Share via

Biztonságos hozzáférés a vállalati erőforrásokhoz bárhonnan, bármilyen készülékről

  • Cikk

Közzétéve: 2014. január

Hatókör: Windows Server 2012 R2

Miben segít ez az útmutató?

Kinek készült ez az útmutató?

Ez az útmutató olyan hagyományos informatikai nagyvállalatok számára készült, amelyek többek között infrastruktúra-tervezőket, vállalatbiztonsági szakembereket és eszközfelügyeleti szakembereket alkalmaznak, akik szeretnék megismerni, hogy milyen megoldások érhetők el az informatikai rendszerek felhasználóbaráttá tételéhez és a saját eszközök használatának (Bring Your Own Device, BYOD) megvalósításához. Az útmutatóban tárgyalt teljes körű megoldás a Microsoft vállalati mobilitással kapcsolatos víziójának része.

A jelenlegi tendenciák szerint az eszközök típusai és száma robbanásszerűen növekszik a vállalati tulajdonú eszközökkel és személyes tulajdonú eszközökkel, és a felhasználók saját eszközeikről férnek hozzá a vállalati erőforrásokhoz a helyszínen vagy a felhőben. Emiatt az informatikai részleg számára rendkívül fontos a felhasználók termelékenységének és elégedettségének növelése az eszközök használatával és identitásával, valamint a vállalati erőforrások és alkalmazások elérésekor tapasztalható felhasználói élménnyel kapcsolatban. Mindez ugyanakkor számos kezelési és biztonsági kihívást állít az informatikai szervezetek elé, akiknek biztosítaniuk kell a vállalati infrastruktúra és a vállalati adatok védelmét a rosszindulatú behatolással szemben. Ezeknek a vállalatoknak az is fontos, hogy az erőforrásokhoz való hozzáférés összhangban álljon a vállalati házirendekkel az eszközök típusától vagy helyétől függetlenül.

Az aktuális infrastruktúrát kibővítheti a Windows Server 2012 R2 különböző technológiáinak megvalósításával és beállításával, és az így megvalósított teljes körű megoldás segítségével legyőzhetők ezek a kihívások.

A következő ábra szemlélteti a problémát, amellyel a megoldási útmutató foglalkozik. A felhasználók személyes és vállalati eszközeik használatával férnek hozzá az alkalmazásokhoz és az adatokhoz a helyszínen és a felhőből. Ezek az alkalmazások és erőforrások a tűzfalon belül és kívül is lehetnek.

Eszközök és alkalmazások alábontása és elérése

Az útmutató tartalma:

  • Forgatókönyv, problémamegállapítás és célok

  • A megoldáshoz ajánlott kialakítás

  • Milyen lépéseket kell végrehajtani a megoldás megvalósításához?

Forgatókönyv, problémamegállapítás és célok

Ez a szakasz a forgatókönyvet, a problémamegállapítást és a célokat ismerteti egy szervezet példája segítségével.

Forgatókönyv

A szervezete egy közepes méretű banki cég. Több mint 5000 alkalmazottat foglalkoztat, akik saját (Windows RT- és iOS-alapú) eszközeiket használják a munkahelyen. Jelenleg ezekről az eszközökről nem tudnak hozzáférni a vállalati erőforrásokhoz.

A jelenlegi infrastruktúrának része egy Active Directory-erdő, amely rendelkezik egy Windows Server 2012 rendszerű tartományvezérlővel. Az infrastruktúra része továbbá egy távelérési kiszolgáló és a System Centeren keresztül egy System Center Configuration Manager.

Problémamegállapítás

Az informatikai csapat egyik friss jelentésben tudatja a vállalat vezetőségével, hogy egyre több felhasználó hozza be a munkahelyére saját eszközét, és azokról hozzá szeretne férni a vállalati adatokhoz. A vezetőség tudomásul veszi a piaci trendet, hogy egyre több felhasználó hozza magával a készülékét a munkahelyére, és biztosítani szeretné, hogy a vállalat olyan megoldást valósítson meg, amely biztonságosan szolgálja ki ezt az igényt. A vállalat informatikai csapatának a következőket kell megoldania:

  • Lehetővé kell tenniük, hogy az alkalmazottak a saját és a vállalati eszközeiket is használhassák a vállalati alkalmazásokhoz és adatokhoz való hozzáféréshez. Az eszközök között számítógépek és mobileszközök találhatók.

  • Biztonságos hozzáférést kell biztosítaniuk az eszközök számára az erőforrásokhoz az egyes felhasználók igényeinek és a vállalati házirendeknek megfelelően. A különböző eszközökön ugyanazt a zökkenőmentes felhasználói élményt kell nyújtaniuk.

  • Azonosítaniuk és felügyelniük kell az eszközöket.

Szervezeti célok

Ez az útmutató megoldást kínál a vállalat infrastruktúrájának bővítésére, amely segítségével a következők érhetők el:

  • Személyes és vállalati eszközök egyszerűsített regisztrációja.

  • Zökkenőmentes kapcsolódás a belső erőforrásokhoz, amikor szükséges.

  • Konzisztens hozzáférés a vállalati erőforrásokhoz különböző eszközökről.

A megoldáshoz ajánlott kialakítás

Az üzleti probléma megoldásához és a fentiekben említett célok eléréséhez a szervezetnek több részforgatókönyvet kell megvalósítania. Ezeket a részforgatókönyveket mutatja be a következő összefoglaló ábra.

A megoldás összes összetevőjét megjelenítő áttekintés

  1. Az eszközök felhasználói regisztrációjának lehetővé tétele és egyszeri bejelentkezéses felhasználói élmény biztosítása

  2. A vállalati erőforrásokhoz való zavartalan hozzáférés biztosítása

  3. A hozzáférés-vezérlés kockázatkezelésének fejlesztése

  4. Egyesített eszközfelügyelet

Az eszközök felhasználói regisztrációjának lehetővé tétele és egyszeri bejelentkezéses felhasználói élmény biztosítása

A megoldásnak ez a része a következő fontos szakaszokat foglalja magában.

  • A rendszergazdák beállítják az eszközök regisztrációját, ami lehetővé teszi, hogy az eszköz társítva legyen a vállalat Active Directoryjához, és ezt a társítást zavartalan kéttényezős hitelesítésként használja. A munkahelyi csatlakoztatás az Active Directory új szolgáltatása, amely lehetővé teszi a felhasználók számára, hogy biztonságosan regisztrálják az eszközeiket a vállalati címtárban. Ez a regisztráció egy tanúsítvánnyal látja el az eszközt, amely az eszköz hitelesítésére használható a vállalati erőforrásokhoz való hozzáféréskor. A társítás használatával az informatikai szakemberek egyéni hozzáférési házirendeket állíthatnak be, ezzel biztosítva, hogy a vállalati erőforrásokhoz való hozzáféréskor a felhasználók mindig hitelesítve legyenek és a munkahelyhez csatlakoztatott eszközüket használják.

  • A rendszergazdák egyszeri bejelentkezést (SSO) állíthatnak be azoknál az eszközöknél, amelyek társítva vannak a vállalat Active Directoryjához. Az SSO képesség azt jelenti, hogy a véghasználóknak egy, a vállalata által biztosított alkalmazáshoz való hozzáféréshez egyszer kell bejelentkeznie, és további vállalati alkalmazásokhoz való hozzáférés esetén a rendszer nem kéri újra a bejelentkezési adatai megadását. A Windows Server 2012 R2-ben az SSO képesség a munkahelyhez csatlakoztatott eszközökön is rendelkezésre áll. Ez javítja a végfelhasználói élményt, és elkerülhető az azzal járó kockázat, hogy minden egyes alkalmazás tárolja a felhasználó hitelesítő adatait. További előnye, hogy korlátozza a jelszógyűjtés lehetőségét a saját vagy vállalati tulajdonú eszközökön.

A következő ábra egy magas szintű pillanatképet mutat a munkahelyi csatlakoztatásról.

Munkahelyi csatlakoztatás helyszíni eszközregisztrációval

Az egyes képességek részleteit a következő táblázat tartalmazza.

Megoldáskialakítási elem Miért része a megoldásnak?

Munkahelyi csatlakoztatás

A munkahelyi csatlakoztatás lehetővé teszi a felhasználók számára, hogy biztonságosan regisztrálják az eszközeiket a vállalati címtárban. Ez a regisztráció egy tanúsítvánnyal látja el az eszközt, amely az eszköz hitelesítésére használható a vállalati erőforrásokhoz való hozzáféréskor. További információkért lásd: Csatlakozás a munkahelyhez bármilyen eszközről egyszeri bejelentkezéssel és zavartalan kéttényezős hitelesítéssel a különböző vállalati alkalmazásoknál.

A képességhez konfigurálandó kiszolgálói szerepkörök és technológiák listáját az alábbi táblázat tartalmazza.

Megoldáskialakítási elem Miért része a megoldásnak?

Tartományvezérlő Windows Server 2012 R2 sémafrissítéssel

Az Active Directory tartományi szolgáltatások (AD DS) példány egy identitáscímtárat biztosít a felhasználók és eszközök hitelesítéséhez, valamint a hozzáférési házirendek és a központi konfigurációs házirendek kikényszerítéséhez. További információk a címtárszolgáltatások infrastruktúrájának beállításával kapcsolatban ehhez a megoldáshoz: Tartományvezérlők frissítése Windows Server 2012 R2-re és Windows Server 2012-re.

AD FS eszközregisztrációs szolgáltatással

Az Active Directory összevonási szolgáltatásokkal (AD FS) a rendszergazdák beállíthatják az eszközregisztrációs szolgáltatást (DRS), és megvalósíthatják a munkahelyi csatlakoztatási protokollt, hogy az eszköz csatlakozhasson a munkahelyi Active Directoryhoz. Az AD SF továbbá tartalmazza az OAuth hitelesítési protokollt, valamint eszközhitelesítési és feltételes hozzáférés-vezérlési házirendeket, amelyek tartalmazzák a felhasználókra, az eszközökre és a helyszínekre vonatkozó feltételeket. Az AD FS kialakítás infrastruktúrájának megtervezésével kapcsolatos további információkért lásd: AD FS kialakítási útmutató a Windows Server 2012 R2-hez.

Kialakítási szempontok a tartományvezérlő beállításához

Ehhez a megoldáshoz nincs szükség Windows Server 2012 R2-t futtató tartományvezérlőre. Csak egy sémafrissítésre van szükség az aktuális AD DS telepítésből. További információk a séma kiterjesztéséről: Active Directory tartományi szolgáltatások telepítése. Az Adprep.exe futtatásával anélkül frissítheti a sémát a meglévő tartományvezérlőkön, hogy telepítene egy Windows Server 2012 R2-t futtató tartományvezérlőt.

Az új funkciók, a rendszerkövetelmények és a telepítés megkezdése előtt teljesítendő előfeltételek részletes listájáért lásd: AD DS telepítési előfeltételeinek ellenőrzése és Rendszerkövetelmények.

Kialakítási szempontok az AD FS-hez

Az AD FS környezetének megtervezéséhez lásd: Az AD FS telepítési célok azonosítása.

A vállalati erőforrásokhoz való zavartalan hozzáférés biztosítása

A mai munkavállalók mobilak, és elvárják, hogy bárhonnan képesek legyenek hozzáférni a munkájukhoz szükséges alkalmazásokhoz. Ennek biztosításához a vállalatok különböző stratégiákat kezdtek el alkalmazni, ilyen például a VPN, a közvetlen hozzáférés és a távoli asztali átjáró.

A saját eszközök használatának világában azonban ezek a módszerek nem teszik lehetővé a biztonsági elkülönítés olyan szintjét, amelyet számos ügyfél igényel. Ennek az igénynek a kielégítése érdekében a Windows Server RRAS (útválasztás és távelérés szolgáltatás) szerepkör tartalmazza a webalkalmazás-proxy szerepkör-szolgáltatást. Ez a szerepkör-szolgáltatás lehetővé teszi, hogy egyenként tegye közzé a vállalat üzletági webalkalmazásait a vállalati hálózaton kívülről való eléréshez.

A Munkahelyi mappák egy új fájlszinkronizálási megoldás, amely segítségével a felhasználók szinkronizálhatják a vállalati fájlkiszolgálón található fájljaikat a saját eszközükkel. A szinkronizálás protokollja HTTPS-alapú. Ez leegyszerűsíti a közzétételt a webalkalmazás-proxy segítségével. Ez azt jelenti, hogy a felhasználók az intranetről és az internetről is végezhetnek szinkronizálást. Emellett ugyanazok a korábban leírt AD FS-alapú hitelesítési és engedélyezési vezérlők alkalmazhatók a vállalati fájlok szinkronizálására. A fájlok tárolása ezután az eszközön egy titkosított helyen történik. Ezek a fájlok egyenként eltávolíthatók, ha az eszközt kiléptetik a felügyelet alól.

A Windows Server 2012 R2-ben a DirectAccess és az útválasztás és távelérés szolgáltatás (RRAS) VPN egyetlen távelérési szerepkörben egyesül. Ez az új távelérés kiszolgálói szerepkör lehetővé teszi a központi felügyeletet, beállítást és megfigyelést a DirectAccess- és VPN-alapú távelérési szolgáltatások esetében.

A Windows Server 2012 R2 virtuális asztali infrastruktúrát (VDI) biztosít, amely a vállalat informatikai részlegének megadja azt a szabadságot, hogy személyes és készletbe vont virtuális (VM-alapú) asztalokat, illetve munkamenet-alapú asztalokat választhassanak. Ezenkívül a követelményeknek megfelelően számos különféle tárolási lehetőséget kínál az informatikai részlegnek.

A következő ábra bemutatja azokat a technológiákat, amelyek megvalósításával biztosíthatja a vállalati erőforrásokhoz történő zavartalan hozzáférést.

Hozzáférés- és adatvédelmi megoldás

A vállalati erőforrásokhoz való hozzáférés megtervezése

Megoldáskialakítási elem Miért része a megoldásnak?

Webalkalmazás-proxy

Lehetővé teszi a vállalati erőforrások közzétételét, beleértve a többtényezős hitelesítést és a feltételes hozzáférési házirendek kényszerítését, amikor a felhasználók csatlakoznak az erőforrásokhoz. További információkért: Webalkalmazás-proxy telepítési útmutató.

Munkahelyi mappák (fájlkiszolgáló)

Központi hely a vállalati környezet egy fájlkiszolgálóján, amely úgy van beállítva, hogy lehetővé tegye a fájlok szinkronizálását a felhasználói eszközökkel. A Munkahelyi mappák fordított proxykiszolgálón vagy webalkalmazás-proxyn keresztül közvetlenül közzétehetők a feltételes hozzáférési házirendek kikényszerítése érdekében. További információkért lásd: Munkahelyi mappák áttekintése.

Távelérés

Ez az új távelérés kiszolgálói szerepkör lehetővé teszi a központi felügyeletet, beállítást és megfigyelést a DirectAccess- és VPN-alapú távelérési szolgáltatások esetében. Ezenfelül a Windows Server 2012 DirectAccess frissítéseket és fejlesztéseket biztosít a telepítésblokkolások megoldása és a felügyelet megkönnyítése érdekében. További információkért lásd: 802.1X hitelesített vezeték nélküli hozzáférés áttekintése.

Virtuális asztali infrastruktúra (VDI)

A VDI lehetővé teszi a szervezet számára, hogy olyan vállalati asztalt és alkalmazásokat biztosítson az alkalmazottai számára, amelyekhez a saját és vállalati eszközeikről is hozzáférhetnek, belső és külső helyszínekről egyaránt, míg az infrastruktúra (a távoli asztali kapcsolatszervező, a távoli asztali munkamenetgazda és a távoli asztali webes elérés szerepkör-szolgáltatás) a vállalati adatközpontban fut. További információkért lásd: Virtuális asztali infrastruktúra.

Kialakítási szempontok a webalkalmazás-proxy telepítéséhez

Ez a szakasz azon tervezési lépések bevezetője, amelyek a webalkalmazás-proxy telepítéséhez és az azzal történő alkalmazás-közzétételhez szükségesek. Ez a forgatókönyv a rendelkezésre álló előhitelesítési módszereket írja le, beleértve az AD FS használatát hitelesítésre és engedélyezésre, amelynek köszönhetően élvezheti az AD FS-funkciók előnyeit, például a munkahelyi csatlakoztatást, a többtényezős hitelesítést (MFA) és a többtényezős hozzáférés-vezérlést. A tervezési lépések részletes magyarázatához lásd: Webalkalmazás-proxyval történő alkalmazás-közzététel megtervezése.

Kialakítási szempontok a Munkahelyi mappák telepítéséhez

Ez a szakasz ismerteti a Munkahelyi mappák megvalósításának kialakítási folyamatát, és információkkal szolgál a szoftverkövetelményekkel, telepítési forgatókönyvekkel, a kialakítási ellenőrzőlistával, valamint további kialakítási szempontokkal kapcsolatban. Alapvető ellenőrzőlista létrehozásához kövesse a Munkahelyi mappák megvalósításának tervezése témakörben leírt lépéseket.

Kialakítási szempontok távelérési infrastruktúra telepítéséhez

Ez a szakasz az általános szempontokat mutatja be, amelyeket egyetlen alapvető funkciókkal rendelkező Windows Server 2012 Távelérési kiszolgáló telepítésének megtervezésekor figyelembe kell venni:

  1. A DirectAccess-infrastruktúra megtervezése: A hálózati és a kiszolgálótopológia, a tűzfalbeállítások, a tanúsítványokkal szemben támasztott követelmények, a DNS és az Active Directory megtervezése.

  2. A DirectAccess telepítés megtervezése: Az ügyfél- és kiszolgálótelepítés megtervezése.

A hozzáférés-vezérlés kockázatkezelésének fejlesztése

A Windows Server 2012 R2 segítségével a szervezet biztosíthatja a vállalati erőforrásokhoz való hozzáférés felügyeletét a felhasználó identitása, a regisztrált eszköz identitása és a felhasználó hálózati helye alapján (a felhasználó a vállalat területén van-e vagy sem). A webalkalmazás-proxyba integrált többtényezős hitelesítés használatával az informatikai részleg kihasználhatja a hitelesítés további rétegei által nyújtott előnyöket a felhasználók és eszközök a vállalati környezethez történő csatlakozásakor.

A feltört felhasználói fiókok okozta kockázatok egyszerű korlátozása érdekében a Windows Server 2012 R2-ben sokkal könnyebb a többtényezős hitelesítés megvalósítása az Active Directory segítségével. A beépülő modul modelljének köszönhetően különböző kockázatkezelési megoldásokat állíthat be közvetlenül az AD FS-ben.

A Windows Server 2012 R2-ben az AD FS számos hozzáférés-vezérléssel kapcsolatos kockázatkezelési fejlesztést tartalmaz, többek között:

  • Hálózati helyen alapuló rugalmas vezérlők annak a szabályozására, hogy a felhasználók hitelesítése hogyan történjen egy AD FS által védett alkalmazáshoz való hozzáféréskor.

  • Rugalmas házirendek annak eldöntéséhez, hogy a felhasználó számára szükséges-e többtényezős hitelesítés a felhasználó adatai, az eszközadatok és a hálózati hely alapján.

  • Alkalmazásonkénti vezérlők az SSO figyelmen kívül hagyásához, és annak kikényszerítéséhez, hogy a felhasználók a bizalmas alkalmazásokhoz való hozzáféréskor minden esetben adják meg a hitelesítő adataikat.

  • Rugalmas alkalmazásonkénti hozzáférési házirendek a felhasználói adatok, eszközadatok vagy hálózati hely alapján. Az AD FS extranet kizárás lehetővé teszi a rendszergazdák számára, hogy megvédjék az Active Directory-fiókokat az internetről érkező találgatásos támadások ellen.

  • Hozzáférés visszavonása letiltott vagy az Active Directoryból törölt munkahelyhez csatlakoztatott eszközök esetében.

A következő ábra azokat az Active Directory-fejlesztéseket jeleníti meg, amelyek a hozzáférés-vezérlés kockázatkezelését javítják.

Az Active Directory képességei a Windows Server 2012 R2 rendszerben

Kialakítási szempontok a kockázatcsökkentés és a hozzáférés-szabályozás megvalósításához a felhasználók, eszközök és alkalmazások esetén

Megoldáskialakítási elem Miért része a megoldásnak?

Munkahelyi csatlakoztatás (az eszközregisztrációs szolgáltatás [DRS] segítségével)

A szervezet informatikai szabályozást valósíthat meg eszközhitelesítéssel és kéttényezős hitelesítéses egyszeri bejelentkezéssel. A munkahelyhez csatlakoztatott eszközök a személyes és vállalati eszközök magasabb szintű vezérlését teszik lehetővé a rendszergazdák számára. További információk az eszközregisztrációs szolgáltatással kapcsolatban: Csatlakozás a munkahelyhez bármilyen eszközről egyszeri bejelentkezéssel és zavartalan kéttényezős hitelesítéssel a különböző vállalati alkalmazásoknál.

Multi-Factor Authentication

Az Azure Multi-Factor Authentication segítségével az informatikai szakemberek a felhasználók és eszközök hitelesítésének és ellenőrzésének további rétegeit alkalmazhatják. További információ: Mi az az Azure Multi-Factor Authentication?

Egyesített eszközfelügyelet

A biztonsági és a hozzáférés-kezelési stratégia mellett az informatikai részlegnek a számítógépek és a személyes eszközök egyetlen rendszergazdai konzolról történő felügyeletéhez is szüksége van egy működő stratégiára. Az eszközfelügyelet magában foglalja a biztonsági és megfelelőségi beállítások megadását, a szoftver- és hardverleltárak készítését, illetve a szoftverek telepítését. Az informatikai részlegnek emellett olyan védelmi megoldást is alkalmaznia kell, amellyel törölhetők a mobileszközön tárolt vállalati adatok, ha az eszközt ellopják, elveszik vagy már nincs használatban.

A Mobileszközök és számítógépek felügyelete a Configuration Managerbe való áttelepítéssel a Windows Intune használatával című témakör részletesen ismerteti az egyesített eszközfelügyeleti megoldást.

Kialakítási szempontok az egyesített eszközfelügyelethez

Az alkalmazottak számára a saját eszközök használatát lehetővé tévő és a vállalati adatok védelmét biztosító BYOD- és egyesített eszközfelügyeleti infrastruktúra tervezésekor kritikus fontosságú a kialakítással kapcsolatos fő kérdések megválaszolása.

A BYOD-t támogató infrastruktúra kialakítását A BYOD felhasználókkal és eszközökkel kapcsolatos szempontjai című témakör tartalmazza. Az ebben a dokumentumban ismertetett kialakítás Microsoft-alapú technológiát használ. A kialakítási lehetőségek és szempontok ugyanakkor bármilyen, a BYOD-modellt támogató infrastruktúrára alkalmazhatók.

A mobileszköz-felügyelet támogatásához szükséges lépéseket felsoroló ellenőrzőlistát itt találhat: Mobileszköz-felügyeleti ellenőrzőlista.

Milyen lépéseket kell végrehajtani a megoldás megvalósításához?

Alapvető infrastruktúra beállítása az eszközök regisztrációjához

A következő lépések végigvezetik a tartományvezérlő (AD DS), az AD FS és az eszközregisztrációs szolgáltatás beállításának folyamatán.

  1. A tartományvezérlő beállítása

    Telepítse az AD DS szerepkör-szolgáltatást, és léptesse elő a számítógépét tartományvezérlővé a Windows Server 2012 R2-ben. Ez az AD DS sémát a tartományvezérlő telepítésének részeként frissíti. További információk és részletes útmutatás: Active Directory tartományi szolgáltatások telepítése

  2. Az összevonási kiszolgáló telepítése és beállítása

    Az Active Directory összevonási szolgáltatások (AD FS) és a Windows Server 2012 R2 együttes használata lehetővé teszi egy összevont identitáskezelési megoldás kiépítését, amely az elosztott azonosítási, hitelesítési és engedélyezési szolgáltatásokat kiterjeszti a webalapú alkalmazásokra a teljes szervezetben és a különböző platformokon. Az AD FS telepítésével kiterjesztheti a szervezet meglévő identitáskezelési képességeit az internetre. További információk és részletes útmutatás: Windows Server 2012 R2 AD FS telepítési útmutató.

  3. A tartományregisztrációs szolgáltatás beállítása

    Az AD FS telepítése után engedélyezheti a tartományregisztrációs szolgáltatást az összevonási kiszolgálón. A tartományregisztrációs szolgáltatás beállításának része az Active Directory-erdő előkészítése a készülékek támogatására, majd a tartományregisztrációs szolgáltatás engedélyezése. Részletes utasítások: Az összevonási kiszolgáló konfigurálása az eszközregisztrációs szolgáltatással.

  4. Webkiszolgáló és jogcímalapú mintaalkalmazás beállítása az AD FS és az eszközregisztráció konfigurációjának ellenőrzéséhez és teszteléséhez

    Állítson be egy webkiszolgálót és egy minta jogcímalapú alkalmazást, majd bizonyos eljárásokkal ellenőrizze a fenti lépéseket. Hajtsa végre a lépéseket a következő sorrendben:

    1. A webkiszolgálói szerepkör és a Windows Identity Foundation telepítése

    2. A Windows Identity Foundation SDK telepítése

    3. Egyszerű jogcímalapú alkalmazás beállítása az IIS-ben

    4. Függő entitás megbízhatóságának létrehozása az összevonási kiszolgálón

  5. Munkahelyi csatlakoztatás beállítása és ellenőrzése Windows és iOS rendszerű eszközökön

    A szakasz útmutatásai segítségével beállíthatja a munkahelyi csatlakoztatást Windows és iOS rendszerű eszközökön, valamint biztosíthatja az egyszeri bejelentkezéses felhasználói élményt a vállalati erőforrásokhoz.

    1. Munkahelyi csatlakoztatás Windows rendszerű eszközzel

    2. Munkahelyi csatlakoztatás iOS rendszerű eszközzel

Vállalati erőforrásokhoz való hozzáférés beállítása

Be kell állítania a fájlszolgáltatások munkahelyi mappáit, a távoli asztali szolgáltatások virtualizálását és a távelérést.

  1. Webalkalmazás-proxy beállítása

    Ez a szakasz azon konfigurációs lépések bevezetője, amelyek a webalkalmazás-proxy telepítéséhez és az azzal történő alkalmazás-közzétételhez szükségesek.

    1. A webalkalmazás-proxy infrastruktúra beállítása: A webalkalmazás-proxy telepítéséhez szükséges infrastruktúra beállítását ismerteti.

    2. A webalkalmazás-proxy kiszolgáló telepítése és beállítása: Ismerteti a webalkalmazás-proxy kiszolgáló beállítását, többek között a szükséges tanúsítványok beállítását, a webalkalmazás-proxy szerepkör-szolgáltatás telepítését és a webalkalmazás-proxy kiszolgálók tartományhoz csatlakoztatását.

    3. Alkalmazások közzététele AD FS előhitelesítés használatával: Ismerteti az alkalmazások közzétételének módját a webalkalmazás-proxyn keresztül az AD FS előhitelesítés használatával.

    4. Alkalmazások közzététele áteresztő előhitelesítés használatával: Ismerteti az alkalmazások közzétételének módját áteresztő előhitelesítés használatával.

  2. Munkahelyi mappák beállítása

    A Munkahelyi mappák legegyszerűbb telepítése egyetlen fájlkiszolgáló (más néven szinkronizálási kiszolgáló) telepítését jelenti az interneten történő szinkronizálás támogatása nélkül. Ez a telepítés a teszthálózatok számára vagy tartományhoz csatlakoztatott ügyfélgépek szinkronizálási megoldásaként lehet hasznos. Egyszerű telepítés létrehozásához a következők a minimálisan szükséges lépések:

    1. Munkahelyi mappák telepítése fájlkiszolgálókra

    2. Biztonsági csoportok létrehozása a Munkahelyi mappák számára

    3. Szinkronizálási megosztások létrehozása a felhasználói adatok számára

    A munkahelyi mappák telepítésével kapcsolatos további részletes útmutatásért lásd: Munkahelyi mappák telepítése.

  3. Távoli asztali munkamenet-virtualizálás beállítása és ellenőrzése

    A VDI szabványos telepítése lehetővé teszi a megfelelő szerepkör-kiszolgálók telepítését különálló számítógépekre. A szabványos telepítés a virtuális asztalok és virtuális asztali gyűjtemények pontosabb felügyeletét biztosítja, mivel nem automatikusan hozza létre őket.

    Ez a tesztlabor végigvezeti a munkamenet-virtualizálás szabványos telepítésének létrehozási folyamatán, a következő tevékenységek végrehajtásával:

    • A távoli asztali kapcsolatszervező, a távoli asztali munkamenetgazda és a távoli asztali webes elérés szerepkör-szolgáltatás telepítése különböző számítógépekre.

    • Munkamenet-gyűjtemény létrehozása.

    • Munkamenet-alapú asztal közzététele a gyűjtemény minden távoli asztali munkamenetgazdája számára.

    • Alkalmazások közzététele RemoteApp programokként.

    A VDI-telepítések beállításának és ellenőrzésének részletes lépéseiért lásd: Távoli asztali munkamenet-virtualizálás normál telepítése.

  4. A távelérés beállítása

    A Windows Server 2012-ben a DirectAccess és az útválasztás és távelérés szolgáltatás (RRAS) VPN egyetlen távelérési szerepkörben egyesül. A következők egyetlen Windows Server 2012 távelérési kiszolgáló alapvető beállításokkal való telepítésének konfigurációs lépései.

    1. A DirectAccess-infrastruktúra beállítása: Ez a lépés a hálózati és kiszolgálói beállítások, a DNS-beállítások és az Active Directory-beállítások konfigurálását foglalja magában.

    2. A DirectAccess-kiszolgáló beállítása: Ez a lépés a DirectAccess-ügyfélszámítógépek és -kiszolgálók beállítását foglalja magában.

    3. A telepítés ellenőrzése: Ez a lépés a telepítés ellenőrzésének folyamatát foglalja magában.

Kockázatkezelés konfigurálása a többtényezős hozzáférés-vezérlés és a többtényezős hitelesítés beállításával

Rugalmas és kifejező alkalmazásonkénti engedélyezési házirendeket állíthat be, amelyek segítségével engedélyezheti vagy megtagadhatja a hozzáférést felhasználó, eszköz, hálózati hely és hitelesítési állapot alapján, a többtényezős hozzáférés-vezérlés konfigurálásával. További kockázatkezelést állíthat be a környezetben a többtényezős hitelesítés használatával.

  1. A többtényezős hozzáférés-vezérlés beállítása és ellenőrzése

    Ez a következő három lépésből áll:

    1. Az alapértelmezett AD FS hozzáférés-vezérlési mechanizmus ellenőrzése

    2. Többtényezős hozzáférés-vezérlési házirend beállítása felhasználói adatok alapján

    3. A többtényezős hozzáférés-vezérlési mechanizmus ellenőrzése

  2. A többtényezős hitelesítés beállítása és ellenőrzése

    Ez a következő három lépésből áll:

    1. Az alapértelmezett AD FS hitelesítési mechanizmus ellenőrzése

    2. Többtényezős hitelesítés beállítása az összevonási kiszolgálón

    3. A többtényezős hitelesítési mechanizmus ellenőrzése

Egyesített eszközfelügyelet megvalósítása

A vállalati eszközfelügyelet beállításához kövesse az alábbi lépéseket.

  1. A System Center 2012 R2 Configuration Manager konzol telepítése: Alapértelmezés szerint elsődleges hely telepítésekor a rendszer a Configuration Manager konzolt szintén telepíti az elsődleges hely kiszolgáló-számítógépére. A hely telepítése után további System Center 2012 R2 Configuration Manager konzolokat telepíthet további számítógépekre a hely kezeléséhez. Konzol telepítése egyazon számítógépre a Configuration Manager 2007-ből és a System Center 2012 R2 Configuration Managerből is támogatott. Ez a párhuzamos telepítés lehetővé teszi, hogy egyetlen számítógépről kezelje a meglévő Configuration Manager 2007-infrastruktúrát, valamint a Windows Intune és a System Center 2012 R2 Configuration Manager együttes használatával felügyelt mobileszközöket. Nem használhatja azonban a System Center 2012 R2 Configuration Manager felügyeleti konzolját a Configuration Manager 2007-hely kezeléséhez, és fordítva. További információkért lásd: A Configuration Manager konzol telepítése.

  2. Mobileszközök beléptetése: A beléptetés a felhasználó, az eszköz és a Windows Intune szolgáltatás között létesít kapcsolatot. A felhasználók léptetik be a saját mobileszközeiket. A mobileszközök beléptetésének módjával kapcsolatos információkért lásd: Mobileszközök beléptetése.

  3. Mobileszközök felügyelete: Miután telepítette és elvégezte az alapbeállítást az önálló elsődleges helyén, megkezdheti a mobileszközök felügyeletének beállítását. A következő tipikus műveleteket állíthatja be:

    1. Megfelelőségi beállítások alkalmazása mobileszközökön: Mobileszközök megfelelőségi beállításai a Configuration Managerben.

    2. Alkalmazások létrehozása és telepítése mobileszközökön: Alkalmazások létrehozása és telepítése mobileszközökön a Configuration Managerben.

    3. Hardverleltár beállítása: Hardverleltár beállítása a Windows Intune és a Configuration Manager által beléptetett mobileszközök esetében.

    4. Szoftverleltár beállítása: Bevezetés a Configuration Manager szoftverleltárába.

    5. Tartalom törlése mobileszközökről: Mobileszközök felügyelete a Configuration Managerrel és a Windows Intune-nal.

Lásd még:

Tartalomtípus Referenciák

Termékértékelés/első lépések

Tervezés és kialakítás

Közösségi erőforrások

Kapcsolódó megoldások