W systemie Windows Server 2012 R2 pojawiła się nowa funkcjonalność, która umożliwia rejestrację osobistych urządzeń mobilnych użytkowników w domenie Active Directory. Nowa funkcja Dołącz do miejsca pracy (lub Połączenie z miejscem pracy) to kompromis między połączeniem z zasobami sieci korporacyjnej z całkowicie „niezarządzanego” urządzenia a pełną kontrolą nad komputerem poprzez włączenie go do domeny AD (tzn. urządzenie klienckie było kiedyś w domenie Windows lub nie). Łączenie w miejscu pracy to skrzyżowanie dwóch skrajności..
Po zarejestrowaniu urządzeń (komputerów osobistych, smartfonów i tabletów użytkowników) w sieci firmowej za pośrednictwem Workplace Join, administratorzy mają możliwość kontrolowania dostępu tych urządzeń do różnych zasobów korporacyjnych. Jednak w przeciwieństwie do „klasycznych” maszyn domenowych zasady grupy, które kontrolują konfigurację i ustawienia zabezpieczeń komputerów, nie będą działać na urządzeniach mobilnych. Tj. administrator sieci nie może zarządzać ustawieniami urządzenia mobilnego.
Kluczowe funkcje dołączania do miejsca pracy
- Zapewnienie dostępu do zasobów korporacyjnych z osobistych urządzeń mobilnych pracowników (wdrożenie koncepcji BYOD - przynieś własne urządzenie)
- Zdolność do dynamicznej kontroli dostępu do zasobów korporacyjnych nie tylko w zależności od uprawnień konta użytkownika, ale także od rodzaju używanego przez niego urządzenia
- Wdrożenie SSO (Single-Sign-On) i mechanizmów uwierzytelniania wieloskładnikowego (na podstawie certyfikatu wydanego urządzeniu)
Miejsce pracy Dołącz do architekta
Łączenie w miejscu pracy wymaga kontrolera domeny z systemem Windows Server 2012 R2 z zainstalowaną rolą Usług certyfikatów, a schemat AD musi zostać rozszerzony do systemu Windows Server 2012 R2.
Kolejnym kluczowym komponentem Workplace Join jest usługa rejestracji urządzeń. DRS (usługa rejestracji urządzeń). Ta funkcja jest jednym ze składników roli federacji Active Directory (ADFS) w systemie Windows Server 2012 R2.
Ponadto wymagany jest serwer sieci Web IIS z zainstalowaną rolą. Windows Identity Foundation.
DRS odpowiada za rejestrację konta urządzenia i uwierzytelnienie go w usłudze Active Directory. Po uwierzytelnieniu administrator może kontrolować dostęp użytkownika mobilnego do zasobów sieci korporacyjnej, używać tego uwierzytelnienia jako drugiego czynnika uwierzytelniającego (w przypadku uwierzytelniania wieloskładnikowego), a użytkownik w sposób przejrzysty (używając jednokrotnego logowania, bez podawania hasła dla każdej usługi korporacyjnej) korzysta z zasobów sieciowych.
Podczas instalacji klienta Workplace Join na urządzeniu mobilnym użytkownik musi podać firmowy adres e-mail i hasło dostępu do domeny (oczywiście użytkownik musi mieć konto w domenie Active Directory). Podczas rejestrowania urządzenia mobilnego przez Workplace Join, DRS tworzy nowy obiekt w Active Directory (np urządzenie MSDS), który jest powiązany poprzez potwierdzenie z dokumentacją naukową użytkownika - właściciela urządzenia. Certyfikat jest zainstalowany na urządzeniu mobilnym użytkownika użytkownik @ urządzenie, który jest powiązany z obiektem tego urządzenia w AD. W ten sposób „własność” użytkownika przez określone urządzenie jest potwierdzona i jest uznawana za zaufaną. W przyszłości to zaufane urządzenie może być używane do uwierzytelniania wieloskładnikowego bez karty inteligentnej lub tokena sprzętowego.
Obiekt typu „urządzenie” jest tworzony w specjalnym kontenerze Active Directory - Zarejestrowane urządzenia.
Po rejestracji w sieci użytkownik może zacząć korzystać z zasobów sieci korporacyjnej.
Cała procedura dla użytkownika końcowego wygląda niezwykle prosto i przejrzyście..
Mobilne miejsce pracy Dołącz do klienta
Aby obsługiwać przyłączenie do miejsca pracy na klientach, klient musi być zainstalowany na urządzeniu końcowym. Istnieje wersja klienta Dołącz do miejsca pracy dla:
- Windows 8.1 i Windows RT 8.1 (wbudowany klient)
- Apple iOS (klienta na iPhone'a i iPada można zainstalować za pośrednictwem AppStore)
Klient Workplace Join na urządzenia z Androidem jest obecnie w fazie rozwoju. Obsługa systemu Windows Phone nie jest jeszcze zaplanowana.
Skonfiguruj dołączenie do miejsca pracy w systemie Windows 8.1
Aby zarejestrować się w sieci za pomocą narzędzia Workplace Join w systemie Windows 8.1, w ustawieniach połączeń w sekcji Sieć pojawiła się osobna karta Miejsce pracy. Aby połączyć się z siecią korporacyjną, wpisz nazwę użytkownika (w formacie [email protected]) i kliknij Dołącz.
Po wprowadzeniu hasła użytkownika w domenie pojawi się komunikat informacyjny:
To urządzenie dołączyło do sieci w miejscu pracy
Uwaga. Możliwość posiadania zawsze pod ręką własnych plików roboczych przechowywanych na serwerze korporacyjnym, z możliwością automatycznej synchronizacji zmian, jest zaimplementowana w usłudze Foldery robocze, którą zbadaliśmy wcześniej. Taki dostęp można wdrożyć przez Internet lub przy użyciu przyłączenia do miejsca pracy.
