Особисті пристрої при роботі з корпоративними даними: BYOD або принеси свій власний девайс

Одним з напрямків розвитку сучасних IT є концепція BYOD (Bring Your Own Device, або дослівно «Принеси свій власний пристрій»). Арсенал сучасного користувача складається з декількох пристроїв: ноутбука, планшета, телефону, кожен з яких має свої особливості і може функціонувати на базі різних операційних систем. При цьому залишається важливим питання використання особистих пристроїв користувачів для роботи з корпоративними даними. Якщо ноутбуки, так і планшети на Windows 8 Pro підключити до домену можна без будь-яких проблем, то з усім іншими версіями операційних систем справи йдуть не так добре. Але доступ до корпоративних ресурсів користувачеві тим не менш необхідно надати. Цим починаються муки вибору між зручністю користувачів і безпекою внутрішньої інформації. Часто спроби знайти рішення заходять в глухий кут. Однак, з виходом Windows Server 2012 R2 і Windows 8.1 з'явилися різні інструменти, які допоможуть у вирішенні цієї вічної проблеми і в реалізації концепції BYOD. Огляд нової функціональності я і розповім вам в цій статті.





Традиційно, пристрій може бути включено в домен чи ні. Якщо пристрій в домен включено, то проблем немає — воно повністю контролюється IT-відділом вашої організації. Якщо ж пристрій в домен не включено, то перед адміністратором постає непростий вибір: надати доступ до інформації абсолютно невідомому пристрою або надавати доступ обмеженої кількості користувачів і тільки до обмеженої інформації. Одним із завдань при випуску Windows Server 2012 R2 було надання системним адміністратором інструментів, з допомогою яких можна вирішити цю проблему і реалізувати концепцію BYOD в рамках організації. На сьогоднішній день існує кілька можливостей для підключення до робочих файлів ззовні з особистого пристрою:
  1. Підключення через браузер до корпоративного додатком, опублікованому для доступу ззовні;
  2. Установка програми з корпоративного порталу додатків на пристрої (особисті і робочі);
  3. Синхронізація робочих файлів на різних пристроях.
  4. З використанням VDI (Virtual Desktop Infrastructure)
Використання VDI може бути виправдане в деяких сценаріях, однак далеко не у всіх з-за своєї вартості, необхідність працювати з периферією та інше. У зв'язку з цим, в рамках даної статті ми розглянемо перші три можливості для підключення до робочих файлів ззовні з зовнішніх пристроїв.

До інструментів, що дозволяє підключатися до робочих файлів ззовні, а також допомагає реалізувати концепцію BYOD в організації, можна віднести робочі папки (Work Folders), підключення до робочого місця (Workplace Join), Windows Intune (інструмент управління пристроями) і Web Application Proxy (як механізм публікації ресурсів і додатків). Далі я розповім вам про принципи роботи кожного з цих інструментів і ті можливості, які вони надають.

Робочі папки (Work Folders)

Робочі папки (Work Folders) надають можливість синхронізувати робочі файли на різних — особистих і робочих — пристроях. Робочі папки (Work Folders) налаштовані на сервері в організації, що постійно зберігаються на ньому і можуть бути синхронізовані на різні пристрої — як особисті пристрої користувача, так і на комп'ютери, підключений до доменної мережі організації.

При використанні робочі папки (Work Folders) користувач отримує доступ до робочих документів, навіть якщо він не підключений до мережі (особливо зручно у відрядженнях та інших ділових поїздках, коли доступ до Інтернету може бути обмежений). Файли, збережені в робочу папку, синхронізуються на сервер організації і звідти в інші робочі папки користувача на іншому пристрої. Файли зберігаються і передаються в зашифрованому вигляді.



Робочі папки не можуть бути використані для спільної роботи декількох користувачів над одним файлом. Версійність в робочих папках не підтримується, тому в разі одночасного виправлення одного і того ж файлу на різних пристроях, що будуть збережені всі версії по-окремо. Користувачеві в цій ситуації, доведеться вручну переглядати зміни і формувати єдину версію документа.
Користувач може отримати доступ до робочих папки (Work Folders), скориставшись Панеллю управління і вибравши пункт «Робочі папки» категорії «Система і безпека».



Я не буду довше зупинятися на темі робочих папок, так як я вже писала про те, що це таке і як їх налаштувати. Тому більш детальну інформацію ви можете подивитися тут.

Web Application Proxy

Web Application Proxy з'явилася з виходом Windows Server 2012 R2 і надає різні можливості для того, щоб користувачі могли з будь-якого пристрою підключатися до додатків, розміщених у вашій корпоративній мережі.

IT-відділ організації може опублікувати корпоративні програми та з допомогою Web Application Proxy надати кінцевим користувачам можливість підключитися і працювати з цими програмами з їх власних пристроїв. Таким чином, користувач при роботі з внутрішніми програмами не обмежений комп'ютером, який виданий йому на роботі і включений в домен. Тепер користувач може використовувати свій домашній комп'ютер, планшет або смартфон.



Web Application Proxy завжди повинна бути розгорнута на вашому сервері спільно з Active Directory Federation Services (AD FS, федерації служби служба Active Directory). При спробі доступу до корпоративного додатком ззовні, запит буде надходити на Web Application Proxy, який, у свою чергу, переадресує його на ADFS сервер. Після цього, користувачеві буде запропоновано пройти процес аутентифікації. Скріншот нижче демонструє цей процес. Зверніть увагу, що користувач звертається до додатка за певною адресою, однак в процесі отримання доступу, він переадресований на ADFS сервер для того, щоб аутентифицироваться.



Спільне розгортання ADFS і Web Application Proxy дозволить вам використовувати різні особливості AD FS, наприклад, можливість єдиного входу (Single Sign-On). Використання можливості єдиного входу дозволяє користувачеві ввести свої облікові дані тільки один раз, а при наступних спробах підключення вводити логін і пароль користувача не буде потрібно. Важливо розуміти, що надання доступу до внутрішнім програмам з невідомих пристроїв є джерелом великого ризику. Спільне використання Web Application Proxy і AD FS для аутентифікації і авторизації гарантують, що тільки користувачі з пристроями, які також аутентифицированы і авторизовані можуть отримати доступ до корпоративних ресурсів.

Workplace Join

Workplace Join, за великим рахунком, є компромісом між повним контролем над пристроєм, який включено в домен, і підключенням до корпоративних ресурсів з абсолютно невідомого пристрою. Після того, як пристрій зареєстровано в корпоративної мережі через Workplace Join, адміністратори можуть керувати доступом цих пристроїв до різних корпоративних додатків.

Коли особисте пристрій користувача зареєстровано з допомогою Workplace Join, воно стає відомим мережі, може використовуватися для надання доступу до корпоративних додатків. У теж час, цей девайс залишається особистим пристроєм користувача і не регулюється груповими політиками, застосовуваними організацією. До речі, Workplace Join єдине рішення для пристроїв, які в принципі не можна включити в домен (наприклад, пристрої під управлінням iOS).

Пристрій, зареєстроване за допомогою Workplace Join використовується в якості другого фактора аутентифікації і дозволяє єдиний вхід до корпоративних ресурсів. Кажучи точніше, при реєстрації на пристрій завантажується сертифікат, який і буде використовуватися в якості додаткового фактора аутентифікації.



Якщо пристрій не зареєстровано, то користувач при кожному новому відкритті браузера повинен вводити логін і пароль для доступу до корпоративного додатком. Якщо на пристрої виконаний Workplace Join, то вхід достатньо виконати лише одного разу, у всіх наступних випадках користувач буде отримувати доступ до корпоративних ресурсів автоматично. У той же час, системний адміністратор може контролювати зареєстровані пристрою, і в разі повідомлення про втрати пристрою від користувача може заборонити даного пристрою підключення до корпоративних додатків, тим самим убезпечивши мережу.

Для співробітника організації налаштування Workplace Join максимально проста. Якщо Workplace Join налаштована в мережі (тема налаштування Workplace Join заслуговує окремої статті, яка з'явиться найближчим часом), то користувачеві досить зайти в налаштування (PC Settings), вибрати пункт Network пункт Workplace Join. Користувачеві потрібно ввести свій робочий email і натиснути Join.



Windows Intune

Windows Intune являє собою хмарний сервіс, який може допомогти організації в управлінні та захисту пристроїв користувачів. Так як, Intune — це хмарний сервіс, то доступ до панелі управління адміністратор може отримати практично з будь-якого браузера.



Windows Intune може використовуватися як окремий інструмент для управління стаціонарними комп'ютерами і мобільними пристроями з хмари, так і бути інтегрованим з System Center 2012 R2 Configuration Manager для налаштування політик управління пристроями на будь-якій операційній системі (ос Windows, Mac, Unix або Linux).

Що ж отримує адміністратор, після того, як починає використовувати Windows Intune? Адміністратори можуть застосовувати різні політики до пристроїв користувачів: ставити паролі та налаштування шифрування, управляти налаштуваннями системи, визначати, які програми та ігри можуть бути використані на пристрої, а які ні; керувати доступом до інформації, та інше. В якості інструменту для здійснення всіх цих дій, адміністратор може користуватися двома інструментами: порталом облікових записів (Account Portal) і консоллю адміністратора (Administrator Console).

У свою чергу, користувач може встановити на свій пристрій додаток Company Portal, яка доступна безкоштовно для чотирьох основних платформ: Windows, Windows Phone 8.1, iOS, Android.



З допомогою Company Portal, користувач може встановити на свій пристрій дозволені адміністратором програми, потрібні йому для роботи. Для установки додатків через Company Portal не потрібно підключення до корпоративної мережі. Крім того, з допомогою цього додатка ви можете підключити або відключити пристрій від Windows Intune.

Використовуючи Windows Intune, ви можете надати користувачам вашої корпоративної мережі можливість отримати доступ до корпоративних даних і додатків з будь-якого пристрою, не обмежуючи їх комп'ютерами, включеними в домен. За допомогою Windows Intune на керованих комп'ютерах можна різний софт, необхідний працівникові для роботи. Але що більш важливо, Windows Intune дозволяє відключити пристрій від доступу до корпоративної інформації, якщо воно було загублено або вкрадено. Таким чином, Windows Intune вирішує не тільки проблему управління особистими пристроями користувачів, але і підвищує рівень безпеки мережі. Я вже згадувала, що Intune може бути інтегрований з System Center Configuration Manager для налаштування політик управління пристроями. З допомогою SCCM можна позначити пристрій як особисте, або як корпоративне; керувати профілями VPN, управляти і роздавати сертифікати, налаштовувати параметри Wi-Fi з'єднання, управляти налаштуваннями email акаунтів, і ін

Для того, щоб включити функцію управління пристроями користувачеві необхідно зайти в налаштування (PC Settings), вибрати пункт Network пункт Workplace. Користувачеві потрібно ввести свій робочий email і натиснути не Join (його потрібно використовувати, якщо хочете налаштувати функцію Workplace Join), a Turn On.



Розвиток концепції BYOD набирає обертів. І зараз вже не можна сліпо змушувати користувачів використовувати тільки видані корпоративні пристрої для роботи. Нові можливості Windows Server 2012 R2 дозволяють спростити реалізацію концепції BYOD в організації. У цій статті ми коротко розглянули кожну з нових можливостей і більш докладно зупинимося на кожній в наступних статтях. Також, для бажаючих більш докладно ознайомитися з перерахованими у статті можливостями Windows Server 2012 R2 я рекомендую подивитися курс «Все про Windows Server 2012 R2» на порталі MVA (Microsoft Virtual Academy). У курс включені демонстрації, так що ви зможете подивитися, як працюють ці функції.

Сподіваюся, що інформація виявилася корисною! Спасибі за увагу!

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.