Prehľad technológie Workplace Join na systéme Windows Server 2012 R2

V systéme Windows Server 2012 R2 sa objavila nová funkcia, ktorá umožňuje zaregistrovať osobné mobilné zariadenia používateľov v doméne Active Directory. Nová funkcia Pripojte sa k pracovisku (alebo Pripojenie na pracovisko) je kompromis medzi pripojením k zdrojom podnikovej siete z úplne „nespravovaného“ zariadenia a úplnou kontrolou nad počítačom zahrnutím do domény AD (to znamená, že klientske zariadenie bývalo buď v doméne Windows alebo nie). Pripojiť sa k pracovisku je kríženec medzi týmito dvoma extrémami..

Po registrácii zariadení (osobné počítače, smartfóny a tablety používateľov) v podnikovej sieti prostredníctvom Workplace Join majú správcovia možnosť kontrolovať prístup týchto zariadení k rôznym firemným zdrojom. Na rozdiel od „klasických“ doménových počítačov však skupinové politiky, ktoré riadia konfiguráciu a nastavenie zabezpečenia počítačov, nebudú na mobilných zariadeniach pôsobiť. tj správca siete nemôže spravovať nastavenia mobilného zariadenia.

Kľúčové funkcie na pracovisku

  • Poskytovanie prístupu k firemným zdrojom z osobných mobilných zariadení zamestnancov (implementácia konceptu BYOD - Prineste si vlastné zariadenie)
  • Schopnosť dynamicky riadiť prístup k podnikovým zdrojom nielen v závislosti od práv používateľského účtu, ale aj od typu zariadenia, ktoré používa.
  • Implementácia SSO (Single-Sign-On) a viacfaktorových autentifikačných mechanizmov (na základe certifikátu vydaného na zariadenie)

Pripojte sa k pracovisku Architect

Technológia Workplace Join vyžaduje radič domény so systémom Windows Server 2012 R2 s nainštalovanou rolou Certifikačná služba a schéma AD sa musí rozšíriť na systém Windows Server 2012 R2.

Ďalšou kľúčovou súčasťou programu Workplace Join je služba registrácie zariadenia. DRS (Service Registration Service). Táto funkcia je jednou zo súčastí úlohy ADFS (Active Directory Federation) v systéme Windows Server 2012 R2.

Okrem toho sa vyžaduje webový server IIS s nainštalovanou rolou. Windows Identity Foundation.

DRS je zodpovedný za registráciu účtu zariadenia a jeho autentifikáciu v službe Active Directory. Po overení môže správca riadiť prístup mobilného používateľa k prostriedkom podnikovej siete, používať toto overenie ako druhý autentifikačný faktor (pre viacfaktorové overenie) a užívateľ transparentne (pomocou SSO bez zadania hesla pre každú podnikovú službu) používať sieťové prostriedky.

Pri inštalácii klienta Workplace Join na mobilné zariadenie musí užívateľ zadať firemný e-mail a heslo pre prístup k doméne (samozrejme musí mať účet v doméne Active Directory). Pri registrácii mobilného zariadenia prostredníctvom spojenia Workplace DRS vytvorí nový objekt v službe Active Directory (napr MSDS-zariadenia), ktorá je spojená potvrdením s vedeckým záznamom používateľa - vlastníka zariadenia. Na mobilnom zariadení používateľa je nainštalovaný certifikát user @ device, ktorý je v AD priradený k predmetu tohto zariadenia. Teda „vlastníctvo“ užívateľa konkrétnym zariadením je potvrdené a je uznané ako dôveryhodné. V budúcnosti možno toto dôveryhodné zariadenie použiť na viacfaktorovú autentifikáciu bez čipovej karty alebo hardvéru.

Objekt typu "zariadenie" sa vytvorí v špeciálnom kontajneri služby Active Directory  - RegisteredDevices.

Po registrácii v sieti môže užívateľ začať využívať zdroje podnikovej siete.

Celý postup pre koncového používateľa je mimoriadne jednoduchý a transparentný..

Pripojte sa k mobilnému pracovisku

Aby ste podporili pripojenie klientov na pracovisku, klient musí byť nainštalovaný na koncovom zariadení. Existuje klientská verzia pre pripojenie k pracovisku:

  • Windows 8.1 a Windows RT 8.1 (vstavaný klient)
  • Apple iOS (klienta pre iPhone a iPad je možné nainštalovať prostredníctvom AppStore)

Klient Workplace Join pre zariadenia Android je momentálne vo vývoji. Podpora Windows Phone ešte nie je naplánovaná.

Konfigurácia pripojenia na pracovisku v systéme Windows 8.1

Ak sa chcete zaregistrovať v sieti prostredníctvom pripojenia Workplace in Windows 8.1, v nastaveniach pripojenia v časti Sieť sa objavila samostatná karta pracovisko. Ak sa chcete pripojiť k podnikovej sieti, stačí zadať meno používateľa (vo formáte [email protected]) a kliknúť na  pripojiť.


Po zadaní hesla používateľa v doméne sa zobrazí informačná správa:

Toto zariadenie sa pripojilo k sieti pracoviska

poznámka. Schopnosť mať vždy po ruke svoje vlastné pracovné súbory uložené na podnikovom serveri so schopnosťou automaticky synchronizovať zmeny je implementovaná v službe Work Folders, ktorú sme predtým skúmali. Takýto prístup môže byť implementovaný cez internet alebo pomocou Workplace Join.