確保從任意地點使用任意裝置存取公司資源時的安全

  • 發行項

 

本指南可提供您哪些協助?

本指南的適用對象是誰?

本指南適用於擁有基礎結構架構設計人員、企業安全性專家及想要了解哪些解決方案可用於 IT 與「攜帶您自己的裝置 (BYOD)」個人化趨勢之裝置管理專家的傳統 IT 企業。 本指南所討論的端對端解決方案是 Microsoft Enterprise Mobility 願景的一部分。

目前裝置爆炸的趨勢 (公司擁有的裝置、個人裝置,以及使用他們的裝置來存取內部部署或雲端企業資源的消費者) 讓 IT 人員必須協助提高與裝置使用及識別有關的使用者生產力和滿意度,以及改善連線至公司資源與應用程式的體驗。 在此同時,它為 IT 組織帶來了各種管理與安全性挑戰,因為 IT 組織必須確保企業基礎結構與企業資料都能受到保護以防止被用於惡意用途。 這些公司也必須確定無論裝置類型或所在位置為何,都能夠以符合企業原則的方式存取資源。

您可以透過實作及設定來自 Windows Server 2012 R2 的不同技術來擴充您目前的基礎結構,藉以建置一個端對端解決方案來克服這些挑戰。

以下圖表說明此解決方案指南所針對的問題。 它會說明使用者如何使用他們的個人裝置與企業裝置從雲端或內部部署位置存取應用程式與資料。 這些應用程式和資源可能位於防火牆內部或外部。

裝置和應用程式的擴增與存取

在本解決方案指南中:

  • 案例、問題陳述和目標

  • 此解決方案的建議設計

  • 實作此解決方案的步驟有哪些?

案例、問題陳述和目標

本節描述範例組織的案例、問題陳述和目標。

案例

您的組織是中型銀行公司。 公司雇用超過 5000 名員工,員工會攜帶他們的個人裝置 (Windows RT 和 iOS 型裝置) 來工作。 他們目前無法從這些裝置存取公司資源。

您目前的基礎結構包括一個內有已安裝 Windows Server 2012 之網域控制器的 Active Directory 樹系。 此外,它也透過系統中心包含一部遠端存取伺服器與 System Center Configuration Manager。

問題陳述

最近由 IT 團隊向您公司的管理團隊發出的報告中顯示,有更多的使用者開始攜帶他們的個人裝置來工作並且需要存取公司資料。 管理團隊了解這個導致更多使用者攜帶自有裝置的市場趨勢,而且想要確保公司能夠實作可安全地滿足此需求的解決方案。 總之,您公司的 IT 團隊必須:

  • 讓員工能夠使用個人裝置以及公司裝置來存取公司應用程式和資料。 這些裝置包括電腦與行動裝置。

  • 依據每個使用者的需求與針對這些裝置制訂的公司政策,提供安全的資源存取方式。 使用者必須能夠毫無障礙地跨裝置工作及存取資源。

  • 識別及管理裝置。

組織目標

本指南可形成一個解決方案,用於擴充您公司的基礎結構來達到下列目標:

  • 簡化個人裝置與公司裝置註冊作業。

  • 在需要時無縫連線至內部資源。

  • 在不同裝置之間對於公司資源有一致的存取方式。

此解決方案的建議設計

若要解決其商務問題並符合所有前述目標,您的組織必須實作多個子案例。 下列插圖以集體方式來代表這些子案例。

顯示所有解決方案元件的概觀

  1. 讓使用者註冊他們的裝置並擁有單一登入體驗

  2.  設定對公司資源的無縫存取方式 

  3. 加強存取控制風險管理 

  4. 統一的裝置管理

讓使用者註冊他們的裝置並擁有單一登入體驗

解決方案的這個部分牽涉到下列重要階段。

  • IT 系統管理員可以設定裝置註冊,允許裝置與公司 Active Directory 之間建立關聯,並使用此關聯作為無縫式第二要素驗證。 工作地方聯結是 Active Directory 的一項新功能,可讓使用者在您公司的目錄中安全地註冊他們的裝置。 此註冊會佈建憑證給裝置,該憑證可在使用者存取公司資源時用來驗證裝置。 透過使用此關聯,IT 專業人員就可以設定自訂存取原則,要求使用者在存取公司資源時進行驗證及使用他們的工作地方聯結裝置。

  • IT 系統管理員可以設定從與公司的 Active Directory 關聯的裝置單一登入 (SSO)。 SSO 是讓一般使用者在存取其公司所提供的應用程式時只需要登入一次,然後不會在使用者存取其他公司應用程式時重複提示使用者登入的功能。 在 Windows Server 2012 R2 中,SSO 功能已經延伸至工作地方聯結的裝置。 這可以改善使用者體驗,同時避免讓每個應用程式儲存使用者認證的風險。 此功能還有一個額外的優點,亦即可降低有心人士蒐集個人或公司擁有裝置之密碼的機會。

下列圖表提供高階的工作地方聯結快照。

含內部部署裝置註冊的工作地方聯結

以下表格會逐一詳細說明這些功能。

解決方案設計元素

它為何包含在此解決方案中?

工作地方聯結

工作地方聯結可讓使用者在您的公司目錄中安全地註冊他們的裝置。 此註冊會佈建憑證給裝置,該憑證可在使用者存取公司資源時用來驗證裝置。 如需詳細資訊,請參閱HYPERLINK "https://technet.microsoft.com/library/dn280945.aspx" 從任何裝置加入工作地點網路,並在公司的各個應用程式提供 SSO 和無縫式的次要因素驗證

下表列出需要針對這項功能來設定的伺服器角色與技術。

解決方案設計元素

它為何包含在此解決方案中?

包含 Windows Server 2012 R2 結構描述更新的網域控制站

Active Directory 網域服務 (AD DS) 執行個體會提供一個識別目錄來驗證使用者和裝置,以及用於強制執行存取原則和集中式設定原則。 如需針對此解決方案設定目錄服務基礎結構的相關詳細資訊,請參閱將網域控制站升級至 Windows Server 2012 R2 與 Windows Server 2012

包含裝置註冊服務的 AD FS

Active Directory Federation Services (AD FS) 可讓系統管理員設定裝置註冊服務 (DRS) 及實作工作地方聯結通訊協定,以供裝置與 Active Directory 建立工作地方聯結。 此外,AD FS 已經使用 OAuth 驗證通訊協定與裝置驗證,以及包含使用者、裝置及位置條件的條件式存取控制原則來增強。 如需規劃 AD FS 設計基礎結構的相關詳細資訊,請參閱 Windows Server 2012 R2 中的 AD FS 設計指南

設定網域控制站的設計考量

對於本解決方案而言,您不需要執行 Windows Server 2012 R2 的網域控制站。 您只需要您目前的 AD DS 安裝可用的結構描述更新。 如需延伸結構描述的相關詳細資訊,請參閱安裝 Active Directory 網域服務。 您可以透過執行 Adprep.exe,在不安裝執行 Windows Server 2012 R2 之網域控制站的情況下更新現有網域控制站的結構描述。

如需新功能、系統需求及開始安裝之前需滿足之必要條件的詳細清單,請參閱AD DS 安裝先決條件驗證系統需求

AD FS 的設計考量

若要規劃 AD FS 環境,請參閱識別您的 AD FS 部署目標

設定對公司資源的無縫存取方式

現今的員工是行動式的,因此他們希望無論在任何地點都能夠存取所需的應用程式以完成工作。 公司已經採用 VPN、直接存取及遠端桌面閘道等多項策略來滿足此需求。

但是,在「攜帶您自己的裝置」世界中,這些方法並未提供許多客戶所需的安全性隔離層級。 為了協助滿足此需求,Windows Server RRAS (路由及遠端存取服務) 角色中因此包含了 Web 應用程式 Proxy 角色服務。 此角色服務可讓您選擇性發佈企業的企業營運 Web 應用程式以用於從企業網路外部存取。

工作資料夾是一個全新的檔案同步解決方案,可允許使用者將他們的檔案從公司檔案伺服器同步到他們的裝置。 此同步作業是使用以 HTTPS 為基礎的通訊協定。 這可以讓您很容易地透過 Web 應用程式 Proxy 發佈。 這表示使用者現在可以從內部網路和網際網路執行同步作業。 這也表示可以套用之前描述的相同 AD FS 型驗證與授權控制項來同步企業檔案。 然後會將檔案儲存在裝置上經過加密的位置。 然後可以基於管理目的在裝置取消註冊時選擇性移除這些檔案。

DirectAccess 與路由及遠端存取服務 (RRAS) VPN 已在 Windows Server 2012 R2 中合併為單一遠端存取角色。 這個新的遠端存取伺服器角色可以集中管理、設定以及監視 DirectAccess 以及 VPN 式遠端存取服務。

Windows Server 2012 R2 提供虛擬桌面基礎結構 (VDI),可讓您組織內的 IT 人員自由選擇個人化與集區虛擬 (VM) 型桌面,以及工作階段型桌面。 它也根據 IT 需求,為 IT 提供數個儲存選項。

下圖說明您可以實作以確保可無障礙存取公司資源的技術。

存取和資訊保護解決方案

規劃存取公司資源

解決方案設計元素

它為何包含在此解決方案中?

Web 應用程式 Proxy

可在使用者連線至資源時允許發佈公司資源,包括多重要素驗證和強制使用條件式存取原則。 如需詳細資訊,請參閱 Web 應用程式 Proxy 部署指南

工作資料夾 (檔案伺服器) 

在企業環境中設定為允許同步檔案至使用者裝置之檔案伺服器上的集中位置。 工作資料夾可以透過反向 Proxy 或透過強制使用條件式存取原則的 Web 應用程式 Proxy 來直接發佈。 如需詳細資訊,請參閱工作資料夾概觀

遠端存取

這個新的遠端存取伺服器角色可以集中管理、設定以及監視 DirectAccess 以及 VPN 式遠端存取服務。 另外,Windows Server 2012 DirectAccess 提供多種更新和功能改良,可以解決部署障礙問題,還能簡化管理流程。 如需詳細資訊,請參閱 802.1 X 驗證無線存取概觀

VDI

VDI 可讓您的組織為員工提供他們可透過在公司資料中心內部執行的基礎結構 (遠端桌面連線代理人、遠端工作階段桌面主機,以及遠端桌面 Web 存取角色服務),從其個人裝置與公司裝置以及從內部網路與外部位置來存取的企業桌面與應用程式。 如需詳細資訊,請參閱虛擬桌面基礎結構

部署 Web 應用程式 Proxy 的設計考量

本節提供部署 Web 應用程式 Proxy 並透過它發佈應用程式時所需之規劃步驟的簡介。 這個案例說明可用的預先驗證方法,包含使用 AD FS 進行驗證和授權,可讓您受益於 AD FS 功能,包括工作地方聯結、多重要素驗證 (MFA) 及多重要素存取控制。規劃透過 Web Application Proxy 發行應用程式中詳細說明這些規劃步驟。

部署工作資料夾的設計考量

本節說明工作資料夾實作的設計程序,並提供軟體需求、部署案例、設計檢查清單,以及其他設計考量的相關資訊。 請依照設計工作資料夾實作中的步驟建立基本檢查清單。

部署遠端存取基礎結構的設計考量

本節說明在規劃部署具備基本功能的單一 Windows Server 2012 遠端存取伺服器時必須列入的一般考量:

  1. 規劃 DirectAccess 基礎結構:規劃網路與伺服器拓撲、防火牆設定、憑證需求、DNS 及 Active Directory。

  2. 規劃 DirectAccess 部署:規劃用戶端與伺服器部署。

加強存取控制風險管理

有了 Windows Server 2012 R2,您的組織就可以根據使用者的身分識別、已註冊裝置的識別,以及使用者的網路位置 (使用者是否在公司內) 來設定公司資源存取控制。 使用已整合至 Web 應用程式 Proxy 的多重要素驗證之後,IT 就可以在使用者與裝置連線至企業環境時,使用驗證的額外層級。

為了能夠很容易地降低與盜用使用者帳戶有關的風險,Windows Server 2012 R2 可以使用 Active Directory 來以更簡單的方式實作多重要素驗證。 外掛程式模型可讓您直接在 AD FS 中設定不同的風險管理方案。

Windows Server 2012 R2 的 AD FS 中提供許多存取控制風險管理增強功能,包括下列幾項:

  • 在使用者存取受 AD FS 保護的應用程式時,依據網路位置管理使用者驗證方式的彈性化控制項。

  • 依據使用者的資料、裝置資料及網路位置判斷使用者是否需要執行多重要素驗證的彈性化原則。

  • 忽略 SSO 並強制使用者在每次存取機密的應用程式時提供認證的針對應用程式控制項。

  • 以使用者資料、裝置資料或網路位置為依據的彈性化針對應用程式存取原則。 可讓系統管理員保護 Active Directory 帳戶避免受到來自網際網路之暴力密碼破解攻擊的 AD FS 外部網路鎖定。

  • Active Directory 中已停用或已刪除之工作地方聯結裝置的存取權撤銷。

以下圖表說明可改善存取控制風險降低的 Active Directory 增強功能。

Windows Server 2012 R2 中的 AD 功能

實作使用者、裝置及應用程式的風險降低與存取管理的設計考量

解決方案設計元素

它為何包含在此解決方案中?

工作地方聯結 (由裝置註冊服務 [DRS] 啟用)

您的組織可以實作使用 SSO 執行裝置驗證與第二要素驗證的 IT 管理。 工作地方聯結裝置提供 IT 系統管理員更高的個人裝置和公司裝置控制層級。 如需 DRS 詳細資訊,請參閱從任何裝置加入工作地點網路,並在公司的各個應用程式提供 SSO 和無縫式的次要因素驗證

多重要素驗證

透過 Azure 多重要素驗證,IT 就可以套用使用者與裝置的額外層級驗證。 如需詳細資訊,請參閱什麼是 Azure Multi-Factor Authentication?

統一的裝置管理

除了安全性與存取權之外,IT 需要一個良好的策略,從單一系統管理員主控台管理電腦和個人裝置。 管理裝置包含設定安全性和相容性設定、蒐集軟體和硬體清查,或者部署軟體。 IT 也必須有在行動裝置遺失、遭竊或停止使用時清除行動裝置上儲存之公司資料以保護公司的解決方案。

使用 Windows Intune 移轉至 Configuration Manager 以管理行動裝置和電腦解決方案中詳細說明統一的裝置管理解決方案。

統一的裝置管理的設計考量

請務必先解決重要的設計問題,然後再設計可讓員工使用他們自己的裝置的「攜帶您自己的裝置 (BYOD)」與「統一的裝置管理」基礎結構,並保護公司資料。

BYOD 使用者和裝置考量中討論支援 BYOD 的基礎結構設計。 這份文件中討論的設計是使用以 Microsoft 為基礎的技術。 但是,設計選項與考量可以套用至使用 BYOD 模型的任何基礎結構。

如需列出支援行動裝置管理所需之步驟的檢查清單,請參閱行動裝置管理的檢查清單

實作此解決方案的步驟有哪些?

設定核心基礎結構來啟用裝置註冊功能。

下列步驟會帶您逐步設定網域控制站 (AD DS)、AD FS 及裝置註冊服務。

  1. 設定您的網域控制站

    安裝 AD DS 角色服務並將您的電腦升級為 Windows Server 2012 R2 中的網域控制站。 這將會升級您的 AD DS 結構描述,做為網域控制站安裝的一部分。 如需詳細資訊與逐步指示,請參閱安裝 Active Directory 網域服務。 

  2. 安裝及設定同盟伺服器

    您可以使用 Active Directory Federation Services (AD FS) 搭配 Windows Server 2012 R2 來建立可將分散式的識別、驗證及授權服務延伸至跨組織與平台界限之網頁應用程式的同盟識別身分管理解決方案。 透過部署 AD FS,您就可以將組織現有的識別身分管理功能延伸至網際網路。 如需詳細資訊與逐步指示,請參閱 Windows Server 2012 R2 AD FS 部署指南

  3. 設定網域註冊服務

    在您安裝 AD FS 之後,您就可以在您的同盟伺服器上啟用 DRS。 設定 DRS 的作業內容包括準備您的 Active Directory 樹系以支援裝置,然後啟用 DRS。 如需詳細指示,請參閱使用裝置註冊服務設定同盟伺服器

  4. 設定網頁伺服器和宣告式應用程式範例,以驗證及測試 AD FS 與裝置註冊設定。

    您必須設定網頁伺服器與宣告應用程式範例,然後依照特定程序來驗證上述步驟。 依照以下順序執行步驟:

    1. 安裝網頁伺服器角色與 Windows Identity Foundation

    2. 安裝 Windows Identity Foundation SDK

    3. 在 IIS 中設定簡單宣告應用程式 

    4. 在您的同盟伺服器建立信賴憑證者信任

  5. 在 Windows 和 iOS 裝置上設定及驗證工作地方聯結

    本節提供設定 Windows 裝置與 iOS 裝置的工作地方聯結的指示,以及體驗對公司資源執行 SSO。

    1. 將 Windows 裝置加入工作地點網路

    2. 將 iOS 裝置加入工作地點網路

設定存取公司資源

您必須設定檔服務服務工作資料夾、遠端桌面服務虛擬化,以及遠端存取。

  1. 設定 Web 應用程式 Proxy

    本節提供部署 Web 應用程式 Proxy 並透過它發佈應用程式時所需之設定步驟的簡介。

    1.  設定 Web 應用程式 Proxy 基礎結構:描述如何設定部署 Web 應用程式 Proxy 所需的基礎結構。

    2. 安裝和設定 Web 應用程式 Proxy 伺服器:描述如何設定 Web 應用程式 Proxy 伺服器,包括設定任何所需的憑證、安裝 Web 應用程式 Proxy 角色服務,以及將 Web 應用程式 Proxy 伺服器加入網域。

    3. 使用 AD FS 預先驗證發佈應用程式:說明如何使用 AD FS 預先驗證透過 Web 應用程式 Proxy 發佈應用程式。

    4. 使用傳遞預先驗證發佈應用程式:描述如何使用傳遞預先驗證發佈應用程式。

  2. 設定工作資料夾

    最簡單的工作資料夾部署是單一檔案伺服器 (通常稱為同步伺服器),但不支援透過網際網路同步,這對於測試實驗室是實用的部署,或者可以做為加入網域之用戶端電腦的同步解決方案。 若要建立簡單部署,至少需要遵循下列幾個步驟:

    1.  在檔案伺服器上安裝工作資料夾

    2.  建立工作資料夾的安全性群組

    3. 建立使用者資料的同步共用

    如需如何部署工作資料夾的其他相關詳細指示,請參閱部署工作資料夾

  3. 設定及驗證遠端桌面服務工作階段虛擬化

    VDI 標準部署讓您能夠在個別電腦上安裝適當的角色服務。 標準部署不會自動建立虛擬桌面和虛擬桌面集合,所以能夠更精確地控制它們。

    這個測試實驗室將引導您執行下列動作,以逐步完成建立工作階段虛擬化標準部署的程序:

    • 在個別電腦上安裝 RD 連線代理人、RD 工作階段主機及 RD Web 存取角色服務。

    • 建立工作階段集合。

    • 針對集合中的每個 RD 工作階段主機伺服器發佈以工作階段為基礎的桌面。

    • 將應用程式發佈為 RemoteApp 程式。

    若要了解設定及驗證 VDI 部署的詳細階段,請參閱遠端桌面服務工作階段虛擬化標準部署

  4. 設定遠端存取

    Windows Server 2012 將 DirectAccess 以及「路由及遠端存取服務」(RRAS) VPN 合併成一個遠端存取角色。 以下為部署具備基本設定之單一 Windows Server 2012 遠端存取伺服器所需的設定步驟。

    1. 設定 DirectAccess 基礎結構:這個步驟包括設定網路和伺服器設定、DNS 設定,以及 Active Directory 設定。

    2. 設定 DirectAccess 伺服器:此步驟包括設定 DirectAccess 用戶端電腦與伺服器設定。

    3. 檢查部署:這個步驟包括驗證部署的步驟。

透過設定多重要素存取控制與多重要素驗證來設定風險管理

針對應用程式設定彈性且易懂的授權原則,您可以據此設定多重要素存取控制,以依照使用者、裝置、網路位置及驗證狀態來允許或拒絕存取。 使用多重要素驗證在您的環境中設定額外的風險管理。

  1. 設定及驗證多重要素存取控制

    這牽涉到下列三個步驟:

    1. 驗證預設的 AD FS 存取控制機制

    2. 根據使用者資料設定多重要素存取控制原則

    3. 驗證多重要素存取控制機制

  2. 設定及驗證多重要素驗證

    這牽涉到下列三個步驟:

    1. 驗證預設的 AD FS 驗證機制 

    2. 在同盟伺服器上設定 MFA

    3. 驗證 MFA 機制

實作統一的裝置管理

依據下列步驟在您的企業中設定裝置管理。

  1. 安裝 System Center 2012 R2 Configuration Manager 主控台:依照預設,當您安裝主要站台時,也會在主要站台伺服器電腦上安裝 Configuration Manager 主控台。 站台安裝後,您可以在其他電腦上安裝其他的 System Center 2012 R2 Configuration Manager 主控台來管理站台。 在支援的相同電腦上安裝 Configuration Manager 2007 與 System Center 2012 R2 Configuration Manager 的主控台。 並排顯示安裝可讓您使用單一電腦來管理現有的 Configuration Manager 2007 基礎結構和您計劃搭配 System Center 2012 R2 Configuration Manager 使用 Windows Intune 的行動裝置。 但是,您無法使用 System Center 2012 R2 Configuration Manager 的管理主控台來管理您的 Configuration Manager 2007 站台,反之亦然。 如需詳細資訊,請參閱安裝 Configuration Manager 主控台

  2. 註冊行動裝置:註冊程序會在使用者、裝置和 Windows Intune 服務之間建立關聯性。 使用者會註冊自己的行動裝置。 如需有關如何註冊行動裝置的相關資訊,請參閱行動裝置註冊

  3. 管理行動裝置:在您安裝好獨立的主要站台並做好基本設定之後,您就可以開始設定行動裝置管理。 下列為您可能設定的一般動作:

    1. 若要將相容性設定套用到行動裝置,請參閱 Configuration Manager 中的行動裝置相容性設定

    2. 若要建立及部署應用程式至行動裝置,請參閱如何在 Configuration Manager 中建立和部署行動裝置的應用程式

    3. 若要設定硬體清查,請參閱如何為 Microsoft Intune 和 Configuration Manager 註冊的行動裝置設定硬體清查

    4. 若要設定軟體清查,請參閱 Configuration Manager 中的軟體清查簡介

    5. 若要清除行動裝置的內容,請參閱使用 Configuration Manager 和 Microsoft Intune 管理行動裝置

另請參閱

內容類型

參考

產品評估/開始使用

規劃與設計

社群資源

相關的解決方案