A Windows Server 2012 R2 rendszerben megjelent egy új funkció, amely lehetővé teszi a felhasználók személyes mobil eszközének regisztrálását az Active Directory tartományban. Új szolgáltatás Munkahelyi csatlakozás (vagy Kapcsolat a munkahelyen) egy kompromisszum a vállalati hálózat erőforrásaihoz való csatlakozáshoz egy teljesen „nem kezelt” eszközről és a számítógép teljes ellenőrzése között azáltal, hogy beilleszti azt az AD tartományba (vagyis az ügyfél eszköz volt a Windows tartományban, vagy sem). Munkahelyi csatlakozás a két szélsőség közötti kereszt..
Miután az eszközöket (személyi számítógépeket, okostelefonokat és a felhasználók táblagépeit) regisztrálták a vállalati hálózaton a Workplace Join szolgáltatáson keresztül, a rendszergazdák lehetőséget kapnak arra, hogy ellenőrizzék ezen eszközök hozzáférését a különféle vállalati erőforrásokhoz. A "klasszikus" domain gépektől eltérően azonban a számítógépek konfigurációját és biztonsági beállításait ellenőrző csoportszabályok nem működnek a mobil eszközökön. Ie a hálózati rendszergazda nem tudja kezelni a mobil eszköz beállításait.
Fő munkahelyi csatlakozási szolgáltatások
- A vállalati erőforrásokhoz való hozzáférés biztosítása az alkalmazottak személyes mobil eszközeiből (a BYOD koncepció megvalósítása - Hozd el saját eszközét)
- Az a képesség, hogy a vállalati erőforrásokhoz való hozzáférést dinamikusan ellenőrizze, nemcsak a felhasználói fiók jogaitól, hanem az általuk használt eszköz típusától is
- SSO (egyszeri bejelentkezés) és több tényezős hitelesítési mechanizmusok megvalósítása (az eszközre kiadott tanúsítvány alapján)
Munkahelyi csatlakozás építészhez
A Munkahelyi Csatlakozás technológiához olyan tartományvezérlőre van szükség, ahol a Windows Server 2012 R2 telepítve van a Tanúsítási szolgáltatások szerepkörrel, és az AD sémát ki kell terjeszteni a Windows Server 2012 R2 rendszerre..
A Workplace Join következő kulcsfontosságú eleme az eszköz beiratkozási szolgáltatás. DRS (eszköz regisztrációs szolgáltatás). Ez a szolgáltatás az Active Directory Federation (ADFS) szerepének egyik összetevője a Windows Server 2012 R2-ben.
Ezen felül szükség van egy telepített szerepkörrel rendelkező IIS webszerverre. Windows Identity Foundation.
A DRS felelős az eszközfiók regisztrálásáért és az Active Directory hitelesítéséért. A hitelesítés után az adminisztrátor ellenőrizheti a mobil felhasználó hozzáférését a vállalati hálózati erőforrásokhoz, ezt a hitelesítést második hitelesítési tényezőként (többtényezős hitelesítéshez), és a felhasználót átlátható módon (SSO használatával, minden vállalati szolgáltatáshoz a jelszó megadása nélkül) használja a hálózati erőforrásokhoz.
A Workplace Join kliens mobilkészülékre történő telepítésekor a felhasználónak meg kell adnia a domain eléréséhez szükséges vállalati e-mailt és jelszót (természetesen a felhasználónak rendelkeznie kell egy fiókkal az Active Directory tartományban). Amikor egy mobil eszközt regisztrál a Munkahelyi Csatlakozáson keresztül, a DRS új objektumot hoz létre az Active Directory-ban (például: msDS-Device), amely megerősítés útján kapcsolódik a felhasználó - az eszköz tulajdonosa - tudományos nyilvántartásához. A tanúsítvány telepítve van a felhasználó mobil eszközére felhasználói @ eszköz, amely az eszköz eszközhöz van társítva az AD-ben. Így a felhasználó egy adott eszköz "tulajdonjogát" megerősíti, és megbízhatónak ismeri el. A jövőben ezt a megbízható eszközt intelligens kártya vagy hardver token nélkül több tényezős hitelesítésre lehet használni.
Az "eszköz" típusú objektumot egy speciális Active Directory tárolóban hozzák létre - RegisteredDevices.
A hálózatba való regisztráció után a felhasználó elkezdi használni a vállalati hálózat erőforrásait.
A teljes eljárás a végfelhasználó számára rendkívül egyszerű és átláthatónak tűnik..
Mobil munkahelyi csatlakozás az ügyfélhez
Az ügyfelek Munkahelyi Csatlakozásának támogatásához az ügyfelet telepíteni kell a végkészülékre. Van egy Workplace Join kliens verzió a következőkhöz:
- Windows 8.1 és Windows RT 8.1 (beépített kliens)
- Apple iOS (iPhone és iPad kliens telepíthető az AppStore segítségével)
Az Android készülékek Workplace Join kliense jelenleg fejlesztés alatt áll. A Windows Phone támogatása még nem tervezett.
A munkahelyi csatlakozás konfigurálása a Windows 8.1 rendszeren
A Windows 8.1 Munkahelyi Csatlakozáson keresztül történő regisztráláshoz külön lap jelenik meg a Hálózat szakasz csatlakozási beállításai között Munkahely. A vállalati hálózathoz való csatlakozáshoz csak írja be a felhasználónevet ([email protected] formátumban) és kattintson az OK gombra csatlakozik.
Miután megadta a felhasználói jelszót a tartományban, megjelenik egy információs üzenet:
Ez az eszköz csatlakozott a munkahelyi hálózathoz
megjegyzés. A korábban megvizsgált Munkamappák szolgáltatásban megvalósul az a képesség, hogy mindig kéznél legyen a vállalati kiszolgálón tárolt saját munkafájlok és a változások automatikus szinkronizálásának képessége. Az ilyen hozzáférés interneten keresztül vagy a Workplace Join használatával valósítható meg.
