微软服务器平台抢攻BYOD市场

免用VPN连来连去!用手机和平板直接存取企业内部资源不是梦。员工携带智能型手机与平板计算机至内部上网,已是不可阻挡的趋势,微软也透过Windows 8.1Server 2012 R2的搭配,提供企业移动应用的专属存取功能,并以兼顾便利性与安全性为号召。

坊间已有不少开启让员工能够自携移动设备进入公司(BYOD)的专属管控方案,象是MDMMobile Device Management),而微软本身也有一些相关的技术能够协助,例如Exchange ActiveSyncWindows In-tune,但他们为了提升市场对Windows 8作业系统的接受度,还想藉此推动以Windows 8.1为主要平台的移动装置,让企业环境也能开始采用微软的移动装置应用方案。 因此,微软在今年推出的新版个人端作业系统Windows 8.1Windows Server 2012 R2中,纷纷加入针对BYOD应用的相关辅助功能,象是加入工作地点(Workplace Join)与工作资料夹(Work Folders)。

在Active Directory的管控功能强化中,Windows Server 2012 R2最受瞩目的部分,非加入工作地点(Workplace Join)莫属。企业可以用它来提供新的单一登入(Single Sign On,SSO)机制,而且适用范围不只是传统的Windows的桌上型计算机与笔记型计算机,也包含新一代的智能型移动装置,象是苹果的iPhone手机与iPad平板计算机。

简而言之,对公司员工或访客而言,只需将个人随身携带的移动装置加入企业架设、维运的工作地点服务,验证身分无误后,即可用这种简单、安全的方式,快速存取企业内部网络上的资源和服务,以提升工作效率。对公司而言,所管理的Windows AD目录服务,也能藉此认识并掌握拥有这些装置的人员身分。

以前端使用来说,这项功能有助于一般使用者在企业环境下,能够更便利地以移动装置存取内部网络的资源,这当中主要是透过整合第二因素的身分认证(second factor authentication)来达成。 此时,若你使用了已经顺利加入工作地点的移动装置,来执行公司环境的应用程序时,将不会再出现验证使用者身分的提示画面,换句话说,当使用者以这样的移动装置存取公司网络时,不需重复输入密码验证,而且这些密码也不会储存在使用者装置内,再加上移动装置由于已经加入工作地点,所以等于用具名的方式来使用网络。

对企业管理的IT后端环境而言,使用者的移动装置一旦加入工作地点,这些装置的属性会存放在AD,而AD也能针对使用者装置所执行的应用程序,来发布专用安全凭证。有了这样的机制,公司能够藉此来决定是否开放使用者使用装置的权限,批准后再授权给使用者的应用程序,接着即可让它们存取公司的资源和服务。 而在Windows Server 2012 R2环境,微软如何实作这些功能?主要是透过Active Directory Federation Services(AD FS)角色来进行,该角色提供了一套“装置注册服务(Device Registration Service,DRS)”。 对于每一个加入工作地点的装置,DRS会在AD里面产生对应的装置物件,同时,DRS也在使用者的装置上设定一个凭证,来代表这个装置的身分。

这些都是在企业内部运用移动装置的作法,但DRS还支援移动装置在外部网络时的加入工作地点——当这些移动装置即使连至网际网络,也能连回企业内网存取资源。要达到这样的功能,DRS需同时搭配另一个Windows Server新增的远端存取功能Web Application Proxy,即可让使用者从网际网络连线加入工作地点。 整体而言,微软推出“加入工作地点”这功能,目的是企图藉此提升BYOD的安全性,在维持装置管理与企业安全的前提下,找出一条中间路线,让企业可以顺利开放相关应用来强化员工生产力。

不需羡慕别人用Dropbox,企业可DIY架设档案同步共享服务

83094_1_1_l

微软版的Dropbox档案服务   在Windows Server 2012 R2中,若要启动与设定工作资料夹的功能,需从服务器管理员的界面上,选择档案与存放服务这个服务器角色,即可开始操作。除了设定同步共享的资料夹位置之外,系统管理者还可以强制针对连在线来的用户端计算机套用加密或自动锁定画面的安全政策。

这是一种让使用者可以将工作用的档案,除了存放在个人计算机与移动装置上,还可以同步到自己位在企业内部网络环境的个人计算机上,使用者可以构透过这种便利的方式,随时随地储存与存取自己工作用的档案,而企业可以将这些档案集中存放在档案服务器,以维持对企业资料的掌控,并且选择性地套用政策,象是加密与荧幕锁定密码(lock screen passwords)。

要导入这项功能,后端服务器需用Windows Server 2012 R2建置,方式相当简易,只需在服务器角色下的档案与存放服务,选择工作资料夹的选项,即可完成安装,至于设定工作资料夹的步骤也不复杂,从该台主机的服务器管理员上,点选档案与存放服务,即可看到相关的设定项目。

而个人端使用者的装置若要应用此项功能,目前能够支援的环境,只有安装8.1版Windows或Windows RT作业系统的个人计算机或平板计算机。根据微软的规画,未来还会推出针对移动装置的专用App,让市面上常见的移动装置也能透过App的方式存取工作资料夹的档案。 工作资料夹的应用也是微软BYOD应用方案的一环,工作资料夹会将使用者档案存放在服务器端的sync share资料夹,然后你可以指定一个已经包含使用者资料的资料夹。这能让你在采用工作资料夹时,不需迁移服务器与资料,或是淘汰掉既有的方案。

它可以与Windows既有的档案管理机制一起部署,例如Windows 7 与Windows Server 2008 R2开始提供的资料夹重导(Folder Redirection)、离线档案(Offline Files),或是许多Windows版本都支援的使用者资料夹(home Folders)。此外,工作资料夹也能搭配Windows Server档案服务器管理的技术,象是档案分类与资料夹限额(Quota)。工作资料夹所在的服务器端若能启用容错移转丛集,则可以提升可靠度。

移动信息化交流QQ群:一号群:211029692 二号群:344692795 CIO交流群:316076815(需认证)

移动化问答社区:wenda.yidonghua.com



1 星2 星3 星4 星5 星 (还没有打分,快来打分吧!)
Loading...
 
已有 0 条评论
返回顶部

无觅相关文章插件,快速提升流量