坊間已有不少開啟讓員工能夠自攜行動設備進入公司(BYOD)的專屬管控方案,像是MDM(Mobile Device Management),而微軟本身也有一些相關的技術能夠協助,例如Exchange ActiveSync、Windows In-tune,但他們為了提升市場對Windows 8作業系統的接受度,還想藉此推動以Windows 8.1為主要平臺的行動裝置,讓企業環境也能開始採用微軟的行動裝置應用方案。
因此,微軟在今年推出的新版個人端作業系統Windows 8.1和Windows Server 2012 R2中,紛紛加入針對BYOD應用的相關輔助功能,像是加入工作地點(Workplace Join)與工作資料夾(Work Folders)。
新功能1
首度增加行動裝置納入AD管控的新作法,便於存取內網資源
在Active Directory的管控功能強化中,Windows Server 2012 R2最受矚目的部分,非加入工作地點(Workplace Join)莫屬。企業可以用它來提供新的單一登入(Single Sign On,SSO)機制,而且適用範圍不只是傳統的Windows的桌上型電腦與筆記型電腦,也包含新一代的智慧型行動裝置,像是蘋果的iPhone手機與iPad平板電腦。
簡而言之,對公司員工或訪客而言,只需將個人隨身攜帶的行動裝置加入企業架設、維運的工作地點服務,驗證身分無誤後,即可用這種簡單、安全的方式,快速存取企業內部網路上的資源和服務,以提升工作效率。對公司而言,所管理的Windows AD目錄服務,也能藉此認識並掌握擁有這些裝置的人員身分。
以前端使用來說,這項功能有助於一般使用者在企業環境下,能夠更便利地以行動裝置存取內部網路的資源,這當中主要是透過整合第二因素的身分認證(second factor authentication)來達成。
此時,若你使用了已經順利加入工作地點的行動裝置,來執行公司環境的應用程式時,將不會再出現驗證使用者身分的提示畫面,換句話說,當使用者以這樣的行動裝置存取公司網路時,不需重複輸入密碼驗證,而且這些密碼也不會儲存在使用者裝置內,再加上行動裝置由於已經加入工作地點,所以等於用具名的方式來使用網路。
對企業管理的IT後端環境而言,使用者的行動裝置一旦加入工作地點,這些裝置的屬性會存放在AD,而AD也能針對使用者裝置所執行的應用程式,來發布專用安全憑證。有了這樣的機制,公司能夠藉此來決定是否開放使用者使用裝置的權限,批准後再授權給使用者的應用程式,接著即可讓它們存取公司的資源和服務。
而在Windows Server 2012 R2環境,微軟如何實作這些功能?主要是透過Active Directory Federation Services(AD FS)角色來進行,該角色提供了一套「裝置註冊服務(Device Registration Service,DRS)」。
對於每一個加入工作地點的裝置,DRS會在AD裡面產生對應的裝置物件,同時,DRS也在使用者的裝置上設定一個憑證,來代表這個裝置的身分。這些都是在企業內部運用行動裝置的作法,但DRS還支援行動裝置在外部網路時的加入工作地點——當這些行動裝置即使連至網際網路,也能連回企業內網存取資源。要達到這樣的功能,DRS需同時搭配另一個Windows Server新增的遠端存取功能Web Application Proxy,即可讓使用者從網際網路連線加入工作地點。
整體而言,微軟推出「加入工作地點」這功能,目的是企圖藉此提升BYOD的安全性,在維持裝置管理與企業安全的前提下,找出一條中間路線,讓企業可以順利開放相關應用來強化員工生產力。
新功能2
不需羨慕別人用Dropbox,企業可DIY架設檔案同步共用服務
這是一種讓使用者可以將工作用的檔案,除了存放在個人電腦與行動裝置上,還可以同步到自己位在企業內部網路環境的個人電腦上,使用者可以構透過這種便利的方式,隨時隨地儲存與存取自己工作用的檔案,而企業可以將這些檔案集中存放在檔案伺服器,以維持對企業資料的掌控,並且選擇性地套用政策,像是加密與螢幕鎖定密碼(lock screen passwords)。要導入這項功能,後端伺服器需用Windows Server 2012 R2建置,方式相當簡易,只需在伺服器角色下的檔案與存放服務,選擇工作資料夾的選項,即可完成安裝,至於設定工作資料夾的步驟也不複雜,從該臺主機的伺服器管理員上,點選檔案與存放服務,即可看到相關的設定項目。而個人端使用者的裝置若要應用此項功能,目前能夠支援的環境,只有安裝8.1版Windows或Windows RT作業系統的個人電腦或平板電腦。根據微軟的規畫,未來還會推出針對行動裝置的專用App,讓市面上常見的行動裝置也能透過App的方式存取工作資料夾的檔案。
工作資料夾的應用也是微軟BYOD應用方案的一環,工作資料夾會將使用者檔案存放在伺服器端的sync share資料夾,然後你可以指定一個已經包含使用者資料的資料夾。這能讓你在採用工作資料夾時,不需遷移伺服器與資料,或是淘汰掉既有的方案。
它可以與Windows既有的檔案管理機制一起部署,例如Windows 7 與Windows Server 2008 R2開始提供的資料夾重導(Folder Redirection)、離線檔案(Offline Files),或是許多Windows版本都支援的使用者資料夾(home Folders)。此外,工作資料夾也能搭配Windows Server檔案伺服器管理的技術,像是檔案分類與資料夾限額(Quota)。工作資料夾所在的伺服器端若能啟用容錯移轉叢集,則可以提升可靠度。
-P30-600.png)
-P30-600_02.png)
熱門新聞
2024-04-17
2024-04-17
2024-04-18
2024-04-15
2024-04-15
2024-04-15