V operacijskem sistemu Windows Server 2012 R2 se je pojavila nova funkcionalnost, ki omogoča registracijo osebnih mobilnih naprav uporabnikov v domeni Active Directory. Nova funkcija Pridružite se delovnemu mestu (ali Povezava z delovnim mestom) je kompromis med povezovanjem v vire poslovnega omrežja s popolnoma "nenadzorovano" napravo in popolnim nadzorom računalnika z vključitvijo v domeno AD (torej odjemalska naprava, ki je bila v domeni Windows ali ne). Pridružitev na delovnem mestu je križ med obema skrajnostma..
Po registraciji naprav (osebnih računalnikov, pametnih telefonov in tablic uporabnikov) v korporativnem omrežju prek Workplace Join, skrbniki dobijo možnost nadzora dostopa teh naprav do različnih poslovnih virov. Vendar, za razliko od "klasičnih" domenskih strojev, skupinske politike, ki nadzorujejo konfiguracijo in varnostne nastavitve računalnikov, ne delujejo na mobilnih napravah. I.e. skrbnik omrežja ne more upravljati nastavitev mobilne naprave.
Ključne funkcije pridruževanja na delovnem mestu
- Zagotavljanje dostopa do korporativnih virov z osebnih mobilnih naprav zaposlenih (izvedba koncepta BYOD - Prinesite svojo napravo)
- Sposobnost dinamičnega nadzora dostopa do korporativnih virov ne samo glede na pravice uporabniškega računa, temveč tudi glede na vrsto naprave, ki jo uporablja
- Implementacija mehanizmov SSO (Single-Sign-On) in večfaktorskih mehanizmov za preverjanje pristnosti (na podlagi potrdila, izdanega napravi)
Pridružite se arhitektu na delovnem mestu
Tehnologija Workplace Join zahteva krmilnik domene z Windows Server 2012 R2 z nameščeno vlogo Certificate Services, shemo AD pa je treba razširiti na Windows Server 2012 R2.
Naslednja ključna komponenta združitve na delovnem mestu je storitev vpisa v napravo. DRS (storitev za registracijo naprav). Ta funkcija je ena od komponent vloge federacije Active Directory Federation (ADFS) v operacijskem sistemu Windows Server 2012 R2.
Poleg tega je potreben spletni strežnik IIS z nameščeno vlogo. Windows Identity Foundation.
DRS je odgovoren za registracijo računa naprave in overjanje v Active Directoryu. Po preverjanju pristnosti lahko skrbnik nadzoruje dostop mobilnega uporabnika do virov korporacijskega omrežja, to avtentikacijo uporablja kot drugi faktor pristnosti (za večfaktorsko preverjanje pristnosti), uporabnik pa pregledno (z uporabo SSO, ne da bi vnesel geslo za vsako korporacijsko storitev) in uporablja omrežne vire.
Pri namestitvi odjemalca Workplace Join na mobilno napravo mora uporabnik določiti korporacijski e-poštni naslov in geslo za dostop do domene (seveda mora uporabnik imeti račun v domeni Active Directory). Ko registrira mobilno napravo s pomočjo Workplace Join, DRS ustvari nov objekt v Active Directoryu (npr msDS-naprava), ki je s potrditvijo povezan z znanstvenim zapisom uporabnika - lastnika naprave. Potrdilo je nameščeno na uporabnikovi mobilni napravi uporabnik @ naprava, ki je v AD-ju povezan s predmetom te naprave. Tako je "lastništvo" uporabnika s posebno napravo potrjeno in je prepoznano kot zaupanja vredno. V prihodnje bo mogoče to zaupno napravo uporabiti za večfaktorno overjanje brez pametne kartice ali žetona strojne opreme.
Predmet vrste "naprava" je ustvarjen v posebnem vsebniku Active Directory - Registrirane naprave.
Po registraciji v omrežje lahko uporabnik začne uporabljati vire korporacijskega omrežja.
Celoten postopek za končnega uporabnika je videti izjemno preprost in pregleden..
Pridružite se odjemalcu
Za podporo Workplace Join na odjemalcih mora biti na končni napravi nameščen odjemalec. Obstaja različica odjemalca Workplace Join za:
- Windows 8.1 in Windows RT 8.1 (vgrajen odjemalec)
- Apple iOS (odjemalec za iPhone in iPad je mogoče namestiti prek AppStore)
Odjemalec Workplace Join za naprave Android je trenutno v razvoju. Podpora za Windows Phone še ni načrtovana.
Konfigurirajte pridružitev delovnemu mestu v sistemu Windows 8.1
Če se želite registrirati v omrežju prek Workplace Join v operacijskem sistemu Windows 8.1, se je v nastavitvah za povezave v razdelku Network prikazal ločen zavihek Delovno mesto. Če se želite povezati s podjetniškim omrežjem, samo vnesite uporabniško ime (v obliki [email protected]) in kliknite Pridružite se.
Po vnosu uporabniškega gesla v domeno se prikaže informativno sporočilo:
Ta naprava se je pridružila vašemu omrežju na delovnem mestu
Opomba. Možnost, da imate vedno pri roki svoje delovne datoteke, shranjene na podjetniškem strežniku, in možnost samodejne sinhronizacije sprememb, je uporabljena v storitvi Work Folders, ki smo jo preučili prej. Takšen dostop se lahko izvede prek interneta ali z uporabo Workplace Join.
