BYOD w środowisku Windows

Najnowsze wersje systemów serwerowych i klienckich Microsoftu otrzymały opcje, które można wykorzystać do pracy w modelu BYOD.

BYOD w środowisku Windows
W tradycyjnym modelu dział IT dostarczał urządzenia i oprogramowanie do pracy, a także zarządzał całym zamkniętym środowiskiem. Obecnie użytkownicy chcą przynosić swoje telefony, korzystać z własnych tabletów i laptopów, pracować z różnych lokalizacji. Technologie Microsoftu nie wpisywały się w ten trend, gdyż były projektowane pod kątem ściśle korporacyjnym i nie pasują do BYOD. Obecnie cztery opcje systemu Windows Server 2012 R2 i odpowiednie możliwości Windows 8.1 mają tę lukę wypełnić.

Dołącz do miejsca pracy

Dotychczas każdy system Microsoftu był dołączony do domeny, a zatem centralnie zarządzany, albo pracował jedynie w grupie roboczej, więc nie obowiązywały go korporacyjne zasady zabezpieczeń. Opcja Workplace join polega na subskrypcji firmowej domeny – administratorzy mogą opublikować grupę zasobów, taką jak: aplikacje, udziały dyskowe i inne strony, by udostępnić je na urządzeniach spoza firmowego IT. Po uruchomieniu subskrypcji, dział IT będzie mógł w pewnym stopniu zarządzać prywatnymi urządzeniami, m.in. w celu wyczyszczenia korporacyjnych danych po zakończeniu kontraktu. Jednocześnie prywatne informacje, takie jak fotografie czy materiały wideo, pozostają nienaruszone. Mechanizm wykorzystuje usługi federacyjne Active Directory Federation Services (ADFS).

Zobacz również:

  • Najlepsze MDM-y do ochrony urządzeń mobilnych na 2023
  • Bezpieczeństwo urządzeń końcowych - 9 kluczowych zasad

Foldery robocze

O opcji Work Folders można myśleć w kategoriach usługi podobnej do Dropboksa czy SkyDrive'a, uruchomionej na potrzeby pracowników firmy i ich współpracowników wewnątrz korporacyjnej sieci. Usługi współdzielenia dają dostęp do plików, włącznie z automatyczną synchronizacją, ale w odróżnieniu od Dropboksa czy SkyDrive'a zawartość może być zaszyfrowana i automatycznie klasyfikowana. Mechanizm działania usługi jest następujący:

1. Użytkownik pracuje z dokumentem i zapisuje go do foldera Work Folders. Dla systemu jest to specjalny folder, ale dla użytkownika wygląda jak każdy inny.

2. Dokument jest przechowywany w udziale sieciowym serwera.

3. Serwer dokonuje automatycznej klasyfikacji dokumentu na podstawie treści (jeśli usługa File Classification jest skonfigurowana) i automatycznie szyfruje plik.

4. Serwer przesyła kopię dokumentu na wszystkie urządzenia, które subskrybują ten folder.

5. Wszystkie zmiany wprowadzone do dokumentu na dowolnym urządzeniu będą synchronizowane do głównej kopii na serwerze.

Usługa ma jeszcze kilka ograniczeń – obecnie obsługiwana jest tylko na udziałach z lokalnych serwerów plików i udostępniany jest jedynie folder użytkownika – nie można jeszcze w ten sposób udostępnić innych udziałów, takich jak firmowe repozytorium plików. Nie ma jeszcze narzędzi do edycji w czasie rzeczywistym (bez synchronizacji) i nie można ustawić opcji współdzielenia dla zasobów z osobna, czyli nie można udostępnić pojedynczego pliku komuś innemu. Usługa działa tylko z Windows 8.1 i Windows Server 2012R2.

ADFS sklei sieci i aplikacje

Kluczowym elementem narzędzi BYOD są usługi federacyjne Active Directory, które umożliwiają uwierzytelnienie użytkownika i określenie zasobów, do których ma mieć dostęp. ADFS znajduje się po stronie sieci korporacyjnej i przeprowadza uwierzytelnienie w głównej bazie użytkowników Active Directory. Obok ADFS działa serwer pośredniczący Web Application Proxy, który umożliwia udostępnienie aplikacji webowych działających wewnątrz sieci lokalnej użytkownikom spoza niej. Gdy użytkownik spoza firmowej sieci LAN chce skorzystać z wewnętrznej aplikacji, do której ma mieć dostęp, najpierw odbywa się uwierzytelnienie w instancji ADFS, potem wykreowany zostaje odpowiedni token dostępu, a po uzyskaniu dostępu serwer pośredniczący przekazuje połączenie do aplikacji. Wewnętrzna aplikacja sprawdza token i akceptuje połączenie, gdyż wiadomo, że token był sprawdzony wcześniej w ADFS. Dodatkowe opcje ADFS to pojedyncze logowanie do aplikacji, opcjonalne dwuskładnikowe uwierzytelnienie, możliwość ograniczeń wprowadzanych do środowisk zarządzanych stacji roboczych.

Łatwiejszy VPN

Wirtualne sieci prywatne tworzone dla pracowników mobilnych od dawna sprawiały problemy w konfiguracji. Nie są to rozwiązania w pełni przezroczyste dla użytkowników, którzy nie mogą zapomnieć o zestawieniu połączenia, w niektórych rozwiązaniach muszą pamiętać drugie hasło lub skorzystać z tokena, a także wiedzieć o różnych detalach związanych z konfiguracją. Wprowadzone w Windows Server 2012R2 i Windows 8.1 nowości obejmują także opcjonalną automatyczną konfigurację VPN na wszystkich zarządzanych urządzeniach. Reguły niezbędne do wykreowania takich połączeń można przygotować za pomocą skryptów PowerShell lub w środowiskach takich jak System Center lub Windows Intune. W ten sposób udaje się skonfigurować VPN korzystający z Cisco AnyConnect, Juniper Pulse, F5 Edge Client, Dell SonicWALL Mobile Connect, CheckPoint Mobile VPN, a także z typowych standardowych protokołów niezależnych od dostawców.

Jeśli w firmie pracuje aplikacja lub strona www, której nie wolno udostępnić poza logiczną sieć firmową, Windows 8.1 można skonfigurować w ten sposób, że przy uruchamianiu aplikacji przez użytkownika połączenie VPN będzie zestawiane automatycznie. Po zakończeniu pracy z aplikacją VPN rozłącza się automatycznie. Niestety, rozwiązanie nie jest kompatybilne ze starszymi wydaniami Windows niż wersja 8.1.

Na podstawie: „Meet Windows Server's BYOD features”, Jonathan Hassell, August 5, 2013 (Computerworld)

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200