Преглед на технологиите за присъединяване към работното място в Windows Server 2012 R2

В Windows Server 2012 R2 се появи нова функционалност, която предоставя възможност за регистриране на лични мобилни устройства на потребители в домейна на Active Directory. Нова функция Присъединете се към работното място (или Връзка с работното място) е компромис между свързване към ресурсите на корпоративната мрежа от напълно „неуправляемо” устройство и пълен контрол над компютъра, като го включите в AD домейна (тоест клиентското устройство, използвано или в домейна на Windows). Присъединяването към работното място е кръстоска между двете крайности..

След като регистрират устройства (персонални компютри, смартфони и таблети на потребители) в корпоративната мрежа чрез Workplace Join, администраторите получават възможност да контролират достъпа на тези устройства до различни корпоративни ресурси. Въпреки това, за разлика от „класическите“ домейни, груповите политики, които контролират настройките за конфигурация и сигурност на компютрите, няма да действат на мобилни устройства. Т.е. мрежовият администратор не може да управлява настройките на мобилното устройство.

Основни функции за присъединяване към работното място

  • Предоставяне на достъп до корпоративни ресурси от лични мобилни устройства на служители (внедряване на концепцията BYOD - Донесете собствено устройство)
  • Възможността за динамичен контрол на достъпа до корпоративните ресурси не само в зависимост от правата на потребителския акаунт, но и от вида на използваното от него устройство
  • Внедряване на SSO (Single-Sign-On) и механизми за многофакторна автентификация (въз основа на сертификата, издаден на устройството)

Присъединете се към архитекта на работното място

Технологията Workplace Join изисква контролер на домейн с Windows Server 2012 R2 с инсталирана роля на Сертификатните услуги, а схемата AD трябва да бъде разширена до Windows Server 2012 R2.

Следващият ключов компонент на Workplace Join е услугата за записване на устройството. DRS (Услуга за регистрация на устройства). Тази функция е един от компонентите на ролята на Федерацията за активна директория (ADFS) в Windows Server 2012 R2.

Освен това е необходим IIS уеб сървър с инсталирана роля. Фондация за идентичност на Windows.

DRS отговаря за регистрирането на акаунт на устройство и удостоверяването му в Active Directory. След удостоверяване, администраторът може да контролира достъпа на мобилния потребител до ресурсите на корпоративната мрежа, да използва това удостоверяване като втори фактор за удостоверяване (за многофакторно удостоверяване), а потребителят прозрачно (използва SSO, без да въвежда паролата си за всяка корпоративна услуга) да използва мрежови ресурси.

Когато инсталира клиентът Workplace Join на мобилно устройство, потребителят трябва да посочи корпоративния имейл и парола за достъп до домейна (естествено, потребителят трябва да има акаунт в домейна на Active Directory). Когато регистрира мобилно устройство чрез Workplace Join, DRS създава нов обект в Active Directory (като например MSDS-Device), която е свързана чрез потвърждение с научния запис на потребителя - собственика на устройството. На мобилното устройство на потребителя е инсталиран сертификат потребител @ устройство, което е свързано с обекта на това устройство в AD. По този начин „собствеността“ на потребителя от конкретно устройство се потвърждава и то се разпознава като доверено. В бъдеще това надеждно устройство може да се използва за многофакторна автентификация без смарт карта или хардуерен маркер.

Обект от тип "устройство" се създава в специален контейнер Active Directory  - RegisteredDevices.

След като се регистрира в мрежата, потребителят може да започне да използва ресурсите на корпоративната мрежа.

Цялата процедура за крайния потребител изглежда изключително проста и прозрачна..

Присъединете се към клиента на работното място

За да поддържате Workplace Join на клиенти, клиентът трябва да бъде инсталиран на крайното устройство. Има клиентска версия Workplace Join за:

  • Windows 8.1 и Windows RT 8.1 (вграден клиент)
  • Apple iOS (клиент за iPhone и iPad може да бъде инсталиран чрез AppStore)

Клиентът Workplace Join за устройства с Android в момента се разработва. Поддръжката на Windows Phone все още не е планирана.

Конфигуриране на присъединяване към работното място в Windows 8.1

За да се регистрирате в мрежата чрез Workplace Join в Windows 8.1, в настройките за връзки в секцията Мрежа се появи отделен раздел на работното място. За да се свържете с корпоративната мрежа, просто въведете потребителското име (във формата [email protected]) и щракнете  Присъединете се.


След въвеждане на потребителската парола в домейна, ще се появи информационно съобщение:

Това устройство се присъедини към мрежата на работното ви място

забележка. Възможността винаги да имате под ръка собствените си работни файлове, съхранявани на корпоративен сървър, с възможност за автоматично синхронизиране на промените, се прилага в услугата Work Folders, която разгледахме по-рано. Такъв достъп може да бъде реализиран чрез Интернет или с помощта на Workplace Join.