1 A felhasználó központú IT Windows Server 2012 R2 konferencia
A felhasználó központú IT Windows Server 2012 R2 konferencia Lepenye Tamás Technológiai szakértő Microsoft Magyarország Kft.

2 A felhasználó központú informatika
Tartalom A felhasználó központú informatika Definíció Probléma meghatározás A felhasználók felszabadítása Szabad eszközválasztás és önkiszolgálás Egyesített üzemeltetői környezet A PC és a mobil eszközök közös és egységes felügyelete Adatvédelem heterogén környezetben Hitelesítés, hozzáférés ellenőrzés, tartalomvédelem

3 A felhő OS Modern platform a világ alkalmazásainak
Ügyfél Felhő szolgáltató WINDOWS AZURE 1 Konzisztens platform Az adatközpont átalakítása A felhasználó központú IT Az adatok belső összefüggései Modern alkalmazások Négy megoldás épül a Cloud OS-re A modern alkalmazások sokkal összetettebben működnek együtt, mint az történt korábban. FEJLESZTÉS FELÜGYELET ADAT IDENTITÁS VIRTUALIZÁCIÓ

4 Fejlesztési életciklus
Fejlesztési életciklus 2012 április 2012 június 2012 szeptember 2012 december 2013 október Felhasználó központú alkalmazás terítés MDM EAS-on keresztül Egyesített felügyelet MDM: Windows RT, Windows Phone 8, iOS Mac OS X támogatás Teljes körű beállítás lehetőség. Vállalati alk. portál Tanusítványok, VPN, Wi-Fi porvizionálás Részleges törlés SP1 Alk. Vállalati terítése iOS-re, EAS támogatás RDS és RDP 8.0 újdonságok Dynamic Access Control DA / Remote Access Munka mappák Csatlakozás a munkakörnyezetbe Web alkalmazás proxy

5 A megoldandó feladatok komponensei
A megoldandó feladatok komponensei A végfelhasználói eszközök robbanásszerű változása erodálja a vállalati IT standard alapú megközelítését Eszközök A felhasználók azt várják, hogy bárhonnan dolgozhassanak és hozzáférhessenek a munkához szükséges erőforrásokhoz Felhasználók A platformokon átnyúló alkalmazások terítése és felügyelete bonyolult. Alkalmazások Adat A felhasználók produktivitását úgy kell biztosítani, hogy közben meg kell felelni a szabályozási elvárásoknak és csökkenteni kell a kockázatokat A felhasználókkal kezdődik 5-7 különböző internetre kapcsolódó eszközről dolgozik egy felhasználó Miután túlvagyunk az -en, jönnek az alkalmazások Néhány nagyon fontos, aztán sok-sok-sok szintén fontás. Alkalmazás életciklus kezelése! Végül az adatok, amelyeket az alkalmazások el szeretnének érni. Megnőtt a adatszivárgás felülete Megtartjuk a színkódokat

6 A felhasználó központú IT
A felhasználó központú IT A felhasználók felszabadítása Tegyük lehetővé, hogy a felhasználók az általuk választott eszközzel dolgozhassanak, és biztosítsunk konzisztens adat-hozzáférést. Felhasználók Eszközök Alkalmazások Adatok Egyesített felügyeleti környezet Biztosítsunk egységes alkalmazás- és eszközfelügyeletet Három nagy téma: A felhasználó felhatalmazása Az üzemeltetők életének megkönnyítése Adatvédelem!! Adatvédelem Modern eszközökkel védjük a vállalati információkat és csökkentsük a kockázatokat. Felügyelet. Hozzáférés. Védelem.

7 A felhasználók felszabadítása
A felhasználók felszabadítása Tegyük lehetővé az IT demokratizálódását a szabályozási elvek feladása nélkül Azonos „Vállalati portál" élmény többféle eszközre Egyszerű regisztráció és eszköz-befogadás (enrollment) Automatikus kapcsolat a belső erőforrásokhoz Minden eszköre Company portal (Windows, Windows RT, iOS, Android)!!! Egyszerűbb regisztráció Automatikus kapcsolat a belső alkalmazásokhoz!!

A felhasználók felszabadítása A felhasználók saját, választott eszközről dolgozhatnak és egységes marad a vállalati erőforrásokhoz való hozzáférés A felhasználók dolgozhatnak bárhonnan a saját eszközeikkel a vállalati erőforrásokhoz való hozzáféréssel A felhasználók eszközöket regisztrálhatnak az egyszeri bejelentkezéshez és a Workplace Join-on keresztüli adathozzáféréshez Active Directory Az IT hozzáférést publikálhat az erőforrásokhoz web application proxy segítségével a felhasználó és az eszköz figyelembe vételével Az IT zökkenőmentes vállalati hozzáférést biztosíthat. A felhasználók beléptethetik az eszközeiket a vállalati portálon a vállalati alkalmazások könnyű eléréséhez. Az IT publikálhat desktop virtualizációs erőforrásokat központosított eszközök eléréséhez. VDI Session host RD Átjáró Tűzfal Fájlok LOB Alk Web Alk Azure Directory – nem a Microsoftté, hanem az ügyélé az Azure-ban! AD és ADFS változások ezt segítik.

9 Demo: Felhasználói élmény
Demo: Felhasználói élmény Workplace Join regisztráció Company Portal Work Folders – Windows 8.1 Végfelhasználói élmények bemutatása Eszköz regisztráció az AD-ba. (Cert, AD reg., VPN profil, Wifi Profil) Company Portal – App telepítés Company Portal – Az eszközeim Company Portal – WorkFolder konfigurálás

10 Egyesített felügyeleti környezet
Egyesített felügyeleti környezet Tegyük lehetővé az IT demokratizálódását a szabályozási elvek feladása nélkül A piacvezető kliens felügyeleti eszköz cloud alapú MDM-mel egészül ki Egyszerű, felhasználó központú alkalmazás kezelés Teljes körű beállítás-kezelés valamennyi platformra Azonos identitás a helyi és a felhő infrastruktúrához Teljeskörű beállítás kezelés Közös identitáskezelés

Egyesített felügyeleti környezet Teljes körű alkalmazás- és eszközfelügyelet Egyetlen admin konzol Felhasználók Informatikus Az egyesített infrastruktúra lehetővé teszi, hogy ott felügyelje az IT az eszközöket, „ahol azok élnek" Teljes körű beállítás kezelés több platformra, beleértve a tanusítványokat, VPN, és Wifi profilokat Az informatika felügyeli az eszközök és az alkalmazások életciklusát

12 Demo: Configuration Manager felület bemutatása Settings Management
Alkalmazás létrehozása – deeplink segítségével

13 Az egyesített felügyelet különböző szintjei
Nem regisztrált Regisztrált MDM felügyelet Teljes felügyelet publikálás (EAS) Igen Work Folderek publikálása a felhasználóknak Kondíció alapú hozzáférés a felhaaználó, az eszköz és a hely alapján Csak eszköz blokkolás Audit naplózás és monitorozás Egyesített eszköz felügyelet Egyesített alkalmazás felügyelet Szelektív adat-törlés Megfelelőségi jelentések Csoportházirendek és bejelentkezési scriptek OS terítés és lemezkép kezelés Konfiguráció kezelés Felügyelt szoftverfrissítés Anti malware felügyelet Teljes alkalmazás felügyelet BitLocker felügyelet How the device is registered or managed provides a different level of capability: Unregistered – devices that are not registered (via Workplace Join) and are not managed have a very limited set of management capabilities Registered – enabling a device with Workplace Join provides some addition access control and auditing, but is still a unmanaged, untrusted device MDM Enrolled – when a mobile device is enrolled for management there are a number of additional management capabilities that light up, ensuring the device is compliant and providing a rich experience for the end user Fully Managed – for clients that can be fully managed, this provides the deepest, most comprehensive level of management with Configuration Manager

Adatvédelem Tegyük lehetővé az IT demokratizálódását a szabályozási elvek feladása nélkül Házirend alapú hozzáférés védelem a vállalati alkalmazásokhoz és adatokhoz Megerősített biztonság a többfaktoros hitelesítéssel A vállalati adatok és alkalmazások szelektív törlése az információk védelme érdekében Távoli asztali hozzáférés az biztonságos adatkezelés megvalósításához több platformra

15 Adatvédelem A vállalati információk védelme és a kockázatok kezelése
Adatvédelem A vállalati információk védelme és a kockázatok kezelése Az IT biztonságos adathozzáférést nyújthat az bizalmasan kezelendő adatokhoz á bárhonnan – VDI és RemoteApp technológiákkal Központi adatok Desktop virtualizáció Elosztott adatok Eszközök RD Átjáró A felhasználók hozzáférhetnek a vállalati adataikhoz helytől függetlenül Work Folder ek segítségével data sync and desktop virtualization for centralized applications. LOB alk. Web alk. Session host Fájlok VDI Hozzá-férési szabályok Többféle lehetőségünk is van az alkalmazások és adatok védelmére Az IT erőforrásokat publikálhat a web application proxy segítségével és az üzlet által vezérelt többfaktoros hitelesítést követelhet meg a bizalmas adatok esetén Az IT auditálhatja a felhasználói információ hozzáférést központi audit házirendek segítségével

16 Demo: Remote Desktop App Android és iOS eszközön
Demo: Remote Desktop App Android és iOS eszközön ADFS konzol felület Work Folder konzol

17 Információvédelem többfaktoros hitelesítéssel
Információvédelem többfaktoros hitelesítéssel 1. A felhasználó bejelentkezik vagy más műveletet végez, amely többfaktoros hitelesítést igényel Többfaktoros hitelesítés - MFA 2. A hitelesítés során az alkalmazás MFA hívást kezdeményez 3. A felhasználónak válaszolnia kell a felkérésre, amely konfigurálható txt, telefonhívás vagy mobil alkalmazásként Integration with Windows Azure Active Authentication (previously PhoneFactor) provides IT with the ability to enforce multi-factor authentication when users connect. The flow of this process is: Users attempts to login or perform an action that is subject to MFA When the user authenticates, the application or service performs a MFA call The user must respond to the challenge, which can be configured as a txt, a phone call or using a mobile app The response is returned to the app which then allows the user to proceed IT can configure the type and frequency of the MFA that the user must respond to. 4. A válasz visszakerül az alkalmazáshoz, amely ezután engedélyezi a hozzáférést Alkalmazás hitelesítés pl. Active Directory, Radius, LDAP, SQL, Egyedi alkalmazás ADFS 5. Az IT konfigurálhatja az MFA típusát és gyakoriságát Felhasználó

18 Egyszeri bejelentkezés és eszköz regisztráció
Egyszeri bejelentkezés és eszköz regisztráció Nem csatlakoztatott Csatlakoztatott Tartománytag A felhasználó eszköze "ismeretlen" nincs felette semmilyen IT kontrol. Részleges hozzáférés esetleg engedélyezett. A regisztrált eszköz „ismert" az IT számára, és az eszközhitelesítés lehetővé teszi az IT számára, hogy feltételes hozzáférést biztosítson a vállalati információkhoz A tartománytag gépek az IT teljes kontrollja alatt állnak és teljes hozzáférésük lehet a vállalati információkhoz. As you have seen so far, we have expanded our investments around Active Directory to now be able to register information about BYO devices. These new capabilities mean that we have more points on the scale between non-domain joined and domain joined. There is a new middle ground. With Windows Server 2012 R2, we now have 3 possible states for a device to be in with regards to Active Directory. A user provided device, which is "unknown" and IT has no control over which is not domain joined. Partial access may be provided to corporate information in this state, such as the ability to sync or access information that is not sensitive. When a user registers a device, it becomes "known" and device authentication using the certificate on the device and the AD registration object allows IT to provide conditional access to corporate information. The device effectively provides seamless 2 factor authentication. Domain joined computers are under the full control of IT and can be provided with complete access to corporate information Now, as far as the BYO scenarios go, beyond the authentication capabilities we have already discussed, we also enable a number of single sign-on scenarios, and these differ for each of the 3 states. The most basic one is browser session single sign-on, this is possible across all 3 states, as the sign-on is cached only so long as the browser is open and no time-out limits are enforced. The next one is seamless 2-Factor Auth for web apps, and this becomes possible with device registration. This is achieved be leveraging the certificate on the device paired with the registration object in AD. Thirdly, we can enable Enterprise apps single sign-on which is also possible with device registration And then finally Desktop Single Sign-On is only possible with a fully domain-joined PC Böngésző munkamenet egyszer bejelentkezés Könnyű 2-faktoros hitelesítés Web alkalmazásokhoz Vállalati alkalmazások SSO Desktop SSO

19 Adatvédelem Dinamic Access Control segítségével
Adatvédelem Dinamic Access Control segítségével Fájlszolgáltatás Active Directory Introduced in Windows Server 2012, Dynamic Access Control is a function of the File Server role that allows for the configuration of polices that: Automatically identifies and classifies data based on content. Classification applies as files are created or modified. This is effectively metadata tagging to the properties of the files, and it can be enforced in a central way across the entire environment. File classification, access policies, and automated Rights Management works against client distributed data through Work Folders. So when a user creates a file locally on a device that contains information that meets the criteria for classification and/or RMS encryption, the file syncs up to the server, is classified and updated, and then it syncs back down to the client with this new metadata and file encryption. Centrally manage access control and audit polices from Windows Server Active Directory. All policies are stored and enforced from Active Directory, leveraging common Group Policies for deployment and updating of the policies. Central access and audit policies can be applied across multiple file servers, with near real-time classification and processing of new and modified documents. IT can pre-stage and simulate the effect of changes to policies prior to enforcement. Integration with Active Directory Rights Management Services provides automated encryption of documents based on expression based content rules. Automatikusan azonosítás és adatminősítés a tartalom alapján. A minősítés a fájl létrehozásakor és módosításakor jut érvényre. A fájlminősítés, a hozzáférési szabályok és az automatikus Rights Management működik a kliensek elosztott adatain is a Work Folderek segítségével. Központilag kezelt hozzáférés felügyelet és audit házirendek a Windows Server Active Directory-ban. Integráció az Active Directory Rights Management Services szolgáltatással, amely a dokumentumok automatikus titkosítását végzi. A központ hozzáférés és audit házirendek alkalmazhatók több fájlszerverre, közel valós idejű adatminősítéssel

20 Work Folders – RMS integráció Szelektív adat és alkalmazás törlés
Demo: Adatvédelem Work Folders – RMS integráció Szelektív adat és alkalmazás törlés ADFS konzol felület Work Folder konzol

21 Felhasználó központú IT
Fel

22 További információk System Center 2012 Configuration Manager
us/evalcenter/hh aspx?wt.mc_id=TEC_105_1_33 Windows Intune buy Windows Server 2012 server microsoft.com/workstyle microsoft.com/server-cloud/user-device-management További szakirodolom:

23 4/7/2017 8:01 AM © 2013 Microsoft Corporation. All rights reserved. Microsoft, Windows and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. © 2013 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

