Личные устройства при работе с корпоративными данными: BYOD или принеси свой собственный девайс

Одним из направлений развития современных ИТ является концепция BYOD (Bring Your Own Device, либо дословно «Принеси свое собственное устройство»). Арсенал современного юзера состоит из нескольких устройств: ноутбука, планшета, телефона; любой из которых имеет свои особенности и может работать на базе различных операционных систем. При всем этом остается принципиальным вопрос использования личных устройств юзеров для работы с корпоративными данными. Если ноутбуки, ну и планшеты на Windows 8 Pro подключить к домену можно без каких-то заморочек, то со всеми остальными версиями операционных систем дела обстоят не настолько отлично. Но доступ к корпоративным ресурсам юзеру все же предоставить нужно. Этим начинаются муки выбора меж удобством юзеров и безопасностью внутренней инфы. Нередко пробы отыскать решение заходят в тупик. Но, с выходом Windows Server 2012 R2 и Windows 8.1 появились разные инструменты, которые посодействуют в решении этой нескончаемой задачи и в реализации концепции BYOD. Обзор новейшей функциональности я и желаю представить вам в рамках этой статьи.

Личные устройства при работе с корпоративными данными: BYOD либо принеси собственный свой аксессуар
Прирастить

Обычно, устройство может быть включено в домен либо нет. Если устройство в домен включено, то заморочек нет – оно вполне контролируется ИТ-отделом вашей организации. Если же устройство в домен не включено, то перед админом встает сложный выбор: предоставить доступ к инфы полностью неведомому устройству либо же предоставлять доступ ограниченному количеству юзеров и только к ограниченной инфы. Одной из задач при выпуске Windows Server 2012 R2 было предоставление сисадмином инструментов, при помощи которых можно решить эту делему и воплотить концепцию BYOD в рамках организации. На сегодня существует несколько способностей для подключения к рабочим файлам снаружи с личного устройства:

Подключение через браузер к корпоративному приложению, размещенному для доступа снаружи.
Установка приложения с корпоративного портала приложений на устройства (личные и рабочие).
Синхронизация рабочих файлов на различных устройствах.
Внедрение VDI (Virtual Desktop Infrastructure).

Внедрение VDI может быть оправдано в неких сценариях, но далековато не во всех из-за собственной цены, необходимости работать с периферией и прочее. В связи с этим, в рамках данной статьи мы разглядим 1-ые три способности для подключения к рабочим файлам снаружи с наружных устройств.

К инструментам, позволяющим подключаться к рабочим файлам снаружи, также помогающим воплотить концепцию BYOD в организации, можно отнести рабочие папки (Work Folders), подключение к рабочему месту (Workplace Join), Windows Intune (инструмент управления устройствами) и Web Application Proxy (как механизм публикации ресурсов и приложений). Дальше я расскажу вам о механизмах работы каждого из этих инструментов и тех способностях, которые они предоставляют.

Рабочие папки (Work Folders)

Рабочие папки (Work Folders) предоставляют возможность синхронизировать рабочие файлы на разных – личных и рабочих – устройствах. Рабочие папки (Work Folders) сконфигурированы на сервере в организации, повсевременно хранятся на нем и могут быть синхронизированы на разные устройства – как личные устройства юзера, так и на компы, присоединенный к доменной сети организации.

При использовании рабочих папок (Work Folders) юзер получает доступ к рабочим документам, даже если он не подключен к сети (в особенности комфортно в командировках и иных деловых поездках, когда доступ к Вебу может быть ограничен). Файлы, сохраненные в рабочую папку, синхронизируются на сервер организации и оттуда в другие рабочие папки этого юзера на другом устройстве. Файлы хранятся и передаются в зашифрованном виде.

Личные устройства при работе с корпоративными данными: BYOD либо принеси собственный свой аксессуар
Прирастить

Рабочие папки не могут быть применены для совместной работы нескольких юзеров над одним файлом. Версионность в рабочих папках не поддерживается, потому в случае одновременного исправления 1-го и такого же файла на разных устройствах, будут сохранены все версии по отдельности. Юзеру в этой ситуации, придется вручную просматривать конфигурации и сформировывать единую версию документа.

Юзер может получить доступ к рабочим папкам (Work Folders), воспользовавшись Панелью управления и выбрав пункт «Рабочие папки» в категории «Система и безопасность».

Личные устройства при работе с корпоративными данными: BYOD либо принеси собственный свой аксессуар
Прирастить

Я не буду подольше останавливаться на теме рабочих папок, потому что я уже писала о том, что же все-таки это такое и как их настроить. Потому более подробную информацию вы сможете поглядеть тут.

Web Application Proxy

Web Application Proxy появилась с выходом Windows Server 2012 R2 и предоставляет разные способности для того, чтоб юзеры могли с хоть какого устройства подключаться к приложениям, расположенным в вашей корпоративной сети.

ИТ-отдел организации может опубликовать корпоративные приложения и при помощи Web Application Proxy предоставить конечным юзерам возможность подключиться и работать с этими приложениями с их собственных устройств. Таким макаром, юзер при работе с внутренними приложениями не ограничен компом, который выдан ему на работе и включен в домен. Сейчас юзер может использовать собственный домашний компьютер, планшет либо телефон.

Личные устройства при работе с корпоративными данными: BYOD либо принеси собственный свой аксессуар
Прирастить

Web Application Proxy всегда должна быть развернута на вашем сервере вместе с Active Directory Federation Services (AD FS, службы федерации Active Directory). При попытке доступа к корпоративному приложению снаружи, запрос будет поступать на Web Application Proxy, который, в свою очередь, переадресует его на ADFS-сервер. После чего, юзеру будет предложено пройти процесс аутентификации. Снимок экрана ниже показывает этот процесс. Направьте внимание, что юзер обращается к приложению по определенному адресу, но в процессе получения доступа, он переадресован на ADFS-сервер для того, чтоб аутентифицироваться.

Личные устройства при работе с корпоративными данными: BYOD либо принеси собственный свой аксессуар
Прирастить

Совместное развертывание ADFS и Web Application Proxy позволит вам использовать разные особенности ADFS, к примеру, возможность одного входа (Single Sign-On). Внедрение способности одного входа позволяет юзеру ввести свои учетные данные только один раз, а при последующих попытках подключения вводить логин и пароль юзеру не будет необходимо. Принципиально осознавать, что предоставление доступа к внутренним приложениям с неведомых устройств является источником огромного риска. Совместное внедрение Web Application Proxy и ADFS для аутентификации и авторизации гарантируют, что только юзеры с устройствами, которые также аутентифицированы и авторизованы могут получить доступ к корпоративным ресурсам.

Workplace Join

Workplace Join, по сути, является компромиссом меж полным контролем над устройством, которое включено в домен, и подключением к корпоративным ресурсам с полностью неведомого устройства. После того, как устройство записанно в корпоративной сети через Workplace Join, админы могу управлять доступом этих устройств к разным корпоративным приложениям.

Когда личное устройство юзера записанно при помощи Workplace Join, оно становится известным сети, может употребляться для предоставления доступа к корпоративным приложениям. В то же время, этот аксессуар остается личным устройством юзера и не регулируется групповыми политиками, используемыми организацией. Кстати, Workplace Join единственное решение для устройств, которые в принципе нельзя включить в домен (к примеру, устройства под управлением iOS).

Устройство, зарегистрированное при помощи Workplace Join употребляется в качестве второго фактора аутентификации и разрешает единый вход к корпоративным ресурсам. Говоря поточнее, при регистрации на устройство загружается сертификат, который и будет употребляться в качестве дополнительного фактора аутентификации.

Личные устройства при работе с корпоративными данными: BYOD либо принеси собственный свой аксессуар
Прирастить

Если устройство не записанно, то юзер при каждом новеньком открытии браузера должен вводить логин и пароль для доступа к корпоративному приложению. Если на устройстве выполнен Workplace Join, то вход довольно выполнить только в один прекрасный момент, во всех следующих случаях юзер будет получать доступ к корпоративным ресурсам автоматом. В то же время, сисадмин может держать под контролем зарегистрированные устройства, и в случае сообщения об утере устройства от юзера может запретить данному устройству подключение к корпоративным приложениям, тем обезопасив сеть.

Для сотрудника организации настройка Workplace Join очень ординарна. Если Workplace Join настроена в сети (тема опции Workplace Join заслуживает отдельной статьи, которая появится в последнее время), то юзеру довольно зайти в опции (PC Settings), избрать пункт Network и пункт Workplace Join. Юзеру необходимо ввести собственный рабочий email и надавить Join.

Личные устройства при работе с корпоративными данными: BYOD либо принеси собственный свой аксессуар
Прирастить

Windows Intune

Windows Intune представляет собой пасмурный сервис, который может посодействовать организации в управлении и защите устройств юзеров. Потому что Intune – это пасмурный сервис, то доступ к его панели управления админ может получить с фактически хоть какого браузера.

Личные устройства при работе с корпоративными данными: BYOD либо принеси собственный свой аксессуар
Прирастить

Windows Intune может употребляться как отдельный инструмент для управления стационарными компьютерами и мобильным устройствами из облака, так и быть встроенным с System Center 2012 R2 Configuration Manager для опции политик управления устройствами на хоть какой операционной системе (Windows, Mac, Unix либо Linux).

Что все-таки получает админ, после того, как начинает использовать Windows Intune? Админы могут использовать разные политики к устройствам юзеров: задавать характеристики паролей и опции шифрования, управлять опциями системы, определять, какие приложения и игры могут быть применены на устройстве, а какие нет; управлять доступом к инфы, и другое. В качестве метода воплощения всех этих действий, админ может воспользоваться 2-мя инструментами: порталом аккаунтов (Account Portal) и консолью админа (Administrator Console).

В свою очередь, юзер может установить на свое устройство приложение Company Portal, которое доступно безвозмездно для 4 главных платформ: Windows, Windows Phone 8.1, iOS, Android.

Личные устройства при работе с корпоративными данными: BYOD либо принеси собственный свой аксессуар
Прирастить

При помощи Company Portal, юзер может установить на свое устройство разрешенные админом приложения, нужные ему для работы. Для установки приложений через Company Portal не требуется подключения к корпоративной сети. Не считая того, при помощи этого приложения вы сможете подключить либо отключить устройство от Windows Intune.

Используя Windows Intune, вы сможете предоставить юзерам вашей корпоративной сети возможность получить доступ к корпоративным данным и приложениям с хоть какого устройства, не ограничивая их компьютерами, включенными в домен. При помощи Windows Intune на управляемых компьютерах можно установить разный софт, нужный сотруднику для работы. Но что более принципиально, Windows Intune позволяет отключить устройство от доступа к корпоративной инфы, если оно было утеряно либо украдено. Таким макаром, Windows Intune решает не только лишь делему управления личными устройствами юзеров, да и увеличивает уровень безопасности сети. Я уже упоминала, что Intune может быть интегрирован с System Center Configuration Manager для опции политик управления устройствами. При помощи SCCM можно обозначить устройство как личное, либо как корпоративное; управлять профилями VPN, управлять и раздавать сертификаты, настраивать характеристики Wi-Fi соединения, управлять опциями email-аккаунтов, и др.

Для того чтоб включить функцию управления устройствами, юзеру нужно зайти в опции (PC Settings), избрать пункт Network и пункт Workplace. Юзеру необходимо ввести собственный рабочий email и надавить не Join (его необходимо использовать, если желаете настроить функцию Workplace Join), a Turn On.

Личные устройства при работе с корпоративными данными: BYOD либо принеси собственный свой аксессуар
Прирастить

Развитие концепции BYOD набирает обороты. И на данный момент уже нельзя слепо заставлять юзеров использовать только выданные корпоративные устройства для работы. Новые способности Windows Server 2012 R2 позволяют упростить реализацию концепции BYOD в организации. В этой статье мы коротко разглядели эти новые способности и поболее тщательно остановимся на каждой в последующих статьях. Также, для желающих более тщательно ознакомиться с перечисленными в статье способностями Windows Server 2012 R2 я рекомендую поглядеть курс «Все о Windows Server 2012 R2» на портале MVA (Microsoft Virtual Academy). В курс включены демонстрации, так что вы можете поглядеть, как работают эти функции.

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.