В данной заметке нас будут интересовать в первую очередь, что нового дает новая версия Windows 8.1 с точки зрения ее развертывания в корпоративном секторе. Основные новшества здесь можно сгруппировать по следующим основным категориям. Это дальнейшее развитие популярной концепции BYOD (Bring Your Own Device), улучшения в безопасности, мобильном доступе, печати и графическом интерфейсе. Эти изменения достаточно значительны, поэтому Windows 8.1 правильнее называть не обновлением, а именно новым релизом.
Фраза Bring Your Own Device означает политику компании, при которой сотрудники могут использовать личные мобильные устройства (ноутбуки, планшеты и смартфоны) на своем рабочем месте для доступа к конфиденциальной информации и корпоративным приложениям. Наиболее быстрыми темпами этот процесс идет на развивающихся рынках (в том числе, в России), где им согласно википедии охвачено ~75% сотрудников. Все больше кандидатов при поиске работы отдают предпочтения организациям, где принята на вооружение политика BYOD, чем тем, где практикуется обратный подход. Понятно, что в зависимости от рода деятельности в некоторых случаях просто нельзя обойтись без выделения специальных устройств при работе с конфиденциальными данными или выхода в высокорискованные окружения. Однако в большинстве ситуаций работодатели должны приспосабливаться к реалиям бурно прогрессирующего мира персональных устройств. В связи с этим возникают определенные технологические проблемы. Если сотрудник по роду деятельности допущен к чувствительной информации, то, чтобы предотвратить ее утечку, необходимы меры иного порядка. Можно запретить сотруднику выносить с предприятия любые носители, включая бумажные, но, в конце концов, остается запоминающее устройство под названием человеческий мозг. Мы поговорим о более приземленных материях. По прекращении трудового контракта с персонального устройства сотрудника, если он им пользовался на работе, должны быть удалены все служебные данные и установленные в процессе работы приложения, относящиеся к его деятельности в компании. До Windows 8.1 для этих целей использовался, в основном, Exchange ActiveSync, встроенный в Exchange Server и Office365, который обеспечивает базовый уровень управления мобильными устройствами и выполнения на них мобильных политик. К ним относятся не только выборочное удаленное затирание служебной информации (selective wipe), но и IRM (information rights management), шифрование данных на мобильном устройстве (данные, хранящиеся на SD-карте зашифровать нельзя, но можно запретить ее использование), парольная политика (сложность, период действия, история паролей) и многое другое. В Windows 8.1 для реализации функций управления можно задействовать открытый (в смысле, описанный) протокол OMA-DM (Open Mobile Alliance Device Management), который используется в Windows InTune – унифицированном решении для управления ПК и различными типами мобильных устройств, а также интегрируется с System Center Configuration Manager и службой каталогов, что обеспечивает централизованную доставку и установку корпоративных приложений и исправлений, комплексное управление политикой безопасности, Endpoint Protection (для ПК). Возможна интеграция с продуктами управления мобильными устройствами третьих фирм, таких, как MobileIron, AirWatch.
Другой любопытной возможностью в области BYOD выступает присоединение устройства под управлением Windows 8.1 к рабочему месту (Workplace Join). Устройства под управлением ОС Windows 8 и предыдущих версий могут быть либо присоединены к домену, либо нет. В случае членства в домене пользователь получает доступ к корпоративным ресурсам, во всяком случае, тем, право на которые дается ему администратором, а его личное устройство управляется групповыми политиками. В противном случае доступа нет, как нет и контроля со стороны IT-подразделения компании. Workplace joined-устройство представляет собой, в известном смысле, золотую середину. Пользователь может работать на устройстве по своему выбору (включая iOS) и иметь доступ к корпоративным ресурсам. Его личное устройство становится известным в домене, обеспечивая прозрачную двухфакторную аутентификацию и SSO (Single Sign-On). Атрибуты устройства регистрируются в AD и могут использоваться для IT-администраторами для предоставления гранулярного доступа к ресурсам. Таким образом, устройство работает под управлением IT с контролируемым доступом к приложениям.
Сюда же плотно примыкает еще одна возможность под названием «рабочие папки» (Work Folders), которые позволяют автоматически синхронизировать данные на устройстве с пользовательскими папками в корпоративном датацентре, при этом не требуется доменная учетная запись для доступа к корпоративным папкам общего доступа. Процесс синхронизации встроен в файловую систему и носит двунаправленный характер, то есть файлы, созданные локально, также будут скопированы на корпоративный файл-сервер. Служба IT может задействовать политики Dynamic Access Control на Work Folder Sync Share (включая Rights Management) и потребовать Workplace Join. Обе эти возможности помимо Windows 8.1 требуют развертывания инфраструктуры на основе Windows Server 2012 R2.
Фраза Bring Your Own Device означает политику компании, при которой сотрудники могут использовать личные мобильные устройства (ноутбуки, планшеты и смартфоны) на своем рабочем месте для доступа к конфиденциальной информации и корпоративным приложениям. Наиболее быстрыми темпами этот процесс идет на развивающихся рынках (в том числе, в России), где им согласно википедии охвачено ~75% сотрудников. Все больше кандидатов при поиске работы отдают предпочтения организациям, где принята на вооружение политика BYOD, чем тем, где практикуется обратный подход. Понятно, что в зависимости от рода деятельности в некоторых случаях просто нельзя обойтись без выделения специальных устройств при работе с конфиденциальными данными или выхода в высокорискованные окружения. Однако в большинстве ситуаций работодатели должны приспосабливаться к реалиям бурно прогрессирующего мира персональных устройств. В связи с этим возникают определенные технологические проблемы. Если сотрудник по роду деятельности допущен к чувствительной информации, то, чтобы предотвратить ее утечку, необходимы меры иного порядка. Можно запретить сотруднику выносить с предприятия любые носители, включая бумажные, но, в конце концов, остается запоминающее устройство под названием человеческий мозг. Мы поговорим о более приземленных материях. По прекращении трудового контракта с персонального устройства сотрудника, если он им пользовался на работе, должны быть удалены все служебные данные и установленные в процессе работы приложения, относящиеся к его деятельности в компании. До Windows 8.1 для этих целей использовался, в основном, Exchange ActiveSync, встроенный в Exchange Server и Office365, который обеспечивает базовый уровень управления мобильными устройствами и выполнения на них мобильных политик. К ним относятся не только выборочное удаленное затирание служебной информации (selective wipe), но и IRM (information rights management), шифрование данных на мобильном устройстве (данные, хранящиеся на SD-карте зашифровать нельзя, но можно запретить ее использование), парольная политика (сложность, период действия, история паролей) и многое другое. В Windows 8.1 для реализации функций управления можно задействовать открытый (в смысле, описанный) протокол OMA-DM (Open Mobile Alliance Device Management), который используется в Windows InTune – унифицированном решении для управления ПК и различными типами мобильных устройств, а также интегрируется с System Center Configuration Manager и службой каталогов, что обеспечивает централизованную доставку и установку корпоративных приложений и исправлений, комплексное управление политикой безопасности, Endpoint Protection (для ПК). Возможна интеграция с продуктами управления мобильными устройствами третьих фирм, таких, как MobileIron, AirWatch.
Другой любопытной возможностью в области BYOD выступает присоединение устройства под управлением Windows 8.1 к рабочему месту (Workplace Join). Устройства под управлением ОС Windows 8 и предыдущих версий могут быть либо присоединены к домену, либо нет. В случае членства в домене пользователь получает доступ к корпоративным ресурсам, во всяком случае, тем, право на которые дается ему администратором, а его личное устройство управляется групповыми политиками. В противном случае доступа нет, как нет и контроля со стороны IT-подразделения компании. Workplace joined-устройство представляет собой, в известном смысле, золотую середину. Пользователь может работать на устройстве по своему выбору (включая iOS) и иметь доступ к корпоративным ресурсам. Его личное устройство становится известным в домене, обеспечивая прозрачную двухфакторную аутентификацию и SSO (Single Sign-On). Атрибуты устройства регистрируются в AD и могут использоваться для IT-администраторами для предоставления гранулярного доступа к ресурсам. Таким образом, устройство работает под управлением IT с контролируемым доступом к приложениям.
Сюда же плотно примыкает еще одна возможность под названием «рабочие папки» (Work Folders), которые позволяют автоматически синхронизировать данные на устройстве с пользовательскими папками в корпоративном датацентре, при этом не требуется доменная учетная запись для доступа к корпоративным папкам общего доступа. Процесс синхронизации встроен в файловую систему и носит двунаправленный характер, то есть файлы, созданные локально, также будут скопированы на корпоративный файл-сервер. Служба IT может задействовать политики Dynamic Access Control на Work Folder Sync Share (включая Rights Management) и потребовать Workplace Join. Обе эти возможности помимо Windows 8.1 требуют развертывания инфраструктуры на основе Windows Server 2012 R2.