2012-2019
Monthly Archives

Январь 2018

Доступ и защита данных

By | Без категории | No Comments

Доступ и защита данных

 Применяя решения Майкрософт для доступа к информации и ее защиты, вы сможете развернуть и настроить доступ к корпоративным ресурсам в локальной среде и для облачных приложений. При этом обеспечивается надежная защита корпоративной информации.

Доступ и защита данных
Руководство Чем может помочь это руководство?
Безопасный доступ к ресурсам отовсюду, с любого устройства Решение
В этом руководстве показано, как разрешить сотрудникам использовать собственные устройства и устройства компании для безопасного доступа к корпоративным приложениям и данным.
Безопасный удаленный доступ для малого и среднего бизнеса Решение
Это руководство поможет вам понять общие принципы проектирования и реализации инфраструктуры, рекомендуемые для обеспечения безопасного удаленного доступа к бизнес-данным в небольших и средних компаниях.
Улучшение взаимодействия в малом и среднем бизнесе Решение
Это руководство содержит общее описание этапов проектирования и реализации для решения задач взаимодействия между работниками компании и между внешними бизнес-партнерами и поставщиками.
Обеспечение защиты данных на предприятиях малого и среднего бизнеса Решение
Это руководство описывает проверенное и рекомендуемое решение по проектированию и реализации для защиты данных путем их резервного копирования в локальной среде и в облаке, а также путем централизации хранения данных и ограничения разрешений на доступ к данным.

Улучшение взаимодействия в малом и среднем бизнесе

By | Без категории | No Comments

Улучшение взаимодействия в малом и среднем бизнесе

Чем может помочь это руководство? В этом руководстве по решениям описывается, как предоставить вашим сотрудникам и внешним партнерам безопасный доступ к защищенным данным в малом и среднем бизнесе.

В этом руководстве описывается проверенное и надежное решение, которое может помочь организовать совместную работу сотрудников и внешних деловых партнеров и поставщиков более безопасным образом и за счет предоставления им защищенного доступа к общим данным.

В этом руководстве по решению:

На следующей схеме показаны проблема и сценарий, к которым адресуется данное руководство.

 Проблемы, связанные с совместной работой сотрудников и поставщиков или партнеров

 

Проблемы, связанные с совместной работы

 

В этом разделе описывается сценарий, проблема и цели на примере конкретной организации.

Организация входит в сегмент предприятий малого и среднего бизнеса и администратору требуется решение для взаимодействия сотрудников с партнерами и поставщиками. В настоящее время сотрудники используют приложения Microsoft Office, такие как Word, Excel и PowerPoint, установленные на их локальных компьютерах. Сотрудники хранят документы на локальных компьютерах и используют их совместно с деловыми партнерами и поставщиками посредством печатных копий и сообщений электронной почты или за счет создания локальных общих ресурсов.

В настоящее время в организации отсутствует безопасный способ использования документов совместно с поставщиками и партнерами. Основная проблема заключается в следующем:

как администратор предприятия малого и среднего бизнеса может повысить уровень безопасного взаимодействия между сотрудниками и партнерами или поставщиками?

Далее приводится ряд аспектов этой проблемы.

  • Общий доступ к документам осуществляется в небезопасном режиме.
  • Существует риск, что критически важные данные могут случайно оказаться доступны пользователям, которые не должны их видеть.
  • Трудно отслеживать несколько версий файлов, созданных в результате сохранения данных компании на нескольких устройствах (например, на компьютере пользователя на рабочем месте и на компьютере поставщика в удаленном расположении).
  • Управление пользователями и управление файлами не централизовано с точки зрения работы с документами.

Организация поставила следующие цели для повышения уровня эффективности совместной работы.

  • Хранить данные в облаке или локальной среде, чтобы сотрудники и поставщики могли без труда обращаться к данным для совместной работы в любое время и в любом месте.
  • Предоставить конкретным сотрудникам, партнерам и поставщикам доступ к документам для сохранения контроля над информацией.
  • Устранить конфликты версий, возникающие из-за создания нескольких версий файлов при работе сотрудников и поставщиков с локальными копиями.
  • Интегрировать и централизовать администрирование облачных служб и локальных приложений, имеющих отношение к совместной работе, например Microsoft Outlook, Word, Excel и PowerPoint.
  • Повысить производительность за счет совместной работы сотрудников с поставщиками и партнерами с использованием различных облачных служб.
  • Централизовать управление разрешениями на доступ к документам, хранящимся локально и в облаке.

На следующей схеме показано хранение, защита и безопасный доступ к данным с сервера под управлением Windows Server 2012 R2 Essentials или Windows Server 2012 R2 с установленной ролью Режим Windows Server Essentials (называемой Режим Windows Server Essentials в остальной части документа).

Архитектура решения для совместной работы сотрудников и поставщиков или партнеров

 

Использ. служб Microsoft Online Services в среде мал./ср. бизнеса

 

Windows Server 2012 R2 Essentials (подходит для использования для максимум 25 пользователей и 50 устройств) и выпуски Standard и Datacenter Windows Server 2012 R2 с установленной ролью Режим Windows Server Essentials формируют решение для партнеров и владельцев предприятий малого и среднего бизнеса, позволяющее легко взаимодействовать с партнерами и поставщиками.

В следующей таблице перечислены технологии, входящие в состав Windows Server 2012 R2 Essentials и Режим Windows Server Essentials и являющиеся частью архитектуры этого решения, а также описана причина их выбора.

Элемент структуры решения Что входит в это решение?
Панель мониторинга Windows Server Essentials Используйте панель мониторинга для выполнения всех административных задач в сети, таких как создание учетных записей пользователей, предоставление разрешений на доступ, настройка резервных копий сервера и клиента, создание дисковых пространств и папок сервера и интеграция с Microsoft Azure Backup.

Дополнительные сведения см. в разделе Общие сведения о панели мониторинга в Windows Server Essentials [fwlink_SBS8_Admin].

Дисковые пространства Используйте дисковые пространства для хранения данных компании. Дисковые пространства можно расширять по мере роста организации и, тем самым, обеспечивать высокий уровень доступности данных и формировать экономичное решение. Первоначальные затраты на оборудование отсутствуют, а наращивание ресурсов выполняется в соответствии с потребностями бизнеса.

Дополнительные сведения см. в разделах Обзор дисковых пространств и Часто задаваемые вопросы о дисковых пространствах.

Папки сервера Храните и предоставляйте общий доступ к файлам и папкам организации в папках, созданных на сервере, вместо того чтобы отправлять их с отдельных ПК пользователей. Это позволяет консолидировать данные в одном централизованном месте, которое доступно всем пользователям сети. Данные, хранящиеся в папках сервера, можно защитить от сбоя всего сервера с помощью системы архивации данных Windows Server и Служба архивации Azure.

Дополнительные сведения см. в разделе Управление папками сервера в Windows Server Essentials [A_Web_Admin_H2].

Управление пользователями Создавайте учетные записи пользователей для сотрудников, а также для поставщиков и партнеров, с которыми вы ведете совместную работу. Создайте группу пользователей для каждого проекта, в рамках которого осуществляется взаимодействие сотрудников и внешних партнеров, а затем добавьте в группу соответствующие учетные записи сотрудников и партнеров. При создании группы пользователей всем участникам можно предоставить один и тот же уровень доступа к сетевым ресурсам.

Дополнительные сведения см. в разделе Управление учетными записями пользователей в Windows Server Essentials [H2].

Управление устройствами Присоединяйте клиентские компьютеры к сети, чтобы легко и просто управлять всеми компьютерами в сети с помощью панели мониторинга Windows Server Essentials.

Сведения обо всех задачах компьютера, связанных с управлением, см. в разделе Управление устройствами в Windows Server Essentials [H2].

Параметры групповой политики Защищайте клиентские компьютеры от сетевых атак и обновляйте программное обеспечение и операционные системы на компьютерах путем применения параметров групповой политики Windows Server Essentials, которые включают в себя параметры Защитника Windows, брандмауэра Windows и Центра обновления Windows.

Office 365 Интегрируйте сервер под управлением Windows Server Essentials с Microsoft Office 365, чтобы использовать панель мониторинга для управления службами и ресурсами Office 365 с помощью локальных ресурсов вместо управления ими в двух местах.

Дополнительные сведения см. в разделе Управление Office 365 в Windows Server Essentials [WSE_O365_Integrate].

System_CAPS_noteПримечание
Необходимо заранее оформить подписку на Office 365. Приобрести подписку или зарегистрироваться для использования бесплатной пробной версию можно при интеграции Office 365.

Просмотреть планы и цены на Office 365 можно на странице Сравнение планов Office 365 для бизнеса.

Управление учетными записями интернет-служб Майкрософт Создавайте учетные записи интернет-служб для всех сотрудников в сети, которым требуются возможности совместной работы с поставщиками и партнерами. С помощью этих учетных записей интернет-служб сотрудники могут входить на портал Office 365. После завершения интеграции Windows Server Essentials с Office 365 сотрудники смогут входить на портал Office 365, используя свои сетевые учетные данные.

Дополнительные сведения см. в разделе Управление учетными записями интернет-служб пользователей Windows Server Essentials [WSE_O365_Integrate].

SharePoint Online Все планы подписки Office 365 для бизнеса предусматривают создание сайтов рабочих групп и библиотек в SharePoint Online. SharePoint Online позволяет совместно работать с партнерами и поставщиками. С помощью SharePoint Online можно получать доступ к документам и другим сведениям из любого места — из офиса, из дома или с мобильного устройства. После интеграции сервера под управлением Windows Server 2012 R2 Essentials или Режим Windows Server Essentials с Microsoft Office 365 управление библиотеками SharePoint и настройка разрешений на доступ осуществляется с панели мониторинга без входа на портал Office 365.

Дополнительные сведения об управлении SharePoint Online в Windows Server Essentials см. в разделе Управление устройствами в Windows Server Essentials [H2].

Обзор SharePoint Online см. в разделе SharePoint Online.

 

Windows Server 2012 R2 Essentials и Режим Windows Server Essentials предлагают следующие возможности и технологии, которые могут помочь партнерам или администраторам предприятий малого и среднего бизнеса достичь бизнес-целей, перечисленных ранее в этом руководстве.

При планировании развертывания этого решения обратите внимание на следующие возможности и технологии. Здесь приведены рекомендации по архитектуре, затрагивающие каждую функцию или технологию.

В этом разделе приводятся сведения об аспектах разработки и решениях, которые были приняты для формирования окончательной структуры решения. Здесь также приведены рекомендуемые конфигурации или предложения по использованию каждой функции в решении.

Панель мониторинга Windows Server Essentials в Windows Server 2012 R2 Essentials и Режим Windows Server Essentials обеспечивает быстрый доступ к ключевым данным и функциям управления на сервере. С помощью панели мониторинга можно создавать и контролировать учетные записи пользователей, управлять устройствами и резервными копиями, управлять доступом и параметрами папок сервера и жестких дисков, просматривать предупреждения сервера и реагировать на них, выполнять интеграцию со службами Microsoft Online Services и устанавливать надстройки сторонних производителей, которые интегрируются с веб-службами.

Рекомендация. Используйте панель мониторинга Windows Server Essentials для выполнения большинства административных задач для вашей сети. На панели мониторинга можно выполнять задачи и запускать мастеров для оптимальной настройки функций, входящих в состав сервера. С помощью панели мониторинга также можно настроить удаленный доступ к сетевым ресурсам, например общим папкам, клиентским компьютерам или виртуальной частной сети (VPN), на уровне пользователя.

Дисковые пространства можно использовать для создания гибких, недорогих, надежных и динамически расширяемых томов данных. С помощью дисковых пространств можно виртуализировать хранилище сервера путем объединения отраслевых стандартных жестких дисков в пулы носителей и последующего создания виртуальных жестких дисков (называемых дисковыми пространствами) из доступной емкости в пулах носителей. Эти дисковые пространства можно использовать для хранения данных компании в одном централизованном месте.

Рекомендация. Для мелких компаний, в которых менее 10 сотрудников, используйте по крайней мере три жестких диска SAS или SATA. Один жесткий диск следует использовать под операционную систему, а два других для дисковых пространств. Рекомендуется создавать дисковые пространства с помощью по крайней мере двух дисков с зеркальной устойчивостью.

Для предприятий малого бизнеса с более чем 10 сотрудниками или для предприятий среднего бизнеса с максимум 100 сотрудниками необходимо настроить по крайней мере три жестких диска SAS с дисковыми пространствами: один жесткий диск для операционной системы, а два других — для дисковых пространств. Рекомендуется также обеспечить шасси сервера для добавления дополнительных дисков в целях расширения.

С помощью папок сервера можно хранить файлы, находящиеся на клиентских компьютерах, в центральном расположении. Хранение файлов в папках сервера обеспечивает постоянную доступность файлов с любого клиента с использованием сетевых учетных данных, прошедших проверку подлинности.

Рекомендация. Создавайте папки сервера на диске дисковых пространств. Создавайте отдельные папки сервера для отделов и проектов. Например, для бухгалтерии можно создать папку с именем «Бухгалтерский учет». Создание папки сервера на диске Storage Space повышает доступность данных (за счет зеркального отображения).

Также рекомендуется задать квоты для папок сервера, чтобы получать оповещения при достижении ограничения на объем папки. После получения оповещения можно удалить файлы в папке сервера, чтобы увеличить доступное пространство для хранения, или можно добавить дополнительное пространство в папку и изменить настройки квоты. Некоторые папки сервера можно настроить для удаленного доступа, а учетным записям пользователей можно задать разрешения на удаленный доступ к папкам сервера.

Простота управления доступом к сетевым ресурсам достигается за счет создания учетных записей для всех сотрудников сети на вкладке Пользователи на панели мониторинга Windows Server Essentials. Кроме того, можно создать учетные записи групп пользователей и затем добавить учетные записи пользователей в качестве их членов. Все члены группы учетных записей пользователей имеют одинаковый уровень безопасного доступа к ресурсам сервера.

Рекомендация. Создайте учетные записи пользователей для всех сотрудников в сети и для всех поставщиков и партнеров, с которыми вы хотите совместно работать с помощью Office 365. Далее создайте группы пользователей на основе проектов, для которых требуется совместная работа или доступ к папкам сервера. Например, для всех сотрудников, работающих в бухгалтерии, можно создать группу пользователей с именем «Бухгалтерский учет», а затем добавить в эту группу все связанные учетные записи пользователей. Для совместного проекта, где требуется сотрудничество поставщиков и сотрудников, создайте группу пользователей под именем «Поставщик A». Добавьте учетные записи сотрудников и поставщиков, которым предстоит совместная работа над этим проектом, для группы пользователей под именем «Проект A». Позднее группе поставщиков A можно назначить разрешения на доступ для библиотек SharePoint.

Управление всеми устройствами в сети осуществляется с вкладки Устройства панели мониторинга Windows Server Essentials после подключения всех компьютеров в сети к серверу под управлением Windows Server 2012 R2 Essentials или Режим Windows Server Essentials. Чтобы пользователи могли получать доступ к папкам сервера с компьютеров в сети, компьютеры сотрудников необходимо подключить к серверу.

Для этого запустите мастер подключения компьютеров к серверу на всех компьютерах, которым требуется доступ к файлам и папкам, расположенным на сервере под управлением Windows Server 2012 R2 Essentials или Режим Windows Server Essentials. Запущенный мастер устанавливает программное обеспечение Connector и присоединяет компьютер к серверу. Это обеспечивает следующие преимущества.

  • Позволяет сотрудникам безопасно обращаться к данным, хранящимся на сервере, с помощью их учетных записей.
  • Позволяет управлять клиентскими компьютерами с панели мониторинга.
  • Обеспечивает защиту клиентских компьютеров в сети с помощью параметров групповой политики.
  • Регулярно архивирует данные на клиентских компьютерах.
  • Отслеживает работоспособность клиентских компьютеров.

Рекомендация. Запустите мастер подключения клиентских компьютеров к серверу на всех клиентских компьютерах в сети независимо от того, используется ли компьютер удаленно или локально.

Реализованная групповая политика Windows Server Essentials в Windows Server 2012 R2 Essentials и Режим Windows Server Essentials помогает обеспечивать безопасность сети путем включения параметров Центра обновления Windows, Защитника Windows и брандмауэра на всех клиентских компьютеров в сети.

Рекомендация. Включите параметры Центра обновления Windows, Защитника Windows и брандмауэра Windows в групповой политике Windows Server Essentials.

System_CAPS_importantВажно
Интеграция с Office 365 поддерживается только в среде с одним контроллером домена. Кроме того, на контроллере домена требуется запустить мастер интеграции с Microsoft Office 365.

После запуска мастера интеграции с Microsoft Office 365 на панели мониторинга можно выполнять следующие задачи.

  • Управлять службами и ресурсами Office 365.
  • Управлять сетевыми учетными записями, которые предоставляют сотрудникам и учетным записям пользователей доступ к Office 365.
  • Управлять своей подпиской и интеграцией с Office 365 из панели мониторинга.
  • Создавать и контролировать библиотеки SharePoint Online.
  • Изменять разрешения для сайта рабочей группы SharePoint Online.
  • Наличие подписки Exchange Online позволяет управлять мобильными устройствами, используемыми сотрудниками для подключения к серверу электронной почты компании.

Дополнительные сведения об интеграции Office 365 см. в разделе Управление Office 365 в Windows Server Essentials [WSE_O365_Integrate].

С помощью любого плана Office 365 для бизнеса можно создавать сайты рабочих групп и библиотеки в SharePoint Online. Интеграция с Office 365 добавляет вкладку Библиотеки SharePoint для управления ресурсами SharePoint Online на вкладку Хранение на панель мониторинга. Запустите мастер интеграции с Microsoft Office 365 для управления разрешениями на доступ к библиотекам SharePoint Online и сайтам рабочих групп из панели мониторинга. Дополнительные сведения см. в разделе Управление SharePoint Online в Windows Server Essentials [WSE_O365_Integrate].

После интеграции Office 365 с сервером под управлением Windows Server 2012 R2 Essentials или Режим Windows Server Essentials сотрудники и поставщики могут получать доступ к библиотекам SharePoint Online со своих мобильных устройств или телефонов Windows с помощью приложения My Server 2012 R2. Дополнительные сведения см. в разделе Использование приложения My Server для подключения к Windows Server Essentials [SBS8].

После завершения интеграции с Office 365 можно создать учетные записи интернет-служб Майкрософт с помощью панели мониторинга. При использовании панели мониторинга для назначения учетной записи интернет-служб Майкрософт учетной записи пользователя пароль учетной записи пользователя автоматически синхронизируется с учетной записью интернет-служб сотрудника. Это означает, что пользователю требуется только один пароль для доступа к ресурсам на сервере и ресурсам в Office 365.

Кроме того, вы можете использовать одно имя для учетной записи и идентификатора интернет-службы пользователя. Синхронизация пароля происходит автоматически сразу после изменения пользователем пароля для учетной записи на присоединенном к домену компьютере или с помощью удаленного веб-доступа.

Рекомендация. Создайте учетные записи интернет-служб Майкрософт для всех сотрудников, которым необходимо работать над проектами вместе с партнерами и поставщиками.

Для реализации решения можно использовать шаги в этом разделе. Проверьте правильность развертывания каждого шага перед тем, как перейти к следующему.

System_CAPS_noteПримечание
Для выполнения этих действий предполагается, что в сети уже развернут сервер под управлением Windows Server 2012 R2 Essentials или Режим Windows Server Essentials. Сведения об установке Windows Server 2012 R2 Essentials или роли Режим Windows Server Essentials см. в разделе Установка и настройка Windows Server 2012 R2 Essentials или Windows Server Essentials Experience [WSE_Blue].
  1. Настройте имя домена из повсеместного доступа.

    Чтобы настроить доменное имя, следуйте инструкциям в разделе Управление удаленным веб-доступом. Если имя домена отсутствует, получите профессиональное доменное имя (например, contoso.com) с помощью мастера настройки имени домена.

  2. Включите повсеместный доступ.

    Чтобы включить удаленный веб-доступ и VPN-подключение, запустите мастер установки повсеместного доступа с вкладки Повсеместный доступ на странице Параметры панели мониторинга. Чтобы включить удаленный веб-доступ, следуйте инструкциям в разделе Управление удаленным веб-доступом. Для включения VPN следуйте инструкциям в разделе Управление VPN в Windows Server Essentials [blue].

  3. Создайте дисковое пространство на сервере. 

    Для создания дискового пространства воспользуйтесь инструкциями в разделе Создание дискового пространства.

    После создания дискового пространства убедитесь, что оно указано на вкладке Жесткие диски панели мониторинга.

  4. Создайте папки сервера для важных документов, которые должны храниться в локальной среде.

    Чтобы создать папки сервера, следуйте инструкциям в разделе Добавление или перемещение папки сервера. Например, для хранения файлов бухгалтерского учета можно создать папку сервера с именем «Бухгалтерский учет».

    System_CAPS_noteПримечание
    Если в организации есть общие папки, которые уже используются, переместите данные, хранящиеся в различных устройствах, в папки сервера, создаваемые на этом шаге.

    После создания дисковых пространств расположением по умолчанию папки сервера будет жесткий диск. Убедитесь, что все созданные папки сервера указаны на вкладке Папки сервера панели мониторинга. Рекомендуется всегда добавлять папки сервера на дисковые пространства жесткого диска.

  5. Создайте учетные записи пользователей и группы пользователей и назначьте разрешения на доступ к сетевым ресурсам.

    Пошаговые инструкции по созданию учетных записей пользователей см. в разделе Добавление учетной записи пользователя. Дополнительные сведения о группах пользователей см. в разделе Управление учетными записями пользователей в Windows Server Essentials [H2].

    Убедитесь, что все созданные учетные записи пользователей и группы пользователей указаны на вкладках Пользователи и Группы пользователей соответственно на панели мониторинга.

  6. Назначьте разрешения на доступ к папкам сервера.

    Чтобы назначить разрешения учетным записям пользователей для доступа сотрудников к папкам сервера, следуйте инструкциям в разделе Управление доступом к папкам сервера.

    После предоставления разрешений на доступ можно просмотреть или изменить разрешения на доступ к сетевым ресурсам для любой учетной записи пользователя, просмотрев свойства учетной записи пользователя из панели мониторинга. Дополнительные сведения см. в разделе Управление учетными записями пользователей в Windows Server Essentials [H2].

  7. Подключите все клиентские компьютеры в сети к серверу под управлением Windows Server 2012 R2 Essentials или Windows Server 2012 R2 с установленной ролью режима Windows Server Essentials.

    Перед подключением клиентского компьютера к серверу под управлением Windows Server Essentials ознакомьтесь со следующими разделами.

    Затем запустите мастер подключения компьютеров к серверу на всех компьютерах в сети независимо от того, являются они локальными или удаленными. Пошаговые инструкции для подключения клиентских компьютеров к серверу, на котором запущен Режим Windows Server Essentials, см. в разделе Подключение компьютеров к серверу.

    После подключения клиентского компьютера к серверу убедитесь, что имя компьютера указано на вкладке Устройства панели мониторинга. Всеми компьютерами, подключенными к серверу, можно управлять с помощью административных задач, перечисленных в области задач на панели мониторинга. Дополнительные сведения об использовании панели мониторинга для управления компьютерами см. в разделе Управление устройствами с помощью панели мониторинга.

  8. Примените групповую политику Windows Server Essentials.

    Чтобы реализовать групповую политику Windows Server Essentials, включите параметры групповой политики для перенаправления папок, Защитника Windows, брандмауэра Windows и Центра обновления Windows в соответствии с инструкциями в разделе Настройка параметров групповой политики для перенаправления папок и безопасности.

  9. Интегрируйте Windows Server Essentials с Office 365.

    Чтобы внедрить Office 365 в Windows Server Essentials, см. подраздел «Настройка интеграции Office 365» раздела Управление Office 365 в Windows Server Essentials [WSE_O365_Integrate].

    System_CAPS_noteПримечание
    Во время выполнения действий в мастере интеграции с Microsoft Office 365 вы получаете возможность создания новой учетной записи интернет-служб Майкрософт или использования существующей учетной записи. Кроме того, если у вас нет подписки на Office 365, мастер позволяет оформить подписку на Office 365 или зарегистрироваться для использования пробной подписки.
  10. Свяжите имя домена Интернета вашей организации с Office 365.

    Чтобы использовать собственный домен Интернета в адресе электронной почты организации и URL-адресах для ресурсов SharePoint Online, следуйте инструкциям в подразделе «Подключение имени домена Интернета организации к Office 365» раздела Управление Office 365 в Windows Server Essentials [WSE_O365_Integrate].

  11. Создайте учетные записи интернет-служб Майкрософт для сотрудников.

    Чтобы создать учетные записи интернет-служб Майкрософт, см. подраздел «Создание учетных записей интернет-служб» раздела Управление учетными записями интернет-служб для пользователей Windows Server Essentials [WSE_O365_Integrate].

  12. Уведомьте сотрудников о том, что им необходимо войти на сервер и изменить свой пароль.

    В целях синхронизации паролей учетных записей пользователей Office 365 и паролей пользователей сети следует уведомить сотрудников о необходимости изменения паролей при входе в систему сетевого компьютера. После изменения пароля сотрудники могут использовать одни и те же учетные данные для входа в сеть Windows Server Essentials и на портал Office 365.

  13. Создайте библиотеки SharePoint Online и настройте разрешения на доступ из панели мониторинга.

    Чтобы создать библиотеки SharePoint Online и настроить их разрешения на доступ с помощью панели мониторинга Windows Server Essentials, см. раздел Управление SharePoint Online.

Безопасный удаленный доступ для малого и среднего бизнеса

By | Без категории | No Comments

Безопасный удаленный доступ к данным компании для небольшой организации

Чем может помочь это руководство? В этом руководстве объясняется, как предоставить пользователям простой и безопасный доступ к корпоративным данным с различных подключенных к Интернету устройств независимо от местоположения.

В этом руководстве описывается проверенное и надежное решение, которое может помочь обеспечить пользователям сети безопасный удаленный доступ за счет централизованного хранения данных, настройки сети для удаленного доступа и ограничения разрешений на доступ к данным.

В этом руководстве по решению:

На следующей схеме показаны проблема и сценарий, к которым адресуется данное руководство.

 Проблемы, связанные с удаленным доступом к данным

Проблемы с удаленным доступом в среде малого и среднего бизнеса

 

В этом разделе описывается сценарий, проблема и цели на примере конкретной организации.

Организация входит в сегмент предприятий малого и среднего бизнеса, насчитывает до 100 пользователей и 200 устройств и ищет способ предоставления пользователям безопасного доступа к корпоративным данным в удаленном режиме и с использованием широкого диапазона устройств, подключенных к Интернету. У пользователей отсутствует согласованный доступ к ресурсам компании как на рабочих местах, так и вне офиса. Пользователи сети, выходящие за пределы офиса, теряют доступ к файлам. В результате пользователи сети хранят данные компании на своих мобильных устройствах или отправляют их по электронной почте. Они используют ПК для отправки данных по электронной почте со своих рабочих мест и применяют ноутбуки для отправки данных, когда работают удаленно. Иногда после окончания рабочего дня пользователям требуется работать с файлами или обращаться к данным с различных устройств, таких как планшеты или ноутбуки, однако они не могут использовать свои бизнес-приложения, находясь за пределами офиса.

 

Организация хочет решить следующие проблемы.

  • У пользователей отсутствует безопасный способ доступа к корпоративным данным и бизнес-приложениями вне сети компании.
  • У пользователей отсутствует безопасный способ доступа к сетевым ресурсам с мобильных устройств.
  • Пользователи хранят данные компании на нескольких устройствах (например, на ПК на рабочем месте или на ноутбуке в удаленном расположении). В результате существует несколько версий файлов, которые трудно отслеживать и находить.
  • Если пользователи не могут работать из-за отсутствия бизнес-приложений на их личных устройствах, подключенных к сети, возникают финансовые убытки.

 

Организации требуется решение, которое позволит выполнить следующие задачи.

  • Предоставить пользователям, находящимся за пределами офиса, безопасный доступ к корпоративным данным и ресурсам.
  • Разрешить пользователям доступ к сетевым ресурсам с мобильных устройств.
  • Устранить конфликты версий, возникающие из-за создания нескольких версий файлов при работе пользователей, находящихся за пределами сети, с локальными копиями.
  • Предотвратить финансовые потери, вызванные отсутствием доступа к бизнес-приложениям за пределами офиса.

 

На следующей схеме показано хранение, защита и удаленный доступ к данным компании с сервера под управлением Windows Server 2012 R2 Essentials или выпусков Standard и Datacenter Windows Server 2012 R2 с установленной ролью Режим Windows Server Essentials (называемой Режим Windows Server Essentials в остальной части документа).

 

Архитектура решения для обеспечения безопасного доступа к данным, когда пользователи находятся вне сети

Решение удаленного доступа для малого и среднего бизнеса

Windows Server 2012 R2 Essentials (подходит для использования для максимум 25 пользователей и 50 устройств) и выпуски Standard и Datacenter Windows Server 2012 R2 с установленной ролью Режим Windows Server Essentials (подходят для использования для максимум 100 пользователей и 200 устройств) формируют решение для предприятий малого и среднего бизнеса, обеспечивающее простой и безопасный доступ к корпоративным данным с помощью различных устройств, подключенных к Интернету.

В следующей таблице перечислены технологии, входящие в состав Windows Server 2012 R2 Essentials и Режим Windows Server Essentials и являющиеся частью архитектуры этого решения, а также описана причина их выбора.

Элемент структуры решения Что входит в это решение?
Панель мониторинга Windows Server Essentials Используйте панель мониторинга для выполнения всех административных задач в сети, таких как создание учетных записей пользователей, предоставление разрешений на доступ, создание дисковых пространств и папок сервера и настройка имени домена Интернета.

Сведения об этой панели мониторинга см. в разделе Обзор панели мониторинга в Windows Server Essentials [fwlink_SBS8_Admin].

Удаленный веб-доступ Используйте портал удаленного веб-доступа для предоставления пользователям, работающим за пределами сети компании, доступа к данным и другим сетевым ресурсам. С помощью приложения My Server пользователи могут безопасно обращаться к сетевым ресурсам с использованием своих сетевых учетных данных. Они имеют возможность доступа к ресурсам с различных устройств, подключенных к Интернету. Кроме того, удаленные пользователи могут подключаться к компьютеру в локальной среде компании в ходе сеанса подключения к удаленному рабочему столу в рамках удаленного веб-доступа.

Дополнительные сведения о настройке и использовании удаленного веб-доступа см. в разделе Управление удаленным веб-доступом в Windows Server Essentials [A_Web_Admin_H2] и Использование удаленного веб-доступа в Windows Server Essentials [A_Web_Client_H2].

Виртуальная частная сеть Используйте виртуальную частную сеть (VPN) для предоставления пользователям удаленного доступа к корпоративным данным и другим сетевым ресурсам или для подключения к компьютеру в локальной среде с помощью сеанса подключения к удаленному рабочему столу. С помощью VPN пользователи могут безопасно обращаться к сетевым ресурсам с использованием сетевых учетных данных.

Дополнительные сведения о VPN см. в разделе Управление VPN в Windows Server Essentials [blue].

Приложение My Server Используйте приложение My Server на устройствах под управлением операционной системы Windows 8.1, Windows 8, Windows RT или Windows Phone 8 для предоставления доступа к документам и файлам мультимедиа на сервере. С помощью приложения My Server пользователи могут безопасно обращаться к сетевым ресурсам с использованием своих сетевых учетных данных.

Дополнительные сведения о приложении My Server см. в разделе Использование приложения My Server для подключения к Windows Server Essentials [SBS8].

Дисковые пространства Используйте дисковые пространства для хранения данных компании. Дисковые пространства позволяют расширять емкость хранилища по мере роста организации и, тем самым, обеспечивать высокий уровень доступности данных и формировать экономичное решение. Первоначальные затраты на оборудование отсутствуют, а наращивание ресурсов выполняется в соответствии с потребностями бизнеса.

Дополнительные сведения о дисковых пространствах см. в разделах Обзор дисковых пространств и Часто задаваемые вопросы о дисковых пространствах.

Папки сервера Храните файлы и папки организации в папках, создаваемых на сервере. Это позволяет консолидировать данные в одном централизованном месте, которое доступно всем пользователям сети. Данные, хранящиеся в папках сервера, можно защитить от сбоя всего сервера с помощью системы архивации данных Windows Server и службы архивации Microsoft Azure.

Дополнительные сведения о серверных папках см. в разделе Управление серверными папками в Windows Server Essentials [A_Web_Admin_H2].

Управление пользователями Создавайте учетные записи пользователей и групп пользователей для управления доступом к данным и устройствам вашей компании. При создании группы пользователей всем участникам можно предоставить один и тот же уровень доступа к сетевым ресурсам.

Дополнительные сведения см. в разделе Управление учетными записями пользователей в Windows Server Essentials [H2].

Управление устройствами Присоединяйте клиентские компьютеры к сети, чтобы легко и просто управлять всеми компьютерами в сети с помощью панели мониторинга Windows Server Essentials.

Сведения обо всех задачах компьютера, связанных с управлением, см. в разделе Управление устройствами в Windows Server Essentials [H2].

Групповая политика Windows Server Essentials Защищайте клиентские компьютеры от сетевых атак и обновляйте программное обеспечение и операционные системы на компьютерах путем применения параметров групповой политики Windows Server Essentials.

 

 

В этом разделе приводятся сведения об аспектах разработки и решениях, которые были приняты для формирования окончательной структуры решения. Здесь также приведены рекомендуемые конфигурации или предложения по использованию каждой функции в решении.

 

Панель мониторинга Windows Server Essentials в Windows Server 2012 R2 Essentials и Режим Windows Server Essentials обеспечивает быстрый доступ к ключевым данным и функциям управления на сервере без использования ряда встроенных средств администрирования Windows Server. Например, с помощью панели мониторинга можно создавать и контролировать учетные записи пользователей и управлять данными в папках сервера.

Рекомендация. Используйте панель мониторинга Windows Server Essentials для выполнения большинства административных задач для вашей сети. С панели мониторинга можно выполнять задачи и запускать мастеры для оптимальной настройки функций сервера. С помощью панели мониторинга можно также настраивать разрешения на удаленный доступ к сетевым ресурсам (например, общим папкам, клиентским компьютерам и VPN) на уровне пользователя.

 

В число вариантов обеспечения высокого уровня доступности и формирования надежных хранилищ данных компании входит использование встроенного RAID-контроллера, поставляемого с типовым серверным оборудованием. Данная возможность хранения способна обеспечить необходимую доступность и устойчивость хранилища, однако она может быть довольно сложной и дорогостоящей.

С другой стороны, можно воспользоваться дисковыми пространствами и создать недорогие, надежные и динамически расширяемые тома для хранения данных, а не хранить информацию на стандартных жестких дисках. Дисковые пространства представляют собой виртуальные жесткие диски (VHD), отображаемые на вкладке Жесткие диски на панели мониторинга.

Дисковые пространства помогают сохранять файлы на двух или нескольких дисках, что обеспечивает их защиту даже в случае сбоя диска. С помощью дисковых пространств можно виртуализировать хранилище сервера путем объединения отраслевых стандартных жестких дисков в пулы носителей и последующего создания виртуальных жестких дисков (называемых дисковыми пространствами) из доступной емкости в пулах носителей. Эти дисковые пространства можно использовать для хранения данных компании в одном централизованном месте, избавив пользователей от хранения данных на их ПК.

Рекомендация. Используйте по меньшей мере три диска SAS или SATA в компаниях малого бизнеса (менее 10 пользователей): один — для резервного копирования операционной системы, а другие два — для организации дисковых пространств. Рекомендуется создавать дисковые пространства с помощью по крайней мере двух дисков с зеркальной устойчивостью.

Для предприятий малого бизнеса с более чем 10 пользователями или для предприятий среднего бизнеса с максимум 100 пользователями настройте как минимум три диска SAS с дисковыми пространствами: один диск будет использоваться для архивации операционной системы, а два других — для дисковых пространств. Рекомендуется также обеспечить шасси сервера для добавления дополнительных дисков в целях расширения.

 

С помощью папок сервера можно хранить файлы, находящиеся на клиентских компьютерах, в центральном расположении, избавив пользователей от хранения данных на их ПК.

Хранение файлов в папках сервера упрощает процесс их резервного копирования и доступа к ним. Они находятся в месте, доступном с любого клиента. Файлы защищены, поскольку для получения доступа к ним требуются сетевые учетные данные, прошедшие проверку подлинности.

Рекомендация. Создайте серверные папки на диске дискового пространства, а затем создайте отдельные серверные папки для конкретных отделов или проектов. Например, для бухгалтерии, можно создать папку с именем «Бухгалтерский учет». Создание папки сервера на диске Storage Space повышает доступность данных (за счет зеркального отображения).

Также рекомендуется задать квоты для папок сервера, чтобы получать оповещения при достижении ограничения на объем папки. После получения оповещения можно удалить файлы в папке сервера, чтобы увеличить доступное пространство для хранения, или можно добавить дополнительное пространство в папку и изменить настройки квоты.

 

Учетные записи пользователей и групп пользователей позволяют задавать разрешения на предоставление пользователям доступа к данным компании. Это обеспечивает защиту данных компании от нежелательного доступа. Простота управления доступом к сетевым ресурсам достигается за счет создания учетных записей для всех пользователей сети на вкладке Пользователи на панели мониторинга Windows Server Essentials.

Кроме того, можно создать учетные записи групп пользователей и затем добавить учетные записи пользователей в качестве их членов. Все члены группы учетных записей пользователей имеют одинаковый уровень безопасного доступа к ресурсам сервера. Членство в группе упрощает управление ресурсами, поскольку задать разрешения для группы пользователей можно на одной странице пользовательского интерфейса. Этим данное преимущество отличается от открытия страницы свойств для каждого пользователя в сети для назначения соответствующих разрешений на доступ к папкам.

Рекомендация. Создавайте учетные записи пользователей с участниками из разных групп пользователей, основываясь на существующих в компаниях отделах и проектах, над которыми работают разные сотрудники вашей организации. При создании группы пользователей ей можно назначить набор разрешений, которые будут применяться ко всем ее участникам. Например, при наличии группы пользователей, работающих в отделе учета А, можно создать учетную запись группы пользователей с именем «Группа пользователей отдела А» и затем добавить в эту группу соответствующие учетные записи пользователей. Затем группе «Группа пользователей отдела А» можно назначить разрешения на доступ к папке сервера с именем «Бухгалтерский учет».

Для каждой учетной записи пользователя в сети можно настроить разрешения удаленного доступа в зависимости от метода, который используется для удаленного доступа (например, удаленный веб-доступа или VPN-подключение). Можно также настроить доступ к сетевым ресурсам (например, к папкам сервера и клиентским компьютерам). Например, можно создавать группы пользователей «Пользователи VPN» и «Пользователи RWA», настроить разрешения удаленного доступа для этих групп, а затем добавить учетные записи пользователей, которым необходимы права удаленного доступа к этим группам.

 

Чтобы пользователи могли получать доступ к папкам сервера с компьютеров в сети, компьютеры пользователей необходимо подключить к серверу. Подключение компьютеров к серверу предоставляет следующие преимущества.

  • Позволяет пользователям безопасно обращаться к данным, хранящимся на сервере, с помощью их учетных записей.
  • Позволяет управлять клиентскими компьютерами с панели мониторинга.
  • Обеспечивает защиту клиентских компьютеров в сети с помощью параметров групповой политики.
  • Регулярно архивирует данные на клиентских компьютерах.
  • Отслеживает работоспособность клиентских компьютеров.

Рекомендация. Подключите к серверу все администрируемые компьютеры (локальные и удаленные), чтобы можно было управлять ими с вкладки Устройства на панели мониторинга Windows Server Essentials, а не использовать для этого собственное серверное средство Пользователи и компьютеры Active Directory.

 

Мастер реализации групповой политики в Windows Server 2012 R2 Essentials или Режим Windows Server Essentials позволяет размещать данные в централизованном расположении за счет включения перенаправления папок. Кроме того, используйте этот мастер для защиты сети путем включения параметров Центра обновления Windows, Защитника Windows и брандмауэра Windows на всех клиентских компьютерах в сети. Конечным пользователям не нужно самостоятельно включать эти параметры на своих ПК.

Рекомендация. Рекомендуется не выключать параметры групповой политики в Windows Server Essentials.

При настройке функций повсеместного доступа (удаленного веб-доступа и VPN-подключения) пользователи сети получают возможность доступа к ресурсам сервера из любого места с подключением к Интернету, в любое время и практически с любого устройства.

Рекомендация. Запустите мастер настройки повсеместного доступа, чтобы настроить удаленный веб-доступ и виртуальную частную сеть. Исправьте ошибки, выведенные после завершения действий мастера.

Удаленный веб-доступ обеспечивает упрощенное использование браузера с поддержкой сенсорного ввода для доступа к приложениям и данным практически из любого места, где есть подключение к Интернету, и с помощью практически с любого устройства.

Рекомендация. Настройте разрешения на удаленный веб-доступ для пользователей и групп пользователей, чтобы удаленные пользователи могли осуществлять безопасный доступ к данным, находясь вне офиса.

Благодаря подключениям к виртуальной частной сети (VPN) пользователи, работающие дома или в пути, могут получать доступ к серверу в частной сети, используя инфраструктуру общедоступной сети, например Интернета.

Рекомендация. Настройте пользователям и группам пользователей разрешения на использование виртуальной частной сети, чтобы удаленные пользователи могли подключаться к серверу по безопасному VPN-подключению.

Приложение My Server позволяет подключаться к ресурсам и выполнять несложные административные задачи на сервере Windows Server Essentials с устройства под управлением ОС Windows 8.1, Windows 8 или Windows RT. С помощью приложения My Server можно управлять пользователями, устройствами и оповещениями, а также работать с общими файлами на сервере. При работе в автономном режиме можно продолжать работать с файлами, которые недавно открывались в приложении My Server. Автономные изменения автоматически синхронизируются с сервером при следующем подключении.

Рекомендация. Установите приложение My Server на любом устройстве под управлением Windows 8.1, Windows 8 или Windows RT и используйте My Server для доступа к документам на сервере.

 

Для реализации решения можно использовать шаги в этом разделе. Проверьте правильность развертывания каждого шага перед тем, как перейти к следующему.

System_CAPS_noteПримечание
При выполнении следующих шагов предполагается, что в сети уже развернут сервер под управлением Windows Server 2012 R2 Essentials или Режим Windows Server Essentials. Сведения об установке Windows Server 2012 R2 Essentials или роли Режим Windows Server Essentials см. в разделе Установка и настройка Windows Server 2012 R2 Essentials или Windows Server Essentials Experience [WSE_Blue].
  1. Включите повсеместный доступ.Повсеместный доступ позволяет управлять функциональными возможностями удаленного веб-доступа и сетей VPN. Чтобы включить удаленный веб-доступ и VPN-подключение, запустите мастер установки повсеместного доступа с вкладки Повсеместный доступ на странице Параметры панели мониторинга. Для включения удаленного веб-доступа следуйте инструкциям в разделе Управление удаленным веб-доступом. Для включения VPN следуйте инструкциям в разделе Управление VPN в Windows Server Essentials [blue].
  2. Настройте имя домена.Для настройки имени домена запустите мастер настройки имени домена и выполните инструкции из раздела Управление удаленным веб-доступом. Если имя домена отсутствует, во время выполнения действий в мастере настройки имени домена можно получить бесплатное персонализированное имя домена корпорации Майкрософт (например, имя_узла.remotewebaccess.com).
  3. Создайте дисковое пространство на сервере. Для создания дискового пространства воспользуйтесь инструкциями в разделе «Создание дискового пространства» статьи Управление хранилищем сервера в Windows Server Essentials.

    Создать двустороннее зеркальное дисковое пространство можно с помощью командлета New-WssStorageSpace Windows PowerShell.

    После создания дискового пространства убедитесь, что оно указано на вкладке Жесткие диски панели мониторинга.

  4. Создайте папки сервера для различных отделов или типов данных.Чтобы создать папки сервера, следуйте инструкциям в разделе Добавление или перемещение папки сервера.
    System_CAPS_noteПримечание
    Если в организации есть общие папки, которые уже используются, переместите данные, хранящиеся в различных устройствах, в папки сервера, создаваемые на этом шаге.

    При создании новой папки сервера с помощью мастера добавления папок на странице Введите имя и описание папки в поле Расположение сохраните папку в расположении по умолчанию, а именно в дисковом пространстве, созданном на шаге 1, чтобы обеспечить высокую доступность данных. Убедитесь, что все созданные папки сервера указаны на вкладке Хранение панели мониторинга.

    Можно также добавить папку сервера с помощью командлета Add-WssFolder Windows PowerShell. Дополнительные сведения см. в разделе Add-WssFolder.

  5. Создайте учетные записи пользователей и группы пользователей.Создайте учетные записи пользователей для всех пользователей в сети, а затем создайте группы пользователей на основе отделов и проектов в организации. Можно также создать группы пользователей в соответствии с методом удаленного доступа, например пользователи, получающие доступ к данным через VPN, или пользователи, получающие доступ к данным посредством удаленного веб-доступа.

    Затем добавьте учетные записи пользователей в соответствующие группы пользователей на основе отделов, проектов или методов удаленного доступа, связанных с пользователями. Пошаговые инструкции по созданию учетных записей пользователей см. в разделе Добавление учетной записи пользователя. Дополнительные сведения о группах пользователей см. в разделе Управление учетными записями пользователей в Windows Server Essentials [H2].

    Убедитесь, что все учетные записи пользователей и группы пользователей указаны на вкладках Пользователи и Группы пользователей панели мониторинга.

  6. Назначьте разрешения на доступ к папкам сервера.Инструкции по назначению учетным записям пользователей разрешений на доступ к серверным папкам см. в разделе Управление доступом к серверным папкам.

    После предоставления разрешений на доступ можно просмотреть или изменить разрешения на доступ к сетевым ресурсам для любой учетной записи пользователя, просмотрев свойства учетной записи пользователя из панели мониторинга. Дополнительные сведения см. в разделе Управление учетными записями пользователей в Windows Server Essentials [H2].

  7. Подключите все клиентские компьютеры в сети к серверу.Все клиенты должны быть подключены к серверу под управлением Windows Server 2012 R2 Essentials или Режим Windows Server Essentials. Прежде чем подключить клиент к серверу под управлением Windows Server Essentials, примите во внимание следующее.

    Запустите мастер подключения компьютеров к серверу на всех компьютерах в сети независимо от того, являются они локальными или удаленными. Пошаговые инструкции для подключения клиентских компьютеров к серверу, на котором запущен Режим Windows Server Essentials, см. в разделе Подключение компьютеров к серверу.

    После подключения клиентского компьютера к серверу убедитесь, что имя компьютера указано на вкладке Устройства панели мониторинга. Всеми компьютерами, подключенными к серверу, можно управлять с помощью административных задач, перечисленных в области задач на панели мониторинга. Дополнительные сведения см. в разделе Управление устройствами с использованием панели мониторинга.

  8. Настройте разрешения удаленного доступа для учетных записей пользователей и сетевых устройств.Назначьте разрешения удаленного доступа учетным записям пользователей и сетевым устройствам, которые пользователи могут использовать для удаленного подключения. Это соединение можно выполнить через VPN-подключение или сеанс подключения к удаленному рабочему столу с помощью удаленного веб-доступа. Пошаговые инструкции см. в следующих разделах статьи Управление учетными записями пользователей в Windows Server Essentials [H2].
    • Предоставьте учетным записям пользователей разрешения на доступ к удаленному рабочему столу.
    • Разрешите пользователям устанавливать сеанс подключения к удаленному рабочему столу их компьютеров.
    • Измените разрешения удаленного доступа для учетной записи пользователя.
    • Изменение разрешения виртуальной сети для учетной записи пользователя.
  9. Примените параметры групповой политики.Для реализации параметров групповой политики в Windows Server Essentials включите параметры перенаправления папок, Защитника Windows, брандмауэра Windows и Центра обновления Windows в соответствии с инструкциями в разделе Настройка параметров групповой политики для перенаправления папок и обеспечения безопасности.

    После применения параметров групповой политики убедитесь, что на вкладке Устройства отображается задача Настройка параметров групповой политики.

  10. Установите приложение My Server 2012 R2.Установите приложение My Server 2012 R2 в системе Windows Phone и на устройствах под управлением Windows 8.1 и Windows 8. Установить приложение My Server 2012 R2 на устройства с Windows можно из Магазина Windows. Сведения об использовании этого приложения см. в разделе Использование приложения My Server для подключения к Windows Server Essentials [SBS8].

    Установить приложение My Server 2012 R2 на телефон с Windows Phone можно из Магазина Windows Phone. Убедитесь, что приложение My Server установлено на устройстве. Сведения о приложении My Server 2012 R2 см. в записи блога Приложения My Server 2012 R2 Windows и Windows Phone.

    Для успешного использования приложения My Server 2012 R2 для телефона с Windows Phone и устройств под управлением Windows 8.1 или Windows 8 в Windows Server Essentials сначала необходимо установить сертификат сервера на устройстве. Сертификат позволяет подключать устройство к серверу под управлением Windows Server Essentials из локальной сети. Пошаговые инструкции по установке сертификата сервера см. в разделе «Подключение к My Server из локальной сети» статьи Использование приложения My Server для подключения к Windows Server Essentials [SBS8].

После выполнения предыдущих шагов достигнуты следующие цели организации.

  • Пользователи сети могут использовать удаленный веб-доступа или VPN-подключение из-за пределов корпоративной сети для безопасного доступа к корпоративным данным и ресурсам.
  • Пользователи имеют возможность доступа к сетевым ресурсам с широкого спектра мобильных устройств с помощью удаленного веб-доступа, VPN-подключения или приложения My Server 2012 R2.
  • Пользователи могут работать вне сети, поэтому им больше не требуется использовать локальные копии во время удаленной работы. Устраняются конфликты версий, возникающие из-за наличия нескольких версий файлов.
  • Предотвращаются коммерческие убытки, поскольку пользователи сети могут получать доступ к бизнес-приложениям вне рабочее время с помощью VPN-подключения или удаленного веб-доступа для создания сеанса подключения к удаленным рабочим столам их локальных клиентских компьютеров.

Безопасный доступ к ресурсам отовсюду, с любого устройства

By | Без категории | No Comments

 

 

 

 

 

Безопасный доступ к ресурсам отовсюду, с любого устройства

Это руководство предназначено для традиционных ИТ-организаций, имеющих архитекторов инфраструктуры, специалистов по безопасности предприятий и специалистов по управлению устройствами, которым необходимо понять, какие решения доступны для внедрения потребительских ИТ-технологий и стратегии подключения личных устройств Bring Your Own Device (BYOD). Полноценное решение, описанное в данном руководстве, является частью концепции Microsoft Enterprise Mobility.

Текущая тенденция при развертывании устройств — как устройств, являющихся собственностью организации, так и личных устройств пользователей для доступа к корпоративным ресурсам локально или в облаке — делает ее обязательной для ИТ-службы с целью повышения производительности работы пользователя и удобств использования и идентификации устройств и возможности подключения к корпоративным ресурсам и приложениям. В то же время существенно вырастает число проблем управления и безопасности для ИТ-организаций, которым необходимо обеспечить защиту ИТ-инфраструктуры предприятия и корпоративные данные от злоумышленников. Этим корпорациям необходимо также гарантировать доступность ресурсов в соответствии с корпоративными политиками, вне зависимости от типа устройства или месторасположения.

Текущая инфраструктура может быть расширена путем реализации и настройки различных технологий Windows Server 2012 R2, помогающих создать полноценное решение этих проблем.

Следующая диаграмма иллюстрирует проблему, для решения которой предназначено данное руководство. Она показывает пользователей, использующих свои личные и корпоративные устройства для доступа к приложениям и данным из облака и локально. Эти приложения и ресурсы могут быть внутри или вне брандмауэра.

Развертывание устройств и приложений и доступ к ним

В этом руководстве по решению:

В этом разделе описаны сценарий, проблемы и цели вымышленной организации.

Сценарий

Ваша организация — это среднего размера банк. В организации работает более чем 5 000 пользователей, которые приносят свои личные устройства (Windows RT и устройства на основе iOS) на работу. В настоящее время они не имеют возможности доступа к ресурсам компании со своих устройств.

Текущая инфраструктура включает лес Active Directory с контроллером домена с установленным Windows Server 2012. Она также включает серверы удаленного доступа и System Center Configuration Manager из семейства System Center.

Постановка задачи

Последний отчет, выданный команде управления вашей компании ИТ-службой, показывает, что все больше пользователей начинают приносить свои личные устройства на работу и требовать доступ к данным компании. Команда управления воспринимает эту тенденцию рынка, когда пользователи используют собственные устройства, и хочет чтобы компания реализовала решение, которое безопасно выполняет это требование. В итоге ИТ-службе компании требуется:

  • сотрудникам использовать персональные устройства, а также устройства компании для доступа к корпоративным приложениям и данным. Эти устройства включают компьютеры и мобильные устройства.
  • Предоставить безопасный доступ к ресурсам в соответствии с потребностями каждого пользователя и политиками компании для этих устройств. Взаимодействие пользователей с устройствами должно быть простым.
  • Идентифицировать и управлять устройствами.

Цели организации

В этом руководстве реализовано решение по расширению инфраструктуры компании для достижения следующих целей:

  • упрощенная регистрация личных и корпоративных устройств;
  • эффективное подключение к внутренним ресурсам при необходимости;
  • надежный доступ к ресурсам компании с устройств.

Для решения этой бизнес-задачи и достижения упомянутых ранее целей вашей организации необходимо реализовать несколько вспомогательных сценариев. Каждый из этих вспомогательных сценариев представлен на следующем общем рисунке.

Обзор, в котором отображаются все компоненты решения
  1. Разрешить пользователям регистрировать свои устройства и иметь единый вход
  2.  Настройка легкого доступа к корпоративным ресурсам 
  3. Повышение управления риском при контроле доступа 
  4. Единое управление устройствами

Эта часть решения включает в себя следующие важные этапы.

  • ИТ-администраторы могут настроить регистрацию устройств, которая позволит устройству быть связанным с корпоративным каталогом Active Directory и использовать эту связь комплексной двухфакторной проверки подлинности. Присоединение к рабочему месту Workplace Join — это новая функция Active Directory, она позволяет пользователям безопасно зарегистрировать свои устройства в каталоге компании. Регистрация предоставляет устройству сертификат, который может использоваться для проверки подлинности устройства, когда пользователь обращается к ресурсам компании. С помощью этой связи ИТ-специалисты могут настроить пользовательские политики, которые требуют и проверки подлинности пользователей, и их присоединения к рабочему месту с устройства, подключенного по Workplace Join, при доступе к ресурсам компании.
  • ИТ-администраторы могут настроить единый вход (SSO) с устройств, связанных с корпоративным каталогом Active Directory. Единый вход — это возможность для конечного пользователя по регистрации один раз, при доступе к приложению, предоставляемому его компании, и без повторных запросов сведений регистрации при доступе к дополнительным приложениям компании. В Windows Server 2012 R2 возможность единого входа распространяется на устройства, подключенные по Workplace Join. Это улучшит работу пользователей, при этом без риска от хранения каждым приложением учетных данных пользователей. Дополнительное преимущество этого в ограничении возможностей для сбора паролей на личных или принадлежащих компании устройствах.

Следующая схема представляет общий принцип работы Workplace Join.

Присоединение рабочей области с локальной регистрацией устройств

В следующей таблице подробно описана каждая из этих возможностей.

Элемент дизайна решения Что входит в это решение?
Подключение к рабочему месту Присоединение к рабочему месту Workplace Join позволяет пользователям безопасно зарегистрировать свои устройства в каталоге компании. Регистрация предоставляет устройству сертификат, который может использоваться для проверки подлинности устройства, когда пользователь обращается к ресурсам компании. Дополнительные сведения см. в статье Присоединение к рабочему месту с любого устройства для единого входа и простой двухфакторной проверки подлинности между приложениями компании HYPERLINK «http://technet.microsoft.com/library/dn280945.aspx».


В следующей таблице перечислены роли сервера и технологии, которые необходимо настроить для этой возможности.

Элемент дизайна решения Что входит в это решение?
Контроллер домена с обновлением схемы Windows Server 2012 R2 Экземпляр доменных служб Active Directory (AD DS) предоставляет каталог удостоверений для проверки подлинности пользователей и устройств и применения политик доступа и централизованной настройки. Дополнительные сведения о настройке инфраструктуры служб каталогов для этого решения см. в статье Обновление контроллеров домена до Windows Server 2012 R2 и Windows Server 2012.
Службы федерации Active Directory со службой регистрации устройств Службы федерации Active Directory (AD FS) позволяют администраторам настраивать службу регистрации устройств (DRS) и реализуют протокол Workplace Join для устройств для присоединения к рабочему месту с помощью Active Directory. Кроме того, службы федерации Active Directory были дополнены протоколом проверки подлинности OAuth, а также проверкой подлинности устройств и политиками управления доступом на базе условий, включающих критерии для пользователя, устройства и месторасположения. Дополнительные сведения о планировании дизайна инфраструктуры AD FS см. в статье Руководство по проектированию AD FS в Windows Server 2012 R2.

Контроллер домена под управлением Windows Server 2012 R2 для этого решения не требуется. Все, что требуется, — это обновление схемы текущей установки AD DS. Дополнительные сведения о расширении схемы см. в статье Установка доменных служб Active Directory. Можно обновить схему на существующих контроллерах домена без установки контроллера домена под управлением Windows Server 2012 R2 с помощью выполнения Adprep.exe.

Подробный список новых функций, системных требований и необходимых условий, которые должны быть выполнены перед началом установки, см. в разделах Проверка предварительных требований для установки AD DS и Требования к системе.

Современные сотрудники мобильны и ожидают получить доступ к приложениям, необходимым для работы, где бы они ни находились. Компании применяют несколько способов предоставить эту возможность: с помощью VPN, прямого доступа Direct Access и шлюзов удаленных рабочих столов Remote Desktop Gateway.

Однако в мире Bring Your Own Device эти подходы не предлагают уровень изоляции для обеспечения безопасности, необходимый многим клиентам. Для соответствия этому требованию прокси-служба веб-приложения роли включена в роль Windows Server RRAS (службы маршрутизации и удаленного доступа). Эта служба роли позволяет выборочно публиковать веб-приложения ведения бизнеса предприятия для доступа снаружи корпоративной сети.

Рабочие папки — это новое решение для синхронизации файлов, которое позволяет пользователям синхронизировать свои файлы на корпоративном файловом сервере со своими устройствами. Эта синхронизация использует протокол на основе HTTPS. Это позволяет легко выполнять публикацию через прокси-службу веб-приложения. Это означает, что пользователи теперь могут выполнять синхронизацию из интрасети и Интернета. Это также означает, что элементы управления проверкой подлинности и авторизации AD FS, описанные ранее, можно применять к синхронизации корпоративных файлов. Файлы затем сохраняются в зашифрованном месте на устройстве. Эти файлы можно затем выборочно удалить, когда устройство отключается от централизованного управления.

DirectAccess и службы маршрутизации и удаленного доступа (RRAS) VPN объединены в единую роль удаленного доступа в Windows Server 2012 R2. Эта новая роль сервера удаленного доступа обеспечивает возможность централизованного администрирования, настройки и наблюдения за службами удаленного доступа DirectAccess и VPN.

Windows Server 2012 R2 предоставляет Virtual Desktop Infrastructure (VDI), которая дает вашей организации ИТ свободу выбора рабочих столов на базе персональных виртуальных машин (ВМ) и виртуальных машин из пула, а также рабочие столы на основе сеансов. Он также предлагает ИТ-службе несколько вариантов хранения на основании их требования.

На следующей схеме показаны технологии, которые можно реализовать, чтобы обеспечить легкий доступ к корпоративным ресурсам.

Решение защиты данных и доступа
Элемент дизайна решения Что входит в это решение?
Прокси-сервер веб-приложения Позволяет публиковать корпоративные ресурсы, включая многофакторную проверку подлинности и применение доступа политики на базе условий при подключении пользователя к ресурсам. Дополнительную информацию см. в руководстве по развертыванию прокси-сервера веб-приложения.
Рабочие папки (файловый сервер)  Централизованное хранилище на файловом сервере в корпоративной среде, настроенное для синхронизации файлов на пользовательских устройствах. Можно публиковать рабочие папки напрямую через обратный прокси-сервер или через прокси-службу веб-приложения для применения политик доступа на базе условий. Дополнительную информацию см. в статье Обзор рабочих папок.
Удаленный доступ Эта новая роль сервера удаленного доступа обеспечивает возможность централизованного администрирования, настройки и наблюдения за службами удаленного доступа DirectAccess и VPN. Кроме того, Windows Server 2012 DirectAccess предоставляет несколько обновлений и исправлений, устраняющих препятствия для развертывания и обеспечивающих упрощенное управление. Дополнительные сведения см. в разделе Обзор беспроводного доступа с проверкой подлинности по стандарту безопасности 802.1X.
VDI VDI позволяет организации доставлять сотрудникам корпоративный рабочий стол и приложения, к которым они могут получить доступ со своих личных и корпоративных устройств из расположения внутри компании и извне, с работающей в корпоративном центре обработки данных инфраструктурой (службы ролей посредника подключений к удаленному рабочему столу, узла сеансов удаленных рабочих столов и веб-доступа к удаленному рабочему столу). Дополнительные сведения см. в разделе Инфраструктура виртуальных рабочих столов.

Этот раздел представляет собой введение в этапы планирования, необходимые для развертывания прокси-службы веб-приложения и публикации приложений с ее помощью. Этот сценарий описывает доступные методы предварительной проверки подлинности, включая использование служб федерации Active Directory для проверки подлинности и авторизации, что позволяет использовать преимущества возможностей служб федерации Active Directory, включая присоединение к рабочему месту, многофакторную проверку подлинности (MFA) и многофакторное управление доступом. Эти шаги подробно описаны в разделе Планирование публикации приложений через прокси-сервер веб-приложения.

В этом разделе объясняется процесс разработки для реализации рабочих папок и содержатся сведения о требованиях к программному обеспечению, сценариях развертывания, контрольном списке проекта и дополнительных аспектах проектирования. Следуйте инструкциям в разделе Проектирование реализации рабочих папок для создания основного контрольного списка.

В этом разделе описаны общие вопросы, которые необходимо выполнить при планировании развертывания одного сервера удаленного доступа Windows Server 2012 с основными компонентами:

  1. Планирование инфраструктуры DirectAccess: Планирование топологии сети и серверов, параметры брандмауэра, требования к сертификатам, DNS и Active Directory.
  2. Планирование развертывания DirectAccess: Планирование развертывания клиента и сервера.

С помощью Windows Server 2012 R2 ваша организация может настроить управление доступом к ресурсам компании на основе удостоверения пользователя, удостоверения зарегистрированных устройств и сетевого расположения пользователя (находится ли пользователь внутри сети организации или нет). С помощью многофакторной проверки подлинности, интегрированной в прокси веб-приложения, ИТ-специалисты могут использовать преимущества дополнительных уровней проверки подлинности при подключении пользователей и устройств к корпоративной среде.

В Windows Server 2012 R2 легко ограничить риски, связанные со скомпрометированными учетными записями, и гораздо проще реализовать многофакторную проверку подлинности с помощью Active Directory. Модель подключаемых модулей позволяет настроить разные решения для управления рисками непосредственно в AD FS.

Существует множество улучшений в управлении рисками при контроле доступа в AD FS в Windows Server 2012 R2, включая следующие:

  • Гибкое управление на основе расположения сети для указания того, как пользователю проходить проверку подлинности при доступе к защищаемому AD FS приложению.
  • Гибкие политики, помогающие определить, выполнять ли многофакторную проверку подлинности пользователя на основании данных пользователя, данных устройства и расположения в сети.
  • Управление на базе приложений для игнорирования единого входа и принуждения пользователя к вводу учетных данных при каждом доступе к конфиденциальному приложению.
  • Политики гибкого доступа на базе приложения с учетом данных пользователя, данных устройства или расположения в сети. Блокировка экстрасети AD FS позволяет администраторам защищать учетные записи Active Directory от атак методом перебора из Интернета.
  • Отзыв доступа для любого устройства, присоединенного к рабочему месту, которое отключено или удалено в Active Directory.

На следующей схеме показаны дополнительные возможности Active Directory по повышению рисков управления доступом.

Функции Active Directory в Windows Server 2012 R2
Элемент структуры решения Что входит в это решение?
Присоединение к рабочему месту (включено службой регистрации устройств [DRS]) Организации могут реализовать ИТ-управление с проверкой подлинности устройства и двухфакторной проверкой подлинности с помощью единого входа. Присоединение к рабочей области устройств обеспечивает ИТ-администраторам более высокий уровень управления личными и корпоративными устройствами. Дополнительные сведения см. в разделе Присоединение к рабочему месту с любого устройства для единого входа и эффективной двухфакторной проверки подлинности в приложениях компании.
Многофакторная проверка подлинности Используя многофакторную проверку подлинности Azure, ИТ-специалисты могут задействовать дополнительные уровни проверки подлинности и проверки пользователей и устройств. Дополнительные сведения см. в разделе Возможности многофакторной проверки подлинности Azure.

В дополнение к безопасности и доступу ИТ-служба также должна иметь в запасе хорошие стратегии для управления компьютерами и личными устройствами с помощью единой консоли администратора. Управление устройствами включает в себя настройку параметров безопасности и соответствия, сбор данных инвентаризации оборудования и программ, развертывание ПО. ИТ-служба также должна иметь решение по защите компании для полного удаления корпоративных данных, хранящихся на мобильных устройствах, в случае утери, кражи или прекращения использования устройства.

В разделе Управление мобильными устройствами и компьютерами путем переноса в Configuration Manager с помощью Windows Intune подробно описывается решение для единого управления устройствами.

Очень важно учесть существенные вопросы, прежде чем проектировать инфраструктуру BYOD и единого управления устройствами, которая позволяет сотрудникам применять собственные устройства и защищает данные компании.

Разработка инфраструктуры для поддержки BYOD рассматривается в разделе Рекомендации для пользователей и устройств BYOD. Проект, описанный в этом документе, использует технологии Майкрософт. Тем не менее варианты проекта и используемые соображения могут применяться для любой инфраструктуры, используемой для реализации модели BYOD .

Удобный контрольный список, в котором перечислены шаги, необходимые для поддержки управления мобильными устройствами, см. в разделеКонтрольный список для управления мобильными устройствами.

Приведенные ниже действия помогут выполнить пошаговый процесс настройки контроллера домена (AD DS), службы федерации Active Directory и службы регистрации устройств.

  1. Настройка контроллера домена

    Установите службу роли AD DS и повысьте компьютер до контроллера домена в Windows Server 2012 R2. Схема AD DS обновится в процессе установки контроллера домена. Дополнительные сведения и пошаговое руководство см. в разделе Установка доменных служб Active Director.

  2. Установка и настройка сервера федерации

    Службы федерации Active Directory (AD FS) можно использовать с Windows Server 2012 R2 для построения решения по управлению федеративными удостоверениями, которое расширяет службы распределенной идентификации, проверки подлинности и авторизации на веб-приложения за границы организации и платформы. При развертывании служб федерации Active Directory можно расширить существующие возможности управления удостоверениями вашей организации в Интернете. Дополнительные сведения и пошаговые инструкции см. в разделе Руководство по развертыванию Windows Server 2012 R2 AD FS.

  3. Настройка службы регистрации домена

    После установки служб федерации Active Directory можно включить DRS на сервере федерации. Настройка включает в себя подготовку леса Active Directory для поддержки устройств, а затем включение DRS. Подробные инструкции см. в разделе Настройка сервера федерации с помощью службы регистрации устройств.

  4. Настройка веб-сервера и пример приложения на основе утверждений для проверки и тестирования конфигурации служб федерации Active Directory и регистрации устройств

    Необходимо установить веб-сервер и пример приложения на основе утверждений, а затем выполнить некоторые процедуры, чтобы проверить указанные выше шаги. Выполните действия в следующем порядке:

    1. Установка роли веб-сервера и Windows Identity Foundation
    2. Установка пакета SDK Windows Identity Foundation
    3. Настройка примера приложения на базе утверждений в IIS 
    4. Создание отношений доверия с проверяющей стороной на сервере федерации
  5. Настройте и проверьте присоединение к рабочему месту на устройствах Windows и iOS

    Этот раздел содержит инструкции по настройке присоединения к рабочему месту на устройстве Windows, устройстве iOS и реализации единого входа для ресурсов компании.

    1. присоединение к рабочему месту с устройства Windows
    2. присоединение к рабочему месту с устройства iOS

Необходимо настроить файловые службы рабочих папок, виртуализацию служб удаленных рабочих столов и удаленный доступ.

  1. Настройка прокси веб-приложения

    Этот раздел представляет собой введение по этапам настройки, которые должны быть выполнены для развертывания прокси веб-приложения и публикации приложений с его помощью.

    1.  Настройка инфраструктуры прокси-сервера веб-приложений: Описывается настройка инфраструктуры, необходимой для развертывания прокси веб-приложений.
    2. Установка и настройка прокси-сервера веб-приложений: Описывается настройка прокси-серверов веб-приложений, включая настройку всех необходимых сертификатов при установке службы роли прокси веб-приложения и присоединения к домену прокси-серверов веб-приложений.
    3. Публикация приложений с использованием предварительной проверки подлинности AD FS: Описывается процесс публикации приложений через прокси веб-приложения с использованием предварительной проверки подлинности AD FS.
    4. Публикация приложений с помощью предварительной сквозной проверки подлинности: Описывается процесс публикации приложений с помощью предварительной сквозной проверки подлинности.
  2. Настройка рабочих папок

    Простейшее развертывание рабочих папок — один файловый сервер (который часто называют сервером синхронизации) без поддержки синхронизации через Интернет. Такое развертывание полезно для тестовой лаборатории или в качестве решения синхронизации для присоединенных к домену клиентских компьютеров. Для создания простого развертывания выполните эти минимальные действия:

    1.  Установка рабочих папок на файловых серверах
    2.  Создание групп безопасности для рабочих папок
    3. Создание общих ресурсов синхронизации для данных пользователей

    Дополнительные сведения о развертывании рабочих папок см. в разделе Развертывание рабочих папок.

  3. Настройка и проверка виртуализации службы сеансов удаленных рабочих столов

    Стандартное развертывание VDI позволяет устанавливать соответствующие службы ролей на отдельных компьютерах. Стандартное развертывание обеспечивает более точное управление виртуальными рабочими столами и коллекциями виртуальных рабочих столов, не создавая их автоматически.

    Тестовая лаборатория демонстрирует процесс создания стандартного развертывания виртуализации сеансов следующим образом:

    • Установка служб ролей посредника подключений к удаленному рабочему столу, узла сеансов удаленных рабочих столов и веб-доступа к удаленным рабочим столам на отдельных компьютерах.
    • Создание коллекции сеансов.
    • Публикация рабочего стола на основе сеансов для каждого сервера узла сеансов удаленных рабочих столов в коллекции.
    • Публикация приложений как программ службы RemoteApp.

    Подробное описание шагов для настройки и проверки развертывания VDI см. в разделе Стандартное развертывание виртуализации сеансов служб удаленного рабочего стола.

  4. Настройка удаленного доступа

    Windows Server 2012 объединяет DirectAccess и службы маршрутизации и удаленного доступа (RRAS) VPN в единую роль удаленного доступа. Ниже представлены шаги по настройке, необходимые для развертывания одного сервера удаленного доступа Windows Server 2012 с базовыми параметрами.

    1. Настройка инфраструктуры DirectAccess: Этот этап включает в себя настройку параметров сети и сервера, параметров DNS и параметров Active Directory .
    2. Настройка сервера DirectAccess: Этот этап включает в себя настройку клиентских компьютеров DirectAccess и параметров сервера.
    3. Проверка развертывания: Этот этап включает в себя действия по проверке развертывания.

Создание гибких и ясных политик авторизации для каждого приложения, благодаря которым можно разрешить или запретить доступ в зависимости от пользователя, устройства, сетевого расположения и состояния проверки подлинности, выполняется настройкой многофакторного управления доступом. Настройте дополнительное управление рисками в среде с многофакторной проверки подлинности.

  1. Настройка и проверка многофакторного управления доступом

    Включает в себя следующие три этапа:

    1. Проверка стандартного механизма контроля доступа через службы AD FS
    2. Настройка политики многофакторного контроля доступа на основе данных пользователя
    3. Проверка механизма многофакторного контроля доступа
  2. Настройка и проверка многофакторной проверки подлинности

    Включает в себя следующие три этапа:

    1. Проверка стандартного механизма проверки подлинности через службы AD FS 
    2. Настройка многофакторной проверки подлинности на сервере федерации
    3. Проверка механизма многофакторной проверки подлинности

Выполните следующие шаги, чтобы настроить управление устройствами на предприятии.

  1. Установка консоли System Center 2012 R2 Configuration Manager: По умолчанию при установке основного сайта консоль Configuration Manager также устанавливается на сервере основного сайта. После установки сайта можно установить дополнительные консоли System Center 2012 R2 Configuration Manager на другие компьютеры для управления сайтом. Поддерживается установка консоли Configuration Manager 2007 и System Center 2012 R2 Configuration Manager на одном и том же компьютере. Установку бок-о-бок позволяет использовать один компьютер для управления как существующей инфраструктурой из Configuration Manager 2007, так и мобильными устройствами с помощью Windows Intune из System Center 2012 R2 Configuration Manager. Тем не менее нельзя использовать консоль управления System Center 2012 R2 Configuration Manager для управления сайтом Configuration Manager 2007 и наоборот. Дополнительные сведения см. в разделе Установка консоли Configuration Manager.
  2. Регистрация мобильных устройств: Регистрация устанавливает связь между пользователем, устройством и службой Windows Intune. Пользователи регистрируют свои мобильные устройства. Дополнительные сведения о регистрации мобильных устройств см. в разделе Регистрация мобильных устройств.
  3. Управление мобильными устройствами: После установки и базовой настройки автономного первичного сайта можно начать настраивать управление мобильными устройствами. Ниже перечислены типичные действия, которые можно настроить.
    1. Сведения о применении параметра соответствия к мобильным устройствам см. в разделе Параметры соответствия для мобильных устройств в Configuration Manager.
    2. Сведения о создании и развертывании приложений на мобильных устройствах см. в разделе Создание и развертывание приложений для мобильных устройств в Configuration Manager.
    3. Сведения о настройке данных инвентаризации оборудования см. в разделе Настройка данных инвентаризации оборудования для мобильных устройств, зарегистрированных Windows Intune и Configuration Manager.
    4. Сведения о настройке данных инвентаризации программного обеспечения см. в разделе Введение в данные инвентаризации программного обеспечения в Configuration Manager.
    5. Для очистки данных с мобильных устройств см. раздел Управление мобильными устройствами с помощью Configuration Manager и Windows Intune.
Тип содержимого Ссылки
Оценка продукта и начало работы
Планирование и разработка
Ресурсы сообщества
Связанные решения
© 2018 Microsoft