Walkthrough: Workplace Join with a Windows Device

This topic demonstrates how to use Workplace Join to connect your Windows device with your workplace and how to access a web application by using Single Sign-On. You must complete the steps in the Set up the lab environment for AD FS in Windows Server 2012 R2 section before you can try out this walkthrough.

Access the web application before device registration

In this walkthrough, you access a company web application before you join your device to the workplace. The webpage displays the claims that were included in your security token. Notice that the list of claims does not include any information about your device. You might also observe that you do not have Single Sign-On.

To access the web application before you use Workplace Join on your device

Log on to Client1 with your Microsoft account.

Open Internet Explorer and browse to your generic claims app, https://webserv1.contoso.com/claimapp.

Log on to the webpage by using a company domain account: roberth@contoso.com, password: P@ssword.

The webpage lists all the claims in your security token. Only user claims are present in your security token.

Close Internet Explorer.

Open Internet Explorer and navigate to the same claims app, https://webserv1.contoso.com/claimapp.

Notice that you are prompted to enter your credentials again. You are not connected to the workplace from a device with Workplace Join and therefore do not have Single Sign-On.

Join your device with Workplace Join

For Workplace Join to succeed, the client computer (Client1) must trust the SSL certificate that was used to configure Active Directory Federation Services (AD FS) in Step 2: Configure the Federation Server with Device Registration Service (ADFS1). It must also be able to validate revocation information for the certificate. If you have any issues with Workplace Join, you can view the event log on Client1.

To see the event log, open Event Viewer, expand Applications and Services Logs, expand Microsoft, expand Windows, and then click Workplace Join.

To join your device with Workplace Join

Log on to Client1 with your Microsoft account.

On the Start screen, open the Charms bar, and then select the Settings charm. Select Change PC Settings.

On the PC Settings page, select Network, and then click Workplace.

In the Enter your UserID to get workplace access or turn on device management box, type roberth@contoso.com, and then click Join.

When you are prompted for credentials, type roberth@contoso.com, and password: P@ssword. Click OK.

You should now see the message: «This device has joined your workplace network.»

Access the web application after joining the workplace

In this part of the demonstration, you access a company web application from your device that is connected with Workplace Join. The webpage displays the claims that were included in your security token. Notice that the list of claims includes both device and user information. You might also observe that you now have Single Sign-On.

To access the web application after joining the workplace

Log on to Client1 with your Microsoft account.

Open Internet Explorer and browse to your generic claims app, https://webserv1.contoso.com/claimapp.

Log on to the webpage by using a company domain account: roberth@contoso.com, password: P@ssword.

The webpage lists claims in your security token. Your token contains both user and device claims.

Close Internet Explorer.

Open Internet Explorer and navigate to the same claims app, https://webserv1.contoso.com/claimapp.

Notice that you are not prompted to enter your credentials again. You are connected from a device with Workplace Join and therefore have Single Sign-On.

Пошаговое руководство: присоединение к рабочему месту с устройства Windows Walkthrough: Workplace Join with a Windows Device

В этой статье демонстрируется использование функции присоединения к рабочему месту для подключения устройства Windows к рабочему месту и доступ к веб-приложению с использованием функции единого входа. This topic demonstrates how to use Workplace Join to connect your Windows device with your workplace and how to access a web application by using Single Sign-On. Чтобы ознакомиться с этим пошаговым руководством, необходимо выполнить действия, описанные в разделе Настройка лабораторной среды для AD FS в Windows Server 2012 R2 . You must complete the steps in the Set up the lab environment for AD FS in Windows Server 2012 R2 section before you can try out this walkthrough.

Доступ к веб-приложению до регистрации устройства Access the web application before device registration

В этом пошаговом руководстве осуществляется доступ к веб-приложению компании до присоединения устройства к рабочему месту. In this walkthrough, you access a company web application before you join your device to the workplace. На веб-странице отображаются утверждения, включенные в маркер безопасности. The webpage displays the claims that were included in your security token. Обратите внимание, что в список утверждений не включены сведения об устройстве. Notice that the list of claims does not include any information about your device. Возможно, вы также заметили отсутствие единого входа. You might also observe that you do not have Single Sign-On.

Доступ к веб-приложению до использования функции присоединения к рабочему месту на устройстве To access the web application before you use Workplace Join on your device

Выполните вход на Клиент1 со своей учетной записью Майкрософт. Log on to Client1 with your Microsoft account.

Откройте Internet Explorer и перейдите к общему приложению утверждений, https://webserv1.contoso.com/claimapp . Open Internet Explorer and browse to your generic claims app, https://webserv1.contoso.com/claimapp.

Войдите на веб-страницу, используя учетную запись домена организации: roberth@contoso.com , пароль: P@ssword . Log on to the webpage by using a company domain account: roberth@contoso.com, password: P@ssword.

На веб-странице перечислены все утверждения маркера безопасности. The webpage lists all the claims in your security token. В маркере безопасности присутствуют только пользовательские утверждения. Only user claims are present in your security token.

Закройте Internet Explorer. Close Internet Explorer.

Откройте Internet Explorer и перейдите к тому же приложению утверждений https://webserv1.contoso.com/claimapp . Open Internet Explorer and navigate to the same claims app, https://webserv1.contoso.com/claimapp.

Обратите внимание, что система снова предложит ввести учетные данные. Notice that you are prompted to enter your credentials again. Вы не подключены к рабочему месту с устройства с использованием функции присоединения к рабочему месту, следовательно, единый вход не реализован. You are not connected to the workplace from a device with Workplace Join and therefore do not have Single Sign-On.

Присоединение устройства с использованием функции присоединения к рабочему месту Join your device with Workplace Join

Для успешного присоединения к рабочему месту клиентский компьютер (Клиент1) должно доверять сертификату SSL, использованному для настройки служб федерации Active Directory (AD FS) в разделе Step 2: Configure the Federation Server with Device Registration Service (ADFS1). For Workplace Join to succeed, the client computer (Client1) must trust the SSL certificate that was used to configure Active Directory Federation Services (AD FS) in Step 2: Configure the Federation Server with Device Registration Service (ADFS1). Он также должен иметь возможность проверить информацию об отзыве сертификата. It must also be able to validate revocation information for the certificate. В случае проблем с присоединением к рабочему месту можно просмотреть журнал событий на компьютере Клиент1. If you have any issues with Workplace Join, you can view the event log on Client1.

Чтобы просмотреть журнал событий, откройте компонент «Просмотр событий», последовательно разверните разделы Журналы приложений и служб, Корпорация Майкрософт, Windows и выберите Присоединение к рабочему месту. To see the event log, open Event Viewer, expand Applications and Services Logs, expand Microsoft, expand Windows, and then click Workplace Join.

Присоединение устройства с использованием функции присоединения к рабочему месту To join your device with Workplace Join

Выполните вход на Клиент1 со своей учетной записью Майкрософт. Log on to Client1 with your Microsoft account.

На экране Запуск откройте панель Чудо-кнопки и выберите чудо-кнопку Параметры. On the Start screen, open the Charms bar, and then select the Settings charm. Выберите Изменение параметров компьютера. Select Change PC Settings.

На странице Параметры ПК выберите Сеть и нажмите кнопку Рабочее место. On the PC Settings page, select Network, and then click Workplace.

В поле Введите идентификатор пользователя, чтобы получить доступ к рабочему месту или включите управление устройством , введите roberth@contoso.com и нажмите кнопку присоединиться. In the Enter your UserID to get workplace access or turn on device management box, type roberth@contoso.com, and then click Join.

Когда появится запрос на ввод учетных данных, введите roberth@contoso.com и пароль: P@ssword . When you are prompted for credentials, type roberth@contoso.com, and password: P@ssword. Нажмите кнопку ОК. Click OK.

Должно отобразиться сообщение: «Это устройство присоединено к сети вашей рабочей области». You should now see the message: «This device has joined your workplace network.»

Доступ к веб-приложению после присоединения к рабочему месту Access the web application after joining the workplace

В этой части демонстрации осуществляется доступ к веб-приложению компании с устройства, подключенного с помощью функции присоединения к рабочему месту. In this part of the demonstration, you access a company web application from your device that is connected with Workplace Join. На веб-странице отображаются утверждения, включенные в маркер безопасности. The webpage displays the claims that were included in your security token. Обратите внимание, что список утверждений содержит сведения об устройстве и пользователе. Notice that the list of claims includes both device and user information. Вы также заметите, что единый вход теперь реализован. You might also observe that you now have Single Sign-On.

Доступ к веб-приложению после присоединения к рабочему месту To access the web application after joining the workplace

Выполните вход на Клиент1 со своей учетной записью Майкрософт. Log on to Client1 with your Microsoft account.

Откройте Internet Explorer и перейдите к общему приложению утверждений, https://webserv1.contoso.com/claimapp . Open Internet Explorer and browse to your generic claims app, https://webserv1.contoso.com/claimapp.

Войдите на веб-страницу, используя учетную запись домена организации: roberth@contoso.com , пароль: P@ssword . Log on to the webpage by using a company domain account: roberth@contoso.com, password: P@ssword.

На веб-странице перечислены утверждения маркера безопасности. The webpage lists claims in your security token. Токен содержит утверждения пользователя и заявки на доступ. Your token contains both user and device claims.

Закройте Internet Explorer. Close Internet Explorer.

Откройте Internet Explorer и перейдите к тому же приложению утверждений https://webserv1.contoso.com/claimapp . Open Internet Explorer and navigate to the same claims app, https://webserv1.contoso.com/claimapp.

Обратите внимание, что система не предлагает снова ввести учетные данные. Notice that you are not prompted to enter your credentials again. Вы подключены к рабочему месту с устройства с использованием функции присоединения к рабочему месту, следовательно, единый вход реализован. You are connected from a device with Workplace Join and therefore have Single Sign-On.

Обзор технологии Workplace Join в Windows Server 2012 R2

В Windows Server 2012 R2 появился новый функционал, предоставляющий возможность регистрации личных мобильный устройств пользователей в домене Active Directory. Новая функция Workplace Join (или Подключение к рабочему месту) представляет собой компромиссное решение между подключением к ресурсам корпоративной сети с полностью «неуправляемого» устройства и полным контролем над компьютером через включение его в домен AD (т.е. клиентское устройство раньше могло быть либо в домене Windows, либо нет). Workplace Join представляет собой нечто среднее между этими двумя крайними вариантами.

После регистрации устройств (личных компьютерах, смартфонах и планшетах пользователей) в корпоративной сети через Workplace Join, администраторы получают возможность управлять доступом этих устройств к различным корпоративными ресурсам. Однако в отличии от «классических» машин домена, на мобильные устройства не будут действовать групповые политики, управляющие конфигурацию и параметрами безопасности компьютеров. Т.е. управлять настройками мобильного устройства администратор сети не может.

Основные возможности Workplace Join

• Предоставление доступа к корпоративным ресурсам с личных мобильных устройств сотрудников (реализация концепции BYOD — Bring your own device)
• Возможность динамического управления доступом к корпоративным ресурсам не только в зависимости от прав учетной записи пользователя, но и от типа используемого им устройства
• Реализация механизмов SSO (Single-Sign-On) и многофакторной аутентификации (на основании сертификата, выданного устройству)

Архитектора Workplace Join

Для работы технологии Workplace Join необходим контроллер домена с Windows Server 2012 R2 с установленной ролью служб сертификации, а схема AD должна быть расширена до версии Windows Server 2012 R2.

Следующим ключевым компонентом Workplace Join является служба регистрации устройств DRS (Device Registration Service). Данная функция является одним из компонентов роли Active Directory Federation (ADFS) в Windows Server 2012 R2.

Кроме того требуется веб сервер IIS с установленной ролью Windows Identity Foundation.

Служба DRS отвечает за регистрацию учетной записи устройства и аутентификацию его в Active Directory. После аутентификации администратор может управлять доступом мобильного пользователя к ресурсам корпоративной сети, использовать данную аутентификацию в качетве второго фактора аутентификации (для многофакторной аутентификации), а пользователь прозрачно (по SSO, не вводя свой пароль для каждого корпоративного сервиса) пользоваться ресурсами сети.

При установке клиента Workplace Join на мобильном устройстве пользователь должен указать корпоративный email и пароль для доступа в домен (естественно, что пользователь должен иметь учетную запись в домене Active Directory). При регистрации мобильного устройства через Workplace Join, служба DRS создает в Active Directory новый объект (типа msDS-Device), который привязывается через подтверждение к ученой записи пользователя — владельца устройства. На мобильный девайс пользователя устанавливается сертификат user@device, который связан с объектом данного устройства в AD. Таким образом, подтверждается «владение» пользователя конкретным устройством и оно признается доверенным. В дальнейшем данное доверенное устройство можно использовать для многофакторной проверки подлинности без смарт-карты или аппаратного токена.

Объект типа «device» создается в специальном контейнере Active Directory — RegisteredDevices.

После регистрации в сети пользователь может начать пользоваться ресурсами корпоративной сети.

Вся процедура для конечного пользователя выглядит крайне простой и прозрачной.

Клиент Workplace Join для мобильных устройств

Для поддержки Workplace Join на клиентах на конечное устройство необходимо установить клиент. Существует версия клиента Workplace Join для:

• Windows 8.1 и Windows RT 8.1 (клиент встроен)
• Apple iOS ( клиент для iPhone и iPad может быть установлен через AppStore)

Клиент Workplace Join для устройств на базе Android на данный момент находится в разработке. Поддержки Windows Phone пока не запланирована.

Настройка Workplace Join в Windows 8.1

Для регистрации в сети через Workplace Join в Windows 8.1, в настройке подключений в разделе Network появилась отдельная вкладка Workplace. Для подключения к корпоративной сети достаточно указать имя пользователя (в формате itpro@winitpro.ru) и нажать кнопку Join.

После ввода пароля пользователя в домене появится информационное сообщение:

This device has joined your workplace network