Share via

Herhangi bir aygıttaki herhangi bir konumdan şirket kaynaklarına güvenli erişim

  • Makale

Yayýmlanma: Ocak 2014

Güncelleştirme: Haziran 2014

Uygulama Alanı: Windows Server 2012 R2

Bu kılavuz size nasıl yardımcı olabilir?

Bu kılavuz kimler içindir?

Bu kılavuz BT ve Kendi Cihazını Getir (KCG) programlarının tüketiciye uyarlanmasına yönelik çözümler isteyen altyapı mimarlarına, kuruluş güvenlik uzmanlarına ve aygıt yönetimi uzmanlarına sahip geleneksel BT kuruluşları içindir. Bu kılavuzda ele alınan uçtan uca çözüm Microsoft Kurumsal Hareketlilik vizyonunun bir parçasıdır.

Günümüzdeki aygıt patlaması eğilimi (şirket aygıtları, kişisel aygıtlar ve şirket içi veya buluttaki kurumsal kaynaklara erişmek için kendi aygıtlarını kullanan tüketiciler) BT'nin aygıt kullanımı ve kimliği bakımından kullanıcı üretkenliğini ve memnuniyetini ve kurumsal kaynak ve uygulamalara bağlanma deneyimini artırmaya yardımcı olmasını zorunlu kılmaktadır. Aynı zamanda, kurumsal altyapı ve kurumsal verilerin kötü amaçlı eylemlerden korunmasını sağlamak zorunda olan BT kuruluşlarına çok sayıda yönetim ve güvenlik sorunu getirir. Bu şirketler ayrıca kaynaklara aygıt türü veya konumundan bağımsız olarak kurumsal ilkelere uygun olarak erişilmesini sağlamalıdır.

Bu sorunlarla başa çıkabilecek uçtan uca bir çözüm oluşturmak üzere geçerli altyapınız Windows Server 2012 R2'den farklı teknolojiler uygulama ve yapılandırma yoluyla genişletilebilir.

Aşağıdaki şemada bu çözüm kılavuzunun ele aldığı sorun gösterilmektedir. Uygulamalara ve verilere hem buluttan hem de şirket içinden erişmek üzere kendi kişisel ve kurumsal aygıtlarını kullanan kullanıcılar gösterilmektedir. Bu uygulamalar ve kaynaklar güvenlik duvarının içinde veya dışında olabilir.

Cihaz ve uygulama patlaması ve erişimi

Bu çözüm kılavuzunda:

  • Senaryo, sorun bildirimi ve hedefler

  • Bu çözüm için önerilen tasarım

  • Bu çözümü uygulamak için gereken adımlar nelerdir?

Senaryo, sorun bildirimi ve hedefler

Bu bölümde örnek bir kuruluş için senaryo, sorun bildirimi ve hedefler açıklanmaktadır.

Senaryo

Kuruluşunuz orta ölçekli bir bankacılık firmasıdır. İşe kendi kişisel aygıtlarını (Windows RT ve iOS tabanlı aygıtlar) getiren 5.000'den fazla kişi istihdam edilmektedir. Şu anda şirket kaynaklarına bu aygıtlardan hiçbir şekilde erişilememektedir.

Geçerli altyapınız Windows Server 2012 yüklü bir etki alanı denetleyicisine sahip Active Directory ormanı içermektedir. Ayrıca bir Uzaktan Erişim sunucusu ve System Center üzerinden System Center Yapılandırma Yöneticisi içermektedir.

Sorun bildirimi

BT ekibi tarafından şirketinizin yönetim ekibine yakın zamanda sunulan bir raporda işe kişisel aygıtlarını getiren ve şirket verilerine erişme ihtiyacı duyan kullanıcı sayısının arttığı gösterilmektedir. Yönetim ekibi piyasadaki bu eğilimin işe kendi aygıtlarını getiren kullanıcı sayısını artırdığını anlamakta ve şirketin bu talebi güvenli şekilde kapsayan bir çözümü uygulamasını istemektedir. Özetlemek gerekirse, şirketinizin BT ekibi şuna ihtiyaç duymaktadır:

  • Çalışanların kurumsal uygulama ve verilere erişmek için şirket aygıtlarının yanında kişisel aygıtlarını kullanmasına izin vermek. Bu aygıtlar bilgisayar ve mobil aygıtlardır.

  • Her kullanıcının ihtiyaçlarına ve bu aygıtlar için şirket ilkelerine uygun olarak kaynaklara güvenli erişim sağlamak. Aygıtlar arasındaki kullanıcı deneyimi sorunsuz olmalıdır.

  • Aygıtları tanımlamak ve yönetmek.

Kuruluş Hedefleri

Bu kılavuz, aşağıdakileri gerçekleştirmek üzere şirketinizin altyapısını genişletmeye yönelik bir çözüm önermektedir:

  • Kişisel ve kurumsal aygıtların basitleştirilmiş kaydı.

  • Gerektiğinde iç kaynaklara sorunsuz bağlantı.

  • Şirket kaynaklarına aygıtlar arasında tutarlı erişim.

Bu çözüm için önerilen tasarım

İş sorununu çözmek ve daha önce bahsedilen tüm hedefleri yerine getirmek için kuruluşunuzun birden çok alt senaryo uygulaması gerekir. Bu alt senaryoların her biri aşağıdaki çizimde toplu olarak gösterilmiştir.

Tüm çözüm bileşenlerini gösteren genel bakış

  1. Kullanıcıların aygıtlarını kaydetmesini ve tekli oturum açma deneyimi yaşamasını sağlama

  2. Kurumsal kaynaklara sorunsuz erişim ayarlama

  3. Erişim Denetimi Risk Yönetimini Geliştirme

  4. Birleşik Aygıt Yönetimi

Kullanıcıların aygıtlarını kaydetmesini ve tekli oturum açma deneyimi yaşamasını sağlama

Çözümün bu parçası aşağıdaki önemli aşamaları içerir.

  • BT yöneticileri, aygıtın şirkete ait Active Directory ile ilişkilendirilmesine ve bu ilişkiyi sorunsuz bir ikinci faktör kimlik doğrulaması olarak kullanmasına imkan tanıyan bir aygıt kaydı ayarlayabilir. Çalışma Alanına Katılma, kullanıcıların aygıtlarını şirket dizininizle güvenli şekilde kaydetmesini sağlayan yeni bir Active Directory özelliğidir. Bu kayıt, kullanıcı şirket kaynaklarına erişirken aygıtın kimliğini doğrulamak için kullanılabilen bir sertifika sağlar. Bu ilişkilendirmeyi kullanan BT uzmanları, kullanıcıların şirket kaynaklarına erişirken hem kimliklerinin doğrulanmasını hem de Çalışma Alanına Katılmasını gerektiren özel erişim ilkeleri yapılandırabilir.

  • BT yöneticileri şirkete ait Active Directory ile ilişkilendirilen aygıtlardan tekli oturum açma (SSO) ayarlayabilir. SSO bir son kullanıcının şirketi tarafından sağlanan uygulamaya erişirken bir kez oturum açması ve diğer şirket uygulamalarına erişirken oturum açma bilgilerinin yeniden sorulmaması anlamına gelir. Windows Server 2012 R2'de SSO özelliği Çalışma Alanına Katılmış aygıtlar için genişletilmiştir. Bu özellik her bir uygulamanın kullanıcı kimlik bilgilerini depolama riskini önlerken son kullanıcı deneyimini geliştirecektir. Bu durum kişisel veya şirkete ait aygıtlarda parola toplama fırsatlarını kısıtlama gibi ek bir fayda sağlamaktadır.

Aşağıdaki şemada Çalışma Alanına Katılma özelliğinin yüksek düzeyli bir anlık görüntüsü verilmiştir.

Şirket İçi Cihaz Kaydı ile Çalışma Alanına Katılma

Bu özelliklerin her biri aşağıdaki tabloda ayrıntılı olarak gösterilmiştir.

Çözüm Tasarımı Öğesi Neden bu çözüme dahil edildi?

Çalışma Alanına Katılma

Çalışma Alanına Katılma, kullanıcıların aygıtlarını şirket dizinine güvenli şekilde kaydetmesine imkan tanır. Bu kayıt, kullanıcı şirket kaynaklarına erişirken aygıtın kimliğini doğrulamak için kullanılabilen bir sertifika sağlar. Daha fazla bilgi için bkz. SSO ve Şirket Uygulamaları Arasında Sorunsuz İkinci Faktör Kimlik Doğrulaması için Çalışma Alanına Herhangi Bir Aygıttan Katılma.

Bu özellik için yapılandırılması gereken sunucu rolleri ve teknolojiler aşağıdaki tabloda listelenmiştir.

Çözüm Tasarımı Öğesi Neden bu çözüme dahil edildi?

Windows Server 2012 R2 şema güncelleştirmesi ile Etki Alanı Denetleyicisi

Active Directory Etki Alanı Hizmetleri (AD DS) örneği, kullanıcıların ve aygıtların kimliğini doğrulamak ve erişim ilkelerinin ve merkezi yapılandırma ilkelerinin uygulanması amacıyla bir kimlik dizini sağlar. Bu çözüm için dizin hizmetleri altyapınızı ayarlama hakkında daha fazla bilgi için bkz. Etki Alanı Denetleyicilerini Windows Server 2012 R2 ve Windows Server 2012'ye Yükseltme.

Aygıt Kaydı Hizmetiyle AD FS

Active Directory Federasyon Hizmetleri (AD FS), yöneticilerin Aygıt Kaydı Hizmeti'ni (DRS) yapılandırmasına ve bir aygıtın Çalışma Alanına Katılma protokolünü Active Directory ile Çalışma Alanına Katılma'ya uygulamasına imkan tanır. Bunun yanında AD FS, OAuth kimlik doğrulaması protokolünün yanı sıra aygıt kimlik doğrulaması ve kullanıcı, aygıt ve konum ölçütlerini içeren koşullu erişim denetimi ilkeleri ile geliştirilmiştir. AD FS tasarım altyapınızı planlama hakkında daha fazla bilgi için bkz. Windows Server 2012 R2'de AD FS Tasarım Kılavuzu.

Etki alanı denetleyicinizi ayarlamayla ilgili tasarım konuları

Bu çözüm için Windows Server 2012 R2 çalıştıran bir etki alanı denetleyicisine ihtiyacınız yoktur. Tüm ihtiyacınız olan geçerli AD DS yüklemenizden bir şema güncelleştirmesidir. Şemayı genişletme hakkında daha fazla bilgi için bkz. Active Directory Etki Alanı Hizmetlerini Yükleme. Varolan etki alanı denetleyicilerinde şemayı Windows Server 2012 R2 çalıştıran bir etki alanı denetleyicisi yüklemeden Adprep.exe Çalıştırma yoluyla güncelleştirebilirsiniz.

Yeni özelliklerin, sistem gereksinimlerinin ve yüklemeye başlamadan önce karşılanması gereken önkoşulların ayrıntılı bir listesi için bkz. AD DS yükleme önkoşul doğrulaması ve Sistem gereksinimleri.

AD FS için tasarım konuları

AD FS ortamını planlamak için bkz. AD FS Dağıtım Hedeflerinizi Belirleme.

Kurumsal kaynaklara sorunsuz erişim ayarlama

Günümüzün çalışanları hareketlidir ve nerede olurlarsa olsunlar işlerini halletmek için ihtiyaç duydukları uygulamalara erişebilmeyi beklerler. Şirketler VPN, Direct Access ve Uzak Masaüstü Ağ Geçitleri kullanarak bunu sağlamak için birden çok strateji benimsemiştir.

Ancak, Kendi Cihazını Getir dünyasında bu yaklaşımlar birçok müşterinin ihtiyaç duyduğu güvenlik yalıtımı düzeyini sunmamaktadır. Bu ihtiyacı karşılamak amacıyla Web Uygulaması Ara Sunucusu rol hizmeti, Windows Server RRAS (Yönlendirme ve Uzaktan Erişim Hizmeti) rolüne eklenmiştir. Bu rol hizmeti, kurumsal ağ dışından erişim için kuruluşunuzun İş Kolu web uygulamalarını seçerek yayımlamasına imkan tanır.

Çalışma Klasörleri, kullanıcıların dosyalarını kurumsal bir dosya sunucusundan kendi aygıtlarına eşitlemelerine imkan tanıyan yeni bir dosya eşitleme çözümüdür. Bu eşitlemenin protokolü HTTPS tabanlıdır. Bu özellik Web Uygulaması Ara Sunucusu üzerinden yayımlamayı kolaylaştırır. Diğer bir deyişle kullanıcılar bundan böyle hem intranet hem de Internet üzerinden eşitleme yapabilir. Ayrıca, eşitlenen kurumsal dosyalara daha önce açıklananlarla aynı AD FS tabanlı kimlik doğrulaması ve yetkilendirme denetimleri uygulanabilir. Dosyalar daha sonra aygıtta şifrelenmiş bir konuma depolanır. Bu dosyalar sonradan aygıtın yönetim kaydı geri alındığında seçilerek kaldırılabilir.

DirectAccess ve Yönlendirme ve Uzaktan Erişim Hizmeti (RRAS) VPN, Windows Server 2012 R2'de tek bir Uzaktan Erişim rolünde birleştirilir. Bu yeni Uzaktan Erişim sunucu rolü hem DirectAccess hem de VPN tabanlı uzaktan erişim hizmetleri için merkezi yönetim, yapılandırma ve izleme sağlar.

Windows Server 2012 R2, kuruluşunuzun BT sistemine kişisel ve havuza alınmış sanal (VM) tabanlı masaüstlerinin yanı sıra oturum tabanlı masaüstleri seçme özgürlüğü tanıyan bir Sanal Masaüstü Altyapısı (VDI) sağlar. Ayrıca gereksinimlere göre BT'ye birkaç depolama seçeneği sunar.

Aşağıdaki şemada kurumsal kaynaklara sorunsuz erişim sağlamak için uygulayabileceğiniz teknolojiler gösterilmektedir.

Erişim ve Bilgi Koruma Çözümü

Kurumsal kaynaklara erişimi planlama

Çözüm Tasarımı Öğesi Neden bu çözüme dahil edildi?

Web Uygulaması Ara Sunucusu

Çok Faktörlü Kimlik Doğrulaması dahil kurumsal kaynakların yayımlanmasına ve kullanıcılar kaynaklara bağlandığında koşullu erişim uygulanmasına imkan tanır. Daha fazla bilgi için bkz. Web Uygulaması Ara Sunucusu Dağıtım Kılavuzu.

Çalışma Klasörleri (Dosya Sunucusu)

Şirket ortamındaki bir dosya sunucusunda, dosyaların kullanıcı aygıtlarına eşitlenmesine imkan tanıyan merkezi konum. Çalışma Klasörleri koşullu erişim ilkesinin uygulanması için doğrudan ters bir proxy veya Web Uygulaması Ara Sunucusu üzerinden yayımlanabilir. Daha fazla bilgi için bkz. Çalışma Klasörlerine Genel Bakış.

Uzaktan Erişim

Bu yeni Uzaktan Erişim sunucu rolü hem DirectAccess hem de VPN tabanlı uzaktan erişim hizmetleri için merkezi yönetim, yapılandırma ve izleme sağlar. Buna ek olarak, Windows Server 2012 DirectAccess dağıtım engelleyicilerini ele almak ve basitleştirilmiş yönetim sağlamak üzere birden çok güncelleştirme ve iyileştirme sunar. Daha fazla bilgi için bkz. 802.1X Kimliği Doğrulanmış Kablosuz Erişime Genel Bakış.

VDI

VDI, kuruluşunuzun kurumsal veri merkezinde çalışan altyapılarla (Uzak Masaüstü Bağlantı Aracısı, Uzak Masaüstü Oturum Ana Bilgisayarı ve Uzak Masaüstü Web Erişimi rol hizmetleri) hem iç hem de dış konumlardan çalışanlar için kişisel ve kurumsal cihazlarından erişebilecekleri kurumsal masaüstü ve uygulamalar sunmasını sağlar. Daha fazla bilgi için bkz. Sanal Masaüstü Altyapısı.

Web Uygulaması Ara Sunucusunu dağıtmayla ilgili tasarım konuları

Bu bölümde Web Uygulaması Ara Sunucusunu dağıtmak ve uygulamaları onun üzerinden yayımlamak için gerekli planlama adımları tanıtılmaktadır. Bu senaryo, kimlik doğrulaması ve yetkilendirme öncesinde AD FS kullanma dahil olmak üzere Çalışma Alanına Katılma, Çok Faktörlü Kimlik Doğrulaması (MFA) ve çok faktörlü erişim denetimi gibi AD FS özelliklerinden faydalanmanıza imkan tanıyan kimlik doğrulama öncesi kullanılabilir yöntemleri açıklamaktadır. Bu planlama adımları Web Uygulaması Ara Sunucusu Üzerinden Uygulama Yayımlamayı Planlama içinde ayrıntılı olarak açıklanmaktadır.

Çalışma Klasörlerini dağıtmayla ilgili tasarım konuları

Bu bölümde bir Çalışma Klasörleri uygulamasının tasarım işlemi açıklanmakta ve yazılım gereksinimleri, dağıtım senaryoları, tasarım denetim listesi ve diğer tasarım konuları hakkında bilgi verilmektedir. Temel bir denetim listesi oluşturmak için Çalışma Klasörleri Uygulamasını Tasarlama içindeki adımları izleyin.

Uzaktan Erişim Altyapısı dağıtmayla ilgili tasarım konuları

Bu bölümde temel özelliklerle tek bir Windows Server 2012 Uzaktan Erişim sunucusu dağıtmak üzere planlama sırasında düşünülmesi gereken genel konular açıklanmaktadır:

  1. DirectAccess Altyapısını Planlama: Ağ ve sunucu topolojisi, güvenlik duvarı ayarları, sertifika gereksinimleri, DNS ve Active Directory planlama.

  2. DirectAccess Dağıtımını Planlama: İstemci ve sunucu dağıtımını planlama.

Erişim Denetimi Risk Yönetimini Geliştirme

Windows Server 2012 R2 ile kuruluşunuz kullanıcının kimliğine, kayıtlı aygıtın kimliğine ve kullanıcının ağ konumuna (kullanıcının şirket sınırlarında olup olmadığına) göre şirket kaynaklarına erişim denetimini ayarlayabilir. Web Uygulaması Ara Sunucusu ile tümleştirilmiş çok faktörlü kimlik doğrulamasını kullanan BT departmanı, kullanıcılar ve aygıtlar şirket ortamına bağlandığında ek kimlik doğrulama katmanlarından faydalanabilir.

Windows Server 2012 R2'de gizliliği ihlal edilmiş kullanıcı hesaplarıyla ilişkili riskleri kolayca sınırlandırmak için Active Directory kullanarak kimlik doğrulamasının birden çok faktörünü uygulamak çok daha kolaydır. Bir eklenti modeli farklı risk yönetimi çözümlerini doğrudan AD FS'ye yapılandırmanıza imkan tanır.

Windows Server 2012 R2'deki AD FS'de aşağıdakiler dahil çok sayıda erişim denetimi risk yönetimi geliştirmeleri vardır:

  • Bir kullanıcının AD FS güvenlikli uygulamaya erişmek için kimliğini nasıl doğruladığını yönetmek üzere ağ konumuna dayalı esnek denetimler.

  • Bir kullanıcının kullanıcı verilerine, aygıt verilerine ve ağ konumuna göre Çok Faktörlü Kimlik Doğrulaması gerçekleştirmeye ihtiyaç duyup duymadığını belirleyen esnek ilkeler.

  • SSO'yu yoksaymak ve kullanıcıyı duyarlı bir uygulamaya her eriştiğinde kimlik bilgilerini sağlamaya zorlamak üzere uygulama başına denetimler.

  • Kullanıcı verilerine, aygıt verilerine veya ağ konumuna göre uygulama başına esnek erişim ilkeleri. AD FS Extranet Kilitleme, yöneticilerin Active Directory hesaplarını Internet üzerinden gelen deneme yanılma saldırılarından korumasını sağlar.

  • Active Directory'de devre dışı bırakılmış veya silinmiş olup Çalışma Alanına Katılmış herhangi bir aygıt için erişim iptali.

Aşağıdaki şemada erişim denetimi risk azaltmasını iyileştirmeye yönelik Active Directory geliştirmeleri gösterilmektedir.

Windows Server 2012 R2'de AD Özellikleri

Kullanıcı, aygıt ve uygulamalara yönelik risk azaltmayı ve erişim yönetimini uygulamayla ilgili tasarım konuları

Çözüm tasarım öğesi Neden bu çözüme dahil edildi?

Çalışma Alanına Katılma (Aygıt Kaydı Hizmeti [DRS] tarafından etkinleştirilir)

Kuruluşunuz aygıt kimlik doğrulaması ve SSO ile ikinci faktör kimlik doğrulamasını kullanarak BT yönetimini uygulayabilir. Çalışma Alanına Katılmış aygıtlar BT yöneticilerine kişisel aygıtlar ve kurumsal aygıtlar için daha yüksek düzeyde denetim sağlar. DRS hakkında daha fazla bilgi için bkz.  SSO ve Şirket Uygulamaları Arasında Sorunsuz İkinci Faktör Kimlik Doğrulaması için Çalışma Alanına Herhangi Bir Aygıttan Katılma.

Çok Faktörlü Kimlik Doğrulaması

Azure Çok Faktörlü Kimlik Doğrulaması ile BT, kullanıcı ve aygıtların kimlik doğrulamasına ve doğrulamasına ek katmanlar uygulayabilir. Daha fazla bilgi için bkz. Azure Çok Faktörlü Kimlik Doğrulaması Nedir?

Birleşik Aygıt Yönetimi

Güvenlik ve erişime ek olarak BT'nin ayrıca bilgisayarları ve kişisel aygıtları tek bir yönetici konsolundan yönetmek için iyi bir stratejisi olmalıdır. Aygıt yönetimi; güvenlik ve uyumluluk ayarlarının belirlenmesini, yazılım ve donanım stoğunun toplanmasını veya yazılımların dağıtılmasını içerir. Ayrıca BT, aygıt kaybedildiğinde, çalındığında ya da kullanımdan kaldırıldığında mobil aygıta depolanmış şirket verilerini temizleyerek şirketi koruyacak bir çözüme sahip olmalıdır.

Windows Intune ile Configuration Manager'a geçerek mobil aygıtları ve bilgisayarları yönetme makalesinde Birleşik Aygıt Yönetimi çözümü ayrıntılı olarak açıklanmaktadır.

Birleşik aygıt yönetimiyle ilgili tasarım konuları

Çalışanların kendi aygıtlarını kullanmasını sağlayıp şirketin verilerini koruyan bir Kendi Cihazını Getir (BYOD) ve Birleşik Aygıt Yönetimi altyapısı tasarlamadan önce önemli tasarım sorularını ele almanız çok önemlidir.

KCG'yi destekleyen altyapı tasarımı KCG kullanıcı ve aygıt konuları içinde ele alınmıştır. Bu belgede ele alınan tasarımda Microsoft tabanlı teknoloji kullanılmaktadır. Ancak, tasarım seçenekleri ve konuları KCG modelini kapsayacak şekilde herhangi bir altyapıya uygulanabilir.

Mobil aygıt yönetimini desteklemek için gerekli adımları listeleyen faydalı bir denetim listesi için bkz. Mobil Aygıt Yönetimi Denetim Listesi.

Bu çözümü uygulamak için gereken adımlar nelerdir?

Aygıt kaydını etkinleştirmek iççin temel altyapıyı oluşturma

Aşağıdaki adımlar etki alanı denetleyicisi (AD DS), AD FS ve Aygıt Kaydı Hizmeti'ni ayarlamaya ilişkin adım adım işlemi oluşturmaktadır.

  1. Etki alanı denetleyicinizi ayarlama

    AD DS rol hizmetini yükleyin ve bilgisayarınızı Windows Server 2012 R2'de etki alanı denetleyicisi olacak şekilde yükseltin. Bunun yapılması AD DS şemanızı etki alanı denetleyicisi yüklemesinin bir parçası olarak yükseltecektir. Daha fazla bilgi ve adım adım yönergeler için bkz. Active Directory Etki Alanı Hizmetlerini Yükleme

  2. Federasyon sunucusu yükleme ve yapılandırma

    Dağıtılmış tanımlama, kimlik doğrulaması ve yetkilendirme hizmetlerini kuruluş ve platform sınırlarındaki web tabanlı uygulamalara genişleten bir federasyon kimlik yönetimi çözümü oluşturmak için Active Directory Federasyon Hizmetlerini (AD FS) Windows Server 2012 R2 ile birlikte kullanabilirsiniz. AD FS'yi dağıtarak kuruluşunuzun var olan kimlik yönetimi özelliklerini Internet'e genişletebilirsiniz. Daha fazla bilgi ve adım adım yönergeler için bkz. Windows Server 2012 R2 AD FS Dağıtım Kılavuzu.

  3. Etki Alanı Kayıt Hizmetini Yapılandırma

    AD FS'yi yükledikten sonra federasyon sunucunızda DRS'yi etkinleştirebilirsiniz. DRS'nin yapılandırılması Active Directory ormanınızın aygıtları destekleyecek şekilde hazırlanmasını ve ardından DRS'nin etkinleştirilmesini içerir. Ayrıntılı yönergeler için bkz. Bir federasyon sunucusunu Aygıt Kaydı Hizmetiyle yapılandırma.

  4. AD FS ve Aygıt Kaydı yapılandırmasını doğrulayıp sınamak için bir web sunucusu ve örnek talep tabanlı uygulama ayarlama

    Bir web sunucusu ve örnek talep uygulaması ayarlayıp, ardından belirli yordamları izleyerek yukarıdaki adımları doğrulamanız gerekir. Adımları aşağıdaki sırayla gerçekleştirin:

    1. Web Sunucusu rolü ve Windows Identity Foundation yükleme

    2. Windows Identity Foundation SDK'sı yükleme

    3. IIS'de basit talep uygulamasını yapılandırma

    4. Federasyon sunucunuzda bağlı olan taraf güveni oluşturma

  5. Windows ve iOS aygıtlarında Çalışma Alanına Katılmayı yapılandırma ve doğrulama

    Bu bölümde bir Windows aygıtında veya iOS aygıtında Çalışma Alanına Katılmayı ayarlamaya ve SSO'yu bir şirket kaynağında deneyimlemeye ilişkin yönergeler verilmektedir.

    1. Windows Aygıtıyla Çalışma Alanına Katılma

    2. iOS Aygıtıyla Çalışma Alanına Katılma

Kurumsal kaynaklara erişimi yapılandırma

Dosya Hizmetleri Çalışma klasörlerini, Uzak Masaüstü Hizmetleri Sanallaştırmayı ve Uzaktan Erişimi yapılandırmanız gerekir.

  1. Web Uygulaması Ara Sunucusunu yapılandırma

    Bu bölümde Web Uygulaması Ara Sunucusunu dağıtmak ve uygulamaları onun üzerinden yayımlamak için gerekli yapılandırma adımları tanıtılmaktadır.

    1. Web Uygulaması Ara Sunucusu Altyapısını Yapılandırma: Web Uygulaması Ara Sunucusunu dağıtmak için gerekli altyapının nasıl yapılandırılacağını açıklar.

    2. Web Uygulaması Ara Sunucusunu Yükleme ve Yapılandırma: Gerekli sertifikaların yapılandırılması, Web Uygulaması Ara Sunucusu rol hizmetinin yüklenmesi ve Web Uygulaması Ara Sunucusu sunucularının bir etki alanına katılması gibi konularda Web Uygulaması Ara Sunucularının nasıl yapılandırılacağını açıklar.

    3. AD FS Ön Kimlik Doğrulaması ile Uygulama Yayımlama: AD FS ön kimlik doğrulaması kullanılarak uygulamaların Web Uygulaması Ara Sunucusu üzerinden nasıl yayımlanacağını açıklar.

    4. Doğrudan Ön Kimlik Doğrulaması ile Uygulama Yayımlama: Doğrudan ön kimlik doğrulaması kullanılarak uygulamaların nasıl yayımlanacağını açıklar.

  2. Çalışma Klasörlerini Yapılandırma

    En basit Çalışma Klasörleri dağıtımı, Internet üzerinden eşitleme desteği içermeyen ve bir test laboratuvarı için veya etki alanına katılmış istemci bilgisayarlarda eşitleme çözümü olarak faydalı olabilecek tek bir dosya sunucusudur (sıklıkla eşitleme sunucusu olarak adlandırılır). Basit bir dağıtım oluşturmak için en azından aşağıdaki adımlar izlenmelidir:

    1. Çalışma Klasörlerini dosya sunucularına yükleme

    2. Çalışma Klasörleri için güvenlik grupları oluşturma

    3. Kullanıcı verileri için eşitleme paylaşımları oluşturma

    Çalışma klasörlerinin nasıl dağıtılacağı hakkında diğer ayrıntılı yönergeler için bkz. Çalışma Klasörlerini Dağıtma.

  3. Uzak Masaüstü Hizmetleri Oturum Sanallaştırmayı yapılandırma ve doğrulama

    Standart bir VDI dağıtımı ayrı bilgisayarlara uygun rol hizmetlerini yüklemenize imkan tanır. Standart bir dağıtım, sanal masaüstlerini ve sanal masaüstü koleksiyonlarını otomatik olarak oluşturmadığından bunlar üzerinde daha kesin bir denetim sağlar.

    Bu test laboratuvarı aşağıdaki işlemleri yaparak bir Oturum Sanallaştırma standart dağıtımı oluşturma işleminde size kılavuzluk eder:

    • RD Bağlantı Aracısı, RD Oturum Ana Bilgisayarı ve RD Web Erişimi rol hizmetlerini ayrı bilgisayarlara yükleme.

    • Oturum koleksiyonu oluşturma.

    • Koleksiyondaki her bir RD Oturum Ana Bilgisayarı sunucusu için oturum tabanlı masaüstü yayımlama.

    • RemoteApp programları olarak uygulama yayımlama.

    Bir VDI dağıtımını yapılandırma ve doğrulamayla ilgili ayrıntılı adımlar için bkz. Uzak Masaüstü Hizmetleri Oturum Sanallaştırma Standart Dağıtımı.

  4. Uzaktan Erişimi Yapılandırma

    Windows Server 2012, DirectAccess ve Yönlendirme ve Uzaktan Erişim Hizmeti (RRAS) VPN'ini tek bir Uzaktan Erişim rolünde birleştirir. Temel ayarlarla tek bir Windows Server 2012 Uzaktan Erişim sunucusunu dağıtmak için gerekli yapılandırma adımları aşağıda verilmiştir.

    1. DirectAccess Altyapısını Yapılandırma: Bu adım ağ ve sunucu ayarlarını, DNS ayarlarını ve Active Directory ayarlarını yapılandırmayı içerir.

    2. DirectAccess Sunucusunu Yapılandırma: Bu adım DirectAccess istemci bilgisayarlarını ve sunucu ayarlarını yapılandırmayı içerir.

    3. Dağıtımı Doğrulama: Bu adım, dağıtımı doğrulama adımlarını içerir.

Çok Faktörlü Erişim Denetimi ve Çok Faktörlü Kimlik Doğrulamasını ayarlayarak risk yönetimini yapılandırma

Çok Faktörlü Erişim Denetimini yapılandırarak kullanıcı, aygıt, ağ konumu ve kimlik doğrulaması durumuna göre erişime izin verebileceğiniz ya da reddedebileceğiniz uygulama başına esnek ve etkileyici yetkilendirme ilkeleri ayarlayın. Çok Faktörlü Kimlik Doğrulaması ile ortamınızda ek risk yönetimi ayarlayın.

  1. Çok Faktörlü Erişim Denetimini yapılandırma ve doğrulama

    Bu işlem aşağıdaki üç adımı içerir:

    1. Varsayılan AD FS erişim denetimi mekanizmasını doğrulama

    2. Kullanıcı verilerine göre çok faktörlü erişim denetimi ilkesini yapılandırma

    3. Çok faktörlü erişim denetimi mekanizmasını doğrulama

  2. Çok Faktörlü Kimlik Doğrulamasını yapılandırma ve doğrulama

    Bu işlem aşağıdaki üç adımı içerir:

    1. Varsayılan AD FS kimlik doğrulama mekanizmasını doğrulama

    2. Federasyon sunucunuzda MFA'yı yapılandırma

    3. MFA mekanizmasını doğrulama

Birleşik aygıt yönetimini uygulama

Kuruluşunuzda aygıt yönetimini ayarlamak için aşağıdaki adımları izleyin.

  1. System Center 2012 R2 Configuration Manager konsolunu yükleyin: Varsayılan olarak, birincil bir siteyi yüklediğinizde Configuration Manager konsolu da birincil site sunucusu bilgisayarına yüklenir. Site yüklendikten sonra siteyi yönetmek için başka bilgisayarlara ek System Center 2012 R2 Configuration Manager konsolları yükleyebilirsiniz. Hem Configuration Manager 2007 hem de System Center 2012 R2 Configuration Manager'dan aynı bilgisayara bir konsol yüklenmesi desteklenir. Bu yan yana yükleme hem var olan Configuration Manager 2007 altyapınızı hem de Windows Intune with System Center 2012 R2 Configuration Manager ile yönettiğiniz mobil aygıtları yönetmek üzere tek bir bilgisayar kullanmanıza imkan tanır. Ancak, Configuration Manager 2007 sitenizi yönetmek için System Center 2012 R2 Configuration Manager konsolunu ve System Center 2012 R2 Configuration Manager konsolunu yönetmek için Configuration Manager 2007 sitesini kullanamazsınız. Daha fazla bilgi için bkz. Configuration Manager Konsolu Yükleme.

  2. Mobil aygıtları kaydedin: Kayıt işlemi kullanıcı, aygıt ve Windows Intune hizmeti arasında bir ilişki oluşturur. Kullanıcılar kendi mobil aygıtlarını kaydeder. Mobil aygıtların nasıl kaydedileceği hakkında bilgi için bkz. Mobil Aygıt Kaydı.

  3. Mobil aygıtları yönetme: Tek başına birincil sitenizi yükleyip temel yapılandırmalarını yaptıktan sonra mobil aygıtların yönetimini yapılandırmaya başlayabilirsiniz. Yapılandırabileceğiniz tipik eylemler aşağıda verilmiştir:

    1. Mobil aygıtlara uyumluluk ayarı uygulamak için bkz. Configuration Manager'da Mobil Aygıtlar için Uyumluluk Ayarları.

    2. Uygulamaları oluşturma ve mobil aygıtlara dağıtma için bkz. Configuration Manager'da Uygulamaları Oluşturma ve Mobil Aygıtlara Dağıtma.

    3. Donanım stoğu yapılandırmak için bkz. Windows Intune ve Configuration Manager Tarafından Kaydedilen Mobil Aygıtların Donanım Stoğunu Yapılandırma.

    4. Yazılım stoğu yapılandırmak için bkz. Configuration Manager'da Yazılım Stoğuna Giriş.

    5. Mobil aygıtlardan içerik silmek için bkz. Configuration Manager ve Windows Intune Kullanarak Mobil Aygıtları Yapılandırma.

Ayrıca bkz.

İçerik türü Başvurular

Ürün değerlendirmesi/Başlarken

Planlama ve tasarım

Topluluk kaynakları

İlgili çözümler