serviços de Ambiente de Trabalho Remoto e Acesso Remoto.

  1. Configurar o Proxy de Aplicações Web

    Esta secção fornece uma introdução aos passos de configuração requeridos para implementar o Proxy de Aplicações Web e publicar aplicações através dele.

    1. Configurar a Infraestrutura do Proxy de Aplicações Web: Descreve como configurar a infraestrutura requerida para implementar o Proxy de Aplicações Web.

    2. Instalar e Configurar o Servidor do Proxy de Aplicações Web: Descreve como configurar os servidores de Proxy de Aplicações Web, incluindo a configuração de quaisquer certificados requeridos, instalar o serviço de função de Proxy de Aplicações Web e associar os servidores de Proxy de Aplicações Web a um domínio.

    3. Publicar Aplicações Utilizando a Pré-autenticação AD FS: Descreve como publicar aplicações através do Proxy de Aplicações Web utilizando a pré-autenticação AD FS.

    4. Publicar Aplicações Utilizando a Pré-autenticação Pass-through: Descreve como publicar aplicações utilizando a pré-autenticação pass-through.

  2. Configurar Pastas de Trabalho

    A implementação de Pastas de Trabalho mais simples é um servidor de ficheiros único (muitas vezes chamado de servidor de sincronização) sem suporte para a sincronização pela Internet, o que pode ser uma implementação útil para um laboratório de teste ou como solução de sincronização para computadores cliente associados por domínio. Para criar uma implementação simples, eis os passos mínimos a seguir:

    1. Instalar Pasta de Trabalho em servidores de ficheiros

    2. Criar grupos de segurança para Pastas de Trabalho

    3. Criar partilhas sincronizadas para dados de utilizador

    Para obter instruções detalhadas adicionais sobre como implementar pastas de trabalho, consulte Implementar Pastas de Trabalho.

  3. Configure e verifique a Virtualização de Sessão dos Serviços do Ambiente de Trabalho Remoto

    Uma implementação padrão de VDI permite-lhe instalar os serviços de função apropriados em computadores separados. Uma implementação padrão fornece um controlo mais preciso sobre as ambientes de trabalho virtuais e coleções de ambientes de trabalho virtuais ao não os criar automaticamente.

    Este laboratório de teste acompanha-o no processo de criar uma implementação padrão de Virtualização de Sessão ao fazer o seguinte:

    • Instalar o Mediador de Ligações de RD, o Anfitrião de Sessões de RD e os serviços de função Acesso Web de RD em computadores separados.

    • Criar uma coleção de sessões.

    • Publicar um ambiente de trabalho baseado em sessões para cada servidor de Anfitrião de Sessões de RD na coleção.

    • Publicar aplicações como programas do RemoteApp.

    Para obter passos detalhados para configurar e validar uma implementação de VDI, consulte Implementação Padrão da Virtualização de Sessão dos Serviços do Ambiente de Trabalho Remoto.

  4. Configurar o Acesso Remoto

    O Windows Server 2012 combina a VPN do DirectAccess e do Serviço de Encaminhamento e Acesso Remoto (RRAS) para um único Acesso Remoto. Seguem-se os passos de configuração requeridos para implementar um único servidor de Acesso Remoto do Windows Server 2012 com as definições básicas.

    1. Configurar a Infraestrutura DirectAccess Este passo inclui a configuração de rede e as definições de servidor, de DNS e do Active Directory.

    2. Configurar o Servidor DirectAccess Este passo inclui a configuração dos computadores cliente de DirectAccess e as definições de servidor.

    3. Verificar a Implementação: Esta secção inclui os passos para validar a implementação.

Configurar a gestão de riscos ao configurar o Controlo de Acessos Multifator e o Multi-Factor Authentication

Configurar políticas de autorização por aplicação flexíveis e expressivas, através das quais pode permitir ou recusar o acesso baseado em utilizador, dispositivo, localização de rede e estado de autenticação ao configurar o Controlo de Acessos Multifctor. Configure a gestão de riscos adicional no seu ambiente com o Multi-Factor Authentication.

  1. Configure e verifique o Controlo de Acessos Multifator

    Isto envolve os seguintes três passos:

    1. Verificar o mecanismo de autenticação predefinido do AD FS

    2. Configurar a política de controlo de acessos multifator baseada em dados de utilizador

    3. Verificar o mecanismos de controlo de acessos multifator

  2. Configurar e verificar o Multi-Factor Authentication

    Isto envolve os seguintes três passos:

    1. Verificar o mecanismo de autenticação predefinido do AD FS

    2. Configurar a MFA no seu servidor de federação

    3. Verificar o mecanismo MFA

Implementar a gestão de dispositivos unificada

Siga os passos abaixo para configurar a gestão de dispositivos na sua empresa.

  1. Instalar a consola do System Center 2012 R2 Configuration Manager: Por predefinição, quando instala o site primário, a consola do Configuration Manager é também instalada no computador de servidor do site primário. Depois da instalação do site, pode instalar consolas adicionais do System Center 2012 R2 Configuration Manager em mais computadores para gerir o site. A instalação no mesmo computador de uma consola do Configuration Manager 2007 e do System Center 2012 R2 Configuration Manager é suportada. A instalação lado a lado permite a utilização de um único computador para gerir a infraestrutura existente do Configuration Manager 2007 e os dispositivos móveis geridos utilizando o Windows Intune com o System Center 2012 R2 Configuration Manager. No entanto, não é possível utilizar a consola de gestão a partir do System Center 2012 R2 Configuration Manager para gerir o seu site do Configuration Manager 2007 e vice-versa. Para obter mais informações, consulte Instalar uma Consola do Configuration Manager.

  2. Inscrever dispositivos móveis: A inscrição estabelece uma relação entre o utilizador, o dispositivo e o serviço do Windows Intune. Os utilizadores inscrevem os dispositivos deles. Para obter mais informações sobre como inscrever dispositivos móveis, consulte Inscrição de Dispositivos Móveis.

  3. Gerir dispositivos móveis: Depois de instalar e de fazer as configurações básicas para o seu site primário e autónomo, pode começar a configurar a gestão dos dispositivos móveis. As ações que se seguem são configurações típicas que pode considerar:

    1. Para aplicar a definição de compatibilidade a dispositivos móveis, consulte Definições de Compatibilidade para Dispositivos Móveis no Configuration Manager.

    2. Para criar e implementar aplicações em dispositivos móveis, consulte Como Criar e Implementar Aplicações para Dispositivos Móveis no Configuration Manager.

    3. Para configurar o inventário de hardware, consulte Como Configurar o Inventário de Hardware para Dispositivos Móveis Inscritos pelo Windows Intune e Configuration Manager.

    4. Para configurar o inventário de software, consulte Introdução ao Inventário de Software no Configuration Manager.

    5. Para limpar dados de dispositivos móveis, consulte Como Gerir Dispositivos Móveis ao Utilizar o Configuration Manager e o Windows Intune.

Consulte Também

Tipo de conteúdo Referências

Avaliação do produto/Introdução

Planeamento e design

Recursos da comunidade

Soluções relacionadas