Microsoft — мировой лидер в области ПО и ИТ-услуг
185,31
рейтинг
30 сентября 2014 в 08:58

Разное → Личные устройства при работе с корпоративными данными: BYOD или принеси свой собственный девайс

Одним из направлений развития современных IT является концепция BYOD (Bring Your Own Device, или дословно «Принеси свое собственное устройство»). Арсенал современного пользователя состоит из нескольких устройств: ноутбука, планшета, телефона; каждый из которых имеет свои особенности и может функционировать на базе разных операционных систем. При этом остается важным вопрос использования личных устройств пользователей для работы с корпоративными данными. Если ноутбуки, да и планшеты на Windows 8 Pro подключить к домену можно без каких-либо проблем, то со всем остальными версиями операционных систем дела обстоят не столь хорошо. Но доступ к корпоративным ресурсам пользователю тем не менее предоставить необходимо. Этим начинаются муки выбора между удобством пользователей и безопасностью внутренней информации. Часто попытки найти решение заходят в тупик. Однако, с выходом Windows Server 2012 R2 и Windows 8.1 появились различные инструменты, которые помогут в решении этой вечной проблемы и в реализации концепции BYOD. Обзор новой функциональности я и хочу представить вам в рамках этой статьи.





Традиционно, устройство может быть включено в домен или нет. Если устройство в домен включено, то проблем нет – оно полностью контролируется IT-отделом вашей организации. Если же устройство в домен не включено, то перед администратором встает непростой выбор: предоставить доступ к информации абсолютно неизвестному устройству или же предоставлять доступ ограниченному количеству пользователей и только к ограниченной информации. Одной из задач при выпуске Windows Server 2012 R2 было предоставление системным администратором инструментов, с помощью которых можно решить эту проблему и реализовать концепцию BYOD в рамках организации. На сегодняшний день существует несколько возможностей для подключения к рабочим файлам извне с личного устройства:
  1. Подключение через браузер к корпоративному приложению, опубликованному для доступа извне;
  2. Установка приложения с корпоративного портала приложений на устройства (личные и рабочие);
  3. Синхронизация рабочих файлов на разных устройствах.
  4. С использованием VDI (Virtual Desktop Infrastructure)

Использование VDI может быть оправдано в некоторых сценариях, однако далеко не во всех из-за своей стоимости, необходимости работать с периферией и прочее. В связи с этим, в рамках данной статьи мы рассмотрим первые три возможности для подключения к рабочим файлам извне с внешних устройств.

К инструментам, позволяющим подключаться к рабочим файлам извне, а также помогающим реализовать концепцию BYOD в организации, можно отнести рабочие папки (Work Folders), подключение к рабочему месту (Workplace Join), Windows Intune (инструмент управления устройствами) и Web Application Proxy (как механизм публикации ресурсов и приложений). Далее я расскажу вам о принципах работы каждого из этих инструментов и тех возможностях, которые они предоставляют.

Рабочие папки (Work Folders)


Рабочие папки (Work Folders) предоставляют возможность синхронизировать рабочие файлы на различных – личных и рабочих – устройствах. Рабочие папки (Work Folders) сконфигурированы на сервере в организации, постоянно хранятся на нем и могут быть синхронизированы на различные устройства – как личные устройства пользователя, так и на компьютеры, подключенный к доменной сети организации.

При использовании рабочих папок (Work Folders) пользователь получает доступ к рабочим документам, даже если он не подключен к сети (особенно удобно в командировках и прочих деловых поездках, когда доступ к Интернету может быть ограничен). Файлы, сохраненные в рабочую папку, синхронизируются на сервер организации и оттуда в другие рабочие папки этого пользователя на другом устройстве. Файлы хранятся и передаются в зашифрованном виде.



Рабочие папки не могут быть использованы для совместной работы нескольких пользователей над одним файлом. Версионность в рабочих папках не поддерживается, поэтому в случае одновременного исправления одного и того же файла на различных устройствах, будут сохранены все версии по-отдельности. Пользователю в этой ситуации, придется вручную просматривать изменения и формировать единую версию документа.
Пользователь может получить доступ к рабочим папкам (Work Folders), воспользовавшись Панелью управления и выбрав пункт «Рабочие папки» в категории «Система и безопасность».



Я не буду дольше останавливаться на теме рабочих папок, так как я уже писала о том, что это такое и как их настроить. Поэтому более подробную информацию вы можете посмотреть здесь.

Web Application Proxy


Web Application Proxy появилась с выходом Windows Server 2012 R2 и предоставляет различные возможности для того, чтобы пользователи могли с любого устройства подключаться к приложениям, размещенным в вашей корпоративной сети.

IT-отдел организации может опубликовать корпоративные приложения и с помощью Web Application Proxy предоставить конечным пользователям возможность подключиться и работать с этими приложениями с их собственных устройств. Таким образом, пользователь при работе с внутренними приложениями не ограничен компьютером, который выдан ему на работе и включен в домен. Теперь пользователь может использовать свой домашний компьютер, планшет или смартфон.



Web Application Proxy всегда должна быть развернута на вашем сервере совместно с Active Directory Federation Services (AD FS, службы федерации Active Directory). При попытке доступа к корпоративному приложению извне, запрос будет поступать на Web Application Proxy, который, в свою очередь, переадресует его на ADFS сервер. После этого, пользователю будет предложено пройти процесс аутентификации. Скриншот ниже демонстрирует этот процесс. Обратите внимание, что пользователь обращается к приложению по определенному адресу, однако в процессе получения доступа, он переадресован на ADFS сервер для того, чтобы аутентифицироваться.



Совместное развертывание ADFS и Web Application Proxy позволит вам использовать различные особенности AD FS, например, возможность единого входа (Single Sign-On). Использование возможности единого входа позволяет пользователю ввести свои учетные данные только один раз, а при следующих попытках подключения вводить логин и пароль пользователю не будет нужно. Важно понимать, что предоставление доступа к внутренним приложениям с неизвестных устройств является источником большого риска. Совместное использование Web Application Proxy и AD FS для аутентификации и авторизации гарантируют, что только пользователи с устройствами, которые также аутентифицированы и авторизованы могут получить доступ к корпоративным ресурсам.

Workplace Join


Workplace Join, по большому счету, является компромиссом между полным контролем над устройством, которое включено в домен, и подключением к корпоративным ресурсам с абсолютно неизвестного устройства. После того, как устройство зарегистрировано в корпоративной сети через Workplace Join, администраторы могу управлять доступом этих устройств к различным корпоративным приложениям.

Когда личное устройство пользователя зарегистрировано с помощью Workplace Join, оно становится известным сети, может использоваться для предоставления доступа к корпоративным приложениям. В тоже время, этот девайс остается личным устройством пользователя и не регулируется групповыми политиками, применяемыми организацией. Кстати, Workplace Join единственное решение для устройств, которые в принципе нельзя включить в домен (например, устройства под управлением iOS).

Устройство, зарегистрированное с помощью Workplace Join используется в качестве второго фактора аутентификации и разрешает единый вход к корпоративным ресурсам. Говоря точнее, при регистрации на устройство загружается сертификат, который и будет использоваться в качестве дополнительного фактора аутентификации.



Если устройство не зарегистрировано, то пользователь при каждом новом открытии браузера должен вводить логин и пароль для доступа к корпоративному приложению. Если на устройстве выполнен Workplace Join, то вход достаточно выполнить лишь однажды, во всех последующих случаях пользователь будет получать доступ к корпоративным ресурсам автоматически. В то же время, системный администратор может контролировать зарегистрированные устройства, и в случае сообщения об утери устройства от пользователя может запретить данному устройству подключение к корпоративным приложениям, тем самым обезопасив сеть.

Для сотрудника организации настройка Workplace Join максимально проста. Если Workplace Join настроена в сети (тема настройки Workplace Join заслуживает отдельной статьи, которая появится в ближайшее время), то пользователю достаточно зайти в настройки (PC Settings), выбрать пункт Network и пункт Workplace Join. Пользователю нужно ввести свой рабочий email и нажать Join.



Windows Intune


Windows Intune представляет собой облачный сервис, который может помочь организации в управлении и защите устройств пользователей. Так как, Intune – это облачный сервис, то доступ к его панели управления администратор может получить с практически любого браузера.



Windows Intune может использоваться как отдельный инструмент для управления стационарными компьютерами и мобильным устройствами из облака, так и быть интегрированным с System Center 2012 R2 Configuration Manager для настройки политик управления устройствами на любой операционной системе (Windows, Mac, Unix или Linux).

Что же получает администратор, после того, как начинает использовать Windows Intune? Администраторы могут применять различные политики к устройствам пользователей: задавать параметры паролей и настройки шифрования, управлять настройками системы, определять, какие приложения и игры могут быть использованы на устройстве, а какие нет; управлять доступом к информации, и другое. В качестве инструмента для осуществления всех этих действий, администратор может пользоваться двумя инструментами: порталом аккаунтов (Account Portal) и консолью администратора (Administrator Console).

В свою очередь, пользователь может установить на свое устройство приложение Company Portal, которое доступно бесплатно для четырех основных платформ: Windows, Windows Phone 8.1, iOS, Android.



С помощью Company Portal, пользователь может установить на свое устройство разрешенные администратором приложения, нужные ему для работы. Для установки приложений через Company Portal не требуется подключения к корпоративной сети. Кроме того, с помощью этого приложения вы можете подключить или отключить устройство от Windows Intune.

Используя Windows Intune, вы можете предоставить пользователям вашей корпоративной сети возможность получить доступ к корпоративным данным и приложениям с любого устройства, не ограничивая их компьютерами, включенными в домен. С помощью Windows Intune на управляемых компьютерах можно установить различный софт, необходимый сотруднику для работы. Но что более важно, Windows Intune позволяет отключить устройство от доступа к корпоративной информации, если оно было утеряно или украдено. Таким образом, Windows Intune решает не только проблему управления личными устройствами пользователей, но и повышает уровень безопасности сети. Я уже упоминала, что Intune может быть интегрирован с System Center Configuration Manager для настройки политик управления устройствами. С помощью SCCM можно обозначить устройство как личное, или как корпоративное; управлять профилями VPN, управлять и раздавать сертификаты, настраивать параметры Wi-Fi соединения, управлять настройками email аккаунтов, и др.

Для того, чтобы включить функцию управления устройствами пользователю необходимо зайти в настройки (PC Settings), выбрать пункт Network и пункт Workplace. Пользователю нужно ввести свой рабочий email и нажать не Join (его нужно использовать, если хотите настроить функцию Workplace Join), a Turn On.



Развитие концепции BYOD набирает обороты. И сейчас уже нельзя слепо заставлять пользователей использовать только выданные корпоративные устройства для работы. Новые возможности Windows Server 2012 R2 позволяют упростить реализацию концепции BYOD в организации. В этой статье мы кратко рассмотрели каждую из новых возможностей и более подробно остановимся на каждой в следующих статьях. Также, для желающих, более подробно ознакомиться с перечисленными в статье возможностями Windows Server 2012 R2 я рекомендую посмотреть курс «Все о Windows Server 2012 R2» на портале MVA (Microsoft Virtual Academy). В курс включены демонстрации, так что вы сможете посмотреть, как работают эти функции.

Надеюсь, информация оказалась полезной! Спасибо за внимание!
Автор: @m_berzin
Microsoft
рейтинг 185,31
Microsoft — мировой лидер в области ПО и ИТ-услуг

Комментарии (0)

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разное