En av de største trendene i IT i dag er at Bring Your Phone Device trend. Med mindre du har bodd under en stein, vet du at brukerne er krevende å være i stand til å få tilgang til bedriftens ressurser fra personlige forbrukerelektronikk. Videre forventer de tilgang enten de arbeider på premisset på kontoret, eller eksternt.
Tydeligvis denne trenden presenterer noen betydelige utfordringer for IT-ansatte som lenge har hatt monopol på enheten klargjøring. IT-eksperter må håndtere alt fra Wi-Fi metning (relatert til et stadig økende antall enheter), IP-adresse uttømming, og en hel haug med autentisering og tilgangskontroll problemer
En av Microsoft ’ s. Målene i lage Windows Server 2012 R2 var å gi administratorer noen verktøy som de kan bruke til å takle Bring Your Own Device trend. En av de mest nyttige av disse verktøyene er noe som kalles arbeidsplass delta. I denne artikkelserien, vil jeg forklare hva arbeidsplassen delta funksjonen er, hvorfor det er nyttig, og hvordan du kan implementeres i egen organisasjon.
Nøkkelen til å forstå arbeidsplassen delta funksjoner nytten er å forstå litt litt om historien til Active Directory. Active Directory faktisk ble designet på 1990-tallet, og det gjorde sin debut med Windows 2000. Som sådan, ble Active Directory født i en tid da PCer var i utgangspunktet det eneste spillet i byen. På den tiden det weren ’ t noen tabletter eller smarttelefoner (i hvert fall ikke slik de foreligger i dag) så tanken på å la andre enheter enn PC-er til å bli et Active Directory-domene sannsynligvis aldri selv krysset designteamet ’. S sinn
Selvfølgelig er dette reiser spørsmålet om hvorfor domenemedlems selv saker. Når en PC er koblet til en Active Directory-domene, er en datamaskinkonto opprettet i Active Directory databasen. Denne datamaskinen kontofunksjoner svært likt en brukerkonto. Det identifiserer og godkjenner den tilsvarende datamaskin.
Når en bruker logger inn i Active Directory, ser Windows på både brukernavn og navnet på datamaskinen. Forutsatt at brukeren er autentisert vellykket, henter Windows brukerens spesifikke og datamaskinen bestemt gruppe policyinnstillinger og kombinerer dem i effektiv politikk for brukerøkten. Med andre ord, er konsernets policy basert sikkerhet knyttet både for brukeren og til den enheten som de bruker.
bruk Konsernets policy er langt fra å være den eneste begrunnelsen for å bli en datamaskin til Active Directory. Det finnes en rekke ulike verktøy som krever domene medlemskap for å fungere. Likevel, la ’ s snakk om gruppepolicybasert sikkerhets litt mer
Problemet med å tillate en bruker å logge inn fra en ikke-domene sluttet enheten er at enhetsnivå sikkerhetspolitikk er ikke søkt.. Flere år siden, begynte Microsoft å innse at dette var et problem og faktisk laget en versjon av Windows Mobile for å støtte domeneregistrering.
Domain påmelding var litt annerledes enn en sann domene sluttet. Uten å komme inn alle de kjedelige detaljer, den største forskjellen var at domene påmelding ble rettet mot smarttelefoner. Fordi smarte telefoner ikke var kjører ekte desktop operativsystemer, det store flertallet av gruppepolicyinnstillinger som vanligvis brukes på enheter var irrelevant. Samtidig er det imidlertid visse sikkerhetsinnstillinger som er spesifikke for mobile enheter som don ’ t vises i en standard group policy. At det å være tilfelle, melde en Windows Mobile-enhet inn i Active Directory tillatt enheten til å delta i Active Directory-domene, og latt den få et sett av Windows Mobile spesifikk sikkerhetspolitikk.
Til slutt begrepet domene melde en smart telefon gikk bort. Konseptet gjaldt bare for Windows Mobile-enheter, som gjorde det uegnet for globale mobile enhetsbehandling. Omsider imidlertid Microsoft rullet den teknologien som opprinnelig ble brukt for domenet påmelding til andre teknologier som Windows ActiveSync og Windows Intune.
I dag, Windows ActiveSync og lignende teknologier gjør det mulig å søke sikkerhetspolicyer for en rekke mobile enheter. Omtrent hver smart telefonen støtter ActiveSync politikk uavhengig av produsent. Det er forskjeller i graden av støtte fordi ikke alle modell av smart-telefonen støtter alle tilgjengelige ActiveSync politikk, men ActiveSync har gitt en noe konsistent måte for administratorer å sikre forbruker enheter.
Til tross for disse funksjonene, forbruker enheter som er sikret med ActiveSync ikke virkelig delta i Active Directory. Enheter er ikke domene sluttet, de er heller ikke Active Directory registrert.
Dette handler om å endre på Windows Server 2012 R2. Microsoft introduserer en ny funksjon kalt arbeidsplass delta. Arbeidsplass delta kan være tenkt som en neste generasjons alternativ til å bli med en PC til Active Directory. Snarere enn en administrator å klargjøre en PC for domenet medlemskap, arbeidsplassen delta funksjonen lar sluttbrukere til selv klargjort mobile enheter på en sikker måte.
Arbeidsplassen delta funksjonen er basert på Active Directory Federation Service, som i hovedsak fungerer som en autentisering og tilgangskontroll mekanisme for sluttbruker enheter.
Selv om en arbeidsplass delta fungerer annerledes enn en eldre domene sluttet, sluttbruker enheter bli sanne Active Directory medlemmer. Når en sluttbruker blir en enhet til et domene, oppretter Windows Server en Active Directory objekt for enheten. Dette objektet er knyttet til brukerkontoen for brukeren som eier enheten. Videre er et spesielt sertifikat installert på den mobile enheten, og sertifikatet er tilknyttet enhetene objekt i Active Directory. Dette gjør at enheten skal positivt identifisert.
Så med dette i tankene, er du kanskje lurer på om fordelene ved å tillate sluttbrukere å bli med enheter til Active Directory ved hjelp av en arbeidsplass delta. Tross alt, kan grunnleggende sikkerhet implementeres gjennom ActiveSync-politikk, så hva gjør arbeidsplassen delta funksjonen bringe til bordet at ActiveSync politikk ikke?
Det finnes en rekke ulike fordeler ved å bruke arbeidsplassen delta. I ’ m kommer til å vente med å dekke noen av disse fordelene til litt senere i serien når jeg har vist deg hvordan du distribuerer den nødvendige infrastrukturen. For akkurat nå skjønt, det er tre primære fordeler som jeg vil dele med deg.
Den første fordelen er single sign-on. Brukere er i stand til å få tilgang til ulike bedriftens ressurser uten å autentisere separat for hver ressurs.
Den andre fordelen er at det gir sluttbrukerne fleksibilitet til å bruke den enheten de vil, men det fortsatt gjør at IT-avdelingen til holder seg til etablerte sikkerhetspolitikk. I ’. Ll snakke mye mer om dette, som serien utvikler
Den tredje fordelen, og dette er en stor sak, er at en administrator kan betinget gi brukere tilgang til ressurser. For å gi deg et raskt eksempel på hvordan dette kan fungere, la ’ s forestille seg at fordi jeg er en Microsoft MVP jeg hadde noen alvorlig skjevhet mot iPad, og ønsker ikke å la noen tilgang til nettverksressurser fra en iPad. Det ville faktisk være mulig å sette en policy på plass som ville tillate en bruker til å få tilgang til visse ressurser fra en PC, en Surface Tablet, eller kanskje til og med en Windows Phone, men ikke fra en iPad.
Dette er åpenbart en latterlig situasjon som kan trolig aldri bli rettferdiggjort i det virkelige liv, men jeg kastet den ut der for å understreke poenget at administratoren slutt har kontroll over enhetsbruk. Hvis som administrator er det visse typer enheter som du anser for å være usikker (eller at du ikke ønsker å støtte) kan du begrense tilgangen for de enhetstyper. Du kan blokkere tilgangen helt, eller du kan begrense tilgangen til visse ressurser.
Konklusjon
Forhåpentligvis nå du får ideen om at arbeidsplassen delta er en svært kraftig ny funksjon. I neste artikkel i denne serien, vil jeg begynne å vise deg hvordan å forberede for denne nye funksjonen. Anmeldelser