Огляд технології Workplace Join в Windows Server 2012 R2

У Windows Server 2012 R2 з'явився новий функціонал, який надає можливість реєстрації особистих мобільних пристроїв користувачів в домені Active Directory. Нова функція Workplace Join (або Підключення до робочого місця) Являє собою компромісне рішення між підключенням до ресурсів корпоративної мережі з повністю "некерованого" пристрою і повним контролем над комп'ютером через включення його в домен AD (тобто клієнтський пристрій раніше могло бути або в домені Windows, або ні). Workplace Join є чимось середнім між цими двома крайніми варіантами.

Після реєстрації пристроїв (особистих комп'ютерах, смартфонах і планшетах користувачів) в корпоративній мережі через Workplace Join, адміністратори отримують можливість управляти доступом цих пристроїв до різних корпоративними ресурсів. Однак на відміну від "класичних" машин домена, на мобільні пристрої не діятимуть групові політики, керуючі конфігурацію і параметрами безпеки комп'ютерів. Тобто керувати налаштуваннями мобільного пристрою адміністратор мережі не може.

Основні можливості Workplace Join

  • Надання доступу до корпоративних ресурсів з особистих мобільних пристроїв співробітників (реалізація концепції BYOD - Bring your own device)
  • Можливість динамічного управління доступом до корпоративних ресурсів не тільки в залежності від прав облікового запису користувача, але і від типу використовуваного ним пристрої
  • Реалізація механізмів SSO (Single-Sign-On) і багатофакторної аутентифікації (на підставі сертифіката, виданого пристрою)

Архітектора Workplace Join

Для роботи технології Workplace Join необхідний контролер домену з Windows Server 2012 R2 з встановленої роллю служб сертифікації, а схема AD повинна бути розширена до версії Windows Server 2012 R2.

Наступним ключовим компонентом Workplace Join є служба реєстрації пристроїв DRS (Device Registration Service). Ця функція є одним з компонентів ролі Active Directory Federation (ADFS) в Windows Server 2012 R2.

Крім того потрібно веб сервер IIS зі встановленою роллю Windows Identity Foundation.

Служба DRS відповідає за реєстрацію облікового запису пристрою і аутентифікацію його в Active Directory. Після аутентифікації адміністратор може керувати доступом мобільного користувача до ресурсів корпоративної мережі, використовувати дану аутентифікацію в качетве другого фактора аутентифікації (для багатофакторної аутентифікації), а користувач прозоро (по SSO, не вводячи свій пароль для кожного корпоративного сервісу) користуватися ресурсами мережі.

При установці клієнта Workplace Join на мобільному пристрої користувач повинен вказати корпоративний email і пароль для доступу в домен (природно, що користувач повинен мати обліковий запис в домені Active Directory). При реєстрації мобільного пристрою через Workplace Join, служба DRS створює в Active Directory новий об'єкт (типу msDS-Device), Який прив'язується через підтвердження до наукового записи користувача - власника пристрою. На мобільний девайс користувача встановлюється сертифікат user @ device, який пов'язаний з об'єктом даного пристрою в AD. Таким чином, підтверджується "володіння" користувача конкретним пристроєм і воно визнається довіреною. Надалі дане довірена пристрій можна використовувати для багатофакторної аутентифікації без смарт-карти або апаратного токена.

Об'єкт типу "device" створюється в спеціальному контейнері Active Directory  - RegisteredDevices.

Після реєстрації в мережі користувач може почати користуватися ресурсами корпоративної мережі.

Вся процедура для кінцевого користувача виглядає вкрай простою і прозорою.

Клієнт Workplace Join для мобільних пристроїв

Для підтримки Workplace Join на клієнтах на кінцеве пристрій потрібно вставити клієнт. Існує версія клієнта Workplace Join для:

  • Windows 8.1 і Windows RT 8.1 (клієнт вбудований)
  • Apple iOS (клієнт для iPhone і iPad може бути встановлений через AppStore)

Клієнт Workplace Join для пристроїв на базі Android на даний момент знаходиться в розробці. Підтримки Windows Phone поки не запланована.

Налаштування Workplace Join в Windows 8.1

Для реєстрації в мережі через Workplace Join в Windows 8.1, в настройку підключень в розділі Network з'явилася окрема вкладка Workplace. Для підключення до корпоративної мережі досить вказати ім'я користувача (в форматі [email protected]) і натиснути кнопку  Join.


Після введення пароля користувача в домені з'явиться інформаційне повідомлення:

This device has joined your workplace network

Примітка. Можливість завжди мати під рукою свої робочі файли, що зберігаються на корпоративному сервері, з можливістю автоматичної синхронізації змін, реалізується в розглянутої нами раніше службі Work Folders (Робочих папок). Подібний доступ можна реалізувати через інтернет або з використанням Workplace Join.