В данной заметке нас будут интересовать в первую очередь, что нового дает новая версия Windows 8.1 с точки зрения ее развертывания в корпоративном секторе. Основные новшества здесь можно сгруппировать по следующим основным категориям. Это дальнейшее развитие популярной концепции BYOD (Bring Your Own Device), улучшения в безопасности, мобильном доступе, печати и графическом интерфейсе. Эти изменения достаточно значительны, поэтому Windows 8.1 правильнее называть не обновлением, а именно новым релизом.
Фраза Bring Your Own Device означает политику компании, при которой сотрудники могут использовать личные мобильные устройства (ноутбуки, планшеты и смартфоны) на своем рабочем месте для доступа к конфиденциальной информации и корпоративным приложениям. Наиболее быстрыми темпами этот процесс идет на развивающихся рынках (в том числе, в России), где им согласно википедии охвачено ~75% сотрудников. Все больше кандидатов при поиске работы отдают предпочтения организациям, где принята на вооружение политика BYOD, чем тем, где практикуется обратный подход. Понятно, что в зависимости от рода деятельности в некоторых случаях просто нельзя обойтись без выделения специальных устройств при работе с конфиденциальными данными или выхода в высокорискованные окружения. Однако в большинстве ситуаций работодатели должны приспосабливаться к реалиям бурно прогрессирующего мира персональных устройств. В связи с этим возникают определенные технологические проблемы. Если сотрудник по роду деятельности допущен к чувствительной информации, то, чтобы предотвратить ее утечку, необходимы меры иного порядка. Можно запретить сотруднику выносить с предприятия любые носители, включая бумажные, но, в конце концов, остается запоминающее устройство под названием человеческий . Мы поговорим о более приземленных материях. По прекращении трудового контракта с персонального устройства сотрудника, если он им пользовался на работе, должны быть удалены все служебные данные и установленные в процессе работы приложения, относящиеся к его деятельности в компании. До Windows 8.1 для этих целей использовался, в основном, Exchange ActiveSync, встроенный в Exchange Server и Office365, который обеспечивает базовый уровень управления мобильными устройствами и выполнения на них мобильных политик. К ним относятся не только выборочное удаленное затирание служебной информации (selective wipe), но и IRM (information rights management), шифрование данных на мобильном устройстве (данные, хранящиеся на SD-карте зашифровать нельзя, но можно запретить ее использование), парольная политика (сложность, период действия, история паролей) и многое другое. В Windows 8.1 для реализации функций управления можно задействовать открытый (в смысле, описанный) протокол OMA-DM (Open Mobile Alliance Device Management), который используется в Windows InTune – унифицированном решении для управления ПК и различными типами мобильных устройств, а также интегрируется с System Center Configuration Manager и службой каталогов, что обеспечивает централизованную доставку и установку корпоративных приложений и исправлений, комплексное управление политикой безопасности, Endpoint Protection (для ПК). Возможна интеграция с продуктами управления мобильными устройствами третьих фирм, таких, как MobileIron, AirWatch.
Другой любопытной возможностью в области BYOD выступает присоединение устройства под управлением Windows 8.1 к рабочему месту (Workplace Join). Устройства под управлением ОС Windows 8 и предыдущих версий могут быть либо присоединены к домену, либо нет. В случае членства в домене пользователь получает доступ к корпоративным ресурсам, во всяком случае, тем, право на которые дается ему администратором, а его личное устройство управляется групповыми политиками. В противном случае доступа нет, как нет и контроля со стороны IT-подразделения компании. Workplace joined-устройство представляет собой, в известном смысле, золотую середину. Пользователь может работать на устройстве по своему выбору (включая iOS) и иметь доступ к корпоративным ресурсам. Его личное устройство становится известным в домене, обеспечивая прозрачную двухфакторную аутентификацию и SSO (Single Sign-On). Атрибуты устройства регистрируются в AD и могут использоваться для IT-администраторами для предоставления гранулярного доступа к ресурсам. Таким образом, устройство работает под управлением IT с контролируемым доступом к приложениям.
Сюда же плотно примыкает еще одна возможность под названием «рабочие папки» (Work Folders), которые позволяют автоматически синхронизировать данные на устройстве с пользовательскими папками в корпоративном датацентре, при этом не требуется доменная учетная запись для доступа к корпоративным папкам общего доступа. Процесс синхронизации встроен в файловую систему и носит двунаправленный характер, то есть файлы, созданные локально, также будут скопированы на корпоративный файл-сервер. Служба IT может задействовать политики Dynamic Access Control на Work Folder Sync Share (включая Rights Management) и потребовать Workplace Join. Обе эти возможности помимо Windows 8.1 требуют развертывания инфраструктуры на основе Windows Server 2012 R2.
Автор: alexejs
