Di Windows Server 2012 R2, fungsionalitas baru telah muncul yang menyediakan kemampuan untuk mendaftarkan perangkat seluler pribadi pengguna di domain Active Directory. Fitur baru Tempat kerja bergabung (atau Koneksi ke tempat kerja) adalah kompromi antara menghubungkan ke sumber daya jaringan perusahaan dari perangkat yang sepenuhnya "tidak dikelola" dan kontrol penuh atas komputer dengan memasukkannya ke dalam domain AD (yaitu, perangkat klien yang digunakan baik dalam domain Windows atau tidak). Workplace Join adalah persilangan di antara kedua ekstrem..
Setelah mendaftarkan perangkat (komputer pribadi, ponsel cerdas, dan tablet pengguna) di jaringan perusahaan melalui Workplace Join, administrator mendapatkan kesempatan untuk mengontrol akses perangkat ini ke berbagai sumber daya perusahaan. Namun, tidak seperti mesin domain "klasik", kebijakan grup yang mengontrol pengaturan konfigurasi dan keamanan komputer tidak akan berlaku pada perangkat seluler. Yaitu administrator jaringan tidak dapat mengelola pengaturan perangkat seluler.
Tempat Kerja Utama, Gabung Fitur
- Menyediakan akses ke sumber daya perusahaan dari perangkat seluler pribadi karyawan (implementasi konsep BYOD - Bawalah perangkat Anda sendiri)
- Kemampuan untuk secara dinamis mengontrol akses ke sumber daya perusahaan tidak hanya tergantung pada hak akun pengguna, tetapi juga pada jenis perangkat yang digunakan olehnya.
- Implementasi SSO (Single-Sign-On) dan mekanisme otentikasi multi-faktor (berdasarkan sertifikat yang dikeluarkan untuk perangkat)
Tempat Kerja Bergabung dengan Arsitek
Teknologi Workplace Join membutuhkan pengontrol domain dengan Windows Server 2012 R2 dengan peran Layanan Sertifikat diinstal, dan skema AD harus diperluas ke Windows Server 2012 R2.
Komponen kunci berikutnya dari Workplace Join adalah layanan pendaftaran perangkat. DRS (Layanan Registrasi Perangkat). Fitur ini adalah salah satu komponen peran Federasi Direktori Aktif (ADFS) di Windows Server 2012 R2.
Selain itu, server Web IIS dengan peran yang diinstal diperlukan. Windows Identity Foundation.
DRS bertanggung jawab untuk mendaftarkan akun perangkat dan mengesahkannya di Active Directory. Setelah otentikasi, administrator dapat mengontrol akses pengguna seluler ke sumber daya jaringan perusahaan, menggunakan otentikasi ini sebagai faktor otentikasi kedua (untuk otentikasi multi-faktor), dan pengguna secara transparan (menggunakan SSO, tanpa memasukkan kata sandi untuk setiap layanan perusahaan) menggunakan sumber daya jaringan.
Saat memasang klien Workplace Join di perangkat seluler, pengguna harus menentukan email perusahaan dan kata sandi untuk mengakses domain (secara alami, pengguna harus memiliki akun di domain Active Directory). Saat mendaftarkan perangkat seluler melalui Workplace Join, DRS membuat objek baru di Active Directory (seperti msDS-Perangkat), yang dihubungkan melalui konfirmasi ke catatan ilmiah pengguna - pemilik perangkat. Sertifikat diinstal pada perangkat seluler pengguna pengguna @ perangkat, yang dikaitkan dengan objek perangkat ini dalam AD. Dengan demikian, "kepemilikan" pengguna oleh perangkat tertentu dikonfirmasi dan diakui sebagai tepercaya. Di masa depan, perangkat tepercaya ini dapat digunakan untuk otentikasi multi-faktor tanpa kartu cerdas atau token perangkat keras.
Objek tipe "perangkat" dibuat dalam wadah Direktori Aktif khusus - Perangkat Terdaftar.
Setelah mendaftar di jaringan, pengguna dapat mulai menggunakan sumber daya dari jaringan perusahaan.
Seluruh prosedur untuk pengguna akhir terlihat sangat sederhana dan transparan..
Mobile Workplace, Bergabunglah dengan Klien
Untuk mendukung Workplace Join on clients, klien harus diinstal pada perangkat akhir. Ada Workplace Bergabung dengan versi klien untuk:
- Windows 8.1 dan Windows RT 8.1 (klien internal)
- Apple iOS (klien untuk iPhone dan iPad dapat diinstal melalui AppStore)
Klien Workplace Join untuk perangkat Android saat ini sedang dalam pengembangan. Dukungan Windows Phone belum direncanakan.
Konfigurasikan Tempat Kerja Gabung di Windows 8.1
Untuk mendaftar di jaringan melalui Workplace Join di Windows 8.1, tab terpisah telah muncul di pengaturan untuk koneksi di bagian Network Tempat kerja. Untuk terhubung ke jaringan perusahaan, cukup masukkan nama pengguna (dalam format [email protected]) dan tekan tombol Bergabunglah.
Setelah memasukkan kata sandi pengguna di domain, pesan informasi akan muncul:
Perangkat ini telah bergabung dengan jaringan tempat kerja Anda
Catatan. Kemampuan untuk selalu memiliki file pekerjaan Anda sendiri yang tersimpan di server perusahaan, dengan kemampuan untuk menyinkronkan perubahan secara otomatis, diimplementasikan dalam layanan Folder Pekerjaan yang telah kami periksa sebelumnya. Akses tersebut dapat diimplementasikan melalui Internet atau menggunakan Workplace Join.