Il futuro dei dispositivi personali connessi alla rete aziendale

Chi di noi non ha in tasca uno smartphone?
Negli ultimi anni, e con un trend in netta crescita, una richiesta che spesso mi vedo fare in Azienda è quella di configurare un tablet, uno smartphone o un notebook personale per poter accedere alle risorse aziendali (mail, share di rete e anche applicativi interi). Questo fenomeno è, in piccolo, quello che in gergo prende il nome di BYOD, Bring Your Own Device. Ora, consentire l’accesso dai propri personal devices è certamente cosa fattibile, ma molto spesso genera qualche lamentela da parte del proprietario del dispositivo.

Infatti, per poter connettere correttamente un dispositivo alla rete aziendale, spesso si va incontro ad una serie di restrizioni che l’admin (che sovente corrisponde al sottoscritto) impone. Basti pensare alla connessione di un iPhone alla posta di Exchange Server. La prima cosa che l’utente è (da me) costretto a fare, dopo essersi connesso al server, è quella di proteggere il dispositivo con una lock password. Ed è la prima cosa per cui immediatamente si lamenta!

Il dilemma quindi è sempre lo stesso. L’utente vorrebbe usare il proprio dispositivo ma non vorrebbe le restrizioni imposte dalla rete aziendale, e per i dispositivi Windows che dovranno essere inseriti nel dominio Active Directory le restrizioni potrebbero essere molteplici e molto invasive. Il proprietario potrebbe non voler sottoporre il proprio dispositivo a queste regole e quindi ci si troverebbe di fronte a due possibilità: lasciare un accesso indiscriminato a tutto oppure impedire completamente l’utilizzo (io sono per la seconda).

Windows Server 2012 R2 introduce una nuova feature che prende il nome di Workplace Join, che fondamentalmente offre una via di mezzo tra l’avere il dispositivo personale joinato al dominio oppure lasciato come device stand alone.
Questa funzionalità si basa sul ruolo ADFS (Active Directory Federation Services) di Windows Server e più precisamente su un nuovo servizio chiamato Device Registration Service. Questi consente all’utente di registrare il proprio dispositivo sulla rete aziendale così che possano venirgli concessi dei privilegi di accesso alle risorse. Questi privilegi saranno mediamente più restrittivi di quelli concessi ad un dispositivo inserito nel dominio ma meno restrittivi di quelli concessi ad un apparecchio “sconosciuto”.

Il bello è che la funzionalità sarà estesa anche a dispositivi non Windows, in quanto la registrazione del dispositivo avverrà tramite un portale web, dove l’utente effettuerà un accesso con le proprie credenziali di dominio e che sarà fruibile quindi anche da dispositivi iOS, Android, ecc. Il servizio DRS, a questo punto, creerà all’interno di Active Directory un oggetto di tipo dispositivo al quale verranno forniti accessi condizionali alle risorse e alle applicazioni di cui l’utente necessita.

L’implementazione di Workplace Join richiederà la presenza di 3 server. Per fortuna Hyper-V ci viene incontro e quindi questa tecnologia potrà essere implementata anche da realtà medio-piccole e non solo in un ambito prettamente enterprise, semplicemente virtualizzando i server necessari.