Στο έκτο μέρος της σειράς θα ασχοληθούμε με τις νέες δυνατότητες του Windows Server 2012 R2 σχετικά με τις πληροφορίες και την πρόσβαση σε αυτές.  Θα ξεκινήσω με το Workplace Join.

Σε αυτόν τον BYOD κόσμο του IT ο Windows Server μπορεί να δώσει λύσεις στην απομακρυσμένη πρόσβαση των δεδομένων από οποιοδήποτε σημείο και μέσω οποιαδήποτε συσκευής.  Ένας χρήστης μπορεί να χρησιμοποιήσει το RDS Gateway για να αποκτήσει πρόσβαση από τον υπολογιστή του σπιτιού του στις εταιρικές εφαρμογές ακόμη και εάν αυτός ο υπολογιστής δεν είναι βρίσκεται κάτω από την δικιά μας διαχείριση. Σε ένα εταιρικό laptop μπορεί να δίναμε τη δυνατότητα να συνδέεται στο δίκτυο της εταιρείας μέσα από το ρόλο του Remote Access του Server και πιο συγκεκριμένα είτε του DirectAccess είτε του κλασσικού VPN. Σε αυτές τις περιπτώσεις όμως διαχωρίζαμε τους υπολογιστές σε αυτές τις δυο κατηγορίες. Σε αυτούς που διαχειρίζεται το IT τμήμα μιας εταιρείας και στους προσωπικούς κάθε χρήστη. Η κατηγοριοποίηση αυτή δεν είναι αρκετά ευέλικτη όταν θέλουμε να έχουμε περισσότερο έλεγχο στις συσκευές από τις οποίες συνδέεται ο χρήστης. Εδώ έρχεται το Workplace Join. Το Workplace Join μας επιτρέπει να δημιουργήσουμε ένα αντικείμενο για τη συσκευή του χρήστη στο Active Directory της εταιρείας έτσι ώστε να μπορέσουμε να έχουμε και ένα δεύτερο έλεγχο ασφάλειας κατά την πρόσβαση των δεδομένων. Θα μπορούσαμε για παράδειγμα να επιτρέπουμε την πρόσβαση σε εταιρικά έγγραφα μόνο εάν ο χρήστης είχε εγγράψει τη συσκευή στο εταιρικό δίκτυο. Ακόμη και στην περίπτωση που οι πληροφορίες ήταν αποθηκευμένες μέσα σε μια σελίδα Web θα μπορούσαμε να έχουμε τη συσκευή αυτή ως ένα claim του χρήστη για να δώσουμε πρόσβαση ή όχι. Φυσικά σαν ένα γνήσιο BYOD βοήθημα το Workplace Join μπορεί να χρησιμοποιηθεί και σε συσκευές που τρέχουν άλλα λειτουργικά συστήματα όπως το iOS.

Για να τρέξετε το Workplace Join στην υποδομή σας θα χρειαστείτε έναν Domain Controller και έναν Active Directory Federation Server . Φυσικά θα πρέπει να κάνετε publish την εφαρμογή στο Internet (στο επόμενο κεφάλαιο θα δούμε το Web Application Proxy) μέσω ενός certificate και έναν client που να υποστηρίζει το Workplace Join. Για τις εικόνες χρησιμοποίησα ένα Windows 8.1 λειτουργικό. Αφού εγκαταστήσουμε το ρόλο του ADFS σε έναν Server και επιλέξουμε το πιστοποιητικό , τρέχουμε δυο εντολές powershell για να ενεργοποιήσουμε το device registration στην υποδομή μας.

Ενεργοποιούμε και την αντίστοιχη επιλογή στην κονσόλα του ADFS

Τέλος προσθέτουμε μια εγγραφή DNS με το enterpriseregistration.fqdn  η οποία παραπέμπει στον ADFS Server για να μπορούν οι clients να εντοπίσουν την υπηρεσία στο Internet.

Από την πλευρά του Client πάμε στο PC Settings-Network-Workplace

Όπου απλώς γράφουμε το UPN του χρήστη μας και πατάμε Join.

Και μόλις συμπληρώσουμε το Password μας αυτόματα συνδεόμαστε με το Active Directory της εταιρείας μας.

Φυσικά στον Client υπάρχουν και τα αντίστοιχα Logs μέσα από τα οποία μπορούμε να κάνουμε το απαραίτητο Troubleshoot

Τέλος μπορούμε μέσα από το Active Directory να δούμε το αντικείμενο που μπορούμε να χρησιμοποιήσουμε για SSO ή Claims based auth.

Πάμε στο επόμενο νέο Feature. Work Folders. Το Work Folders είναι το Onedrive του χρήστη. Μέσω του Work Folders μπορούμε να συγχρονίσουμε τα αρχεία του χρήστη σε οποιαδήποτε συσκευή , είτε εταιρική είτε προσωπική του χρήστη.

Τα Work Folders μεταφέρουν τα αρχεία του χρήστη που βρίσκονται αποθηκευμένα σε ένα File Server στην εταιρεία μας , στην προσωπική του συσκευή. Και σε αυτήν την περίπτωση δε χρειάζεται η συσκευή να είναι στο Domain της εταιρείας και τα έγγραφα που αποθηκεύονται στη συσκευή αποθηκεύονται κρυπτογραφημένα. Τα δεδομένα που βρίσκονται στην πλευρά του File Server είναι σε απλή μορφή ακριβώς όπως θα είχε ο χρήστης ένα φάκελο για να αποθηκεύσει τα αρχεία του. Και εδώ αυτή την υπηρεσία πρέπει να την κάνουμε Publish στο Internet και να περάσουμε ένα πιστοποιητικό για τη χρήση του SSL.

Το Work Folders είναι ένας υπό-ρόλος του File Server στον Windows Server. Απλά λοιπόν εγκαθιστούμε το ρόλο και ξεκινάμε το μάγο για να κάνουμε Provision την υπηρεσία.

Ο μάγος μας προτρέπει να επιλέξουμε ένα φάκελο που θα αποθηκεύονται τα αρχεία των χρηστών.

Τη δομή των φακέλων και αν θέλουμε να αποθηκεύσουμε μόνο κάποιο συγκεκριμένο φάκελο του χρήστη.

Τους χρήστες που θα έχουν πρόσβαση στην υπηρεσία. Εδώ απλά έφτιαξα ένα Group και πέρασα μέσα τους χρήστες που θέλω να συγχρονίζουν τα αρχεία τους με τον Server.

Στην επόμενη σελίδα του μάγου βρίσκουμε την επιλογή να κρυπτογραφούνται τα αρχεία στη συσκευή του χρήστη και μια τυπική πολιτική ασφαλείας.

Και η τελευταία σελίδα είναι η σύνοψη των επιλογών.

Και εδώ χρειάζομαι ένα DNS όνομα workfolders.fqdn στην DNS υποδομή μου για να μπορεί ο Client να κάνει το λεγόμενο Autodiscover στο internet. Φυσικά και ένα Certificate το οποίο θα εμπιστεύονται οι Clients. Για το Certificate επειδή δεν υπάρχει κεντρική διαχείριση θα πρέπει να το περάσουμε με την εντολή netsh.

Ας περάσουμε στην μεριά του Client. Οι ρυθμίσεις του Work Folders βρίσκονται στο Control Panel.

Θα ξεκινήσω τη διαδικασία και θα συμπληρώσω το όνομα χρήστη και τον κωδικό.

Ο μάγος θα μας καλωσορίσει και θα μας ζητηθεί να επιλέξουμε ένα φάκελο αποθήκευσης που θέλουμε να συγχρονίζουμε με τον File Server.

Θα μας ενημερώσει επίσης για τις πολιτικές που ενδεχομένως να εφαρμόζονται από την εταιρεία.

Με το πέρας της διαδικασίας θα έχουμε αποκτήσει ένα φάκελο στη συσκευή μας που θα μπορεί να συγχρονιστεί με τον File Server. Τα περιεχόμενα όπως είπαμε και πιο πριν θα είναι κρυπτογραφημένα ενώ θα μπορούμε να ελέγχουμε την κατάσταση μέσα από το Control Panel. Φυσικά και στο Work Folders υπάρχουν τα αντίστοιχα Event Views για να μπορούμε να κάνουμε το απαραίτητο Troubleshooting.

Αν ρίξουμε μια ματιά στον File Server θα βρούμε τα αρχεία του χρήστη unencrypted και έτοιμα για οποιαδήποτε διαδικασία ακολουθεί η εταιρεία είτε Backup είτε File Classification.

BYOD mission accomplished λοιπόν με τον Windows Server 2012 R2! Πρόσβαση στα εταιρικά δεδομένα από οποιαδήποτε συσκευή και από οποιοδήποτε σημείο του πλανήτη.