Внедрение и использование

Windows 8.1
Александр Шаповал
Microsoft
Александр Шаповал
Эксперт по стратегическим технологиям
Email: ashapo@microsoft.com
Blog: http://blogs.technet.com/b/ashapo
Twitter: @ashapoval
http://itcamps.ru
 Семинар 1. Облачная операционная система (Cloud OS). Серверная виртуализация в
Windows Server 2012 R2. Технический обзор System Center 2012 R2
 Семинар 2. Усовершенствования Active Directory в Windows Server 2012 R2.
Управление хранилищами и обеспечение высокой доступности Windows Server 2012
R2
 Семинар 3. Концепция построения гибридного облака с помощью System Center
2012 R2. Подготовка инфраструктуры (Fabric) и построение частного облака
 Семинар 4. Автоматизация процессов, управление жизненным циклом приложений
 Семинар 5. Использование Windows Azure для интеграции локальной и облачной
ИТ-инфраструктуры

 Внедрение и использование Windows 8.1

Программа семинара
Время Описание
09:30 – 10:00 Регистрация
10:00 – 11:30 Развертывание Windows 8.1
11:30 – 11:45 Перерыв, кофе
11:45 – 13:00 Развертывание приложений Windows 8.1
13:00 – 14:00 Обед
14:00 – 15:00 Безопасность и восстановление Windows 8.1
15:00 – 16:00 Использование персональных устройств для доступа к
корпоративным данным
Развертывание Windows 8.1
Александр Шаповал
Microsoft
Содержание
 Процесс установки Windows 8.1
 Методы автоматизации установки Windows 8.1
 Инструменты установки Windows 8.1 на
множество компьютеров
 Windows Assessment and Deployment Kit (Windows ADK)
 Microsoft Deployment Toolkit (MDT) 2013
Развертывание Windows 2000/XP/2003
 Установка вручную
 С загрузочного CD
 По сети (с жесткого диска)

 Автоматическая установка
 Файл ответов (файл ответов + Windows PE)
 Unattend.txt
 Winnt.sif
 Sysprep.inf
 ПО для создания образов
Развертывание Windows 2000/XP/2003
Файлы ответов Образы
 Преимущества  Преимущества
 Гибкость  Высокая скорость развертывания
 Аппаратная независимость  Установка приложений

 Недостатки
 Сложный синтаксис файлов
 Низкая скорость развертывания
 Множество различных файлов для разных
сценариев
 Недостатки
 Аппаратная зависимость
 Сложность редактирования
 Большой объем имиджей
Windows Vista и выше
 Windows Image файл (WIM-файл)
 Не зависит от HAL
 Поддерживает offline-редактирование
 В том числе, добавление драйверов устройств
 Может содержать несколько образов
 Зависит от архитектуры (32 или 64 бита)
 Файл ответов в формате XML
 Заменяет все предыдущие файлы ответов
 Используется на разных фазах установки
 Единый установщик для обновлений и языковых пакетов Package
Manager
Фазы установки Windows
Фаза windowsPE
Фаза offlineServicing
Фаза specialize
Фаза oobeSystem
 Фазы generalize, auditSystem и auditUser
 generalize
 В ходе этого этапа настройки из установки Windows удаляются сведения о
конкретном компьютере, благодаря чему вы можете записать и повторно
применить образ Windows на разных компьютерах. Например, в ходе этого
этапа из образа удаляется уникальный идентификатор безопасности (SID),
сведения о драйверах устройств и другие параметры, относящиеся к
оборудованию
 auditSystem и auditUser
 Как правило, этот этап используется для дополнительной настройки
установки, например для установки драйверов производителей
оборудования, выполнения произвольных команд или настройки параметров
оболочки Windows
 Эти этапы присутствуют только в том случае, если компьютер настроен для
загрузки в режиме аудита
Инструменты развертывания Windows 8.1
 Windows Assessment and Deployment Kit (Windows
ADK)
 Заменяет собой предыдущие версии пакета Windows Automated Installation
Kit (Windows AIK)
 Используется остальными инструментами развертывания Windows

 Microsoft Deployment Toolkit (MDT) 2013

 System Center 2012 R2 Configuration Manager
 Windows Deployment Services
 Internet Explorer Administration Kit (IEAK)
Windows Assessment and Deployment Kit
 Deployment Tools
 Windows Preinstallation Environment (Windows PE)
 User State Migration Tool (USMT)
 Volume Activation Management Tool (VAMT)
 Application Compatibility Toolkit (ACT)
 Windows Performance Toolkit
 Windows Assessment Toolkit
 Windows Assessment Services
Компоненты ADK для установки Windows
 Windows System Image Manager (Windows SIM)
 Deployment Image Servicing and Management
(DISM)
 Заменяет собой утилиту ImageX

 System Preparation Tool (Sysprep)

 Windows Preinstallation Environment (Windows PE)
 Минимальная конфигурация на ядре Windows 8 с поддержкой сети и базовых
API
 Используется для подготовки компьютера к установке Windows
 Не предназначена для использования в качестве основной ОС
Постановка задачи
 Создать файл ответов для автоматической установки
Windows 8.1 с параметрами:
 Жесткий диск
 Раздел для загрузки: primary, NTFS, 350 MB
 Раздел для Windows: primary, NTFS, все остальное пространство
 Данные о пользователе
 Имя: Alexander Shapoval
 Организация: Microsoft Rus LLC
 Региональные установки
 Язык интерфейса: English
 Региональные установки: Russia
 Раскладка клавиатуры: US
 Домашняя страница Internet Explorer
 http://technet.microsoft.com/ru-ru/
Создание файла ответов с
помощью Windows System
Image Manager
Демонстрация
Создание образов Windows

2
Создание образов Windows
 Пример использования DISM для создания
образа
dism /Capture-Image /ImageFile:F:\myimage.wim /CaptureDir:D:\
/Name:”Contoso”

2
Развертывание образов Windows

2
Развертывание образов Windows
 Пример использования DISM для развертывания
образа
dism /Apply-Image /ImageFile:T:\distr\myimage.wim /index:1
/ApplyDir:W:\

2
Microsoft Deployment Toolkit
 Бесплатный пакет для развертывания ОС Microsoft
 Поддерживаемые операционные системы:
 Windows XP, Windows Server 2003
 Windows Vista, Windows Server 2008
 Windows 7, Windows Server 2008 R2
 Windows 8, Windows Server 2012
 Windows 8.1, Windows Server 2012 R2

 MDT создан на основе ADK и упрощает реализацию

многих задач по сравнению с ADK
 Может использоваться совместно с System Center
Configuration Manager
Варианты развертывания на основе MDT

LTI UDI ZTI

• Частично или полностью
автоматизированное
развертывание
• Без использования System
Center Configuration Manager
• Настройки в процессе
развертывания
• Частично или полностью
автоматизированное
развертывание
• С использованием System
Center Configuration Manager
• Настройки в процессе
развертывания
• Полностью автоматизированное
развертывание
• С использованием System Center
Configuration Manager
• Настройки заданы заранее

ZTI и UDI используют общие процессы

2
Развертывание Windows с помощью MDT

2
Постановка задачи (1)
 Подготовить компьютер-образец с Windows 8.1 и
следующими параметрами:
 Жесткий диск
 Раздел для загрузки: primary, NTFS, 350 MB
 Раздел для Windows: primary, NTFS, все остальное пространство
 Данные о пользователе
 Имя: Alexander Shapoval
 Организация: Microsoft Rus LLC
 Региональные установки
 Язык интерфейса: English
 Региональные установки: Russia
 Раскладка клавиатуры: US
 Домашняя страница Internet Explorer
 http://technet.microsoft.com/ru-ru/
Постановка задачи (2)
 Подготовить компьютер-образец с Windows 8 и
следующими параметрами:
 Дополнительный языковой пакет
 Русский
 Дополнительные драйверы
 Intel WiFi
 Дополнительные приложения
 Word Viewer
Применение Microsoft
Deployment Toolkit (MDT) 2013
Демонстрация
Материалы
 Курс «Развертывание Windows 8 на предприятии»
на портале MVA
 http://www.microsoftvirtualacademy.com/training-courses/windows-8-deploymen
t-rus

 Развертывание Windows 8 на портале TechNet

 http://technet.microsoft.com/ru-ru/library/hh832022.aspx

 Использование утилиты DISM

 http://technet.microsoft.com/ru-ru/library/hh824821.aspx

3
 Ресурсы
Windows 8 Enterprise
http://technet.microsoft.com/ru-ru/evalcenter/hh699156.aspx

Windows ADK
http://www.microsoft.com/ru-ru/download/details.aspx?id=30652

Microsoft Deployment Toolkit

http://www.microsoft.com/en-us/download/details.aspx?id=25175

Портал Microsoft Virtual Academy

http://www.microsoftvirtualacademy.ru

Портал TechNet
http://technet.microsoft.com/ru-ru/

3
Развертывание приложений
Windows 8.1
Александр Шаповал
Microsoft
О чем пойдет речь?
 Бизнес-приложения Windows Runtime
 Преимущества Windows Runtime приложений для бизнес-сценариев
 Сенсорное управление
 Низкое энергопотребление
 Режим Connected Standby
 Различные форм-факторы устройств
 Огромный потенциал, реальные примеры
 Широкие возможности для разработчиков
Рассматриваемые вопросы
 Развертывание Windows Runtime приложений в
корпоративной среде
 Обычные Windows Runtime приложения устанавливаются из Магазина
Windows
 Использование Магазина Windows для установки приложений в большинстве
корпоративных сценариев неприемлемо
 Безопасность
 Управляемость

 Поддерживаемые способы установки Windows

Runtime приложений без обращения в Магазин
Windows
3
Цели доклада
 Показать, какие инструменты существуют для
развертывания Windows Runtime бизнес-
приложений
 Пояснить, в каких сценариях следует использовать
те или иные инструменты
 Продемонстрировать, как выглядит подготовка и
установка Windows Runtime приложений в
корпоративной среде

3
Терминология
 Windows Store apps (приложения Магазина
Windows)
 Приложения для Windows 8 и Windows RT, написанные на основе WinRT API
 Они же WinRT-приложения, современные приложения, приложения Windows
8, ранее «метро»-приложения
 Microsoft ID
 Учетная запись для доступа к различным online-сервисам, ранее Live ID

 Windows Store (Магазин Windows)

 Online-магазин для приобретения приложений Магазина Windows. Также
называется встроенное в Windows 8 и Windows RT приложение для доступа к
online-магазину. Доступ к магазину осуществляется на основе Microsoft ID
Терминология
 Appx-файл
 Файл-контейнер, содержащий все необходимые компоненты приложения
Магазина Windows за исключением других приложений Магазина Windows,
от которых может зависеть. Технически представляет собой zip-файл
 Sideloading (Загрузка неопубликованного
приложения)
 Процесс подготовки и установки приложения Магазина Windows без
обращения в Магазин Windows. По умолчанию запрещен
 Sideloaded apps (Неопубликованные загружаемые
приложения)
 Приложения Магазина Windows, разработанные для корпоративного
использования
Установка приложений
 Как выглядит установка обычных Windows Runtime приложений?
 Пользователь 1 устанавливает приложение на Устройство 1
 Пользователь 1 подключается к Магазину Windows, используя Microsoft ID, и выбирает приложение,
например, Приложение 1
 Приложение 1 скачивается на Устройство 1
 Приложение 1 регистрируется для Пользователя 1

 Пользователь 2 устанавливает это же приложение на Устройство

1
 Пользователь 2 подключается к Магазину Windows, используя Microsoft ID, и выбирает Приложение 1
 Windows проверяет, что данное приложение уже загружено на Устройство 1
 Приложение 1 регистрируется для Пользователя 2

3
Установка приложений
 Опубликована новая версия Приложения 1
 Пользователь 1 установил из Магазина Windows новую версию
Приложения 1
 Пользователь 2 продолжает использовать старую версию Приложения 1
 На Устройстве 1 существуют две версии одного приложения

 Удаление приложения
 Windows 8 не удаляет приложение физически, пока есть хотя бы один
пользователь, для которого это приложение зарегистрировано

4
Установка бизнес-приложений (sideloading)
 Алгоритм выглядит так же, за исключением:
 Приложение опубликовано не в Магазине Windows, а на корпоративном
портале
 При подключении к порталу используется доменная учетная запись

 Компоненты, необходимые для развертывания

бизнес-приложений
 Дистрибутив приложения (Appx-файл)
 Корпоративный портал
 System Center 2012 SP1 Configuration Manager и выше
 Облачный сервис Windows Intune (январское обновление)
 Устройство с Windows 8/8.1 или Windows RT 8/8.1

4
Требования к компонентам sideloading
 Дистрибутив приложения (Appx-файл)
 Appx-файл должен быть подписан с помощью сертификата (Code Signing)
 Сертификат должен быть доверенным на соответствующих устройствах

 Корпоративный портал
 System Center 2012 SP1 Configuration Manager и выше
 Не требует подключения к Интернет
 По умолчанию не поддерживает устройства Windows RT
 Windows Intune
 Требует подключение к Интернет
 Поддерживает устройства с Windows 8/8.1 и Windows RT 8/8.1

4
Требования к компонентам sideloading
 Устройства с Windows 8/8.1 или Windows RT 8/8.1
 Включить политику Allow All Trusted Apps
 Импортировать необходимые сертификаты
 Разрешить sideloading
 Для Windows Server 2012 и Windows 8 Enterprise в домене
 Sideloading включается автоматически
 Для Windows Server 2012 и Windows 8 Enterprise вне домена, а также для
Windows 8 Pro и Windows RT в любом случае
 Sideloading включается с помощью специального ключа активации

4
Установка приложений с помощью
System Center 2012 SP1
Configuration Manager и Windows
Intune
Демонстрация
Что необходимо помнить?
 Установка (Installation) приложений
 Регистрирует приложение для конкретного пользователя
 Всегда применяется только для пользователя
 Не требует административных прав
 Применяется как для приложений из магазина, так и для неопубликованных
загружаемых приложений (Sideloaded apps)
Подготовка бизнес-приложений
 Типовой сценарий
 Новый сотрудник получает ноутбук с уже предустановленным набором
бизнес-приложений
 Добавление приложений в образ Windows
 Особенности
 До 24 приложений в образе
 Приложение регистрируется при первом логине пользователя
 Инструменты
 Deployment Image Servicing and Management Tool (DISM)
 Microsoft Deployment Toolkit (MDT) 2013

4
Подготовка приложений
Демонстрация
Что необходимо помнить?
 Подготовка (Provisioning) приложений
 Регистрирует приложение на компьютере
 Приложение устанавливается автоматически для каждого пользователя
 Применяется только для неопубликованных загружаемых приложений
(Sideloaded apps)
 Требует административные права
Применение PowerShell
 PowerShell позволяет выполнять и установку, и
подготовку приложений
 Основные командлеты
 Add-AppxPackage
 Remove-AppxPackage
 Get-AppxPackage
 Add-AppxProvisionedPackage
 Remove-AppxProvisionedPackage
 Get-AppxProvisionedPackage

4
Использование PowerShell для
установки и подготовки
приложений
Демонстрация
Итоги
 Windows Runtime бизнес-приложения – растущий
сегмент рынка с высоким потенциалом с точки
зрения разработки и ИТ
 Развертывание Windows Runtime бизнес-
приложений – поддерживаемый сценарий для
устройств с Windows 8/8.1 и Windows RT 8/8.1
 Инструменты для установки и добавления
Windows Runtime приложений в образ ОС
доступны уже сейчас
Материалы
 Курс «Развертывание Windows 8 на предприятии»
на портале MVA
 http://www.microsoftvirtualacademy.com/training-courses/windows-8-deploymen
t-rus

 Sideloading на портале TechNet

 http://technet.microsoft.com/library/hh852635.aspx

 Настройка начального экрана

 http://technet.microsoft.com/ru-ru/library/jj134269.aspx
 http://
blogs.technet.com/b/deploymentguys/archive/2012/10/26/start-screen-customiza
tion-with-mdt.aspx
5
Безопасность и восстановление
Windows 8.1
Александр Шаповал
Microsoft
Содержание
 Инструменты восстановления Windows 8
 Усовершенствования BitLocker
 Поддержка UEFI
 Динамическое управление доступом
Инструменты для восстановления
 Инструменты и методы
Windows 7
 Восстановление системы (System Restore)
 Безопасный режим (Safe Mode) и пр.

 Различные варианты
восстановления
 Обновление (Refresh) или
сброс (Reset)
Обновление и сброс
 Обновление сохраняет
персональные настройки
и приложения магазина
Windows
 Сброс производит
форматирование и
переустановку ОС
Обновление и сброс

Обновление: Сброс:
Сохраняет персональные Не сохраняет персональные
настройки и данные настройки и данные

Сохраняет приложения Не сохраняет приложения

Windows 8 Windows 8

Не производит Производит форматирование

форматирование перед перед переустановкой
переустановкой системы
Обновление и сброс
Демонстрация
Расширенная диагностика и
восстановление
 DaRT – новый уровень
восстановления ОС
 DaRT был обновлен для
Windows 8
 GUID-таблицы разделов
 Прозрачная поддержка UEFI

 DaRT является частью

MDOP
 Переработанный мастер восстановления
 Генерация скриптов
PowerShell
 Создание x86 и x64 образов
на одном компьютере
 Генерация образов WIM, ISO
 Инструменты создания
образов для носителей:
 CD или DVD
 USB-флэш

6
Усовершенствования BitLocker

 Шифрование только
используемого
пространства
 Шифрование в процессе
установки ОС
 Поддержка eDrives
Шифрование устройств Windows RT
 Доступно для устройств на
базе Windows RT
 Оптимизировано для
планшетов
Поддержка UEFI

Обычная BIOS
Загрузчик
Запуск ОС
(Malware)
загрузка
Традиционный процесс может использовать зараженный
загрузчик

Загрузка
UEFI
UEFI поддерживает только доверенный подписанный
загрузчик
Безопасная и контролируемая загрузка

Доверенная загрузка предотвращает

запуск вредоносного ПО

Контролируемая загрузка
протоколирует выполняемые
действия и передает данные для
последующего анализа
Динамическое управление доступом
Службы
Управление управления
Классификация доступом Аудит правами (RMS)
• Файлы наследуют теги • Централизованные • Централизованные • Автоматическая защита с
классификации от политики доступа политики аудита можно помощью RMS для
родительской папки основаны на применять к нескольким документов Microsoft
• Владельцы файлов классификации файловым серверам Office
вручную добавляют теги • Условия доступа для • Аудит для утверждений • Защита обеспечивается
к файлам утверждений пользователей, практически в реальном
• Теги к файлам пользователей, утверждений устройств времени, когда файлу
утверждений устройств и тегов файлов основан присваивается тег
добавляются
и тегов файлов основаны на выражениях
автоматически • Защита RMS
на выражениях • Аудит можно выполнять
• Теги к файлам распространяется на
• Помощь в случае отказа поэтапно, чтобы файлы, не созданные
добавляются
в доступе моделировать изменения в Microsoft Office
приложениями
политик в реальной
среде
Идентификация информации

По
расположению Создание или
редактирование файла Встроенный
классификатор
Вручную содержимого
Сторонний
подключаемый
По контексту модуль
Сохранение
классификации
Определение
классификации
Приложением классификации
Утверждения ресурсов (resource claims) в
Active Directory
Пользователь Извлекаются из значений
redmond\jsmith / S-1-5-21-12345-12345-12345
свойств и выпускаются как
часть маркера, полученного
при входе в систему
Группы
MktgFTE / S-1-5-21-23456-23456-23456-23456-23456
Используются в ходе
RemoteAccess / S-1-5-21-34567-34567-34567-34567 авторизации (если
High-PII / S-1-5-21-45678-45678-45678-45678 включено)
Утверждения
«Подразделение» Dept_4329617375 Строка «Маркетинг»
Просматриваются с
использованием whoami
«Страна» Country_54927768 Строка «US» /claims из командной строки
Правила доступа на основе выражений
Доменные службы Файловый
Active Directory сервер

Утверждения
Утверждения устройств Свойства ресурсов
пользователей Device.Department = Finance Resource.Department = Finance
User.Department = Finance Device.Managed = True Resource.Impact = High
User.Clearance = High

Политика доступа
Чтобы получить доступ к финансовой информации, которая обладает большой значимостью для бизнеса,
пользователь должен работать в финансовом отделе, где проводится тщательная проверка на безопасность,
и должен использовать управляемое устройство, зарегистрированное в финансовом отделе.
Централизованные политики доступа
Доменные службы Корпоративные
Active Directory файловые серверы
Политика
«Значительное Организационные
влияние на бизнес» политики Характеристики политики
• Значительное • Включает централизованные правила
влияние на бизнес
• Персональная доступа (central access rules)
Политика
«Персональная информация • Применяется к файловым серверам
информация» с помощью объектов групповых политик
Политики
финансового • Дополняет (но не заменяет) встроенные
списки управления доступом к файлам
отдела и папкам на базе файловой системы NTFS
Политика «Финансы» • Значительное
влияние на бизнес
• Персональная
Пользовательские
информация папки
• Финансы

Папки
финансового
отдела
Процесс реализации централизованной
политики доступа
Создание определений
утверждений Доменные службы
Доменные Создание определений Active Directory
свойств файлов
службы Создание
Определения утверждений Пользователь
централизованной
Active Directory политики доступа
Определения свойств
Отправка файлов
Групповая централизованных политик Разрешить или
запретить
доступа на файловые Политика аудита
политика серверы
Применение политики
доступа к общей папке
Файловый
Идентификация сервер
Файловый сервер информации

Пользовательский Пользователь пытается

получить доступ
компьютер к информации
Примеры централизованных политик
доступа

Управление
Авторизация в рамках определенными
всей организации данными

Авторизация на уровне
отдела Специфичный доступ
Аудит безопасности

Доменные Доменные службы

службы Создание типов Active Directory
утверждений
Active Directory Создание свойств ресурсов
Определения утверждений Пользователь
Групповая
Создание глобальной Определения свойств
политика политики аудита файлов
Разрешить или
Выбор и применение Политика аудита
запретить

свойств ресурсов к общим

Файловый сервер папкам

Пользовательский Пользователь пытается

Файловый
получить доступ сервер
компьютер к информации
Примеры политик аудита
Аудит каждого, кто не прошел
тщательную проверку на
безопасность и пытается получить
доступ к документу, имеющему
высокое значение для бизнеса
Audit | Everyone | All-Access |
Resource.BusinessImpact=HBI AND
User.SecurityClearance!=High
Аудит всех поставщиков, когда они
пытаются получить доступ к
документам, не связанным с их
текущими проектами
Audit | Everyone | All-Access |
User.EmploymentStatus=Vendor AND User.Project
Not_AnyOf Resource.Project.
 Пример политики
1. Доступ на чтение финансовой информации
должны иметь только сотрудники финансового
департамента с привязкой к офису сотрудника
2. Руководители финансового департамента
должны иметь права на чтение и изменение
любой финансовой информации
Настройка и применение
динамического управления
доступом
Демонстрация
Процесс шифрования на основе
классификации
Шифрование файла на основе
1
классификации
Доменные службы
Active Directory 1 На контроллере домена создаются определения
утверждений, определения свойств файлов и
политики доступа
Пользователь создает файл со словом
Пользователь 2 «конфиденциально» в тексте и сохраняет его.
4 Модуль классификации классифицирует файл
2
как «очень важный» в соответствии
с настроенными правилами
На файловом сервере правило автоматически
3 3 применяет защиту RMS ко всем файлам,
Модуль Сервер RMS которые классифицируются как «очень
классификации важные»
Шаблон и шифрование RMS применяются к
Файловый
4 файлу на файловом сервере, и файл шифруется
сервер
Материалы
 Курс «Технический обзор Windows 8» на портале
MVA
 http://
www.microsoftvirtualacademy.com/training-courses/windows-8-overview-for-it-pr
o-rus

 Процесс безопасной загрузки

 http://technet.microsoft.com/en-us/windows/dn168167.aspx

 Динамический контроль доступа

 http://technet.microsoft.com/ru-ru/library/hh831717.aspx

7
 Ресурсы
Windows 8 Enterprise
http://technet.microsoft.com/ru-ru/evalcenter/hh699156.aspx

Windows ADK
http://www.microsoft.com/ru-ru/download/details.aspx?id=30652

Microsoft Deployment Toolkit

http://www.microsoft.com/en-us/download/details.aspx?id=25175

Портал Microsoft Virtual Academy

http://www.microsoftvirtualacademy.ru

Портал TechNet
http://technet.microsoft.com/ru-ru/

7
Использование персональных
устройств для доступа к
корпоративным данным
Александр Шаповал
Microsoft
Современные проблемы ИТ-службы

Пользователи Устройства Приложения Данные

Пользователи ожидают Бум мобильных устройств Развертывание и Необходимо
возможность работать порождает новые стандарты управление приложениями поддерживать высокую
из любого места и и правила игры для ИТ с учетом большого производительность труда
получить доступ к своим количества различных пользователей,
ресурсам и данным платформ становится соответствуя нормам и
сложной задачей критериям безопасности,
снижая риски
8
ИТ, ориентированные на пользователя

Расширение
возможностей
пользователей
Возможность работать на
различных устройствах,
сохраняя при этом целостный
и безопасный досту к данным

Унификация окружения
Пользователи Устройства Приложения Данные
Единый подход для управления
приложениями и устройствами
в локальной сети и в облаке

Защита данных
Защита корпоративных
Управление. Доступ. Защита данных и управление рисками

8
 Расширение возможностей
Пользователи могут
ИТ может обеспечить
зарегистрировать
виртуализацию
устройства для получения
рабочих мест (VDI) для
доступа к Корпоративному
централизованного
Порталу и корпоративным
доступа к ресурсам
приложениям

Пользователи
могут работать из
любого места с
использованием
своих устройств RD Gateway Хост сеансов VDI

ИТ может
опубликовать
ресурсы с помощью
Web Application
Веб-прил. Proxy, исходя из
Web Application Proxy
учетных данных
устройства и
пользователя
ИТ может
Пользователи могут предоставить
зарегестрировать LOB-прил. прозрачный доступ к
свои устройства для ресурсам с помощью
прозрачного доступа Remote Access DirectAccess и
к корпоративным автоматических VPN-
данным с помощью Active Directory
Файлы подключений
Workplace Join
8
Регистрация устройств

Пользователи могут зарегистрировать

устройства для управления с помощью
Windows Intune и получить доступ к Данные Windows Intune
приложениям через Корпоративный синхронизируются с
Портал Configuration Manager,
который обеспечивает
унифицированное
управление локальной и
облачной средой
Active Authentication

Пользователи могут
зарегестрировать свои
устройства для Active Directory
прозрачного доступа к
корпоративным данным с Web Application Proxy ADFS
помощью Workplace Join. В процессе регистрации
ИТ может опубликовать ресурсы с
Как часть процесса на создается новый объект
помощью Web Application Proxy, исходя
устройство устанавливается устройства в Active Directory,
из учетных данных устройства и
сертификат тем самым устанавливая
пользователя. Может быть задействована
связь между пользователем
многофакторная аутентификация
и его устройством 8
Предоставление доступа с помощью Web Application Proxy
Разработчики могут AD-интеграция
задействовать Мобильные Использование условий
сервисы Windows Azure для предоставляет Публикация
интеграции приложений приложений
гранулированный
Другие облачные
услуги и приложения
контроль над тем, как и
где доступны приложения
Claims & Доступ на базе
Mobile Services Active Directory
Kerberos Office Forms
Веб-прил.

ADFS Restful OAuth

Устройства

Active Directory
Пользователи могут Приложения и Web Application является центральным
получить доступ к данные Proxy репозиторием для
корпоративным учетных данных
приложениям и Reverse proxy пользователя и
ИТ может использовать Web для базовой
данным независимо Active Directory информации о
Application Proxy для многофакторной аутентификации
от своего регистрации
аутентификации пользователей и и NTLM
местоположения устройства
устройств
85
 Доступность корпоративных данных на основе Work Folders
Active Directory
ИТ может настроить на файл- содержит
сервере рабочие папки (Work информацию о
ИТ может выборочно Folders) для каждого расположении
стереть корпоративные пользователя для синхронизации рабочих папок
данные с клиентов на базе данных на его устройствах, при пользователя
Windows 8.1 этом поддерживается интеграция
Reverse Proxy с RMS
Устройства

Active Directory

Приложения и Политика доступа

Пользователи могут данные Web Application Proxy File Services
синхронизировать Доменные
рабочие данные со
ИТ может опубликовать устройства
своими устройствами
доступ через обратный
Пользователи могут прокси или предоставить
зарегестрировать свои доступ на базе условий
устройства для через регистрацию
синхронизации данных, а устройства на Web
ИТ настроить доступ на Application Proxy
базе условий 86
Эффективный удаленный доступ

Автоматическое VPN-
соединение срабатывает в
момент запуска
пользователям Невозможно установить
определенного источник подключения и
приложения, которому корп. сети
необходимы корп.
ресурсы
Традиционный VPN
инициируется по VPN VDI Хост сеансов
требованию
пользователя для доступа
к корп. ресурсам
Возможно установить Брандмауэр
источник подключения Веб-прил.
С DirectAccess из корп. сети Файлы
пользовательский ПК
автоматически
подключается к сети при Соединение с
Интернетом всегда
наличии Интернета DirectAccess активно LOB-прил.

87
Расширение модели работы с доменом
Присоединение к
Без присоединения рабочему месту Домен

Пользовательские устройства Зарегестрированные устройства Доменные компьютеры

являются «неизвестными». ИТ не предстают как «известные» для находятся под полным
имеют над ними контроль. ИТ, аутентификация на базе контролем ИТ и получают
Возможен частичный доступ к устройства используется в максимальные возможности
корпоративной информации политиках доступа к данным

Единая система входа в

браузере
Прозрачная 2-х факторная
аутентификация для веб-приложений
Единая система входа
для корп. приложений

Единая система входа на

рабочем месте
Доступ к корпоративным данным на основе политик
ИТ может предоставить
привычный и безопасный способ
Вирт. раб. доступа к данным пользователя с
мест помощью VDI и RemoteApp

Централ. данные
RD-шлюз
Устройства

Пользователи могут VDI Хост сессий

получить доступ к
Файлы
данным независимо от
устройства и Политика доступа
местоположения с
помощью Рабочих Распред. ИТ может публиковать ресурсы с Web-прил. LOB-прил.

Папок для данные помощью прокси-сервера для

синхронизации данных приложений и создавать ИТ может проводить
и виртуализации политики доступа исходя из аудит доступа к данным
рабочих мест для требований бизнеса с помощью с помощью политик
централизованного многофакторной централизованного
доступа к приложениям аутентификации аудита 90
Защита данных с помощью многофакторной аутентификации (МФА)
1. Пользователь пытается
зайти в систему или
произвести действие,
подпадающее под МФА

Active Authentication 2. Когда пользователь

аутентифицируется, сервис
или приложение
генерирует МФА-вызов
3. Пользователь должен
ответить на вызов, который
может быть настроен как
SMS, телефонный звонок
или мобильное
приложение

4. Ответ возвращается
приложению, которое
позволяет продолжить
работу
5. ИТ может настроить тип
ADFS
Аутентификация и частоту МФА для
Пользователь приложения пользователей
в т.ч.. Active Directory,
Radius, LDAP, SQL,
кастомные 91
9
Защита данных с помощью динамического контроля доступа

File Services

Active Directory

Автоматическая Классификация Централизованное Интеграция с Active Централизованные

идентификация и файлов, политики управление Directory Rights политики доступа и аудита
классификация доступа и шаблоны политиками доступа Management могут применяться ко
данных на базе службы управления и аудита с Services множеству серверов с
содержимого. правами применяются к помощью Windows обеспечивает классификацией и
Классификация распределенным Server Active автоматическое обработкой новых и
применяется в клиентским данным в Directory шифрование измененных документов
момент создания Рабочих Папках документов практически в реальном
или изменения времени
файлов
92
Краткие итоги

Расширение возможностей Унификация окружения Защита данных

пользователей
Упрощенный процесс
регистрации собственных (BYO)
устройств
Автоматическое подключение
ко внутренним ресурсам при
необходимости
Целостный доступ к ресурсам с
различных устройств
Единые учетные данные для
доступа к локальным ресурсам и
ресурсам в облаке
Централизация корпоративной
информации для соответствия
регламентам и защиты данных
Контроль доступа к приложениям
и данным на основе политик
9
Ресурсы
Портал Microsoft Virtual Academy
http://www.microsoftvirtualacademy.ru

Портал TechNet
http://technet.microsoft.com/ru-ru/

Портал TechDays
http://www.techdays.ru

94
Сессия вопросов и ответов
Александр Шаповал
Эксперт по стратегическим технологиям
Email: ashapo@microsoft.com
Blog: http://blogs.technet.com/b/ashapo
Twitter: @ashapoval