Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Topik ini menjelaskan proses desain untuk implementasi Folder Kerja, dan mengasumsikan bahwa Anda memiliki latar belakang berikut:
Memiliki pemahaman dasar tentang Folder Kerja (seperti yang dijelaskan dalam Folder Kerja)
Memiliki pemahaman dasar tentang konsep Active Directory Domain Services (AD DS)
Memiliki pemahaman dasar tentang berbagi file Windows dan teknologi terkait
Memiliki pemahaman dasar tentang penggunaan sertifikat SSL
Memahami dasar tentang mengaktifkan akses web ke sumber daya internal melalui proksi balik web.
Bagian berikut akan membantu Anda merancang implementasi Folder Kerja Anda. Menyebarkan Folder Kerja dibahas di topik berikutnya, Menyebarkan Folder Kerja.
Persyaratan perangkat lunak
Folder Kerja memiliki persyaratan perangkat lunak berikut untuk server file dan infrastruktur jaringan Anda:
Server yang menjalankan Windows Server 2012 R2 atau Windows Server 2016 untuk menyediakan folder sinkronisasi untuk file pengguna
Volume yang diformat dengan sistem file NTFS untuk menyimpan file pengguna
Untuk menerapkan kebijakan kata sandi pada PC Windows 7, Anda harus menggunakan kebijakan kata sandi Kebijakan Grup. Anda juga harus mengecualikan PC Windows 7 dari kebijakan kata sandi di Folder Kerja (jika Anda menggunakannya).
Sertifikat server untuk setiap server file yang mengelola Folder Kerja. Sertifikat ini harus berasal dari otoritas sertifikasi (CA) yang dipercaya oleh pengguna Anda—idealnya CA publik.
(Opsional) Hutan Active Directory Domain Services dengan ekstensi skema di Windows Server 2012 R2 untuk merujuk secara otomatis PC dan perangkat lainnya ke server file yang benar ketika menggunakan banyak server file.
Untuk memungkinkan pengguna menyinkronkan di internet, ada persyaratan tambahan:
Kemampuan untuk membuat server dapat diakses dari Internet dengan membuat aturan penerbitan di proksi terbalik organisasi atau gateway jaringan
(Opsional) Nama domain yang terdaftar secara publik dan kemampuan untuk membuat catatan DNS publik tambahan untuk domain
(Opsional) Infrastruktur Layanan Federasi AD (AD FS) saat menggunakan autentikasi AD FS
Folder Kerja memiliki persyaratan perangkat lunak berikut untuk komputer klien:
Komputer harus menjalankan salah satu sistem operasi berikut:
Windows 10
Windows 8.1
Windows RT 8.1
Windows 7
Android 4.4 KitKat dan yang lebih baru
iOS 10.2 dan yang lebih baru
PC Windows 7 harus menjalankan salah satu edisi Windows berikut:
Windows 7 Professional
Windows 7 Ultimate
Windows 7 Enterprise
PC Windows 7 harus digabungkan ke domain organisasi Anda (tidak dapat digabungkan ke grup kerja).
Ruang kosong yang cukup pada drive lokal berformat NTFS untuk menyimpan semua file pengguna di Folder Kerja, ditambah ruang kosong 6 GB tambahan jika Folder Kerja terletak di drive sistem, karena secara default. Folder Kerja menggunakan lokasi berikut secara default: %USERPROFILE%\Folder Kerja
Namun, pengguna dapat mengubah lokasi selama penyiapan (kartu microSD dan drive USB yang diformat dengan sistem file NTFS adalah lokasi yang didukung, meskipun sinkronisasi akan berhenti jika drive dihapus).
Ukuran maksimum untuk file individual adalah 10 GB secara default. Tidak ada batas penyimpanan per pengguna, meskipun administrator dapat menggunakan fungsionalitas kuota File Server Resource Manager untuk menerapkan kuota.
Work Folders tidak mendukung pemulihan status mesin virtual klien. Sebagai gantinya, lakukan operasi pencadangan dan pemulihan dari dalam komputer virtual klien dengan menggunakan Pencadangan Gambar Sistem atau aplikasi cadangan lainnya.
Note
Pastikan untuk menginstal rollup pembaruan Ketersediaan Umum Windows 8.1 dan Windows Server 2012 R2 di semua server Folder Kerja dan komputer klien apa pun yang menjalankan Windows 8.1 atau Windows Server 2012 R2. Untuk informasi selengkapnya, lihat artikel 2883200 di Pangkalan Pengetahuan Microsoft.
Skenario penyebaran
Folder Kerja dapat diimplementasikan pada sejumlah server file dalam lingkungan pelanggan. Ini memungkinkan penerapan Work Folders untuk ditingkatkan skala berdasarkan kebutuhan pelanggan dan dapat menghasilkan penerapan yang sangat sesuai dengan kebutuhan perorangan. Namun, sebagian besar penyebaran akan termasuk dalam salah satu dari tiga skenario dasar berikut.
Penyebaran Single-Site
Dalam penyebaran satu situs, server file dihosting dalam situs pusat di infrastruktur pelanggan. Jenis penyebaran ini paling sering terlihat di pelanggan dengan infrastruktur yang sangat terpusat atau dengan kantor cabang yang lebih kecil yang tidak memelihara server file lokal. Model penyebaran ini dapat lebih mudah dikelola oleh staf IT, karena semua aset server bersifat lokal, dan internet ingress/egress kemungkinan juga terpusat di lokasi ini. Namun, model penyebaran ini juga bergantung pada konektivitas WAN yang baik antara situs pusat dan kantor cabang mana pun, dan pengguna di kantor cabang rentan terhadap gangguan layanan karena kondisi jaringan.
Penyebaran Multiple-Site
Dalam penyebaran multi-situs, file server dihosting di beberapa lokasi dalam infrastruktur pelanggan. Ini bisa berarti beberapa pusat data atau dapat berarti bahwa kantor cabang mempertahankan server file individual. Jenis penyebaran ini paling sering terlihat di lingkungan pelanggan yang lebih besar atau di pelanggan yang memiliki beberapa kantor cabang yang lebih besar yang memelihara aset server lokal. Model penyebaran ini lebih kompleks bagi personel TI untuk mengelola, dan bergantung pada koordinasi penyimpanan data dan pemeliharaan Active Directory Domain Services (AD DS) yang cermat untuk memastikan bahwa pengguna menggunakan server sinkronisasi yang benar untuk Folder Kerja.
Penyebaran yang Dihosting
Dalam penyebaran yang dihosting, server sinkronisasi disebarkan dalam solusi IAAS (Infrastructure-as-a-Service) seperti Windows Azure VM. Metode penyebaran ini memiliki keuntungan membuat ketersediaan server file kurang bergantung pada konektivitas WAN dalam bisnis pelanggan. Jika perangkat dapat tersambung ke Internet, perangkat bisa masuk ke server sinkronisasinya. Namun, server yang diterapkan di lingkungan hosting tetap harus dapat mengakses domain Active Directory organisasi untuk mengautentikasi pengguna, dan pelanggan menukar kebutuhan infrastruktur lokal dengan kompleksitas tambahan dalam menjaga koneksi tersebut.
Teknologi penyebaran
Penyebaran Folder Kerja terdiri dari sejumlah teknologi yang bekerja sama untuk menyediakan layanan kepada perangkat di jaringan internal dan eksternal. Sebelum merancang penyebaran Folder Kerja, pelanggan harus terbiasa dengan persyaratan masing-masing teknologi berikut.
Active Directory Domain Services
AD DS menyediakan dua layanan penting dalam penyebaran Folder Kerja. Pertama, sebagai back-end untuk autentikasi Windows, AD DS menyediakan layanan keamanan dan autentikasi yang digunakan untuk memberikan akses ke data pengguna. Jika pengendali domain tidak dapat dijangkau, server file tidak akan dapat mengautentikasi permintaan masuk dan perangkat tidak akan dapat mengakses data apa pun yang disimpan dalam berbagi sinkronisasi server file tersebut.
Kedua, AD DS (dengan pembaruan skema Windows Server 2012 R2) mempertahankan atribut msDS-SyncServerURL pada setiap pengguna, yang digunakan untuk secara otomatis mengarahkan pengguna ke server sinkronisasi yang sesuai.
Server File
Server berkas yang menjalankan Windows Server 2012 R2 atau Windows Server 2016 menghosting layanan peran Work Folders, dan menghosting berbagi sinkronisasi yang menyimpan data Work Folders pengguna. Server file juga dapat menghosting data yang disimpan oleh teknologi lain yang beroperasi di jaringan internal (seperti berbagi file), dan dapat diklusterkan untuk memberikan toleransi kesalahan untuk data pengguna.
Kebijakan Grup
Jika Anda memiliki PC Windows 7 di lingkungan Anda, kami sarankan hal berikut:
Gunakan Kebijakan Grup untuk mengontrol kebijakan kata sandi untuk semua PC yang bergabung dengan domain yang menggunakan Folder Kerja.
Gunakan kebijakan Work Folders untuk mengunci layar secara otomatis dan meminta kata sandi pada PC yang tidak bergabung ke domain Anda.
Anda juga dapat menggunakan Kebijakan Grup untuk menentukan server Work Folders pada PC yang tergabung dalam domain. Ini menyederhanakan penyiapan Folder Kerja sedikit– pengguna seharusnya perlu memasukkan alamat email kerja mereka untuk mencari pengaturan (dengan asumsi bahwa Folder Kerja disiapkan dengan benar), atau memasukkan URL Folder Kerja yang secara eksplisit Anda berikan melalui email atau cara komunikasi lainnya.
Anda juga dapat menggunakan Kebijakan Grup untuk menyiapkan Folder Kerja secara paksa berdasarkan per pengguna atau per komputer, meskipun hal ini menyebabkan Folder Kerja disinkronkan pada setiap PC yang masuk pengguna (saat menggunakan pengaturan kebijakan per pengguna), dan mencegah pengguna menentukan lokasi alternatif untuk Folder Kerja di PC mereka (seperti pada kartu microSD untuk menghemat ruang di drive utama). Kami sarankan mengevaluasi kebutuhan pengguna Anda dengan cermat sebelum memaksa pengaturan otomatis.
Windows Intune
Windows Intune juga menyediakan lapisan keamanan dan pengelolaan untuk perangkat yang tidak tergabung dalam domain, yang sebaliknya fitur tersebut mungkin tidak ada. Anda dapat menggunakan Windows Intune untuk mengonfigurasi dan mengelola perangkat pribadi pengguna seperti tablet yang tersambung ke Folder Kerja dari seluruh Internet. Windows Intune dapat memberi perangkat URL server sinkronisasi untuk digunakan - jika tidak, pengguna harus memasukkan alamat email kerja mereka untuk mencari pengaturan (jika Anda menerbitkan URL Folder Kerja publik dalam bentuk https://workfolders.contoso.com), atau memasukkan URL server sinkronisasi secara langsung.
Tanpa penyebaran Windows Intune, pengguna harus mengonfigurasi perangkat eksternal secara manual, yang dapat mengakibatkan peningkatan permintaan pada staf help desk pelanggan.
Anda juga dapat menggunakan Windows Intune untuk menghapus data secara selektif dari Folder Kerja di perangkat pengguna tanpa memengaruhi sisa data mereka - berguna jika pengguna meninggalkan organisasi Anda atau perangkat mereka dicuri.
Proksi Aplikasi Web atau Proksi Aplikasi Microsoft Entra
Folder Kerja berdasarkan konsep yang memungkinkan perangkat yang terhubung ke Internet untuk mengambil data bisnis dengan aman dari jaringan internal, sehingga pengguna dapat "membawa data mereka" di tablet dan perangkat yang biasanya tidak bisa mengakses file kerja. Untuk melakukan ini, proksi terbalik harus digunakan untuk menerbitkan URL server sinkronisasi dan membuatnya tersedia untuk klien Internet.
Work Folders mendukung penggunaan Proksi Aplikasi Web, proksi aplikasi Microsoft Entra, atau solusi proksi terbalik pihak ketiga.
Proxy Aplikasi Web adalah solusi proksi terbalik dalam jaringan lokal. Untuk mempelajari selengkapnya, lihat Proksi Aplikasi Web di Windows Server 2016.
Proksi aplikasi Microsoft Entra adalah solusi proksi terbalik berbasis cloud. Untuk mempelajari lebih lanjut, lihat Cara menyediakan akses jarak jauh yang aman ke aplikasi lokal
Pertimbangan desain tambahan
Selain memahami setiap komponen yang disebutkan di atas, pelanggan perlu menghabiskan waktu dalam desain mereka memikirkan jumlah server sinkronisasi dan berbagi untuk dioperasikan, dan apakah akan memanfaatkan pengklusteran failover atau tidak untuk memberikan toleransi kesalahan pada server sinkronisasi tersebut
Jumlah Server Sinkronisasi
Dimungkinkan bagi pelanggan untuk mengoperasikan beberapa server sinkronisasi di lingkungan. Ini bisa menjadi konfigurasi yang diinginkan karena beberapa alasan:
Distribusi geografis pengguna - misalnya, server file kantor cabang atau pusat data regional
Persyaratan penyimpanan data - departemen bisnis tertentu mungkin memiliki penyimpanan data tertentu atau persyaratan penanganan yang lebih mudah dengan server khusus
Penyeimbangan beban – di lingkungan besar, menyimpan data pengguna di beberapa server dapat meningkatkan performa dan waktu aktif server.
Untuk informasi tentang penskalaan dan performa server Work Folders, lihat Pertimbangan Performa untuk Penyebaran Work Folders.
Note
Saat menggunakan beberapa server sinkronisasi, sebaiknya siapkan penemuan server otomatis untuk pengguna. Proses ini bergantung pada konfigurasi atribut pada setiap akun pengguna di AD DS. Atribut ini diberi nama msDS-SyncServerURL dan tersedia di akun pengguna setelah pengontrol domain Windows Server 2012 R2 ditambahkan ke domain atau pembaruan skema Direktori Aktif diterapkan. Atribut ini harus diatur untuk setiap pengguna untuk memastikan bahwa pengguna terhubung ke server sinkronisasi yang sesuai. Dengan menggunakan penemuan server otomatis, organisasi dapat menerbitkan Folder Kerja di belakang URL "ramah" seperti https://workfolders.contoso.com, terlepas dari jumlah server sinkronisasi yang beroperasi.
Jumlah Berbagi Sinkronisasi
Server sinkronisasi individual dapat mengelola beberapa bagian sinkronisasi. Ini dapat berguna karena alasan berikut:
Persyaratan audit dan keamanan – Jika data yang digunakan oleh departemen tertentu harus lebih banyak diaudit atau dipertahankan untuk jangka waktu yang lebih lama, berbagi sinkronisasi terpisah dapat membantu administrator menjaga folder pengguna dengan tingkat audit yang berbeda dipisahkan.
Kuota atau layar file yang berbeda - Jika Anda ingin mengatur kuota atau batas penyimpanan yang berbeda di mana jenis file diizinkan di Folder Kerja (layar file) untuk grup pengguna yang berbeda, berbagi sinkronisasi terpisah dapat membantu.
Kontrol departemen – Jika tugas administratif didistribusikan oleh departemen, menggunakan tempat penyimpanan terpisah untuk setiap departemen dapat memudahkan administrator dalam menerapkan kuota atau kebijakan lainnya.
Kebijakan perangkat yang berbeda –Jika sebuah organisasi perlu memelihara kebijakan perangkat yang beragam (seperti mengenkripsi Folder Kerja) untuk grup pengguna yang berbeda, menggunakan beberapa pembagian memungkinkan hal ini.
Kapasitas penyimpanan –Jika server file memiliki beberapa volume, berbagi tambahan dapat digunakan untuk memanfaatkan volume tambahan ini. Berbagi individu hanya memiliki akses ke volume tempatnya dihosting, dan tidak dapat memanfaatkan volume tambahan di server file.
Akses ke Sinkronkan Berbagi
Sementara server sinkronisasi yang diakses pengguna ditentukan oleh URL yang dimasukkan di klien mereka (atau URL yang diterbitkan untuk pengguna tersebut di AD DS saat menggunakan penemuan otomatis server), akses ke berbagi sinkronisasi individual ditentukan oleh izin yang ada di berbagi.
Akibatnya, jika pelanggan menyimpan beberapa berbagi sinkronisasi di server yang sama, perhatian harus diberikan untuk memastikan bahwa pengguna memiliki izin untuk mengakses satu saja dari berbagi tersebut. Selain itu, ketika pengguna terhubung ke server, klien mereka dapat terhubung ke share yang salah. Ini dapat dicapai dengan membuat grup keamanan terpisah untuk setiap berbagi sinkronisasi.
Selanjutnya, akses ke folder pengguna individu di dalam berbagi sinkronisasi ditentukan oleh hak kepemilikan pada folder. Saat membuat berbagi sinkronisasi baru, Folder Kerja secara default memberi pengguna akses eksklusif ke file mereka (menonaktifkan pewarisan dan menjadikan mereka pemilik folder mereka masing-masing).
Daftar periksa desain
Serangkaian pertanyaan desain berikut dimaksudkan untuk membantu pelanggan dalam merancang implementasi Folder Kerja yang paling melayani lingkungan mereka. Pelanggan harus meninjau daftar periksa ini sebelum mencoba menyebarkan server.
Pengguna yang Dimaksudkan
Pengguna mana yang akan menggunakan Folder Kerja?
Bagaimana pengguna diatur? (Secara geografis, berdasarkan kantor, oleh departemen, dll)
Apakah ada pengguna yang memiliki persyaratan khusus untuk penyimpanan data, keamanan, atau retensi?
Apakah ada pengguna yang memiliki persyaratan kebijakan perangkat tertentu, seperti enkripsi?
Komputer dan perangkat klien mana yang perlu Anda dukung? (Windows 8.1, Windows RT 8.1, Windows 7)
Jika Anda mendukung PC Windows 7 dan ingin menggunakan kebijakan kata sandi, kecualikan domain yang menyimpan akun komputer mereka dari kebijakan kata sandi Folder Kerja, dan sebagai gantinya gunakan kebijakan kata sandi Kebijakan Grup untuk PC yang bergabung dengan domain di domain tersebut.
Apakah Anda perlu beroperasi dengan atau bermigrasi dari solusi manajemen data pengguna lain seperti Pengalihan Folder?
Apakah pengguna dari beberapa domain perlu menyinkronkan di internet dengan satu server?
Apakah Anda perlu mendukung pengguna yang bukan anggota grup Administrator Lokal di PC yang bergabung dengan domain mereka? (Jika demikian, Anda harus mengecualikan domain yang relevan dari kebijakan perangkat Folder Kerja seperti kebijakan enkripsi dan kata sandi)
Perencanaan Infrastruktur dan Kapasitas
Server sinkronisasi sebaiknya ditempatkan di bagian mana dalam jaringan?
Apakah server sinkronisasi akan dihosting oleh penyedia Infrastructure as a Service (IaaS) seperti di Azure VM?
Apakah server khusus akan diperlukan untuk grup pengguna tertentu, dan jika demikian, berapa banyak pengguna untuk setiap server khusus?
Di mana titik masuk/keluar Internet di jaringan?
Apakah server sinkronisasi akan diklusterkan untuk toleransi kesalahan?
Apakah server sinkronisasi perlu mempertahankan beberapa volume data untuk menghosting data pengguna?
Keamanan Data
Apakah beberapa share sinkronisasi perlu dibuat di server sinkronisasi mana saja?
Grup apa yang akan digunakan untuk menyediakan akses untuk sinkronisasi berbagi?
Jika Anda menggunakan beberapa server sinkronisasi, grup keamanan apa yang akan Anda buat untuk kemampuan yang didelegasikan untuk memodifikasi properti msDS-SyncServerURL objek pengguna?
Apakah ada persyaratan keamanan atau audit khusus untuk berbagi sinkronisasi individual?
Apakah autentikasi multifaktor (MFA) diperlukan?
Apakah Anda memerlukan kemampuan untuk menghapus data Folder Kerja dari jarak jauh dari PC dan perangkat?
Akses Perangkat
URL apa yang akan digunakan untuk menyediakan akses untuk perangkat berbasis Internet (URL default yang diperlukan untuk penemuan server otomatis berbasis email adalah workfolders.domainname)?
Bagaimana URL akan diterbitkan ke Internet?
Apakah penemuan server otomatis akan digunakan?
Apakah Kebijakan Grup akan digunakan untuk mengonfigurasi PC yang bergabung dengan domain?
Apakah Windows Intune akan digunakan untuk mengonfigurasi perangkat eksternal?
Apakah Pendaftaran Perangkat akan diperlukan agar perangkat tersambung?
Langkah selanjutnya
Setelah merancang implementasi Folder Kerja Anda, saatnya untuk menyebarkan Folder Kerja. Untuk informasi selengkapnya, lihat Menyebarkan Folder Kerja.
Referensi Tambahan
Untuk informasi terkait tambahan, lihat sumber daya berikut ini.
| Jenis konten | References |
|---|---|
| Evaluasi produk |
-
Folder Kerja - Folder Kerja untuk Windows 7 (pos blog) |
| Deployment |
-
Merancang Implementasi Folder Kerja - Menyebarkan Folder Kerja - Menyebarkan Folder Kerja dengan AD FS dan Proxy Aplikasi Web (WAP) - Menyebarkan Folder Kerja dengan Aplikasi Proxy Microsoft Entra - Pertimbangan Performa untuk Penyebaran Folder Kerja - Work Folders untuk Windows 7 (unduhan 64 bit) - Folder Kerja untuk Windows 7 (unduhan 32 bit) - Penyebaran Lab Uji untuk Folder Kerja (tulisan blog) |