Hi, this is Yan and I’m excited to be able to share with you this What's New in 2012 R2 based blog that was originally posted to the In the Cloud TechNet blog on July 2013.  Please note, this blog may contain some links that refer to another blog that is currently only posted in English.  If any of the content that we link to is something you would like to see translated, please post a comment on this post and let us know. We really value your opinions and would like to know what topics are most interesting to you.  There is also a translation widget on the right side of the English page, which will allow you to translate the post in page. Thanks and we hope you find value with this content.


博客系列第 2 部分,共 9 部分。

当今员工的连接状态和移动程度不仅空前提高,而且他们对于工作中所使用的硬件和软件更加挑剔(要求更为严格)。正当全世界的公司领导正对其员工的工作效率和资源访问性大幅提升感到庆幸时,员工希望使用的设备和平台数量的激增却将公司的基础结构(和整个 IT 部门)推向极限。

如果您的 IT 团队正与这一趋势的深远影响和庞大规模交锋,那么请让我再次讲述我在撰写本博文之前就已经多次���意到的一个事实:“携带自己的设备办公”的趋势如火如荼

构建能够满足这一需求的产品是我在上周指出的以人为中心的 IT (PCIT) 这一首个设计支柱的一个重要方面。

在今天的博文(以及本系列中的每一篇后续博文)中,PCIT 支柱的架构和关键组成部分的这一概述之后将在博文底部介绍“后续步骤”。“后续步骤”将包括由我们 Windows Server 和 System Center 工程师撰写的一系列新的博文(其中每篇博文都是专为当天的主题所撰写)。每周,这些工程博客将深入介绍主博文中所探讨的各个组成部分的相关技术细节。今天,这些博客将系统地介绍并探讨增强我们的 PCIT 解决方案所使用的技术。

我们的目标在于向您介绍每个支柱的架构、示例和关键组成部分。“后续步骤”部分将为您提供一个简单的方式来查看我们工程团队所提供的技术支持分析,让您了解在 Windows Server 和 System Center 内应用的技术的内部工作原理。

深入 PCIT 是我与全球企业领导探讨过无数次的一个主要议题。在每次会议中,我的反馈都非常简单:贵公司的设备只会越来越多,多样化程度只会越来越高;这是一个您确实希望接受的趋势。

这并不意味着没有组织会努力逆趋势而行,但是我并不认为利用这一机会建立员工间联系,并提高员工工作效率的公司将获得合理的投资回报 (ROI)。

然而,实现丰厚的 ROI 将取决于组织采用并推动 BYOD 趋势的方式。特别是,每一个 IT 团队都需要认真、逐个地识别从这些设备访问公司资源的合理平衡点,然后确保执行必要的安全和合规协议。做好这一点对于员工士气具有重大影响,而轻松的 IT 环境甚至将影响员工的维系。

我们对 PCIT 进行了大幅投资,这是因为我们希望让 IT 专业人士为其员工希望在工作中使用的设备提供强大、稳定的支持,同时让这些 IT 团队能够对这些公司提供的设备和自有设备进行合理的控制。以下详述的 PCIT 解决方案可让 IT 专业人士基于三大非常重要标准设置访问公司应用和数据的策略:

  1. 用户的身份
  2. 用户的特定设备
  3. 用户工作使用的网络

我们在 PCIT 博客中详细介绍的解决方案可让 IT 团队基于他们所从事的工作类型和访问的公司数据的敏感程度实施严格控制。例如,非常严格的安全协议、使用控制和数据访问要求对于销售点设备、生产线上的设备、严格监管的药物实验室、银行出纳电脑等是必要的。确保这些类型的设备处于连接、受管的状态将继续保持高度重要的地位。另一方面,您还拥有诸如个人电话和平板电脑等 IT 人员无法简单地采用同一种方式控制的设备(这有一个测试:尝试告诉您的最终用户您将禁用其个人电话上的摄像头,看看他们将有怎样的反应!)。

这里需要的是一个单一的管理解决方案,该解决方案需要具有必要和适当控制的特定功能,并能在需要较少管理的时候提供被我称为“治理”的功能或轻度控制。这意味着一个可管理 PC 和设备的单一虚拟管理平台。我经常遇到并排运行两个独立解决方案的公司,一个解决方案针对所有 PC,另一个解决方案用于管理设备。这不仅成本高昂,繁冗复杂,而且给最终用户形成了不连贯的体验,“还”为负责管理的 IT 专业人士造成了难题。

在今天的博文中,System Center Configuration Manager/Windows Intune 团队合作伙伴项目经理 Paul Mayfield将介绍 Microsoft 在这一解决方案中所构建的所有功能如何专注于为 IT 团队创造功能,让其使用已用于管理 PC 的 System Center Configuration Manager,而且“现在”的管理功能已经扩展到了设备之中。这意味着从同一个熟悉的操作台中获得两个管理功能。使用 Windows Intune 来在设备所在位置管理设备进一步扩展了这一理念,即针对基于云的设备实施基于云的管理。基于云的管理对于需要定期更新的用户自有设备尤为重要。

这是一个不可思议的解决方案,其对于您和客户的优势和易用性意义深远。

* * *

 

正如您可能在最近的 TechEd 活动中所了解的,我们今年在 Windows、Windows Server、System Center 和 Windows Intune 中新增了数项功能。这些新功能旨在让我们的客户接受 IT 消费化,并在其全球组织中启用携带自有设备办公 (BYOD) 的应用场景。

我们将这些新的功能称为“以人为中心的 IT”。

以人为中心的 IT (PCIT) 关乎帮助人们使用自选的设备办公。我们让用户在任何位置使用其自己的设备访问其应用数据。而这给 IT 人员所带来的挑战十分巨大:当他们的用户在其未经 IT 人员管理(或甚至完全不了解)的设备上开始工作时,对公司敏感信息进行控制,以及当设备被出售、丢失或失窃时如何应对这些局面就变得非常困难。

特别是,负责管理现代公司基础结构的 IT 团队所面临的挑战源自四个关键方面:

1.5a

我们正借助 2012 R2 版本(例如 Windows Server、System Center Configuration Manager 和下一版 Windows Intune)帮助客户应对这些挑战。各个团队的工程师借助一组共同的工程里程碑,共同规划和执行了其应用场景,我们在推动我们在设计方面的优先事项和投资的三大领域实现了这些应用场景:

  1. 授权用户。这意味着通过向设备提供对公司应用和数据的一致访问权限,让用户使用其自选设备。我们将在今年的 R2 版本中支持更多设备,从公司的便携式计算机和台式计算机到个人电话、便携式计算机和平板电脑不等。我们将在 Windows 和 iOS 设备上支持我们所有 PCIT 功能。许多功能也将在 Android 设备上受支持。例如,注册设备进行管理将在 Windows、iOS 和 Android 设备上受支持。工作区加入和工作文件夹最初将在 Windows 和 iOS 设备上受支持。
  2. 统一环境。借助 System Center Configuration Manager 控制台,我们从一个单一虚拟管理平台提供了全面的应用和设备管理功能。我们还致力于(使用 System Center Configuration Manager、Windows Server 和 Active Directory)在本地基础结构中集成应用场景,(使用 Windows Intune 和 Windows Azure)将应用场景与基于云的服务集成。此外,还值得我们注意的是,我们已经集成了管理和恶意软件保护功能。
  3. 保护数据。基于用户、用户特定设备,以及设备所在位置控制对信息的访问权限,IT 团队能够更好地控制和保护公司资产。当设备不再被使用时,这些工具还可删除或禁用设备上的数据,并提供丰富的审核和报告功能。

2.5

现在,让我们详细地逐一看看这些应用场景,及其优势。

授权用户

携带自有设备办公 (BYOD) 计划的用户可以非常简便地进行注册和登记

我们正为用户提供新的方式,使他们能够在其设备中选择接收 IT 服务。用户可执行一个工作区加入,以在 Active Directory 中注册其设备,他们可登记其设备,以在 Configuration Manager 和 Windows Intune 中管理。

您可将工作区加入理解为轻型域加入,只不过这是针对个人移动设备的域加入。注册的设备将记录于 Active Directory 中,并将获得签发的凭据。但是,他们并不支持组策略或脚本编写。相反,您可通过注册其进行移动设备管理,进而来管理设备。

我们致力于让用户能够在 Active Directory 中轻松注册其设备。为了访问公司资源,并实现单一登录 (SSO),用户将希望注册其设备。

我们将基于用户的名称和密码,查看租户(在 Azure Active Directory 情况下)或查看本地 Active Directory 联合身份验证服务 (AD FS) 注册服务器(在本地注册情况下)。然后,我们将启动设备,以从其注册服务中登记证书。

作为该工作区加入中的一部分,我们在 Active Directory 中创建了一个 user@device 记录。通过这种方式,您的现有 AD 基础结构将可以进行扩展,以适应移动设备。这可让我们为 IT 专业人士提供一个设备及其用户的清单,并审核随后将在这些设备上授予用户的访问权限。针对设备签发的证书包括设备身份和通过身份验证用户的身份。通过我们 Web 应用代理(见下文)发布的面向资源的访问权限,或面向依赖于 AD FS 进行身份验证的任何其他资源的访问权限将依赖于这一证书进行身份验证。

值得注意的一点是:将设备注册到 Active Directory 中并不能让 IT 人员以任何方式控制设备,这一内容在登记中有所讲解。工作区加入仅用于管理针对公司资源的访问,并用于启用 SSO。

除了将设备注册到 Active Directory 中以外,我们还简化了用户将其设备注册到 Windows Intune 管理服务中的过程。为了设置设备并在其设备中安装公司应用,用户将需要执行这一操作。为了执行这一操作,用户只需键入其用户名和密码来注册设备,该服务随后将查询用户的租户并触发移动设备管理 (MDM) 登记。

MDM 登记将由于设备的不同而各有差异。MDM 登记的基本内容包括签发证书以向管理系统验证设备身份、安装管理配置文件,以及为设备注册适当的通知服务。作为整个登记过程中的一部分,系统将提示用户允许 IT 部门对设备进行某些管理控制。一旦登记过程完成,管理系统将触发设备设置。设备将联系 Windows Intune 服务和下载设置、WiFi 配置文件、VPN 配置文件、旁加载密钥、应用以及更多内容。设备可能还将登记其他证书,这些证书可用于网络身份验证或其他安全用途。

用户可决定是将设备注册到 Active Directory 中,还是将设备登记到 Windows Intune 中,或者同时进行二者。我们建议同时进行二者,这是因为只有同时完成了注册和登记的设备才能获得完整 PCIT 服务和体验。这是用户可获得的最佳体验,“而且”这将为公司提供最佳保护。

3

跨设备一致访问公司资源

公司门户(见以下示例屏幕截图)为用户提供了一个一致的界面,用户可从这一界面获取访问应用(包括内部应用和指向公共商店的链接)的权限,管理其自有设备以执行诸如远程擦除等任务,同时利用与工作文件夹的集成获得访问其数据的权限。

 

4

在需要时,自动连接到内部资源

作为管理登记的一部分,用户可利用证书、WiFi 配置文件、VPN 配置文件和 DirectAccess 配置来设置其设备。VPN 配置文件可与 DNS 名称或特定应用相关联,因此用户可按需自动启动这些配置文件。这可让用户远程工作,并始终与公司网络连接,而无需启动一个 VPN 连接。

Windows Server 2012 R2、System Center 2012 R2 Configuration Manager 和 Windows 8.1 中的一项新功能(如下所示)是配置应用,以在应用启动时启动 VPN 连接。

 

5

无论用户身在何处,他们都可以在自选设备上访问公司资源

Windows Server 2012 R2 中的新增功能包括 Web 应用代理工作文件夹。Web 应用代理具有发布访问内部资源的权限,以及在边缘选择性需要多重身份验证的功能。

以下是其工作原理的示例:

  • 在用户注册其设备,并将其登记用于管理之后,她将获得访问公司门户应用的权限。
  • 她可从公司门户安装(例如本示例中为旁加载)一个业务线应用。
  • 当她启动应用后,应用将联系 Web 应用代理以在需要时访问后端 Web 服务。
  • Web 应用代理将重定向应用,以采用 AD FS 进行身份验证。
  • AD FS 将被配置以质询设备是否具有通过设备注册(工作区加入)所获得的证书。
  • AD FS 将验证该用户是否授权从这一特定设备访问这一公司资源。然而,在本示例中,AD FS 还被配置为在设备从 Internet 连接时,质询用户进行另一重身份验证。
  • AD FS 将调用多重身份验证 (MFA) 插件(支持与任何第三方 MFA 提供商集成)。例如,MFA 插件可能要求用户在其电话中输入一个代码。
  • 当满足多重身份验证要求后,AD FS 将完成身份验证。
  • Web 应用代理将允许应用访问其后端服务。

工作文件夹是一个新的文件同步解决方案,该方案可让用户将公司文件夹服务器中的文件同步到其设备中。这一同步的协议基于 HTTPS。这简化了通过 Web 应用代理进行发布的过程。这意味着用户现在可从 Intranet 和 Internet 进行同步。这也意味着可应用上述同一基于 AD FS 的身份验证和身份验证控制来同步公司文件。随后文件将被存储于设备的一个加密位置中。当设备被取消管理登记时,这些文件可以被选择性地删除。

 

6

 

统一环境

在单一控制台中进行本地和基于云的设备管理

在我们规划以人为中心的 IT 时,对我们至关重要的一个数据点是我们从客户处收集到的有关降低客户端管理基础结构成本和复杂性的需求的反馈。为了实现这一点,我们致力于集成 Configuration Manager 和 Windows Intune。我们的愿景是让 IT 团队使用 Configuration Manager 管理员控制台来“在设备所处位置管理设备”,本地台式计算机和便携式计算机可由现有本地基础结构维护,而与 Internet 连接的设备可通过云基础结构维护。

现在所有这些功能都已推出,在现在已投入广泛使用的 Configuration Manager 控制台中就能实现在单一位置管理所有这些设备和所有这些基础结构。统一的单一解决方案中现在推出了客户端管理和安全功能,这简化了设备和应用的管理,也解决了威胁和违规问题。如果您目前是 Configuration Manager 的客户,那么您可以快速、轻松地添加 Windows Intune 基于云的管理功能:只需将一个 Intune 连接器部署到您现有的 System Center 2012 Configuration Manager 部署之中,然后您就可准备使用。

 

7

跨设备的简化、以用户为中心的应用管理

借助 Configuration Manager 和 Windows Intune,我们可轻松确保针对每一台设备提供最优的方法,以确保员工的工作效率。Configuration Manager 可让管理员一次性定义应用,然后将其定位到用户或组。它将评估用户的设备类型和网络连接功能,然后采用适当的方法(本地安装、App-V、RemoteApp 等)。因此,无论您的员工是使用便携式计算机、VDI 会话,还是 iPad,抑或是使用上述全部设备,您都可以为该用户提供应用,让其在各个设备上获得最佳体验。

得益于 Windows Intune 和 Configuration Manager 之间的集成,您还可将应用交付扩展到所有主要设备类型之中,同时仍然从一个单一控制台集中管理跨设备的应用交付(见下图)。应用可包括本地安装的 MSI 包或 Windows 设备上的 App-V 应用、使用 Microsoft 虚拟化解决方案的远程应用、Web 链接,或存储于 Windows 应用商店、应用商店或 Google Play 中的公共应用。

8

跨平台的全面设置管理,包括证书、VPN 和无线网络配置文件

我们在各个平台上大幅扩展了我们的设置管理功能,其中包括证书、VPN 和无线网络配置文件。用户可跨多个设备和操作系统应用策略,以满足合规要求,而且这些策略可应用到这些平台中所揭示的所有功能之中,我们还将本机管理功能扩展到了 Windows RT、iOS 和 Android 之中。IT 团队可在移动设备上配置证书或 VPN 和 Wi-Fi 配置文件,获取面向公司自有设备的完整应用清单和应用推送安装。其中还有一个查看“受管”应用和个人设备发布应用的清单的功能,而且 IT 团队能够远程擦除,并将设备从管理系统中取消注册(各个系统支持)。

 

由于 IT 人员能够跨本地和基于云的应用管理每个用户的单一身份,因而能更好地保护公司信息和降低风险

随着用户的工作和个人生活的逐渐交织,各组织逐渐采用传统的本地解决方案和基于云的解决方案的组合,IT 团队需要采用一种方式来一致管理用户的身份,并让用户能够一次登录即访问所有资源。我们正帮助 IT 部门利用现有 Windows Server Active Directory 投资为用户提供跨本地或基于云的服务的共同身份,然后连接到 Windows Azure Active Directory,最终实现这一点。 

将本地 AD 连接到 Azure AD 的一个常见部分是部署 Active Directory 联合身份验证。在 Windows Server 2012 R2 中,我们大幅增强了 AD FS,以简化部署和配置,还将其与 Web 应用代理紧密集成,简化应用发布(见下图)。

 

9

 

帮助保护数据

IT 人员可访问受管的移动设备,在设备丢失、被盗或停用时删除公司数据和应用

不论设备是丢失、被盗还是只是另作他用,IT 人员一定有需要确保存储在该设备上的公司信息不再可访问的时候。借助 R2 版本中我们添加的功能,公司可以选择性地擦除公司信息,而对个人数据保持不动。

停用设备时内容被删除

Windows 8.1 Preview

Windows 8 RT

Windows Phone 8

iOS

Android

使用 Configuration Manager 和 Windows Intune 安装公司应用和相关数据

卸载并删除旁加载密钥。

此外,使用 Windows 选择性擦除的任何应用都将吊销加密密钥,用户也无法再访问数据。

旁加载密钥被删除,但未被卸载。

卸载并删除数据。

卸载并删除数据。

应用和数据未被卸载。

VPN 和 Wi-Fi 配置文件

已删除。

不适用。

不适用。

已删除。

VPN:不适用。Wi-Fi:未删除。

证书

删除并吊销。

不适用。

不适用。

删除并吊销。

已吊销。

设置

要求已删除。

要求已删除。

要求已删除。

要求已删除。

要求已删除。

管理客户端

不适用。管理代理内置。

不适用。管理代理内置。

不适用。管理代理内置。

管理配置文件已删除。

设备管理员特权已吊销。

 

IT 人员可以针对合规性和数据保护设置基于策略的访问控制

随着用户使用个人设备,确保符合合规标准和保护信息的现实挑战应运而生。在 Windows Server 2012 R2 内,我们在 Web 应用代理、AD FS 和工作文件夹中添加了几项新功能,以让 IT 团队能够轻松确保资源可用,并控制数据。 

借助 AD AS 中的多重访问控制功能,IT 人员可使用多个标准来制定访问控制政策,包括用户身份、设备身份、请求来自 Intranet 还是 Extranet,以及用于识别用户的任何其他身份验证因素。

正如我们在马德里召开的TechEd Europe 的主旨发言中所展示的,工作文件夹与动态访问控制集成,提供了基于内容自动分类信息,执行诸如使用权限管理服务进行保护等任务,甚至可面向在客户端中创建和存储的数据提供服务!

11

 

让一切汇聚一堂!

如希望实际查看以人为中心的 IT,包括 System Center 2012 R2 Configuration Manager、Windows Intune 和 Windows Server 2012 R2,您可单击此处观看 TechEd 北美基础会议上的完整演示文稿和端到端的演示。您还可以下载以人为中心的 IT 预览指南了解关于以人为中心的 IT 的更多详细内容。

请务必立即下载 System Center 2012 R2 Preview Configuration ManagerWindows Server 2012 R2 Preview

* * *

 

在过去 20 年时间中,我带领了众多 PC/设备管理团队,在这一过程中我见识了每一种可能的软件解决方案。我认为我们在这一 2012 R2 版本中推出的功能是迄今为止最完整、最全面的,可为 PC“和”设备用户提供强大功能。我们早期的努力为我们现在向用户推出��产品打下了坚实的基础,对此我感到激动不已。

2012 R2 产品为最终用户提供了跨 PC 和设备的统一解决方案,您也许会想这一产品对与 IT 团队的使用是否功能强大,而且可高度扩展,那么我想告诉您,对与 IT 专业人士而言,没有比这更好的平台了。

我建议大家今天抽几分钟的时间在 Windows Intune 上创建一个帐户(您可免费试用整个解决方案 90 天,所有功能均可使用)。尝试将几台 PC 和设备登记到服务*中,并开始尝试从云端管理您的设备,我相信这一定会给您留下深刻的印象。

- Brad

 

后续步骤

如希望了解有关今天探讨的技术主题的更多内容,请查看我们工程团队发布的以下博客:

 

 

* 在当前生产服务中,您不会看到启用整套的设备管理功能,目前我们正在预生产服务上运行拥有邀请函的客户预览。您将在今年稍晚些时候看到这些功能。