在 Active Directory 中扩展设备支持
Hi, this is Yan and I’m excited to be able to share with you this What's New in 2012 R2 based blog that was originally posted to the In the Cloud TechNet blog on July 2013. Please note, this blog may contain some links that refer to another blog that is currently only posted in English. If any of the content that we link to is something you would like to see translated, please post a comment on this post and let us know. We really value your opinions and would like to know what topics are most interesting to you. There is also a translation widget on the right side of the English page, which will allow you to translate the post in page. Thanks and we hope you find value with this content.
大家好!我是 Microsoft 的 Active Directory 产品团队的 Uday Hegde。我也是 Alex Simons 团队的小组项目经理,负责 Windows Server Active Directory 事宜。
我们相信现在您已经下载了 Windows Server 2012 R2 预览版本的副本,并已经开始使用我们在此版本中向 Active Directory 添加的一些新功能。如果尚未下载,您可以从此处下载预览版。现在内部版本已经推出,我很高兴有机会与您分享有关这些新功能的一些详细信息。
在 Active Directory 团队中,去年我们重点关注的领域之一是为各个公司提供所需的工具和技术,以便它们成功驾驭行业范围内的 IT 消费化和自带设备 (BYOD) 趋势。这些努力是 Microsoft 的“以人为中心的 IT”愿景的一部分。您可以在 Brad Anderson 今天的博文提高设备用户的工作效率并保护企业信息中了解有关该愿景以及相关技术的详细信息。
在 Windows Server 2012 R2 中,我们向 Active Directory 添加了一组新功能,以便最终用户可以使用其设备在任何地方开展工作,同时为 IT 专业人员提供所需的工具和技术,来有效控制本地数据中心中可能包含的或位于各种云服务中的应用程序、数据和资源。
这组新功能包括:
工作区加入:
工作区加入是 Active Directory 的一项新功能。它使用户能够安全地在公司目录中注册其设备。注册过程会向设备提供一个证书,当用户访问公司资源时,系统将使用该证书对设备进行验证。通过使用这种关联,IT 专业人员可以配置自定义访问策略,以要求用户在访问公司资源时,不仅要经过身份验证,而且要使用其已加入工作区的设备。
已加入工作区的设备还可用作无缝的第二个身份验证因素,因此用户只需提供其正常凭据来确认其身份即可。
在产品发布时,工作区加入功能将支持 Windows 和 iOS 设备。在不久的将来,我们会将这种支持扩展到其他设备平台。
单一登录 (SSO):
SSO 是指最终用户在访问公司提供的应用程序时只需登录一次,当他们访问公司的其他应用程序时,系统不会提示他们再次输入登录信息。
Active Directory 一直以来都对加入域的 PC 提供此功能。在 Windows Server 2012 R2 中,我们将此功能扩展到加入工作区的设备。这将改善最终用户体验,同时可避免每个应用程序都存储用户凭据的风险。这还有一项好处,那就是减少在个人或公司拥有的设备上进行密码搜集的可能性。
在任何地方工作:
如今的员工流动性很强,并且希望能够从任何地方访问完成工作所需的应用程序。各公司采用了多个策略,通过使用 VPN、Direct Access 和远程桌面网关,来实现这一目标。但是,在自带设备领域,这些方法并不能提供许多客户所需的安全隔离级别。为了帮助满足这一需求,我们向 Windows Server RRAS(路由和远程访问服务)角色中添加了一个“Web 应用程序代理”角色服务。该角色服务允许您选择性地发布企业级业务线 Web 应用程序以供从公司网络外部访问。
对于已经熟悉 Active Directory 联合身份验证服务 (AD FS) 的那些人,“Web 应用程序代理”就是 AD FS 代理的延伸。除了充当身份验证流量的代理,该角色服务现在还充当 Web 应用程序负载的代理。
此外,此代理还可在允许任何应用程序流量进入公司网络之前在网络边缘执行预身份验证。通过使用预身份验证,您可以控制您的后端应用程序的流量,例如,要求它们源自已加入工作区的设备和/或来自特定用户。
多重身份验证 (MFA):
为了使这一切能够以安全、可靠的方式进行,我们希望能够轻松地限制与遭到破坏的用户帐户相关的风险。在 Windows Server 2012 R2 中,我们使用 Active Directory 使实现多重身份验证的过程变得更加简单。我们构建了一个插件模型,以便您可以将不同的多重身份验证解决方案直接插入 AD FS。
如果您想尝试此过程,我们强烈鼓励您考虑已得到广泛使用和测试的 PhoneFactor 服务。作为 Windows Server 2012 R2 Preview 的一部分,PhoneFactor 服务(代码名称为“活动身份验证”)可免费与 AD FS 插件结合使用,但最多只能由 25 名用户使用,每月最多 500 次身份验证。(若要在预览结束后继续使用该服务或者要添加更多用户,您需要购买该服务)。
可以基于每个服务在 AD FS 中配置 MFA,我们建议在 AD FS 中对设备注册服务配置 MFA。设备注册服务使用户能够将其设备加入工作区,如前所述,您可以使用加入工作区的设备提供的设备身份验证为用户实现无缝的二级身份验证。通过要求对工作区加入实施 MFA 来保护设备注册,当用户在公司目录中注册设备时,您可以对他们的身份更加放心。
多重访问控制:
多重访问控制是一项新功能,使 IT 专业人员能够使用基于策略的访问管理解决方案,实现极具吸引力的员工工作效率和应用程序安全性。
通过多重访问控制,IT 专业人员可以使用多个条件来创建应用程序特定的访问控制策略,这些条件包括用户的标识、设备的标识、访问是来自 Intranet 还是 Extranet、以及是否使用了任何其他身份验证因素来验证用户身份。
这样,您就能够保护您的本地 Web 资源以及您在私有云或公有云中订阅的服务,而无需对您的后端服务器或云服务进行任何更改!
OAuth 2.0 支持:
如果您一直关注我们的博客,您就会知道我们是 OAuth 2.0 的大力支持者,并且已经在 Windows Azure AD 中发布了新的 OAuth 2.0 身份验证端点的开发人员预览版。
现在我很高兴地告诉您,我们还在 Windows Server 2012 R2 中的 Active Directory 联合身份验证服务内添加了 OAuth 2.0 支持。除了添加 OAuth 2.0 支持,我们还扩展了 Active Directory 身份验证库(在此处阅读更多内容)以支持 AD FS。通过这些更新,您的应用程序可以使用 AD 身份验证库进行身份验证,无论它们是依赖于 Windows Azure Active Directory 还是 Windows Server Active Directory。
通过使用该库,可以更轻松地从加入工作区的设备利用我们的单一登录功能,并与您的多重访问控制策略集成。
虽然其中一些功能目前只在 Windows Server 2012 R2 Active Directory 预览版中提供,但我们正不断努力以在 Windows Server Active Directory 和 Windows Azure Active Directory 中提供这些功能。因此您有望在不久的将来收到有关此主题的更多消息。
我们希望您认为我们在该领域的工作很好地顺应了行业和贵公司面临的主要趋势。这里提供了一些其他的链接,以供您在试用预览版中的这些新功能时参考。如希望阅读“以人为中心的 IT”系列中的其他博文,请查看 Windows Server 和 System Center 2012 R2 中的新增功能存档。
我期待收到您对这些增强功能的反馈或建议。
Uday Hegde
Twitter: @Uday_S_Hegde