从任何位置、在任何设备上安全访问公司资源

 

本指南将如何帮助你?

本指南适用于谁?

本指南面向传统 IT 企业,此类企业的基础结构设计师、企业安全专家以及设备管理专家希望了解可针对 IT 的消费化和“自带设备办公 (BYOD)”使用哪些解决方案。 本指南中讨论的端到端解决方案是 Microsoft 企业移动性愿景的一部分。

当前设备爆炸式增长的趋势(公司拥有的设备、个人设备,以及那些使用自己的设备访问本地或云中的公司资源的消费者)使 IT 部门必须帮助提高用户在使用和标识设备方面的工作效率和满意度,并改进在连接到公司资源和应用程序方面的体验。 与此同时,它给 IT 部门带来了巨大的管理和安全挑战,IT 部门必须确保企业基础结构和公司数据不会受到恶意攻击的损害。 这些公司还必须确保可以采用符合公司政策的方式访问资源,而无需考虑设备类型或访问位置。

通过实现和配置来自 Windows Server 2012 R2 的不同技术,你当前的基础架构可以得到扩展,以便设置端到端解决方案以应对这些挑战。

下图说明了本解决方案指南可解决的问题。 它显示了用户使用其个人和公司设备访问来自云和本地的应用程序和数据。 这些应用程序和资源可能位于防火墙内部或外部。

设备和应用程序分解与访问

本解决方案指南的内容:

  • 方案、问题陈述和目标

  • 针对本解决方案推荐的设计

  • 实现本解决方案的步骤有哪些?

方案、问题陈述和目标

本部分介绍了某个示例组织的方案、问题说明和目标。

方案

你的组织是一家中型银行公司。 它的雇员超过 5000 人,他们采用自己的个人设备(基于 Windows RT 和 iOS 的设备)进行工作。 当前,他们无法从这些设备访问公司资源。

你当前的基础结构包括具有已安装 Windows Server 2012 的域控制器的 Active Directory 林。 它还包括远程访问服务器以及通过 System Center 获得的 System Center Configuration Manager 。

问题陈述

IT 团队最近发给贵公司管理团队的报告显示,更多的用户开始将个人设备带到工作地点,他们需要对公司数据的访问权限。 管理团队了解市场中存在使更多用户携带自己设备的这一趋势,并希望确保公司实现一种可安全地满足该需求的解决方案。 总之,贵公司的 IT 团队需要:

  • 允许员工使用个人设备及公司设备访问公司应用程序和数据。 这些设备包括电脑和移动设备。

  • 根据每位用户的需求和公司对于这些设备的策略提供对资源的安全访问权限。 跨设备的用户体验必须完美无缺。

  • 标识和管理这些设备。

组织目标

本指南将构成用于扩展公司基础结构的解决方案,以实现以下目标:

  • 简化个人和公司设备的注册。

  • 在需要时,无缝连接到内部资源。

  • 可跨设备一致地访问公司资源。

针对本解决方案推荐的设计

若要解决其业务问题并满足上述所有目标,你的组织需要实现多个子方案。 下图集中表示了每个子方案。

显示所有解决方案组件的概述

  1. 使用户能注册其设备并具有单一登录体验

  2.  设置对公司资源的无缝访问 

  3. 增强访问控制风险管理 

  4. 统一的设备管理

使用户能注册其设备并具有单一登录体验

解决方案的这一部分涉及到以下重要阶段。

  • IT 管理员能够设置设备注册,它允许将设备与公司的 Active Directory 进行关联,并使用此关联作为一种无缝的第二重身份验证。 工作区加入是 Active Directory 的一种新功能,它允许用户安全地针对你公司的目录注册其设备。 此注册将为设备设置一个证书,在用户访问公司资源时,该证书可用于对该设备进行身份验证。 通过使用这种关联,IT 专业人员可以配置自定义访问策略,以要求用户在访问公司资源时既要通过身份验证又要使用其加入工作区的设备。

  • IT 管理员可以从与公司 Active Directory 关联的设备设置单一登录 (SSO)。 SSO 是指最终用户可以在访问公司提供的应用程序时进行一次登录,并且在访问其他公司应用程序时,不会再次提示他们提供登录信息。 在 Windows Server 2012 R2 中,SSO 功能将扩展至加入工作区的设备。 这将改善最终用户体验,同时可避免让每个应用程序存储用户凭据所带来的风险。 这还可以带来其他好处,即减少了他人在个人或公司拥有的设备上获取密码的机会。

下图提供一张工作区加入的高级快照。

使用本地设备注册执行工作区加入

下表详细介绍了每一种功能。

解决方案设计元素

为什么将其包含在本解决方案中?

工作区加入

工作区加入使用户可以安全地在你公司的目录中注册其设备。 此注册将为设备设置一个证书,在用户访问公司资源时,该证书可用于对该设备进行身份验证。 有关详细信息,请参阅超链接“https://technet.microsoft.com/library/dn280945.aspx”跨公司应用程序从任一设备加入工作区以实现 SSO 和无缝第二重身份验证

下表中列出了需要为此功能配置的服务器角色和技术。

解决方案设计元素

为什么将其包含在本解决方案中?

具有 Windows Server 2012 R2 架构更新的域控制器

Active Directory 域服务 (AD DS) 实例提供标识目录以对用户和设备进行身份验证,并将其用于强制实施访问策略和集中式配置策略。 有关为此解决方案设置你的目录服务基础架构的详细信息,请参阅将域控制器升级到 Windows Server 2012 R2 和 Windows Server 2012

具有设备注册服务的 AD FS

Active Directory 联合身份验证服务 (AD FS) 使管理员能配置设备注册服务 (DRS) 并对要通过 Active Directory 加入工作区的设备实现工作区加入协议。 此外,已通过 OAuth 身份验证协议以及设备身份验证和条件访问控制策略(其中包括用户、设备和位置条件)增强了 AD FS。 有关规划 AD FS 设计基础结构的详细信息,请参阅 Windows Server 2012 R2 中的 AD FS 设计指南

有关设置域控制器的设计注意事项

对于此解决方案,你不需要运行 Windows Server 2012 R2 的域控制器。 你只需从当前的 AD DS 安装进行架构更新。 有关扩展架构的详细信息,请参阅安装 Active Directory 域服务。 你可以更新现有域控制器上的架构,而无需安装运行 Windows Server 2012 R2 的域控制器,方法是运行 Adprep.exe

有关新增功能、系统要求和开始安装之前必须满足的先决条件的详细列表,请参阅 AD DS 安装先决条件验证系统要求

关于 AD FS 的设计注意事项

若要计划 AD FS 环境,请参阅标识你的 AD FS 部署目标

设置对公司资源的无缝访问

现在的员工在移动环境中工作,并希望无论身在何处,都能访问需要用来完成工作的应用程序。 各公司已采用多种战略以使用 VPN、直接访问和远程桌面网关支持此功能。

然而,在“自带设备办公”的世界性趋势中,这些方法不能提供许多客户需要的安全隔离级别。 为了帮助满足这一需要,Windows 服务器 RRAS(路由和远程访问服务)角色中包含 Web 应用程序代理角色服务。 此角色服务使你可以有选择地发布企业业务线 Web 应用,以便从企业网络外部进行访问。

工作文件夹是一个新的文件同步解决方案,允许用户将他们的文件从公司文件服务器同步到其设备。 用于此同步的协议基于 HTTPS。 这使你很容易通过 Web 应用程序代理进行发布。 这意味着用户现在可以从 Intranet 和 Internet 同步。 它还意味着上述相同的基于 AD FS 的身份验证和授权控制可应用于同步公司文件。 然后,这些文件将存储在设备上的一个加密位置。 在设备取消注册以进行管理时,可以有选择地删除这些文件。

DirectAccess 以及路由和远程访问服务 (RRAS) VPN 将合并到 Windows Server 2012 R2 中的单个远程访问角色。 这种新的远程访问服务器角色允许集中管理、配置和监视基于 DirectAccess 和 VPN 的远程访问服务。

Windows Server 2012 R2 提供了虚拟桌面基础结构 (VDI),它使贵组织的 IT 可自由选择基于个人和共用的虚拟 (VM) 桌面,以及基于会话的桌面。 它还为 IT 提供了几项存储选择(根据他们的要求)。

下图说明了你可以实现的、确保无缝访问公司资源的技术。

访问和信息保护解决方案

规划对公司资源的访问

解决方案设计元素

为什么将其包含在本解决方案中?

Web 应用程序代理

允许发布公司资源,包括在用户连接到资源时进行多重身份验证并强制执行条件访问策略。 有关详细信息,请参阅 Web 应用程序代理部署指南

工作文件夹(文件服务器) 

在企业环境中位于文件服务器的一个集中的位置,配置它的目的在于允许将文件同步到用户设备。 可直接通过反向代理或者通过用于强制执行条件访问策略的 Web 应用程序代理来发布工作文件夹。 有关详细信息,请参阅工作文件夹概述

远程访问

这种新的远程访问服务器角色允许集中管理、配置和监视基于 DirectAccess 和 VPN 的远程访问服务。 此外,Windows Server 2012 DirectAccess 提供多项更新和改进,可解决部署阻止程序问题,并简化管理。 有关详细信息,请参阅 802.1X 身份验证无线访问概述

VDI

VDI 使你的公司可以向员工提供公司桌面和应用程序,他们可从个人和公司设备,以及从具有企业数据中心内运行的基础结构(远程桌面连接代理、远程桌面会话主机和远程桌面 Web 访问角色服务)的内部和外部位置访问这些公司桌面和应用程序。 有关详细信息,请参阅虚拟桌面基础结构

关于部署 Web 应用程序代理的设计注意事项

本节介绍了部署 Web 应用程序代理以及通过它发布应用程序时需要执行的规划步骤。 此方案描述了可用的预身份验证方法,包括将 AD FS 用于身份验证和授权,这使你可以受益于 AD FS 功能,包括工作区加入、多重身份验证 (MFA) 和多重访问控制。规划通过 Web 应用程序代理发布应用程序中详细地说明了这些规划步骤。

关于部署工作文件夹的设计注意事项

本节说明了工作文件夹实现的设计过程,并提供有关软件要求、部署方案、设计清单以及其他设计注意事项的信息。 请按照设计工作文件夹实施方案中的步骤创建基本清单。

关于部署远程访问基础结构的设计注意事项

本节介绍在规划部署具有基本功能的单个 Windows Server 2012 远程访问服务器的过程中必须考虑的常规事项:

  1. 规划 DirectAccess 基础结构:规划网络和服务器拓扑、防火墙设置、证书要求、DNS 和 Active Directory。

  2. 规划 DirectAccess 部署:规划客户端和服务器部署。

增强访问控制风险管理

通过 Windows Server 2012 R2,你的组织可以基于用户身份、已注册设备的身份和用户的网络位置(用户是否位于企业边界内)设置对访问公司资源的控制。 使用集成到 Web 应用程序代理的多重身份验证,IT 部门可以在用户和设备连接到公司环境时利用其他层的身份验证。

若要在 Windows Server 2012 R2 中轻松减少关于泄露用户帐户的风险,使用 Active Directory 实现多重身份验证要简单得多。 插件模型使你可以直接在 AD FS 中配置不同的风险管理解决方案。

Windows Server 2012 R2 的 AD FS 中提供大量访问控制风险管理增强功能,其中包括:

  • 基于网络位置的灵活控制,可管理用户如何进行身份验证来访问受 AD FS 保护的应用程序。

  • 灵活的策略,可确定用户是否需要基于用户的数据、设备数据和网络位置执行多重身份验证。

  • 按应用程序的控制,可忽略 SSO 并强制用户在每次访问敏感应用程序时提供凭据。

  • 灵活的按应用程序访问策略,基于用户数据、设备数据或网络位置。 AD FS Extranet 锁定使管理员可以保护 Active Directory 帐户免受来自 Internet 的暴力攻击。

  • 访问吊销,可用于 Active Directory 中禁用或删除的任何加入工作区的设备。

下图说明了用于改进访问控制风险缓解的 Active Directory 增强功能。

Windows Server 2012 R2 中的 AD 功能

关于对用户、设备和应用程序实现风险缓解和访问管理的设计注意事项

解决方案设计元素

为什么将其包含在本解决方案中?

工作区加入(由设备注册服务 [DRS] 启用)

你的组织可以通过设备身份验证和采用 SSO 的第二重身份验证实现 IT 管理。 加入工作区的设备为 IT 管理员提供对个人设备和公司设备更高级别的控制。 有关 DRS 的详细信息,请参阅跨公司应用程序从任一设备加入工作区以实现 SSO 和无缝第二重身份验证

多重身份验证

通过 Azure 多重身份验证,IT 部门可以对用户和设备应用其他层的身份验证和验证。 有关详细信息,请参阅什么是 Azure 多重身份验证?

统一的设备管理

除了安全和访问权限,IT 还需要具有一个好的策略,来从单个管理员控制台管理电脑和个人设备。 管理设备包括设置安全性和符合性设置、收集软件和硬件清单,或者部署软件。 当移动设备丢失、被盗或退出使用时,IT 还必须准备好一种解决方案来擦除存储在该设备上的公司数据,从而保护公司。

通过使用 Windows Intune 迁移到 Configuration Manager 来管理移动设备和电脑这一解决方案详细说明了统一的设备管理解决方案。

关于统一的设备管理的设计注意事项

在设计“自带设备办公 (BYOD)”和统一的设备管理基础结构(使员工可以使用自己的设备并保护公司数据)之前,解决重要的设计问题是非常关键的。

BYOD 用户和设备注意事项讨论了用于支持 BYOD 的基础结构设计。 本文档讨论的设计使用基于 Microsoft 的技术。 但是,设计选项和注意事项可应用于任何用来实现 BYOD 模型的基础结构。

若要获取列出支持移动设备管理所需的步骤的方便清单,请参阅用于移动设备管理的清单

实现本解决方案的步骤有哪些?

设置用于支持设备注册的核心基础结构

以下步骤将指导你完成设置域控制器 (AD DS)、AD FS 和设备注册服务的分步过程。

  1. 设置你的域控制器

    安装 AD DS 角色服务,并将你的计算机提升为 Windows Server 2012 R2 中的域控制器。 这会将你的 AD DS 架构升级为域控制器安装过程的一部分。 有关详细信息和分步指导,请参阅安装 Active Directory 域服务。 

  2. 安装和配置联合服务器

    可以结合使用 Active Directory 联合身份验证服务 (ADFS) 和 Windows Server 2012 R2 来构建一个联合标识管理解决方案,该解决方案可以跨越组织和平台边界将分布式标识、身份验证和授权服务扩展到基于 Web 的应用程序。 通过部署 AD FS,可将组织现有的标识管理功能扩展到 Internet。 有关详细信息和分步指导,请参阅 Windows Server 2012 R2 AD FS 部署指南

  3. 配置域注册服务

    在安装 AD FS 后,你可以在联合服务器上启用 DRS。 配置 DRS 涉及到准备 Active Directory 林以支持设备,然后启用 DRS。 有关详细信息,请参阅使用设备注册服务配置联合服务器

  4. 设置 Web 服务器和基于示例声明的应用程序来验证和测试 AD FS 和设备注册配置

    你需要设置 Web 服务器和示例声明应用程序,然后按照某些过程验证上述步骤。 按以下顺序执行步骤:

    1. 安装 Web 服务器角色和 Windows Identity Foundation

    2. 安装 Windows Identity Foundation SDK

    3. 在 IIS 中配置简单声明应用 

    4. 在联合服务器上创建信赖方信任

  5. 在 Windows 和 iOS 设备上配置并验证工作区加入

    本节提供了关于在 Windows 设备、iOS 设备上设置工作区加入的指示,以及体验对公司资源进行 SSO。

    1. 使用 Windows 设备加入工作区

    2. 使用 iOS 设备加入工作区

配置公司资源的访问权限

你需要配置文件服务工作文件夹,远程桌面服务虚拟化和远程访问。

  1. 配置 Web 应用程序代理

    本节介绍了部署 Web 应用程序代理以及通过它发布应用程序时需要执行的配置步骤。

    1.  配置 Web 应用程序代理基础结构:描述如何配置部署 Web 应用程序代理所需的基础结构。

    2. 安装和配置 Web 应用程序代理服务器:描述如何配置 Web 应用程序代理服务器,包括配置任何需要的证书、安装 Web 应用程序代理角色服务,以及将 Web 应用程序代理服务器加入到域。

    3. 使用 AD FS 预身份验证发布应用程序:描述如何使用 AD FS 预身份验证通过 Web 应用程序代理发布应用程序。

    4. 使用传递预身份验证发布应用程序:描述如何使用传递预身份验证发布应用程序。

  2. 配置工作文件夹

    最简单的工作文件夹部署是不支持通过 Internet 同步的单一文件服务器(通常称为同步服务器),这种部署对于测试实验室而言可能非常有用,也可以用作已加入域的客户端计算机的同步解决方案。 若要创建简单部署,至少需要执行以下步骤:

    1.  在文件服务器上安装工作文件夹

    2.  为工作文件夹创建安全组

    3. 为用户数据创建同步共享

    有关如何部署工作文件夹的更多详细说明,请参阅部署工作文件夹

  3. 配置并验证远程桌面服务会话虚拟化

    VDI 标准部署使你能够在单独的计算机上安装适当的角色服务。 标准部署可通过不自动创建虚拟桌面和虚拟桌面集合来提供对它们更精确的控制。

    此测试实验室将引导你完成通过执行以下操作创建会话虚拟化标准部署的过程:

    • 在单独的计算机上安装 RD 连接代理、RD 会话主机和 RD Web 访问角色服务。

    • 创建一个会话集合。

    • 针对集合中的每个 RD 会话主机服务器发布基于会话的桌面。

    • 将应用程序发布为 RemoteApp 程序。

    有关配置和验证 VDI 部署的详细步骤,请参阅远程桌面服务会话虚拟化标准部署

  4. 配置远程访问

    Windows Server 2012 将 DirectAccess 与路由及远程访问服务 (RRAS) VPN 合并到了单个远程访问角色中。 以下是部署一台具有基本设置的 Windows Server 2012 远程访问服务器所需的配置步骤。

    1. 配置 DirectAccess 基础结构:此步骤包括配置网络和服务器设置、DNS 设置和 Active Directory 设置。

    2. 配置 DirectAccess 服务器:此步骤包括配置 DirectAccess 客户端计算机和服务器设置。

    3. 验证部署:此步骤包括用于验证部署的步骤。

通过设置多重访问控制和多重身份验证配置风险管理

设置灵活、明确的按应用程序授权策略,凭此可以通过配置多重访问控制来基于用户、设备、网络位置和身份验证状态允许或拒绝访问。 通过多重身份验证在你的环境中设置其他风险管理。

  1. 配置并验证多重访问控制

    这包括以下三个步骤:

    1. 验证默认 AD FS 访问控制机制

    2. 基于用户数据配置多重访问控制策略

    3. 验证多重访问控制机制

  2. 配置并验证多重身份验证

    这包括以下三个步骤:

    1. 验证默认的 AD FS 身份验证机制 

    2. 在联合服务器上配置 MFA

    3. 验证 MFA 机制

实现统一的设备管理

为了在贵企业中设置设备管理,请按照以下步骤操作。

  1. 安装 System Center 2012 R2 Configuration Manager 控制台:在默认情况下,当你安装主站点时, Configuration Manager 控制台也会安装在主站点服务器计算机上。 在站点安装完后,可以在其他计算机上安装其他 System Center 2012 R2 Configuration Manager 控制台以管理该站点。 支持在同一台计算机上安装来自 Configuration Manager 2007 和 System Center 2012 R2 Configuration Manager 的控制台。 通过并行安装,你可以使用一台计算机管理现有 Configuration Manager 2007 基础结构以及你使用带有 System Center 2012 R2 Configuration Manager 的 Windows Intune 管理的移动设备。 但是,不能使用来自 System Center 2012 R2 Configuration Manager 的管理控制台来管理你的 Configuration Manager 2007 站点,反之亦然。 有关详细信息,请参阅安装 Configuration Manager 控制台

  2. 注册移动设备:注册操作会在用户、设备和 Windows Intune 服务之间建立关系。 用户可注册其自己的移动设备。 有关如何注册移动设备的信息,请参阅移动设备注册

  3. 管理移动设备:安装独立主站点并对其进行基本配置后,你可以开始配置移动设备的管理。 下面是你可以配置的典型操作:

    1. 若要将符合性设置应用于移动设备,请参阅 Configuration Manager 中移动设备的符合性设置

    2. 若要创建应用程序并将其部署到移动设备,请参阅如何创建和部署 Configuration Manager 中移动设备的应用程序

    3. 若要配置硬件清单,请参阅如何为 Windows Intune 和 Configuration Manager 注册的移动设备配置硬件清单

    4. 若要配置软件清单,请参阅 Configuration Manager 中的软件清单简介

    5. 若要擦除移动设备中的内容,请参阅如何使用 Configuration Manager 和 Windows Intune 管理移动设备

另请参阅

内容类型

参考

产品评估/入门

规划和设计

社区资源

相关解决方案