Обзор технологии Workplace Join в Windows Server 2012 R2 | Windows для системных администраторов

Обзор технологии Workplace Join в Windows Server 2012 R2

В Windows Server 2012 R2 появился новый функционал, предоставляющий возможность регистрации личных мобильный устройств пользователей в домене Active Directory. Новая функция Workplace Join (или Подключение  к рабочему месту) представляет собой компромиссное решение между подключением к ресурсам корпоративной сети с полностью «неуправляемого» устройства и полным контролем над компьютером через включение его в домен AD (т.е. клиентское устройство раньше могло быть либо в домене Windows, либо нет). Workplace Join  представляет собой нечто среднее между этими двумя крайними вариантами.

После регистрации устройств (личных компьютерах, смартфонах и планшетах пользователей) в корпоративной сети через Workplace Join, администраторы получают возможность управлять доступом этих устройств к различным корпоративными ресурсам. Однако в отличии от «классических» машин домена, на мобильные устройства не будут действовать групповые политики, управляющие конфигурацию  и параметрами безопасности компьютеров. Т.е. управлять настройками мобильного устройства  администратор сети не может.

Основные возможности Workplace Join

  • Предоставление доступа к корпоративным ресурсам с личных мобильных устройств сотрудников (реализация концепции BYOD  — Bring your own device)
  • Возможность динамического управления доступом к корпоративным ресурсам не только в зависимости от  прав учетной записи пользователя, но и от типа используемого им устройства
  • Реализация механизмов SSO (Single-Sign-On) и многофакторной аутентификации (на основании сертификата, выданного устройству)

Архитектора Workplace Join


Для работы технологии Workplace Join необходим контроллер домена с Windows Server 2012 R2 с установленной ролью служб сертификации, а схема AD должна быть расширена до версии Windows Server 2012 R2.

Следующим ключевым компонентом Workplace Join является служба регистрации устройств DRS (Device Registration Service). Данная функция является одним из компонентов роли Active Directory Federation (ADFS) в Windows Server 2012 R2.

Кроме того требуется веб сервер IIS с установленной ролью Windows Identity Foundation.

Служба DRS отвечает за регистрацию учетной записи устройства и аутентификацию его в Active Directory. После аутентификации администратор может управлять доступом  мобильного пользователя к ресурсам корпоративной сети, использовать данную аутентификацию в качетве второго фактора аутентификации (для многофакторной аутентификации), а пользователь прозрачно (по SSO, не вводя свой пароль для каждого корпоративного сервиса) пользоваться ресурсами сети.

При установке клиента Workplace Join на мобильном устройстве пользователь должен указать корпоративный email и пароль для доступа в домен (естественно, что пользователь должен иметь учетную запись в домене Active Directory). При регистрации мобильного устройства через Workplace Join, служба DRS создает в Active Directory новый объект (типа msDS-Device), который привязывается через подтверждение к ученой записи пользователя — владельца устройства. На мобильный девайс пользователя устанавливается сертификат user@device, который связан с объектом данного устройства в AD. Таким образом, подтверждается «владение» пользователя конкретным устройством и оно признается доверенным. В дальнейшем данное доверенное устройство можно использовать для многофакторной проверки подлинности без смарт-карты или аппаратного токена.

Объект типа «device» создается в специальном контейнере Active Directory  — RegisteredDevices.

OU для мобильных устройств RegisteredDevices в Active Directory

После регистрации в сети пользователь может начать пользоваться ресурсами корпоративной сети.

Вся процедура для конечного пользователя выглядит крайне простой и прозрачной.

Клиент Workplace Join для мобильных устройств


Для поддержки Workplace Join на клиентах на конечное устройство необходимо установить клиент. Существует версия клиента Workplace Join для:

  • Windows 8.1 и Windows RT 8.1 (клиент встроен)
  • Apple iOS ( клиент для iPhone и iPad может быть установлен через AppStore)

Клиент Workplace Join для устройств на базе Android на данный момент находится в разработке. Поддержки Windows Phone пока не запланирована.

Настройка Workplace Join в Windows 8.1

Для регистрации в сети через Workplace Join в Windows 8.1, в настройке подключений в разделе Network появилась отдельная вкладка Workplace. Для подключения к корпоративной сети достаточно указать имя пользователя (в формате itpro@winitpro.ru) и нажать кнопку  Join.

Параметры workplace join в windows 8.1

После ввода пароля пользователя в домене появится информационное сообщение:

This device has joined your workplace network

Примечание. Возможность всегда иметь под рукой свои рабочие файлы, хранящиеся на корпоративном сервере, с возможностью автоматической синхронизации изменений, реализуется в рассмотренной нами ранее службе Work Folders (Рабочих папок). Подобный доступ можно реализовать через интернет или с использованием Workplace Join.
Еще записи по теме: Windows Server 2012 R2
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:

Комментариев: 4

Оставить комментарий
  1. Sasha Odarchuk | 23.10.2013

    Клиент Workplace Join для устройств на базе Android на данный момент находится в разработке. Поддержки Windows Phone пока не запланирована.
     
    Вот он — МС в всей красе :)

    Ответить
    • myr4ik07 | 16.06.2014

      :D тоже посмеялся

      Ответить
  2. itpro | 18.06.2014

    Ну что ж вы так MS не любите :) Ребята — ведь стараются…На данный момент Workplace Join еще и в Windows 7 0)
    Кроме того, где-то проскакивала новость что Samsung совместно с Microsoft реализовали поддержку  Workplace Join на Android-устройствах Samsung с установленной надстройкой KNOX

    Ответить
  3. Sasha Odarchuk | 01.08.2014

    говорят не все так плохо…..
    на WP8.1 есть Workplace Account (с)  Stanislav Buldakov:

    Ответить
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.25MB/0.00153 sec