2012 R2 新增功能:实践以人为本的 IT 理念 - 跨产品的端到端应用场景

在今天的博文中,我们将解答一个经常听客户提及的问题:“为什么要立即迁移到云?”但是,最近这个问题需要稍加更改,改为“为什么要首先迁移到云?”

这两个问题不论哪一个,我们都需要牢记一个要点,即每个组织都有其独特的云迁移之旅。Windows Server 上有众多不同的工作负荷,现实情况是这些不同的工作负荷正以不同的速率迁移到云端。Web 服务器、电子邮件和协作就是快速迁移到云的工作负荷示例。我认为管理,以及智能设备的管理将成为迁移到云的下一个工作负荷,而且当时机到来时,这一迁移过程将十分迅速

使用 SaaS 解决方案是迁移到云的一种方式,这一方式将改变当前的格局,因为其无需 IT 专业人员管理任何所需的基础结构,即可创造大量价值和灵活性。

基于云的设备管理是一项格外有趣的开发,因为其可让 IT 专业人员管理这一数量迅速飙升的智能云连接设备,并在“其所处位置”进行管理,当今的智能手机、平板电脑都被设计为可使用云服务,因此这也是我认为对其提供基于云的管理解决方案顺理成章的原因之一。当您完成组织向云的迁移之后,我建议您将从云端管理所有智能设备作为首选优先事项。

我希望向您清楚讲解这类管理的属性:我们认为 PC 和设备之间应有一致的管理体验

实现这一单一管理体验是 2012 R2 版本的一个重要特点,我非常自豪地说我们已经成功设计出了完全具有这一特性的产品。R2 版本通过被我们称之为“公司门户”的媒介提供了一致的端到端最终用户体验。公司门户已经部署于 Microsoft,而且我们也正在使用公司门户来将所有员工升级到 Windows 8.1。我自己已经使用公司门户来升级我的台式计算机、便携式计算机和 Surface,整个过程非常简单。

在本周的博文中,System Center Configuration Manager/Windows Intune 合作伙伴项目经理 Paul Mayfield 及其团队将深入探讨我们 PCIT 团队所实现的某些特定应用场景的技术详情(基于云的管理、公司门户等)。这一工作成果彰显了公司全新重组背后“同一个 Microsoft”的理念。PCIT 团队跨团队和部门紧密合作,从整体角度跨 Microsoft 产品满足了客户的需求。

对于合作伙伴和客户能够充分利用这一新技术,并从 R2 新功能和改进功能中受益,我感到兴奋不已。

* * *

 

上周,我们探讨了今年晚些时候即将发布的 R2 版本中将推出的某些新功能。这些新功能可让 IT 专业人员采用 IT 消费化,并为用户从任何地方、任何设备安全访问其应用和数据的需求提供支持。由于这些新功能将最终用户置于我们开展的工作的中心位置,因此我们将这一组新功能称为“以人为本的 IT”(PCIT)。

我们不仅独辟蹊径地思考了这些功能,而且我们还对它们进行了独具匠心的设计。主要产品线和部门的工程团队紧密协作,定义了这些以人为本的应用场景,而且我们针对一组共同的工程里程碑执行了各项任务。在通力合作了数月之后,现在我们终于能够共同推出这些新功能。

得益于我们跨公司的通力合作,很多整体端到端客户应用场景得以实现,在今天的博文中,我们就将介绍这样一些示例。我们将特别关注以下几个方面:

  1. 让用户可以安全地访问他们个人设备上的文件。
  2. 让用户设置自己的 iOS 设备用于工作用途,同时允许 IT 专业人员限制用户对公司资源的访问。
  3. 让 IT 专业人员为公司设备和个人设备提供 VPN 功能。这包括 Microsoft 和第三方的 VPN、客户端和网关,并在 Windows RT 中包括这一即将推出的支持功能。

上述三个示例中的每一示例都对 Windows、Windows Server、System Center 和 Windows Intune 间的功能进行合并,并且实现最大化。这些示例包括工作文件夹Web 应用代理Active Directory 联合身份验证服务、System Center Configuration Manager 中的统一设备管理、全新的现代 VPN 平台,以及公司门户。

以下图表显示了以人为本的 IT 支柱工作环境中的主要组成部分。没有必要在任何给定应用场景中均部署所有这些组成部分。IT 团队可仅部署要成功实施他们感兴趣的应用场景所需的部分。在下面详述的应用场景中,我们将引用这一图表中提及的技术。

1.1 
提供以人为本的 IT 应用场景的主要组件的视图。

 

应用场景 1:为用户提供在个人设备上安全访问其工作文件的权限

首个示例介绍了令用户可以在个人设备上访问其工作文件的一种方式,并介绍了如何降低合规和信息泄露的风险。这一示例集中探讨 Windows Server 2012 R2 中全新工作文件的功能。

工作文件夹是一个新的文件同步功能,其与 SkyDrive Pro 互为补充。SkyDrive Pro 能让用户访问其 SharePoint 数据,而工作文件夹可让用户访问其位于传统文件服务器上的文件。借助工作文件夹,用户能够将数据同步到公司后端文件服务器上。这意味着您可为包含工作文件夹的文件服务器使用所有工具,管理数据并确保数据安全。Windows 8.1 将包含内置的工作文件夹客户端。此外,在我们发布 Windows 8.1 之后,我们将为 Windows 7 和 iPad* 发布工作文件夹支持。

为个人设备启用安全文件访问的基本步骤为:

  • 部署工作文件夹服务器,并为您的用户配置。
  • 使用 Web 应用代理,或通过任何保留代理解决方案将工作文件夹发布到连接 Internet 的设备。
  • 设置设备,以采用使用 System Center 和 Windows Intune 的工作文件夹。

完成这一步之后,我们的服务即可相互配合,以确保您数据的安全:

  • 身份验证
    Web 应用代理与 Active Directory 联合身份验证服务 (AD FS) 集成,因此您可将工作文件夹的访问权限限定于已加入工作区或已加入域的设备,甚至还可需要多重身份验证。
  • 加密
    工作文件夹文件将存储于设备上的加密文件夹中。此外,您可使用动态访问控制来自动分类并使用权利管理 (RMS) 保护敏感文档,以提供额外的保护,防止数据泄露。
  • 擦除
    当用户离职或设备丢失时,工作文件夹文件将在用户的设备上显示为不可访问。

合并所有这些功能可让您为用户提供数据访问权限(让其继续使用其 BYOD 设备),同时又保护您的公司数据。

我们时刻铭记这些要素,以下就是这些理念投入实践的效果。

IT 配置

作为一名 IT 专业人员,您第一步就是要在您的文件服务器上启用“工作文件夹”。这一简单的过程是在 Windows 2012 R2 中配置文件服务器角色的一部分。完成这一步后,授权的用户能够在其设备上手动设置工作文件夹。

然而,您并不需要用户自己配置工作文件夹。您可使用 System Center Configuration Manager 和 Windows Intune 来将包含工作文件夹设置的设备自动设置给个人设备,并将组策略自动设置给已加入域的计算机。在全新 R2 版配置管理器中,我们添加了本机支持来配置工作文件夹策略。您可基于一组标准来制定这一策略。完成配置后,已加入域的任何设备、配置管理器管理的任何设备,或在 Windows Intune 中登记进行移动设备管理 (MDM) 的任何设备都将收到工作文件夹配置,作为正常设备设置中的一部分。

由于工作文件夹通过一个基于 HTTPS 的协议操作,因此现在您可使用新的 Web 应用代理(或任何行业标准 Web 发布解决方案)来将工作文件夹发布到 Internet。这样可以实现对已连接 Internet 的设备上文件的受控访问,即使这些设备从来不连接到公司网络,也是如此。Web 应用代理将与 AD FS 集成。这意味着您可使用 AD FS 来限制访问已加入工作区或已加入域的设备。您甚至可需要多重身份验证,利用 AD FS 在 Windows Server 2012 R2 中提供的新插件模型。

clip_image003
将工作文件夹的身份验证提供程序选择为 AD FS。这将工作文件夹的访问控制与我们全新的工作区加入功能相集成。

 

最后,IT 专业人员能够使用动态访问控制来配置文件自动分类。这可包括键控文档中的敏感词、短语或正则表达式(如信用卡号码或“机密”词语),让这些文件被自动分类为具有高度影响的类别,并自动加密,实施 RMS 保护。这些加密规则有助于减少敏感信息的泄露。例如,当 Joe(一名虚构的信息工作者)在其桌面创建了一份包含敏感客户信息的文档,该文档将与文件服务器上的工作文件夹共享同步。文件服务器随后将自动扫描该文档,为其添加敏感标签,并应用 RMS 保护。RMS 保护版本的文档随后将同步回 Joe 的桌面和其他所有启用了工作文件夹的设备。整个过程对于 Joe 而言都是无缝的,因此他可继续处理该敏感文档,而不需要担心合规性或信息泄露(例如,如果该设备丢失或被盗,其中的敏感数据也无法被他人访问)。

信息工作者(用户)交互

R2 开发中的一个主要焦点是打造简单而熟悉的用户体验。这一简单性包括自动保护和合规(即,不依赖于用户采取必要措施来保护公司数据)。

为了让用户获得简单而熟悉的体验,我们选择让工作文件夹的呈现方式与设备中的其他文件夹保持一致。这可让用户使用普通文件夹在一个单一位置访问和存储工作数据。用户不需要知道该文件夹通过后端文件服务器与其他设备同步的过程。从功能角度而言,这与 SkyDrive 和 SkyDrive Pro 的原理较为相似。

clip_image004
工作文件夹显示为 Windows 中用户配置文件内的一个普通文件夹。

 

为了做到自动合规和保护,我们设计了工作文件夹,因此 IT 专业人员能够确定应向哪些设备和哪些文件应用哪些策略。IT 专业人员能够使用标准文件服务器数据管理功能来管理数据,此外,该文件夹还将自动为最终用户进行备份、保留、分类和加密操作。除此以外,工作文件夹文件可始终与用户设备中的文件夹同步,其中用户的设备为了这一目的而进行了单独加密。这可在必要时,以安全的方式将文件从设备擦除。

clip_image005
为访问工作文件夹的个人设备配置基本策略要求。

 

再以虚构的 Joe 为例:假设 Joe 购买了一台新 Surface RT,并希望访问工作文件。他只需对其设备设置工作区加入,并登记管理即可。作为登记中的一部分,他的工作文件夹配置可获得自动设置,而他的文件将开始于加密文件夹同步。现在 Joe 已经能够访问其所有工作文件。当他在 Surface RT 上对这些文件进行更改时,这些更改也将同步到他的工作桌面中,反之亦然。当他创建敏感文档时,这些文档将被自动分类,并实施 RMS 保护。

之后,如果 Joe 从公司离职,IT 团队能够从管理登记中删除其设备,Joe 的 Surface RT 也将自动擦除其工作文件夹数据(显示为不可访问),而其所有个人数据将保持不变。

 

示例 2: 让用户设置其 iOS 设备办公,同时让 IT 专业人员基于设备和位置限制用户访问公司资源的权限。

这一示例概述了在工作中启用异类设备的一种方式,并演示了如何将 iOS 设备注册到公司的 Active Directory,然后将其登记到 System Center 和 Windows Intune。

当设备注册后,IT 专业人员能够基于用户、设备和位置来控制对公司资源的访问。当设备登记后,IT 专业人员能够配置设备、监控其合规性,发布业务线应用,并执行其他管理任务。

尽管以人为本的 IT 功能在 Windows 设备上表现出色,但这些功能不仅限于在 Windows 设备上使用。我们还进行了大量的工作,投入了不少努力,希望在各种不同类型的设备上都可以对我们以人为本的 IT 功能提供一流支持。以用户为中心开展工作,其中就包括能够在多种设备上实现各项功能。

有些时候,MDM 被视为一项单独活动,用于管理移动设备和部署为用于管理 PC 和其他设备的解决方案。而我们从更为宽泛的角度来理解 MDM。MDM 是管理您所有设备的过程中的一部分。我们正在构建一个单一的解决方案来管理您所有 PC 和设备。我们将这一概念称为统一设备管理。

为了进行 UDM,我们构建了向 System Center Configuration Manager 部署附加 Windows Intune 的功能。这将创建一个单一的控制台(配置管理器控制台),该控制台能够管理所有设备类型,包括 PC、移动设备,甚至是嵌入式设备。当将配置管理器控制台附加到 Intune 时,其将包含 MDM 功能,并作为管理所有设备的一个自然部分。所有设备类型都需要应用、数据、设置、内容和服务,而配置管理器可在一个位置启用这些内容。

以下为操作方法:

  1. 将您的 Active Directory 附加到 Azure AD 中。如果您为 Office 365 的用户,那么您已经完成了这一步。
  2. 将 Windows Intune 附加到配置管理器中。这一简单过程涉及配置一个新的“Intune 连接器”配置管理器角色。该角色具有某些基本配置,如 Intune 订阅的凭据。配置管理器部署自身将保持不变。
  3. 在配置 Windows Intune 连接器时,系统将要求您提供一些基本 iOS 配置,如 Apple 的 APN 证书(见以下屏幕截图)。您可查看该博文了解 iOS 配置选项的更多信息。
  4. 指定您希望启用的用户,以登记其 iOS 设备。

clip_image007
在配置管理器控制台中设置 Windows Intune 控制器的 iOS 属性。

 

6 
上载 APN 证书,作为从配置管理器启用 iOS 管理的一部分。

 

当完成这一步后,您的用户即可开始操作。他们只需从 Apple 的应用商城下载“公司门户”应用。下图显示了“公司门户”应用在 Windows Marketplace 中的模样。iOS 版本将列于 Apple Appstore 中,作为我们今年晚些时候推出的 R2 版本中的一部分。

clip_image011

 

在此之后,当您的用户下次启动“公司门户”应用时,系统将要求他们提供凭据。用户能够从应用内部选择使用 Windows Intune 服务。在此之后,您的用户即可访问公司的应用和服务。

7.1
即将推出的 iOS 公司门户应用中的通知,说明某一设备需要登记到 Windows Intune 服务中。

 

clip_image015
在新的管理配置文件中登记 iOS 设备结果。

 

登记进程将从 Intune 云服务在 iOS 设备上安装证书和 MDM 配置文件。完成后,该 iOS 设备将和与该用户相关的其他设备一同显示于配置管理器控制台中。针对该设备用户的任何适用于 iOS 的策略和应用都将通过配置管理器,抵达 Intune 云,然后传输到用户的设备。设备将通过这一方式获得设置、Wi-Fi 配置文件、VPN 配置文件、证书、应用和其他所需资源。同时,IT 人员能够持续监控和管理设备。

clip_image017
当配置管理器附加到 Windows Intune 中时,用户的所有设备(PC 和移动设备)都将集中显示到一个位置。

 

下一个需要考虑的要素是

是如何控制对设备上公司资源的访问?我们将在此与 Active Directory、Web 应用代理和 Active Directory 联合身份验证服务 (AD FS) 集成。

随着 R2 版本的推出,应用和数据可通过一个新的 Web 应用代理服务角色发布,并作为 Windows Server RRAS 角色中的一部分。Web 应用代理随后将与 AD FS 集成,以基于用户的身份、设备和位置控制公司资源。

例如: 假设一名 IT 专业人员需要将一个内部 Sharepoint 站点发布到与 Internet 连接的设备中,但是这一访问权限必须限定于属于有效用户的已知设备。那么 IT 专业人员可配置 AD FS 角色配置,以将访问该 Sharepoint 站点的权限限定于已加入工作区的设备,进而达到目的。当用户从未加入工作区的设备连接时,尝试连接发布的网站将被拒绝,但是如果设备已被注册,那么该尝试将成功。Windows 设备和 iOS 设备上均支持工作区加入。

clip_image019
因 iOS 设备未加入工作区而拒绝用户从该设备访问发布的网站的体验示例。

 

为了允许用户注册 iOS 设备,您首先需要启用设备注册服务,这也是 Active Directory 联合身份验证服务 (AD FS) 中的一部分。完成后,用户只需通过单击收到的电子邮件中的链接,即可注册其设备。当用户单击该链接时,系统将要求用户提供凭据,而注册设备将在 Active Directory 中记录一个 user@device 记录,然后向 iOS 设备签发一个证书。当用户接受该证书后,他们即可开始使用。

clip_image021
IT 专业人员发送的电子邮件,其中包含工作区加入 iOS 设备的说明。

 

clip_image023
与任何其他 Web 应用代理类似,工作区加入发布了 IT 服务,包括需要双重身份验证的功能。

 

clip_image025
在 iOS 设备上安装工作区加入配置文件。

 

clip_image027
配置文件已成功安装,iOS 设备现已加入工作区。用户现可成功访问发布的网站,而 IT 人员能够审查并控制访问。

当用户尝试访问发布的 Sharepoint 站点时,Web 应用代理将把设备引用到 AD FS,进行身份验证和授权。AD FS 将质询用户提供凭据,并质询设备提供安装作为工作区加入一部分的证书。当 AD FS 识别其为属于有效用户的已知设备后,其将允许身份验证成功,而用户将获得访问 Sharepoint 站点的受控制权限。

 

示例 3: 让 IT 专业人员为公司设备和个人设备提供 VPN 功能。这包括 Microsoft 和第三方 VPN 客户端和网关,并在 Windows RT 上包含即将推出的支持。

在这一示例中,我们将介绍在个人 Windows 8.1(包括 Windows 8.1 RT)设备上启用 VPN 连接的方式。为了做到这一点,我们将了解如何将 Windows 8.1、Windows Server 2012 R2、System Center 和 Windows Intune 汇聚到一起。

Windows 8.1 包括已安装的 Microsoft 和第三方 VPN 客户端应用(插件)。这些 VPN 插件包含于 Windows 8.1 操作系统(箱内) 中,因而用户不需要下载应用。整体体验将与 Windows 相互交织,为最终用户提供一个一致、集成的体验。新 VPN 平台功能还包括 VPN 配置文件管理选项自动 VPN 功能。自动 VPN 连接将在有需要时动态出现。您可为命名空间和应用配置自动 VPN。VPN 连接将在需要访问公司资源的任何时候自动启动。

VPN 配置文件管理

除了包括第三方插件以外,Windows 8.1 还包括内置的可管理性,该特性可提供管理 VPN 配置文件的多个选项,其中包括:

  1. IT 专业人员可使用 System Center 和 Windows Intune 来为设备设置 VPN 配置文件和证书。
  2. IT 专业人员可使用设置 VPN 配置文件的 PowerShell 脚本。
  3. 最终用户能够创建其自有的 VPN 配置文件,包括第三方 VPN 配置文件。

R2 版本中有一项卓越的新功能,即能够本机管理 System Center 中的 VPN 配置文件。我们可同时支持 Microsoft 的 VPN 和第三方的 VPN。无论是配置管理器代理所管理的 PC,还是 Windows Intune 中登记的移动设备,您都可从配置管理器控制台来设置所有设备。当用户登记其设备进行 MDM 管理时,系统将自动设置适当的 VPN 配置文件。此外,设备还将登记 VPN 配置文件所需要的任何证书。最后,自动 VPN 策略将应用到设备。当设置完成后,用户即可准备开始使用 VPN。

clip_image029
在配置管理器中创建 VPN 配置文件。配置文件将提供给受管理的 PC 和移动设备。

 

clip_image031
在配置管理器中选择 VPN 类型。我们的新平台可同时支持 Microsoft 的 VPN 和第三方的 VPN。

 

clip_image033
在配置管理器中选择身份验证类型。在这一功能中,我们仍可同时支持 Microsoft 选项和第三方选项。

 

clip_image035
配置自动 VPN 设置。您可基于命名空间或应用在需要时建立连接。

    

VPN 连接体验

无论是使用 Microsoft 的 VPN 网关(Windows Server 中的远程访问角色),还是使用第三方 VPN 网关,最终用户将获得一致的使用体验。Windows 8.1 中新的 VPN 平台将 VPN 集成到了 Windows 体验之中。这意味着无需再向用户发送特殊说明。只需简单登记管理,配置文件、证书和自动 VPN 规则就将显示于设备中。随后,用户可尝试访问公司资源,VPN 将自动连接以启用访问。如果 VPN 需要用户的其他输入(如密码或第二重身份验证),那么 Toast 通知将为用户提供一个标准网络体验,以提供其他输入。这一体验与加入新的 Wi-Fi 或移动宽带网络类似。

19.1 
提供 VPN 所需的其他用户输入的示例 - 所有一切都已集成到标准超级按钮栏,即使是第三方 VPN,也是如此。

 

使用内置 PowerShell 的 VPN 配置文件

除了通过 System Center 支持 VPN 管理以外,我们还使用了内置的 PowerShell 命令来支持 VPN 脚本操作。您可使用这些脚本来成像或自动化工作流,或者您也可通过诸如外部网站或文件共享等带外机制来发布它们。脚本将创建 VPN 配置文件,并在设备上配置远程访问。

 

示例:使用高级触发策略创建 VPN 配置文件:

/* Adding name trigger rules */

PS C:\> Add-VpnConnectionTriggerDnsConfiguration -ConnectionName "test" -DnsSuffix ".corp.contoso.com" -DnsIPAddress "1.1.1.10"

PS C:\> Add-VpnConnectionTriggerDnsConfiguration -ConnectionName "test" -DnsSuffix ".domain1.corp.contoso.com"

 

 

/* Adding applications trigger rules – modern app*/

PS C:\> Add-VpnConnectionTriggerApplication -ConnectionName "test" -ApplicationID "microsoft.windowscommunicationsapps_8wekyb3d8bbwe“

/* Adding applications trigger rules – classic app*/

PS C:\> Add-VpnConnectionTriggerApplication -ConnectionName "test" -ApplicationID "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Product Studio“

 

/* Configuring suffix search list*/

PS C:\> Set-VpnConnectionTriggerDnsConfiguration -ConnectionName "test" -DnsSuffixSearchList ("domain2.corp.contoso.com","domain3.corp.contoso.com")

/* Adding More entries to Trusted Network List */

PS C:\> Add-VpnConnectionTriggerTrustedNetwork -ConnectionName "test" -DnsSuffix "corp.contoso2.com"

    

* * *

 

 

此概述介绍了全新 R2 版本中推出的最具动态性的一些功能,当然实际上远不止这些。随着 IT 团队一同部署和运营 R2 产品和服务,用户将有机会看到这些平台优势和功能的更多示例。

互操作优势来自于我们决定将 R2 版本设计为超协作、高度结构化、跨 Microsoft 产品的成果。各团队以及各公司间紧密合作,花费数千小时,最终推出了一套新的产品,这些新产品能够相互配合使用,并让我们的社区用户使用比以往更好的工具来完成工作。

在接下来数周中,其他支柱所有者将进一步演示这些内容,详细介绍云操作系统、混合 IT,以及内置于 2012 R2 产品中的现代应用功能。您可添加此链接作为书签,或关注我们的 Twitter 了解定期更新内容。

- Brad

 

后续步骤:

如希望了解有关今天探讨的技术主题的更多内容,请查看我们工程团队发布的以下博客:

 

* iPad 是 Apple Inc. 的商标。