Tech Conference 28.-29.5.2015 Sovellusten julkaisu Azuren RemoteAppja Application Proxy -toiminnoilla Jukka Kettunen / Foxdata Solutions Oy #TechConfFI
Puhuja? Jukka Kettunen Foxdata Solutions Oy Sertifiointeja Microsoft MCT, MCSA,MCITP Cisco CCNA R&S,Wireless CWNP CWNA, CWSP Osaamisalueet Microsoft Azure, O365, ADFS, AD, PKI, Lync / Skype4B, Exchange, DirectAccess, RDS WI-FI (Aruba, Aerohive, Cisco, Cisco Meraki, Ekahau) 2
Sisältö Azure Application Proxy Arkkitehtuuri Käyttöskenaariot Käyttöönotto Azure Remote App Arkkitehtuuri Käyttöskenaariot Käyttöönotto 3
Azure AD Application Proxy Tech Conference 2015
Historian havinaa - nykyhetkeä Aikaisempia Reverse Proxy vaihtoehtoja ISA Server Forefront TMG / UAG IIS ARR WS2012 R2 Web Application Proxy (+ADFS) 5
Lisensointi Application Proxy on Azure Active Directory ominaisuus Azure Active Directory Basic Azure Active Directory Premium Lisenssimallit Azure Active Directorylle Enterprise Agreement Open Volume License Program Cloud Solution Providers Azure Active Directory Premium Online (Azure and O365 Subscribers) http://azure.microsoft.com/en-us/pricing/details/active-directory/ 6
Hyödyt Remote Access as a Service Sovellusten julkaisu helposti on-prem ympäristöstä Internettiin Valmis skaalautuva alusta Ei palomuuriavauksia sovelluskohtaisesti Helposti kahdennettavissa 7
Azure Application Proxyn arkkitehtuuri Organisaation sisäverkkoon asennetaan konnektori Useampi konnektori voidaan asentaa Konnektorit tekevät automaattisesti kuormantasausta ja vikasietoisuutta Sisäänpäin ei palomuuriavauksia Konnektori ottaa automaattisesti yhteyttä pilvipalveluun 8
Azure AD Application Proxy Connector Windows Server 2012 R2 tai Windows 8.1 käyttöjärjestelmä Vaadittavat palomuurisäännöt sisältä ulospäin 9
Pilven tietoturva Kaikki HTTP/S liikenne terminoidaan pilvessä Suodatetaan yleisimmät HTTP tason hyökkäykset esim. Heartbleed Tunnistamaton liikenne suodatetaan pilvessä Ei koskaan saavuta on-premises ympäristöä Ei sisäänpäin tulevia yhteyksiä Konnektori liikennöi Azure AD Application Proxy Servicen suuntaan Internetin suuntaan olevat palvelut päivitetään Microsoftin toimesta Aina ajantasalla Azure AD raportointi, auditointi käytettävissä 10
Single Sign-On (SSO) SSO Azure AD:n suunnasta on-premises sovelluksiin Ei tarvetta muuttaa sovelluspalvelimien määrityksiä Ei agenttien asennuksia sovelluspalvelimiin Ei tarvetta julkaista suoraan sovelluspalvelimia Internettiin Integroitu Windows autentikointi tuettuna(iwa) Esim. Sharepoint, Outlook Web Access, CRM https://msdn.microsoft.com/en-us/library/azure/dn879065.aspx 11
Oman domainin hyödyntäminen Oletuksena käytössä *-tenant.msappproxy.net Microsoft ylläpitämä ja hallinnoima Ei tarvetta julkiselle varmenteelle tai DNS-muutoksille Oma domain Varmenne tuotava private key kanssa palveluun DNS-muutokset tehtävä CNAME-tietue osoittamaan *-tenant.msappproxy.net Hyödyt: Loppukäyttäjille tuttu osoite Sovellusten ja sähköpostien välityksellä liikkuvat linkit toimivat suoraan 12
DEMO Azure Application Proxyn käyttöönotto Tech Conference 2015
Office 365 App Launcher On-prem sovellukset voidaan tuoda näkyviin Office 365 App Launcheriin Loppukäyttäjä voi itse muokata App Launcherin näkymää 14
Conditional Access (Preview) Esivaatimukset Azure Active Directory Premium subscription Federated or Managed Azure Active Directory tenant Federated tenants require that multi-factor authentication (MFA) be enabled https://msdn.microsoft.com/en-us/library/azure/dn931796.aspx 15
Uusia ominaisuuksia tulossa Enable different login name (UPN) for on-prem and cloud Utilizing Alternate Login ID the same way it is implemented in AD FS Assign connectors for apps Different sets of connectors serves different applications. Network optimization for multi-geo and isolated networks Additional SSO methods for more applications More control, management and health monitoring of connectors Improved portal experience customizing icons and more 16
Azure Application Proxy linkkejä Application Proxy MSDN documentation: http://aka.ms/proxydoc Application Proxy blog: http://aka.ms/proxy 17
Azure Remote App Tech Conference 2015
Nykyajan haasteet Sovellusten tarjoaminen eri päätelaitteille Työympäristön tarjoaminen väliaikaisille työntekijöille Bring Your Own Device (BYOD) Legacy sovellusten tarjoaminen Ympäristön skaalautuvuus ja tietoturva Tech Conference 2015
Työpöytävirtualisoinnin kehitys 20
Lisensointi Minimimäärä käyttäjiä 20kpl. Tiers are priced per user, are billed monthly, and include 40 hours of service per user in their starting prices. After 40 hours, a capped per-hour overage charge is applied 21
Asennusvaihtoehdot RemoteApp cloud Pilvipohjaiset sovellukset Ei tarvetta päästä on-premises ympäristöön kiinni Datan tallennus RDS-ympäristön ulkopuolelle Onedrive for Business / Dropbox Azure Internet Standalone-asennus Microsoft Image / Custom Image RemoteApp hybrid Data on-premises ympäristössä Vaatii VPN-yhteyden Azure Onpremises välille RDS liitetään toimialueen jäseneksi Custom Image 22
Huomioitavia asioita käyttöönotossa AAD-hakemisto tulee olla se mikä on linkitetty Azure subscriptioniin (Settings alta) Sovellusten toimivuus RDS-ympäristössä Hybrid-konfiguraatiossa UPN-suffixin täsmättävä on-premises / Azure AD Laskutus aktiivisen käytön mukaan Idle input logoff Disconnected after 4 hours of no input Disconnected logoff Local session logged off after 4 hours of inactivity Logged-off Ohjeista käyttäjät sulkemaan sovellukset oikeaoppisesti Pienempi riski datan häviämiselle Oletuksena USB ja levyjen uudelleenohjaus RDP-sessioon on disabloitu https://azure.microsoft.com/en-us/documentation/articles/remoteapp-redirection/ 23
Tuetut päätelaitteet Apple ios OS X Android Windows Windows 10 Preview, Windows 8/8.1, Windows 7 SP1, Windows RT Windows Phone Windows thin clients 24
Yleiskuva käyttöönotosta Tech Conference 2015
Azure RemoteApp Cloud collection 26
Image vaihtoehdot Imagen sisällä olevia sovelluksia voidaan ainoastaan julkaista Omille sovelluksille aina custom image Ominaisuudet Microsoft Images Custom Muutosten tekeminen X Esiasennettu ja optimoitu X Omat sovellukset Admin-oikeudet X X Microsoftin hallinnoima X 27
Tuetut autentikointivaihtoehdot User Accounts RemoteApp cloud RemoteApp hybrid Microsoft Account X Azure Active Directory (AAD) AAD cloud only X AD Connect with password sync X X AD Connect without password sync X AD Connect with ADFS X X 3 rd Party Azure supported identity providers X X Multi-factor Authentication (MFA) X X 28
Office ja Azure Remote App Ainoa tuettu tapa on käyttää O365 Proplus tilausta, joka tukee Shared Computer Activation (SCA) ominaisuutta Office 365 E3 ja E4 sisältävät O365 Proplus tilauksen Overview of shared computer activation for Office 365 ProPlus https://technet.microsoft.com/en-us/library/dn782860.aspx Mahdollisuus testata Office 2013 Professional Plus 30-päivän Trial 29
Custom Image - I Voidaan tehdä omassa ympäristössä joko Hyper-V tai SCCM avulla Joudutaan siirtämään Azure-ympäristöön Voi olla hidas operaatio Uusi parempi tapa on käyttää Azuren virtuaalikonetta, joka voidaan lopuksi tallentaa Custom Imageksi. Lisää asennettujen sovellusten pikakuvakkeet Start Menuun Lisää Administrators-ryhmään tunnus mahdollisten ongelmien selvittelyyn Disabloi sovellusten automaattipäivitykset Asenna RDS-rooli ennen sovellusten asennuksia Testaa ja validoi toimivuus ennen Imagen importtia 30
Custom Image - II Asenna uusimmat tietoturvapäivitykset Disabloi Encrypting File System (EFS) Lopuksi aja Sysprep /oobe /generalize /shutdown 31
Custom Image Azure VM Luo uusi virtuaalikone galleriasta käyttäen Windows Server Remote Desktop Session Host imagea Ota yhteys virtuaalikoneeseen ja asenna haluamasi sovellukset Tee myös muut muutokset esim. Windowsin konfigurointiin Napsauta työpöydällä olevaa ValidateRemoteAppImage kuvaketta, joka validoi asennuksen. Korjaa tarvittaessa virheet Lopuksi aja Sysprep /oobe /generalize /shutdown ja tallenna Image 32
DEMO Custom Image Azure VM Tech Conference 2015
Sovellusten testaaminen RDS-ympäristössä Asenna Windows Server 2012 R2 Asenna RDS-rooli Testaa multi-session yhteensopivuus Testaa sovelluksen käyttäytyminen RDS-ympäristössä http://azure.microsoft.com/en-us/documentation/articles/remoteapp-appreqs/ 34
RemoteApp Collection Vähintään yksi Collection luotava Maksimissaan kolme, jos tarve suurempi tiketti auki Azuren tukeen Remote App Collectionia luotaessa voidaan käyttää Custom Image määritystä 35
DEMO Azure Remote App sovellusten julkaisu Tech Conference 2015
Hybrid-arkkitehtuuri On-premises Azure VNET Express Route / VPN Remote App Instances Domain Controller 37
Cloud vs Hybrid Cloud Hybrid Deploy to existing VNET Requires AD Connect (AADSync) accounts Requires domain join Requires domain controller to be accessible from the VNET X X X X 38
Kokeile Azure RemoteApp Microsoft ylläpitää demoympäristöä RemoteAppin kokeilua varten Mene päätelaitteella http://remoteapp.azure.com Napsauta Install Client Clientin asennuksen jälkeen kirjaudu sisään Microsoft-tunnuksella Voit myös pyytää 30-päivän trialin Azure RemoteAppista Rajoituksena 2 collectionia ja 10 käyttäjää per collection 39
Q/A RemoteApp Q: Onko mahdollista RemoteApp Hybrid moodissa tehdä kansioiden uudelleen ohjauksia User Profile Diskin sisällä? A: Tämä ei ole tuettu skenaario tällä hetkellä Q: Voidaanko Azuressa ajaa täyttä työpöytää A: Nykyisessä versiossa ei, mutta Windows Server 2016 saattaa tuoda tähän halutun muutoksen: http://microsoftplatform.blogspot.fi/2015/06/new-rds-deployment-model-personal.html 40
Tech Conference 28.-29.5.2015 Kiitos Email: jukka@foxdata.fi Twitter: @jkettunen # TechConfFI