Безопасный доступ к ресурсам отовсюду, с любого устройства

Чем может помочь это руководство?

Для кого предназначено это руководство?

Это руководство предназначено для традиционных ИТ-организаций, имеющих архитекторов инфраструктуры, специалистов по безопасности предприятий и специалистов по управлению устройствами, которым необходимо понять, какие решения доступны для внедрения потребительских ИТ-технологий и стратегии подключения личных устройств Bring Your Own Device (BYOD). Полноценное решение, описанное в данном руководстве, является частью концепции Microsoft Enterprise Mobility.

Текущая тенденция при развертывании устройств — как устройств, являющихся собственностью организации, так и личных устройств пользователей для доступа к корпоративным ресурсам локально или в облаке — делает ее обязательной для ИТ-службы с целью повышения производительности работы пользователя и удобств использования и идентификации устройств и возможности подключения к корпоративным ресурсам и приложениям. В то же время существенно вырастает число проблем управления и безопасности для ИТ-организаций, которым необходимо обеспечить защиту ИТ-инфраструктуры предприятия и корпоративные данные от злоумышленников. Этим корпорациям необходимо также гарантировать доступность ресурсов в соответствии с корпоративными политиками, вне зависимости от типа устройства или месторасположения.

Текущая инфраструктура может быть расширена путем реализации и настройки различных технологий Windows Server 2012 R2, помогающих создать полноценное решение этих проблем.

Следующая диаграмма иллюстрирует проблему, для решения которой предназначено данное руководство. Она показывает пользователей, использующих свои личные и корпоративные устройства для доступа к приложениям и данным из облака и локально. Эти приложения и ресурсы могут быть внутри или вне брандмауэра.

В этом руководстве по решению:

• Сценарий, постановка задачи и цели

• Рекомендуемые архитектуры для этого решения

• Каковы шаги по реализации этого решения?

Сценарий, постановка задачи и цели

В этом разделе описаны сценарий, проблемы и цели вымышленной организации.

Сценарий

Ваша организация — это среднего размера банк. В организации работает более чем 5 000 пользователей, которые приносят свои личные устройства (Windows RT и устройства на основе iOS) на работу. В настоящее время они не имеют возможности доступа к ресурсам компании со своих устройств.

Текущая инфраструктура включает лес Active Directory с контроллером домена с установленным Windows Server 2012. Она также включает серверы удаленного доступа и System Center Configuration Manager из семейства System Center.

Постановка задачи

Последний отчет, выданный команде управления вашей компании ИТ-службой, показывает, что все больше пользователей начинают приносить свои личные устройства на работу и требовать доступ к данным компании. Команда управления воспринимает эту тенденцию рынка, когда пользователи используют собственные устройства, и хочет чтобы компания реализовала решение, которое безопасно выполняет это требование. В итоге ИТ-службе компании требуется:

• сотрудникам использовать персональные устройства, а также устройства компании для доступа к корпоративным приложениям и данным. Эти устройства включают компьютеры и мобильные устройства.

• Предоставить безопасный доступ к ресурсам в соответствии с потребностями каждого пользователя и политиками компании для этих устройств. Взаимодействие пользователей с устройствами должно быть простым.

• Идентифицировать и управлять устройствами.

Цели организации

В этом руководстве реализовано решение по расширению инфраструктуры компании для достижения следующих целей:

• упрощенная регистрация личных и корпоративных устройств;

• эффективное подключение к внутренним ресурсам при необходимости;

• надежный доступ к ресурсам компании с устройств.

Рекомендуемые архитектуры для этого решения

Для решения этой бизнес-задачи и достижения упомянутых ранее целей вашей организации необходимо реализовать несколько вспомогательных сценариев. Каждый из этих вспомогательных сценариев представлен на следующем общем рисунке.

1. Разрешить пользователям регистрировать свои устройства и иметь единый вход

2.  Настройка легкого доступа к корпоративным ресурсам 

3. Повышение управления риском при контроле доступа 

4. Единое управление устройствами

Разрешить пользователям регистрировать свои устройства и иметь единый вход

Эта часть решения включает в себя следующие важные этапы.

• ИТ-администраторы могут настроить регистрацию устройств, которая позволит устройству быть связанным с корпоративным каталогом Active Directory и использовать эту связь комплексной двухфакторной проверки подлинности. Присоединение к рабочему месту Workplace Join — это новая функция Active Directory, она позволяет пользователям безопасно зарегистрировать свои устройства в каталоге компании. Регистрация предоставляет устройству сертификат, который может использоваться для проверки подлинности устройства, когда пользователь обращается к ресурсам компании. С помощью этой связи ИТ-специалисты могут настроить пользовательские политики, которые требуют и проверки подлинности пользователей, и их присоединения к рабочему месту с устройства, подключенного по Workplace Join, при доступе к ресурсам компании.

• ИТ-администраторы могут настроить единый вход (SSO) с устройств, связанных с корпоративным каталогом Active Directory. Единый вход — это возможность для конечного пользователя по регистрации один раз, при доступе к приложению, предоставляемому его компании, и без повторных запросов сведений регистрации при доступе к дополнительным приложениям компании. В Windows Server 2012 R2 возможность единого входа распространяется на устройства, подключенные по Workplace Join. Это улучшит работу пользователей, при этом без риска от хранения каждым приложением учетных данных пользователей. Дополнительное преимущество этого в ограничении возможностей для сбора паролей на личных или принадлежащих компании устройствах.

Следующая схема представляет общий принцип работы Workplace Join.

В следующей таблице подробно описана каждая из этих возможностей.

В следующей таблице перечислены роли сервера и технологии, которые необходимо настроить для этой возможности.

Рекомендации по настройке контроллера домена

Контроллер домена под управлением Windows Server 2012 R2 для этого решения не требуется. Все, что требуется, — это обновление схемы текущей установки AD DS. Дополнительные сведения о расширении схемы см. в статье Установка доменных служб Active Directory. Можно обновить схему на существующих контроллерах домена без установки контроллера домена под управлением Windows Server 2012 R2 с помощью выполнения Adprep.exe.

Подробный список новых функций, системных требований и необходимых условий, которые должны быть выполнены перед началом установки, см. в разделах Проверка предварительных требований для установки AD DS и Требования к системе.

Рекомендации по проектированию служб федерации Active Directory

Для планирования среды AD FS см. раздел Определение целей развертывания AD FS.

Настройка легкого доступа к корпоративным ресурсам

Современные сотрудники мобильны и ожидают получить доступ к приложениям, необходимым для работы, где бы они ни находились. Компании применяют несколько способов предоставить эту возможность: с помощью VPN, прямого доступа Direct Access и шлюзов удаленных рабочих столов Remote Desktop Gateway.

Однако в мире Bring Your Own Device эти подходы не предлагают уровень изоляции для обеспечения безопасности, необходимый многим клиентам. Для соответствия этому требованию прокси-служба веб-приложения роли включена в роль Windows Server RRAS (службы маршрутизации и удаленного доступа). Эта служба роли позволяет выборочно публиковать веб-приложения ведения бизнеса предприятия для доступа снаружи корпоративной сети.

Рабочие папки — это новое решение для синхронизации файлов, которое позволяет пользователям синхронизировать свои файлы на корпоративном файловом сервере со своими устройствами. Эта синхронизация использует протокол на основе HTTPS. Это позволяет легко выполнять публикацию через прокси-службу веб-приложения. Это означает, что пользователи теперь могут выполнять синхронизацию из интрасети и Интернета. Это также означает, что элементы управления проверкой подлинности и авторизации AD FS, описанные ранее, можно применять к синхронизации корпоративных файлов. Файлы затем сохраняются в зашифрованном месте на устройстве. Эти файлы можно затем выборочно удалить, когда устройство отключается от централизованного управления.

DirectAccess и службы маршрутизации и удаленного доступа (RRAS) VPN объединены в единую роль удаленного доступа в Windows Server 2012 R2. Эта новая роль сервера удаленного доступа обеспечивает возможность централизованного администрирования, настройки и наблюдения за службами удаленного доступа DirectAccess и VPN.

Windows Server 2012 R2 предоставляет Virtual Desktop Infrastructure (VDI), которая дает вашей организации ИТ свободу выбора рабочих столов на базе персональных виртуальных машин (ВМ) и виртуальных машин из пула, а также рабочие столы на основе сеансов. Он также предлагает ИТ-службе несколько вариантов хранения на основании их требования.

На следующей схеме показаны технологии, которые можно реализовать, чтобы обеспечить легкий доступ к корпоративным ресурсам.

Планирование доступа к корпоративным ресурсам

Сведения о развертывании прокси-службы веб-приложения

Этот раздел представляет собой введение в этапы планирования, необходимые для развертывания прокси-службы веб-приложения и публикации приложений с ее помощью. Этот сценарий описывает доступные методы предварительной проверки подлинности, включая использование служб федерации Active Directory для проверки подлинности и авторизации, что позволяет использовать преимущества возможностей служб федерации Active Directory, включая присоединение к рабочему месту, многофакторную проверку подлинности (MFA) и многофакторное управление доступом. Эти шаги подробно описаны в разделе Планирование публикации приложений через прокси-сервер веб-приложения.

Сведения о развертывании рабочих папок

В этом разделе объясняется процесс разработки для реализации рабочих папок и содержатся сведения о требованиях к программному обеспечению, сценариях развертывания, контрольном списке проекта и дополнительных аспектах проектирования. Следуйте инструкциям в разделе Проектирование реализации рабочих папок для создания основного контрольного списка.

Сведения о развертывании инфраструктуры удаленного доступа

В этом разделе описаны общие вопросы, которые необходимо выполнить при планировании развертывания одного сервера удаленного доступа Windows Server 2012 с основными компонентами:

1. Планирование инфраструктуры DirectAccess: Планирование топологии сети и серверов, параметры брандмауэра, требования к сертификатам, DNS и Active Directory.

2. Планирование развертывания DirectAccess: Планирование развертывания клиента и сервера.

Повышение управления риском при контроле доступа

С помощью Windows Server 2012 R2 ваша организация может настроить управление доступом к ресурсам компании на основе удостоверения пользователя, удостоверения зарегистрированных устройств и сетевого расположения пользователя (находится ли пользователь внутри сети организации или нет). С помощью многофакторной проверки подлинности, интегрированной в прокси веб-приложения, ИТ-специалисты могут использовать преимущества дополнительных уровней проверки подлинности при подключении пользователей и устройств к корпоративной среде.

В Windows Server 2012 R2 легко ограничить риски, связанные со скомпрометированными учетными записями, и гораздо проще реализовать многофакторную проверку подлинности с помощью Active Directory. Модель подключаемых модулей позволяет настроить разные решения для управления рисками непосредственно в AD FS.

Существует множество улучшений в управлении рисками при контроле доступа в AD FS в Windows Server 2012 R2, включая следующие:

• Гибкое управление на основе расположения сети для указания того, как пользователю проходить проверку подлинности при доступе к защищаемому AD FS приложению.

• Гибкие политики, помогающие определить, выполнять ли многофакторную проверку подлинности пользователя на основании данных пользователя, данных устройства и расположения в сети.

• Управление на базе приложений для игнорирования единого входа и принуждения пользователя к вводу учетных данных при каждом доступе к конфиденциальному приложению.

• Политики гибкого доступа на базе приложения с учетом данных пользователя, данных устройства или расположения в сети. Блокировка экстрасети AD FS позволяет администраторам защищать учетные записи Active Directory от атак методом перебора из Интернета.

• Отзыв доступа для любого устройства, присоединенного к рабочему месту, которое отключено или удалено в Active Directory.

На следующей схеме показаны дополнительные возможности Active Directory по повышению рисков управления доступом.

Вопросы проектирования для реализации управление рисками и решение проблем доступа для пользователя, устройств и приложений

Единое управление устройствами

В дополнение к безопасности и доступу ИТ-служба также должна иметь в запасе хорошие стратегии для управления компьютерами и личными устройствами с помощью единой консоли администратора. Управление устройствами включает в себя настройку параметров безопасности и соответствия, сбор данных инвентаризации оборудования и программ, развертывание ПО. ИТ-служба также должна иметь решение по защите компании для полного удаления корпоративных данных, хранящихся на мобильных устройствах, в случае утери, кражи или прекращения использования устройства.

В разделе Управление мобильными устройствами и компьютерами путем переноса в Configuration Manager с помощью Windows Intune подробно описывается решение для единого управления устройствами.

Сведения о едином управлении устройствами

Очень важно учесть существенные вопросы, прежде чем проектировать инфраструктуру BYOD и единого управления устройствами, которая позволяет сотрудникам применять собственные устройства и защищает данные компании.

Разработка инфраструктуры для поддержки BYOD рассматривается в разделе Рекомендации для пользователей и устройств BYOD. Проект, описанный в этом документе, использует технологии Майкрософт. Тем не менее варианты проекта и используемые соображения могут применяться для любой инфраструктуры, используемой для реализации модели BYOD .

Удобный контрольный список, в котором перечислены шаги, необходимые для поддержки управления мобильными устройствами, см. в разделеКонтрольный список для управления мобильными устройствами.

Каковы шаги по реализации этого решения?

Настройка базовой инфраструктуры для обеспечения регистрации устройства

Приведенные ниже действия помогут выполнить пошаговый процесс настройки контроллера домена (AD DS), службы федерации Active Directory и службы регистрации устройств.

1. Настройка контроллера домена

   Установите службу роли AD DS и повысьте компьютер до контроллера домена в Windows Server 2012 R2. Схема AD DS обновится в процессе установки контроллера домена. Дополнительные сведения и пошаговое руководство см. в разделе Установка доменных служб Active Director. 

2. Установка и настройка сервера федерации

   Службы федерации Active Directory (AD FS) можно использовать с Windows Server 2012 R2 для построения решения по управлению федеративными удостоверениями, которое расширяет службы распределенной идентификации, проверки подлинности и авторизации на веб-приложения за границы организации и платформы. При развертывании служб федерации Active Directory можно расширить существующие возможности управления удостоверениями вашей организации в Интернете. Дополнительные сведения и пошаговые инструкции см. в разделе Руководство по развертыванию Windows Server 2012 R2 AD FS.

3. Настройка службы регистрации домена

   После установки служб федерации Active Directory можно включить DRS на сервере федерации. Настройка включает в себя подготовку леса Active Directory для поддержки устройств, а затем включение DRS. Подробные инструкции см. в разделе Настройка сервера федерации с помощью службы регистрации устройств.

4. Настройка веб-сервера и пример приложения на основе утверждений для проверки и тестирования конфигурации служб федерации Active Directory и регистрации устройств

   Необходимо установить веб-сервер и пример приложения на основе утверждений, а затем выполнить некоторые процедуры, чтобы проверить указанные выше шаги. Выполните действия в следующем порядке:

   1. Установка роли веб-сервера и Windows Identity Foundation

   2. Установка пакета SDK Windows Identity Foundation

   3. Настройка примера приложения на базе утверждений в IIS 

   4. Создание отношений доверия с проверяющей стороной на сервере федерации

5. Настройте и проверьте присоединение к рабочему месту на устройствах Windows и iOS

   Этот раздел содержит инструкции по настройке присоединения к рабочему месту на устройстве Windows, устройстве iOS и реализации единого входа для ресурсов компании.

   1. присоединение к рабочему месту с устройства Windows

   2. присоединение к рабочему месту с устройства iOS

Настройка доступа к корпоративным ресурсам

Необходимо настроить файловые службы рабочих папок, виртуализацию служб удаленных рабочих столов и удаленный доступ.

1. Настройка прокси веб-приложения

   Этот раздел представляет собой введение по этапам настройки, которые должны быть выполнены для развертывания прокси веб-приложения и публикации приложений с его помощью.

   1.  Настройка инфраструктуры прокси-сервера веб-приложений: Описывается настройка инфраструктуры, необходимой для развертывания прокси веб-приложений.

   2. Установка и настройка прокси-сервера веб-приложений: Описывается настройка прокси-серверов веб-приложений, включая настройку всех необходимых сертификатов при установке службы роли прокси веб-приложения и присоединения к домену прокси-серверов веб-приложений.

   3. Публикация приложений с использованием предварительной проверки подлинности AD FS: Описывается процесс публикации приложений через прокси веб-приложения с использованием предварительной проверки подлинности AD FS.

   4. Публикация приложений с помощью предварительной сквозной проверки подлинности: Описывается процесс публикации приложений с помощью предварительной сквозной проверки подлинности.

2. Настройка рабочих папок

   Простейшее развертывание рабочих папок — один файловый сервер (который часто называют сервером синхронизации) без поддержки синхронизации через Интернет. Такое развертывание полезно для тестовой лаборатории или в качестве решения синхронизации для присоединенных к домену клиентских компьютеров. Для создания простого развертывания выполните эти минимальные действия:

   1.  Установка рабочих папок на файловых серверах

   2.  Создание групп безопасности для рабочих папок

   3. Создание общих ресурсов синхронизации для данных пользователей

   Дополнительные сведения о развертывании рабочих папок см. в разделе Развертывание рабочих папок.

3. Настройка и проверка виртуализации службы сеансов удаленных рабочих столов

   Стандартное развертывание VDI позволяет устанавливать соответствующие службы ролей на отдельных компьютерах. Стандартное развертывание обеспечивает более точное управление виртуальными рабочими столами и коллекциями виртуальных рабочих столов, не создавая их автоматически.

   Тестовая лаборатория демонстрирует процесс создания стандартного развертывания виртуализации сеансов следующим образом:

   • Установка служб ролей посредника подключений к удаленному рабочему столу, узла сеансов удаленных рабочих столов и веб-доступа к удаленным рабочим столам на отдельных компьютерах.

   • Создание коллекции сеансов.

   • Публикация рабочего стола на основе сеансов для каждого сервера узла сеансов удаленных рабочих столов в коллекции.

   • Публикация приложений как программ службы RemoteApp.

   Подробное описание шагов для настройки и проверки развертывания VDI см. в разделе Стандартное развертывание виртуализации сеансов служб удаленного рабочего стола.

4. Настройка удаленного доступа

   Windows Server 2012 объединяет DirectAccess и службы маршрутизации и удаленного доступа (RRAS) VPN в единую роль удаленного доступа. Ниже представлены шаги по настройке, необходимые для развертывания одного сервера удаленного доступа Windows Server 2012 с базовыми параметрами.

   1. Настройка инфраструктуры DirectAccess: Этот этап включает в себя настройку параметров сети и сервера, параметров DNS и параметров Active Directory .

   2. Настройка сервера DirectAccess: Этот этап включает в себя настройку клиентских компьютеров DirectAccess и параметров сервера.

   3. Проверка развертывания: Этот этап включает в себя действия по проверке развертывания.

Настройте управление рисками путем установки многофакторного управления доступом и многофакторной проверки подлинности

Создание гибких и ясных политик авторизации для каждого приложения, благодаря которым можно разрешить или запретить доступ в зависимости от пользователя, устройства, сетевого расположения и состояния проверки подлинности, выполняется настройкой многофакторного управления доступом. Настройте дополнительное управление рисками в среде с многофакторной проверки подлинности.

1. Настройка и проверка многофакторного управления доступом

   Включает в себя следующие три этапа:

   1. Проверка стандартного механизма контроля доступа через службы AD FS

   2. Настройка политики многофакторного контроля доступа на основе данных пользователя

   3. Проверка механизма многофакторного контроля доступа

2. Настройка и проверка многофакторной проверки подлинности

   Включает в себя следующие три этапа:

   1. Проверка стандартного механизма проверки подлинности через службы AD FS 

   2. Настройка многофакторной проверки подлинности на сервере федерации

   3. Проверка механизма многофакторной проверки подлинности

Реализовать единое управление устройствами

Выполните следующие шаги, чтобы настроить управление устройствами на предприятии.

1. Установка консоли System Center 2012 R2 Configuration Manager: По умолчанию при установке основного сайта консоль Configuration Manager также устанавливается на сервере основного сайта. После установки сайта можно установить дополнительные консоли System Center 2012 R2 Configuration Manager на другие компьютеры для управления сайтом. Поддерживается установка консоли Configuration Manager 2007 и System Center 2012 R2 Configuration Manager на одном и том же компьютере. Установку бок-о-бок позволяет использовать один компьютер для управления как существующей инфраструктурой из Configuration Manager 2007, так и мобильными устройствами с помощью Windows Intune из System Center 2012 R2 Configuration Manager. Тем не менее нельзя использовать консоль управления System Center 2012 R2 Configuration Manager для управления сайтом Configuration Manager 2007 и наоборот. Дополнительные сведения см. в разделе Установка консоли Configuration Manager.

2. Регистрация мобильных устройств: Регистрация устанавливает связь между пользователем, устройством и службой Windows Intune. Пользователи регистрируют свои мобильные устройства. Дополнительные сведения о регистрации мобильных устройств см. в разделе Регистрация мобильных устройств.

3. Управление мобильными устройствами: После установки и базовой настройки автономного первичного сайта можно начать настраивать управление мобильными устройствами. Ниже перечислены типичные действия, которые можно настроить.

   1. Сведения о применении параметра соответствия к мобильным устройствам см. в разделе Параметры соответствия для мобильных устройств в Configuration Manager.

   2. Сведения о создании и развертывании приложений на мобильных устройствах см. в разделе Создание и развертывание приложений для мобильных устройств в Configuration Manager.

   3. Сведения о настройке данных инвентаризации оборудования см. в разделе Настройка данных инвентаризации оборудования для мобильных устройств, зарегистрированных Windows Intune и Configuration Manager.

   4. Сведения о настройке данных инвентаризации программного обеспечения см. в разделе Введение в данные инвентаризации программного обеспечения в Configuration Manager.

   5. Для очистки данных с мобильных устройств см. раздел Управление мобильными устройствами с помощью Configuration Manager и Windows Intune.

См. также