Přehled technologie Workplace Join Technology v systému Windows Server 2012 R2

V systému Windows Server 2012 R2 se objevila nová funkce, která umožňuje registrovat osobní mobilní zařízení uživatelů v doméně Active Directory. Nová funkce Připojte se k pracovišti (nebo Připojení k pracovišti) je kompromis mezi připojením k prostředkům podnikové sítě z úplně „nespravovaného“ zařízení a plnou kontrolou nad počítačem jeho zahrnutím do domény AD (tj. klientské zařízení bývalo buď v doméně Windows, nebo nikoli). Spojení na pracovišti je křížkem mezi dvěma extrémy..

Po registraci zařízení (osobních počítačů, smartphonů a tabletů uživatelů) v podnikové síti prostřednictvím funkce Workplace Join získají správci příležitost kontrolovat přístup těchto zařízení k různým podnikovým zdrojům. Na rozdíl od „klasických“ doménových strojů však skupinové zásady, které řídí nastavení konfigurace a zabezpečení počítačů, nebudou na mobilních zařízeních působit. I.e. správce sítě nemůže spravovat nastavení mobilního zařízení.

Klíčové funkce pro připojení k pracovišti

  • Poskytování přístupu k podnikovým prostředkům z osobních mobilních zařízení zaměstnanců (implementace koncepce BYOD - Přineste si vlastní zařízení)
  • Schopnost dynamicky řídit přístup k podnikovým prostředkům nejen v závislosti na právech uživatelského účtu, ale také na typu zařízení, které používá
  • Implementace SSO (Single-Sign-On) a vícefaktorových autentizačních mechanismů (na základě certifikátu vydaného zařízení)

Připojte se k architektuře na pracovišti

Technologie Workplace Join vyžaduje řadič domény se systémem Windows Server 2012 R2 s nainstalovanou rolí Certifikační služby a schéma AD musí být rozšířeno na systém Windows Server 2012 R2.

Další klíčovou součástí aplikace Workplace Join je služba registrace zařízení. DRS (Service Registration Service). Tato funkce je jednou ze součástí role ADFS (Active Directory Federation) v systému Windows Server 2012 R2.

Dále je vyžadován webový server IIS s nainstalovanou rolí. Windows Identity Foundation.

DRS odpovídá za registraci účtu zařízení a jeho ověření ve službě Active Directory. Po ověření může správce řídit přístup mobilního uživatele k podnikovým síťovým prostředkům, používat toto ověřování jako druhý autentizační faktor (pro vícefaktorové ověřování) a uživatel transparentně (pomocí SSO bez zadání hesla pro každou podnikovou službu) používat síťové zdroje.

Při instalaci klienta Workplace Join na mobilní zařízení musí uživatel zadat firemní e-mail a heslo pro přístup k doméně (přirozeně musí mít uživatel účet v doméně Active Directory). Při registraci mobilního zařízení prostřednictvím spojení na pracovišti DRS vytvoří nový objekt ve službě Active Directory (například msDS-Device), která je spojena potvrzením s vědeckým záznamem uživatele - vlastníka zařízení. Na mobilní zařízení uživatele je nainstalován certifikát user @ device, který je v AD přiřazen k objektu tohoto zařízení. Tímto je „vlastnictví“ uživatele konkrétním zařízením potvrzeno a je rozpoznáno jako důvěryhodné. V budoucnu lze toto důvěryhodné zařízení použít pro vícefaktorovou autentizaci bez čipové karty nebo hardwarového tokenu.

Objekt typu "zařízení" je vytvořen ve speciálním kontejneru služby Active Directory  - Registrované zařízení.

Po registraci v síti může uživatel začít využívat zdroje podnikové sítě.

Celý postup pro koncového uživatele vypadá velmi jednoduše a transparentně..

Připojte se k mobilnímu pracovišti

Chcete-li podporovat připojení k pracovišti na klientech, musí být klient nainstalován na koncovém zařízení. Existuje klientská verze Workplace Join pro:

  • Windows 8.1 a Windows RT 8.1 (vestavěný klient)
  • Apple iOS (klienta pro iPhone a iPad lze nainstalovat prostřednictvím AppStore)

Klient Workplace Join pro zařízení Android je v současné době ve vývoji. Podpora Windows Phone dosud není naplánována.

Konfigurace připojení pracoviště v systému Windows 8.1

Chcete-li se zaregistrovat v síti prostřednictvím připojení pracoviště v systému Windows 8.1, v nastaveních připojení v části Síť se objevila samostatná karta Pracoviště. Chcete-li se připojit k podnikové síti, stačí zadat uživatelské jméno (ve formátu [email protected]) a kliknout na  Připojte se.


Po zadání uživatelského hesla v doméně se objeví informační zpráva:

Toto zařízení se připojilo k síti pracoviště

Poznámka:. Schopnost mít vždy po ruce vlastní pracovní soubory uložené na podnikovém serveru, se schopností automaticky synchronizovat změny, je implementována ve službě Work Folders, kterou jsme zkoumali dříve. Takový přístup může být implementován přes internet nebo pomocí Workplace Join.