Llegamos a ustedes gracias a:



Reportajes y análisis

Conozca las características de Windows Server BYOD

[05/09/2013] Cuatro de las características de Windows Server 2012 R2 tienen el propósito de reducir la brecha entre el mundo de ayer, donde los usuarios tenían una computadora portátil y un BlackBerry proporcionados por las empresas; y el nuevo entorno BYOD de hoy, donde los usuarios llevan sus propios teléfonos para trabajar, utilizan sus tabletas personales, trabajan desde una variedad de lugares, y generalmente tienen un enfoque variado sobre cómo se relacionan con los recursos informáticos.
La nueva característica 'join workplace'
Hasta ahora, una máquina de Microsoft -computadora portátil, de escritorio, servidores, tableta o cualquier otra cosa- era miembro de un dominio y por lo tanto capaz de ser gestionada por las herramientas empresariales disponibles en el ecosistema de Windows Server; o era miembro de un grupo de trabajo y por lo tanto no participaba en el perfil de seguridad de otro grupo de equipos. Las máquinas del hogar, por lo general, estaban en grupos de trabajo; y las máquinas de las empresas por lo general eran miembros de un dominio.
En Windows 8.1 y Windows Server 2012 R2, sin embargo, la línea se desvanece por la introducción de 'join workplace', que es la capacidad de poder unirse al espacio de trabajo.
La adición de 'join workplace' esencialmente es una suscripción que hace un dispositivo dentro de un dominio corporativo. Los administradores de la parte de dominio pueden seleccionar un grupo de recursos como aplicaciones, archivos compartidos y otras páginas que pueden ser accesibles desde los dispositivos que no pertenecen a la empresa.
Cuando un dispositivo se registra en 'join workplace', hereda cierta capacidad de las empresas de TI para gobernar lo que ocurre con los datos del lugar de trabajo en el dispositivo. Por ejemplo, los administradores pueden optar por borrar los datos corporativos que residen en un dispositivo personal cuando su relación con el usuario termina, sin tocar los datos personales, como fotos y videos.
¿Cómo funciona esto detrás de las escenas? La característica 'join workplace' aprovecha los Active Directory Federation Services (ADFS); consulte más adelante en este artículo para saber más detalles.
En Windows Server 2012 R2, los ADFS integran una opción llamada Device Registration Service, o servicio de registro de dispositivos, que se activa a través de PowerShell; aquí también pasan los DNS y la magia de los certificados. La versión preliminar es un poco complicada de echar a andar pues tiene gran cantidad de configuración manual sin mucha documentación disponible; y en particular, algunas funciones parecen no funcionan. (Uno asume que los errores se resolverán antes de que el producto esté listo para su lanzamiento).
En el dispositivo RT 8.1 o Windows 8.1, los usuarios primero acceden a Inicio / Configuración / Cambiar la configuración de la PC; a continuación, en Network y Workplace, el usuario introduce sus credenciales corporativas. El dispositivo busca un host habilitado para el registro de empresas y luego completa el proceso.
Work Folders
Piense en que la característica de carpetas de trabajo o 'Work Folders' permite habilitar funciones tipo Dropbox o SkyDrive en la nube privada de una organización o centro de datos exclusivamente para sus empleados y contratistas. Los servicios de consumo tales como Dropbox o SkyDrive ofrecen espacio de almacenamiento para los archivos, imágenes, programas, documentos y básicamente cualquier cosa que un usuario desee cargar, y estos archivos se sincronizan con cualquier dispositivo que tenga el usuario.
Los usuarios aman estos servicios de almacenamiento en la nube, ya que, sin importar dónde se encuentren o el dispositivo que estén utilizando, sus archivos están con ellos, siempre y cuando tengan una conexión a Internet -y en algunos casos, ni siquiera es necesario si los archivos sincronizados están almacenados en la caché de sus dispositivos. Sin embargo, dado que estos servicios están dirigidos a usuarios normales, no incluyen soporte para el control del departamento de TI sobre lo que se ha cargado, cómo se consiguió, qué dispositivos pueden acceder a ellos, y así sucesivamente.
Work Folders permiten este "nublado" escenario de almacenamiento y sincronización, pero de una manera más segura.
Aquí está cómo funciona la característica:
1. Su usuario trabaja en un documento u hoja de cálculo y guarda un archivo en su carpeta Work Folders. Esta es una carpeta especial, pero para el usuario simplemente funciona como cualquier otro directorio de Windows.
2. El documento se almacena en un servidor de archivos de Windows Server 2012 R2.
3. El servidor de archivos clasifica el documento automáticamente (si ha configurado la clasificación de archivos o 'File Classification') en función de su contenido, y luego encripta el documento.
4. El servidor de archivos empuja una copia de este documento a todos los dispositivos del usuario que están suscritos a la carpeta.
5. El usuario puede usar su computadora o tableta en casa o en la ruta para acceder al documento en su directorio de Work Folders desde el propio dispositivo, y todos los cambios de sincronización se muestran en la copia maestra del documento al revertir este proceso.
Sin embargo, hay algunas limitaciones. Por un lado, en esta versión, la función Work Folders solo se admite en los servidores de archivos locales. Los documentos deben ser almacenados en servidores compartidos que se están ejecutando en el sistema operativo local, no remotamente o desde una red de área de almacenamiento (SAN).
Además, los usuarios tienen una carpeta de trabajo personalizada para sí mismos, y es la única carpeta con soporte para esta función -no puede designar a otras acciones, como compartirla con otro departamento. Por último, no hay funciones de edición en tiempo real o recursos para compartir con los recursos almacenados en las carpetas de trabajo, ya que son archivos individuales y están diseñados para ser vistos y trabajados solo por un único usuario.
El pegamento: Active Directory Federation Services y Web Application Proxy
¿Qué une a todas estas tecnologías BYOD? Realmente, es la capacidad para que los usuarios se autentiquen en una fuente de confianza desde fuera de la red, y desde ahí investiguen los reclamos sobre cuáles son los recursos a los que el usuario está autorizado a acceder.
(La autenticación en esencia es la verificación de la identidad -que usted conoce todos los secretos que se supone debe saber, lo que significa que usted es quien dice ser-; sin embargo, es el proceso de otorgamiento de permisos para acceder a determinados recursos en la base de datos lo que determina quién es usted).
Los ADFS proporcionan esa funcionalidad y realmente forman la base de todas estas nuevas características que ofrecen acceso semi-público a los recursos privados.
Los ADFS se encuentran esencialmente en la red corporativa y autentica a los usuarios basándose en los contenidos de la principal base de datos del usuario en Active Directory. En la era de Windows Server 2012 R2, la nueva función Web Application Proxy trabaja mano a mano con los ADFS para proporcionar un proxy inverso que permite que las aplicaciones dentro de su red de trabajo, trabajen con usuarios que están fuera de la red.
En esencia, esto proporciona servicios de pre-autenticación para los usuarios que deseen acceder a las aplicaciones web en la intranet. Puede publicar aplicaciones internas para que los usuarios accedan a ellas desde máquinas que no son de confianza a través de Web Application Proxy, que normalmente se encuentra en la 'zona desmilitarizada' (DMZ) entre Internet y la red interna.
Cuando los usuarios intentan abrir esos recursos, el Web Application Proxy normalmente los autentica directamente a la instancia de ADFS que se ejecuta en la red. En ese momento, el identificador de seguridad del usuario se actualiza al verificar correctamente sus credenciales, y Web Application Proxy redirige al usuario a la aplicación, que permite que el usuario ingrese ya que entiende y acepta las reclamaciones que han sido verificadas por ADFS.
ADFS también conlleva otros beneficios, tales como:
* Inicio de sesión único (SSO): Cuando los usuarios se autentican con ADFS una vez, la autenticación llevará automáticamente a otras aplicaciones publicadas, sin necesidad de que el usuario introduzca sus credenciales de nuevo.
* Autenticación multifactor: La autenticación de dos factores está de moda en estos días, con los usuarios que tienen un nombre de usuario y contraseña, e incluso con los que tienen un dispositivo de tipo token de RSA con contraseñas por mensaje de texto de una sola vez para una mayor seguridad. ADFS admite estos tipos de autenticaciones.
* Soporte a las restricciones de las máquinas unidas a 'join workplace': ADFS en Windows Server 2012 R2 permite que los administradores restrinjan el acceso a las aplicaciones publicadas solo a los dispositivos que se inscribieron en el dominio a través de la característica 'join workplace descrita anteriormente en este artículo.
ADFS es ahora un motor clave de la federación en las redes de Microsoft y su papel seguirá creciendo, sobre todo en el uso de otros servicios de nube de Microsoft, como Office 365 y Windows Azure, afianzándose aún más. ADFS también es una base para la exposición de la información de identidad y datos de autorización de usuarios, dispositivos clave y socios de una manera segura. ADFS y Web Application Proxy hacen que todas estas nuevas características funcionen.
Mejora y automatización de las funciones de red privada virtual
Las VPN han sido un mal necesario para las TI, en realidad son la tecnología más corriente para que los dispositivos corporativos que están en el la ruta o fuera de las instalaciones se conecten a la red interna de la empresa.
Espacio para la creación de perfiles VPN dentro de System Center Configuration Manager 2012 R2 para Cisco AnyConnect, Juniper Pulse, el Edge Client F5, Dell SonicWALL Mobile Connect, CheckPoint Mobile VPN y protocolos neutrales estándar de otros proveedores.
 
Las opciones para la creación de perfiles VPN dentro de System Center Configuration Manager 2012 R2 para Cisco AnyConnect, Juniper Pulse, el Edge Client F5, Dell SonicWALL Mobile Connect, CheckPoint Mobile VPN y protocolos neutrales estándar proporcionados por los vendedores.
Sin embargo, una VPN a menudo no es una solución muy transparente para los usuarios finales, que tienen que recordar, en primer lugar, iniciar sesión; y, en algunos casos, realizar un seguimiento de las contraseñas secundarias, códigos de autenticación de dos factores y otros detalles administrativos que no son por los que realmente se les paga. Microsoft ha dado algunos pasos en Windows 8.1, y en menor medida en Windows Server 2012 R2 y System Center, para hacer este proceso menos doloroso de lo que es actualmente.
Lo que es especial acerca de la experiencia Windows 8.1 y Windows Server 2012 R2 es que una vez que un dispositivo se ha inscrito para la gestión o se convierte en miembro de pleno derecho de un dominio, las configuraciones VPN requeridas bajan automáticamente al cliente. No más llamadas al servicio de asistencia con usuarios que preguntan, "¿Cuál es la dirección de VPN de nuevo?" No más certificados de configuración de seguridad o reglas remotas para solucionar problemas de conectividad VPN.
En cambio, las reglas, los perfiles, los certificados requeridos, direcciones y otra información pertinente solo aparecen en el dispositivo. Estas reglas se crean de dos maneras -ya sea construidas por el personal de TI a través de comandos de PowerShell o mediante el uso de software adicional que cuesta extra, como System Center o Windows Intune. (Los usuarios pueden crear conexiones VPN por sí mismos, por supuesto, pero eso sería muy lejos de ser automatizado por razones obvias).
Curiosamente, Windows 8.1 se lanzará a la fabricación tanto del software operativo estándar de Microsoft basado en el sistema VPN -como se describió anteriormente- incorporado, así como del software de front-end para la conexión VPN de terceros. Esto permitirá conexiones a soluciones como Cisco, Juniper y otras, sin necesidad de un software de descarga adicional.
La configuración automática de la base de perfiles de administrador habilitadas también trabaja con software de terceros.
Además de configurar automáticamente las conexiones, Windows 8.1 permite que las aplicaciones sepan si se necesita una conexión VPN y, si es así, hace la conexión de forma automática.
Por ejemplo, supongamos que su empresa tiene una línea de aplicaciones de negocios o un sitio web que solo debe ser accesible internamente. Windows 8.1 puede ser notificado de estas aplicaciones y sitios basados en la configuración del administrador, por lo que cuando un usuario inicia la implementación o intenta visitar ese sitio web, la conexión VPN es llevada automáticamente -de forma transparente para el usuario. Una vez que el sitio está cerrado o se sale de la aplicación corporativa, la conexión VPN es dada de baja; de nuevo, sin que el usuario tenga que hacer nada.
La principal desventaja de este nuevo conjunto de características es que no es compatible con versiones anteriores: Solo los usuarios con Windows 8.1 instalado podrán tomar ventaja de ello. Por lo tanto, es poco probable que desmonte todo su soporte VPN actual, por muy tentador que sea.
La última palabra
Windows Server 2012 R2 y Windows 8.1 reúnen muchas nuevas características interesantes que tienen sentido en una era en la que los usuarios están utilizando varios dispositivos pertenecientes a diferentes entidades y desde una variedad de lugares. Si bien algunas de las características son un poco torpes de instalar, su presencia es prometedora y seguramente serán útiles cuando las organizaciones pasen a la versión más reciente y más grande de Windows Server.
Jonathan Hassell, Computerworld (EE.UU.)