Il passato recente ha imposto, quasi senza dare il tempo di interrogarsi sulle scelte tecnologiche da adottare, modalità di lavoro che per molti non erano impensabili anche soltanto pochi mesi fa. Ci si è trovati a ridefinire le modalità di accesso alle infrastrutture informatiche aziendali e non solo.

In questo contesto di lavoro a distanza sono stati adottati scenari molto differenti; in alcuni casi sono state installate batterie di Remote Desktop Services esposti tramite un portale WEB, in altri casi i servizi RDP sono sati connessi direttamente in internet. Tuttavia la configurazione di collegamenti tramite con VPN sono probabilmente i più frequenti.

In alcuni casi, i dipendenti sono stati autorizzati a portare a casa i loro PC aziendali per continuare a lavorare in remoto.

In questo ultimo scenario è importante interrogarsi sul comportamento che avrà la postazione che rimane disconnessa dal dominio di appartenenza per più del tempo di validità dell’account macchina, ossia 30 giorni.

Molti di voi ci hanno chiesto cosa succederà al ritorno dei PC in azienda e se i loro PC saranno fuori dominio e l’utente dovrà aspettarsi devi problemi relativi al Secure Channel/Expired Machine Account Password. In particolare, se vedranno la schermata seguente quando avranno effettuato il primo logon:

Figura 1: La relazione con il dominio è stata persa dal PC client

La risposta è semplicemente NO.

Per comprendere meglio tutto il contesto è bene riprendere un momento alcuni concetti sul comportamento degli oggetti computer all’interno di un dominio.

Semplificando molto, un account computer è analogo ad un account utente. È soggetto ad una relazione di fiducia verso il dominio, è sottoposto, o può essere sottoposto all’applicazione di Group Policy, ed è un oggetto che può avere espliciti permessi di accesso a determinate risorse.

L’account computer è caratterizzato dall’avere una password che ne permette l’autenticazione con il dominio ed esegue quindi un vero e proprio logon così come avviene per gli utenti.

Un carattere distintivo tra account computer ed account utente è la modalità con cui viene gestito il rinnovo della password che è parte integrante del processo di autenticazione.

L’utente dispone di una password la cui scadenza e validità è gestita dal Dominio, per cui, impostato il parametro che ne definisce la durata, è quest’ultimo che invalida la password imponendo all’utente il cambio.

La password dell’oggetto computer non è gestita dal Dominio, ma bensì dal computer stesso essendo quest’ultimo che inizia il processo di rinnovo quando la password raggiunge la sua scadenza, anche questo parametro (che di default è impostato a 30 giorni) è modificabile per mezzo di una GPO.

La Policy da impostare è Domain Member:Maximum Machine Password Age Ed è reperibile nel ramo Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Figura 2: Impostazione della GPO di Machine password Age

Possiamo quindi dire che la password dell’account computer all’interno di AD non scade mai e rimane valida finché non si verifica una di queste 3 condizioni:

• il client non ne inizia il rinnovo.
• si aggiunge un nuovo oggetto con lo stesso nome al dominio.
• l’account stesso viene manualmente cancellato o disabilitato.

Se la postazione viene quindi spenta e riaccesa anche dopo un lungo periodo di tempo, questa sarà sempre in grado di ricollegarsi al dominio in quanto il processo NETLOGON al primo riavvio si occuperà di rinegoziare una nuova password con il Dominio stesso.

Anche se il computer viene acceso normalmente, ma non entra in contatto con il dominio il comportamento è lo stesso, ossia il processo NETLOGON, non trovando disponibile il dominio cui è appartenente, non inizierà il processo di rinnovo della password.

Alla luce di questo comportamento risulta evidente che in uno scenario come quello descritto all’inizio, quando una postazione “rientra” in azienda questa riprenderà correttamente il proprio funzionamento.

In alcune realtà le prassi legate alla sicurezza dell’infrastruttura prevedono che vengano effettuate verifiche su AD mirate alla identificazione di oggetti definiti “Stale” o non più attivi, con successiva cancellazione o disabilitazione.

Oggetti di questo tipo siano essi Account Macchina, Utenti o Gruppi sono e rappresentano possibili falle nella sicurezza.

In uno scenario di questo tipo si potrebbe verificare che un oggetto macchina, solo temporaneamente inattivo, venga rimosso.

Una ulteriore criticità potrebbe essere legata proprio alla connessione VPN. Una errata configurazione, piuttosto che problemi legati alla connessione stessa, potrebbero fare sì che il client “creda” di essere in contatto con il dominio ed inizi le procedure di aggiornamento della password, ma che queste non si completino correttamente lasciando di fatto l’account macchina in dominio non coerente con i valori del client.

È un caso poco frequente ma è corretto e necessario considerarlo come possibile.

Questo contesto si configura come un problema di “Secure Channel” nei confronti del quale è necessario ristabilire la relazione di trust con il Dominio, altrimenti non sarà possibile accedere correttamente alle risorse disponibili.

Qui di seguito riportiamo due esempi, il primo utilizza PowerShell mentre il secondo la Gui classica di Windows dal lato Active Directory con il tool Active Directory Users and Computers e Active Directory Administrative Center

Primo esempio: PowerShell

• direttamente sul Client o remotamente è la modalità più semplice ed automatizzabile

$cred = Get-Credential


Invoke-Command -ComputerName "Server01" -ScriptBlock


{Reset-ComputerMachinePassword -Credential $using:cred}

Nell’esempio sopra si utilizza il cmdlet Reset-ComputerMachinePassword per mezzo del quale viene resettato l’account macchina

Secondo esempio: Windows GUI per mezzo di ADUC (Active Directory Users and Computers) ed ADAC (Active Directory Administrative Center)

• ADUC o più precisamente AD Users and Computers

per evitare di incorrere in tempi dovuti alla replica di AD è più corretto connettersi ad un DC con il ruolo di PDC Emulator

i passi necessari per completare la procedura sono:

• individuare l’oggetto macchina
• con il tasto destro del mouse selezionare “Reset Account”

Figura 3: Reset del computer account in Active Directory Users and Computers

Figura 4: Reset dell’account completato

La stessa operazione è possibile effettuarla utilizzando Active Directory Administrative Center

Figura 5: Reset Account dell’account computer effettuato dalla console Active Directory Administrative Center

I due esempi precedenti hanno un punto di partenza che il dominio, mentre è possibile resettare l’account macchina agendo anche direttamente sulla postazione client

Reset dell’account Macchina dal lato Client con “Network ID”

È necessario essere collegati con un utente di grado amministratore sul Client

Figura 6: Reset dell’account Macchina dal lato Client con “Network ID”

Figura 7: Scelta del tipo di network utilizzata

Figura 8: Il computer fa parte del dominio

Figura 9: Informazioni necessarie per effettuare il join al dominio

• L’account utilizzato per il wizard non richiede di essere membro di Domain Admin ma richiede i permessi di Join Computer, ossia di poter cambiare/resettare la password dell’account macchina sul Dominio.
• Se le restrizioni sul dominio sono particolarmente stringenti potrebbe essere necessario modificare le ACL sull’oggetto computer manualmente

Figura 10: Inserimento delle credenziali necessarie al join e al reset del secure channel

Figura 11: Avviso relativo alla presenza di un account computer con lo stesso nome già presente in Active Directory

Figura 12: Scelta sull’aggiunta dell’utente al computer

Figura 13: Join al dominio completato, con relativo reset del secure channel di Kerberos

Terminata la procedura il PC viene riavviato in modo da permettere una operatività piena con il dominio

Conclusioni

L’operatività delle infrastrutture di Directory sono di norma robuste e con un buon grado di resilienza alle diverse condizioni di impiego come dimostrato nella recente condizione di remotizzazione di molte attività.

In alcuni casi è necessario considerare alcune peculiarità di comportamento al fine di preventivare un ritorno alla normalità con il minimo disservizio Possibile

Riferimenti

https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/machine-account-password-process/ba-p/396026

https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/secure-channel-expired-machine-account-password-concerns/ba-p/1333535

Il primo aggiornamento di funzionalità dell’anno 2020, conosciuto con il nome Windows 10 May 2020 Update, è finalmente disponibile. Da qualche giorno è iniziato il rilascio ufficiale sui vari canali di distribuzione: Windows Update (in maniera scaglionata), Windows Server Update Services (WSUS) e Windows Update for Business. Le immagini ufficiali posso essere scaricate tramite le sottoscrizioni di Visual Studio, il Software Download Center (Assistente aggiornamento o il Media Creation Tool) e il VLSC (Volume Licensing Service Center).

A differenza del November 2019 Update (minor update) questo aggiornamento presenta una serie di nuove funzionalità, riassunte nel nostro articolo e presentate in quello ufficiale pubblicato sul Blog ufficiale di Windows.

La data di rilascio è 27 maggio 2020 e la versione è identificata dal numero 2004 build 19041. A partire da questo giorno Microsoft inizia a supportare la nuova versione del sistema operativo Windows 10 con le seguenti date di fine ciclo di vita:

• Edizioni Home, Pro, Pro Education e Pro for Workstations – 14 dicembre 2021
• Edizioni Enterprise ed Education – 14 dicembre 2021

Manutenzione garantita per 18 mesi dalla data di rilascio per l’aggiornamento di funzionalità rilasciato nella prima metà dell’anno

Se a qualcuno di voi è comparso questo avviso, all’interno della sezione Windows Update (in Aggiornamento e sicurezza delle Impostazioni di Windows), non si tratta di un problema ma bensì di un miglioramento dal punto di vista della comunicazione.

Non tutti i dispositivi potrebbero essere pronti a ricevere il nuovo aggiornamento e Microsoft ha posto molta attenzione su questo tema per evitare il più possibile “piacevolissime” BSOD dovute a incompatibilità hardware e/o software. In questo scenario vi suggeriamo di aspettare, ma è sempre possibile forzare l’installazione di May 2020 Update a vostro rischio e pericolo.

Novità di Windows 10 May 2020 Update

Come sempre consigliamo a tutti gli amministratori IT di distribuire, all’interno delle proprie organizzazioni, la nuova versione di Windows 10 (2004) in maniera mirata e graduale (approccio ad anelli). Questo processo sarà utilissimo per verificare che le app, i dispositivi e l’infrastruttura funzionino regolarmente con le nuove feature.

Trovate più in basso un ottimo link di approfondimento sul come gestire le fasi di aggiornamento del parco macchine: Pianificazione, Preparazione e Distribuzione.

In questo nuovo aggiornamento i miglioramenti principali si concentrano nelle seguenti aree:

• Manutenzione e Distribuzione (Delivery Optimization, Servicing, Deployment, Windows Update for Business)
  Riduzione dei tempi medi di inattività, da oltre 80 minuti con la versione 1703 si passa a circa 16 minuti nella versione 2004, includendo un solo riavvio per molti utenti. Controlli migliorati per la funzione Spazio Riservato. Nuova opzione di “Reimposta questo PC” che abilita il download dei file di sistema aggiornati dal Cloud.
  
• Cortana
  L’assistente virtuale di Microsoft, Cortana, ora è una app a sé con la possibilità di essere aggiornata tramite il Microsoft Store e trascinare la finestra in qualunque punto del desktop. Il nuovo approccio è orientato nell’offrire maggiori funzioni per la produttività, integrandosi anche con Microsoft 365. Alcune skill non saranno più disponibili. Per approfondire, seguite l’articolo pubblicato sul blog di Microsoft 365.
  
• Accessibilità
  Grande attenzione da parte di Microsoft per semplificare la visualizzazione e l’utilizzo del sistema operativo da parte di persone con problemi alla vista o di visione ridotta. Trovate un articolo dettagliato sul Blog di Windows.
  
• Gestione delle lingue
  Supporto maggiore per l’installazione di Windows 10 in ambienti multilingue, e altri paesi, con l’introduzione di miglioramenti alla dettatura, intelligenza di SwiftKey e IME dell’Asia orientale (Quick Input Method Editors).
  
• Windows Subsystem for Linux 2
  Disponibile la nuova versione di WSL che raggiunge quota 2. Questa nuova architettura del Windows Subsystem for Linux ottimizza le prestazioni del file system e aggiunge la piena compatibilità con le chiamate di sistema. Per maggiori informazioni potete far riferimento a questo link.
  
• Sicurezza di Windows (Application Guard, FIDO2, Windows Defender System Guard, Windows Hello, Windows Sandbox)
  Maggiore sicurezza del sistema ad alto livello (protezione del firmware) e supporto a nuovi sistemi di protezione per abilitare l’accesso senza password anche agli account Microsoft presenti nel dispositivo. Windows Hello ora è supportato come Fast Identity Online 2 (FIDO2) Authenticator in tutti i principali browser, compresi Chrome e Firefox. Windows Sandbox è stato aggiornato con correzioni di bug e maggiore controllo sulla sua configurazione.
  
• Ulteriori miglioramenti
  Come in tutte le nuove versioni, anche con la 2004 vengono inclusi una serie di ulteriori miglioramenti per consumatori e professionisti IT: Ricerca, Task Manager, Bluetooth, supporto alle telecamere di rete e tanto altro.
  

Ulteriori informazioni sulle novità di Windows 10 2004
Ulteriori informazioni sulla distribuzione di Windows 10 2004

Caratteristiche rimosse o non più sviluppate (2004)

Ogni nuova versione di Windows 10 contiene funzionalità aggiunte e/o migliorate, ma a volte alcune di esse vengono rimosse o non più sviluppate.

Rimosse dalla 2004

• Cortana. L’assistente virtuale non è più integrato nella ricerca del sistema operativo. Come descritto nell’articolo è ora una app installabile e aggiornabile tramite il Microsoft Store con funzioni orientate verso la produttività.
• Windows To Go. Una funzionalità esclusiva dell’edizione Pro ed Enterprise di Windows 10, la quale consentiva di effettuare l’avvio del sistema operativo da dispositivi di memorizzazione di massa come una penna USB, è stata annunciata come obsoleta in Windows 10 1903 e viene rimossa in questa versione.
• Piani per dispositivi mobili e app di messaggistica. Entrambe le app sono ancora supportate, ma ora sono distribuite in modo diverso. Gli OEM possono ora includere queste app nelle immagini Windows per dispositivi mobile abilitati. Le app vengono rimosse per gli altri dispositivi (senza la funzione Cellular).

Non più sviluppate dalla 2004

• Framework per dispositivi complementari. Il Companion Device Framework non è più in fase di sviluppo attivo.
• Microsoft Edge. La versione legacy di Microsoft Edge (lanciata con Windows 10 nel 2015) non è più in fase di sviluppo. Consigliamo di scaricare il nuovo Microsoft Edge basato su Chromium.
• Dischi dinamici. La funzione dischi dinamici non è più in fase di sviluppo. Questa sarà completamente sostituita da spazi di archiviazione in una versione futura di Windows 10.

Scaricare Windows 10 May 2020 Update

Per chi fosse interessato a scaricare le ISO ufficiali o la versione di valutazione di 90 giorni forniamo di seguito i relativi dati identificativi:

Windows 10 (business editions), version 2004 (updated May 2020)

All’interno del Media sono presenti le seguenti edizioni:

• Windows 10 Pro
• Windows 10 Pro N
• *Windows 10 Pro for Workstations
• *Windows 10 Pro N for Workstations
• Windows 10 Pro Education
• Windows 10 Pro Education N
• Windows 10 Education
• Windows 10 Education N
• Windows 10 Enterprise
• Windows 10 Enterprise N

*È richiesta l’installazione di Windows 10 Pro, versione 1709 o superiore, prima di poter attivare il product key di Window 10 Pro for Workstations.

• en_windows_10_business_editions_version_2004_updated_may_2020_x64_dvd_aa8db2cc.iso
  SHA256: B0E2CF6EDAFE669AF0E0E4E0BC4A73C93FD309D36E4EA0114B4010C35835C660
• en_windows_10_business_editions_version_2004_updated_may_2020_x86_dvd_3d5f0bff.iso
  SHA256: D07302A9883D100ECB0D8F280B3F53B3A56E5E482D67F0A467F8240B4BA10546
• it_windows_10_business_editions_version_2004_updated_may_2020_x64_dvd_873b563b.iso
  SHA256: 96A22AD2B72AE15752B7595FDFB0B28C414B61C969D25DAF95C30F3A3111139A
• it_windows_10_business_editions_version_2004_updated_may_2020_x86_dvd_a47151ee.iso
  SHA256: 267435B4C58679D558415D581926BE37774419BA2FBA313ED92D17ADE4D75279

Windows 10 (consumer editions), version 1909 (updated Jan 2020)

All’interno del Media sono presenti le seguenti edizioni:

• Windows 10 Home
• Windows 10 Home N
• Windows 10 Core Single Language
• Windows 10 Pro
• Windows 10 Pro N
• *Windows 10 Pro for Workstations
• *Windows 10 Pro N for Workstations
• Windows 10 Pro Education
• Windows 10 Pro Education N
• Windows 10 Education
• Windows 10 Education N

*È richiesta l’installazione di Windows 10 Pro, versione 1709 o superiore, prima di poter attivare il product key di Window 10 Pro for Workstations.

• en_windows_10_consumer_editions_version_2004_updated_may_2020_x64_dvd_36d61c40.iso
  SHA256: A9EFD2329ED805A6A58E0E0101F9B22AD4031E80E2C663C571CD004DB26D2F31
• en_windows_10_consumer_editions_version_2004_updated_may_2020_x86_dvd_2b9b4e01.iso
  SHA256: 34DEDA035093417D811DBE4A6EB4CCB6A5D9E86F586395C93DE3C73D5D9B5D2B
• it_windows_10_consumer_editions_version_2004_updated_may_2020_x64_dvd_faa177dc.iso
  SHA256: CA6DE4BF66E1DBB83612D6DD34E554403DB1208439D8F28EC151565E4A9F4028
• it_windows_10_consumer_editions_version_2004_updated_may_2020_x86_dvd_3b915e23.iso
  SHA256: DB3D52F36B1E718C9B01AA3761F75C107A9D5922705D45C9E89C166ABD0B7B14

Versione di valutazione di Windows 10 Enterprise 2004

Per chi volesse provare una versione di valutazione di 90 giorni (edizione Enterprise) può scaricarla direttamente dall’ Evaluation Center:

Lingue disponibili

Cinese (semplificato), cinese (tradizionale), coreano, francese, giapponese, inglese (Gran Bretagna), inglese (Stati Uniti), italiano, portoghese, spagnolo, tedesco

Edizioni

• Windows 10 Enterprise, version 2004 | 64-bit ISO
• Windows 10 Enterprise, version 2004 | 32-bit ISO
• Windows 10 Enterprise LTSC 2019 | 64-bit ISO
• Windows 10 Enterprise LTSC 2019 | 32-bit ISO

Per maggiori informazioni vi invitiamo a seguirci sui nostri canali per tutte le novità e gli approfondimenti su Windows 10.

Da diversi giorni ci sono segnalazioni in merito a un problema emerso dopo uno degli ultimi aggiornamenti cumulativi (qualitativi) di Windows 10, il quale rende la stampa pressoché impossibile su alcuni vecchi modelli di stampanti connesse tramite USB. Il fenomeno non è strettamente collegato a uno specifico modello o tipologia di stampante anche perché in alcuni casi ha riguardato una funzione software come la stampa del documento in formato PDF.

Le versioni di Windows 10 coinvolte sono 1903, 1909 e anche l’ultima 2004 (May 2020 Update) e Microsoft, in circa una settimana, ha risolto il problema rilasciando, per la 2004, un aggiornamento del sistema datato 18 giugno 2020 (KB4567523) il quale porta la build del sistema operativo alla versione 19041.331; per la 1903 – 1909 l’aggiornamento è datato 16 giugno 2020 (KB4567512) e porta le build rispettivamente alle versioni 18362.904 e 18363.904.

Addresses an issue that might prevent certain printers from printing. The print spooler might generate an error or close unexpectedly when attempting to print, and no output will come from the affected printer. You might also encounter issues with the apps you are attempting to print from, such as receiving an error, or the app might close unexpectedly. This issue might also affect software-based printers, such as when printing to PDF.

Updates an issue that might prevent certain printers from printing, generate print errors, or cause apps and print spoolers to close unexpectedly.

Nel paragrafo successivo vi descriveremo i semplicissimi passaggi per installare manualmente questo aggiornamento in attesa che venga reso disponibile su Windows Update e Windows Server Update Services (WSUS).

Come risolvere il problema su Windows 10 2004?

• Andate sul Microsoft Update Catalog a questo link
• Scaricate il pacchetto di aggiornamento per il vostro sistema
• Installare manualmente con un doppio clic sul file .msu

Come risolvere il problema su Windows 10 1903 e 1909?

• Andate sul Microsoft Update Catalog a questo link
• Scaricate il pacchetto di aggiornamento per il vostro sistema
• Installare manualmente con un doppio clic sul file .msu

L'articolo Windows 10 e vecchie stampanti USB: problemi di stampa e come risolverli proviene da ICT Power.

Come ogni secondo martedì del mese (il cosiddetto Patch Tuesday), Microsoft ha rilasciato i nuovi aggiornamenti di sicurezza per i propri prodotti e sistemi operativi client/server.

Una delle tante patch di sicurezza inclusa nell’aggiornamento cumulativo di questo mese va a colmare una grave falla inclusa in tutte le edizioni di Windows Server (2003 -> 2019) con ruolo DNS (Domain Name System) abilitato.

Parliamo della vulnerabilità SIGRed (CVE-2020-1350), che se sfruttata efficacemente, può portare il server attaccato ad una condizione di buffer overflow. Di conseguenza l’infrastruttura coinvolta potrebbe essere esposta a rischi di sicurezza.

I ricercatori di CheckPoint, che hanno scoperto la vulnerabilità vecchia di 17 anni, hanno spiegato nel dettaglio alla pagina https://research.checkpoint.com/2020/resolving-your-way-into-domain-admin-exploiting-a-17-year-old-bug-in-windows-dns-servers/ come un attaccante possa compromettere l’intera infrastruttura e garantirsi i privilegi di Domain Administrator utilizzando una malicious DNS response.

Il bug ha come indice di pericolosità 10/10 e la casa di Redmond suggerisce di applicare il prima possibile gli ultimi aggiornamenti sui sistemi coinvolti.

Per chi non avesse la possibilità di installare l’ultimo Cumulative Update, è possibile mitigare la vulnerabilità (ma non risolverla a livello di codice) tramite l’applicazione di una chiave di registro:

Percorso: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters

Nome Chiave: TcpReceivePacketSize Tipo DWORD

Valore: 0xFF00

Non è necessario riavviare il server ma solo il servizio DNS ( prompt dei comandi come amministratore net stop dns && net start dns)

Per risolvere la vulnerabilità è necessario installare gli aggiornamenti più recenti tramite Windows Update o tramite download diretto consultando la pagina https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350.

L’installazione costante degli aggiornamenti all’interno della propria infrastruttura consente di aumentare notevolmente il livello di sicurezza.

Essendo una vulnerabilità grave, vi invito ad applicare il prima possibile l’azione correttiva più consona al vostro contesto.

L'articolo SIGRed – Linee guida per la grave vulnerabilità su Windows Server con ruolo DNS proviene da ICT Power.

Dopo aver scritto tantissimi articoli sul mondo Microsoft Azure e su Microsoft/Office 365 e di aver condiviso le mie guide, mi è venuto in mente di riassumere le differenze di funzionalità disponibili per i dispositivi Azure AD Joined, Hybrid Azure AD Joined e Azure AD Registered perché ho notato che non sempre sono ben chiare.

La primissima cosa che mi interessa farvi notare è che, a dispetto del nome, c’è un’enorme differenza tra Azure AD e Active Directory Domain Services e vi invito caldamente a scoprirla nell’articolo Confrontare Active Directory con Azure Active Directory. Microsoft ha introdotto Active Directory Domain Services in Windows 2000 per offrire alle organizzazioni la possibilità di gestire i sistemi dell’infrastruttura locale usando una singola identità per ogni utente.

Azure Active Directory (Azure AD) è il servizio di gestione delle identità e degli accessi basato sul cloud di Microsoft, che consente di accedere e usare le risorse in:

• Risorse esterne, tra cui Microsoft Office 365, il portale di Azure e migliaia di altre applicazioni SaaS.
• Risorse interne, tra cui app nella rete e nella Intranet aziendale, oltre a eventuali app cloud sviluppate dall’organizzazione.

Azure AD offre strumenti avanzati per contribuire automaticamente alla protezione delle identità e delle credenziali degli utenti e per la conformità con i requisiti di accesso definiti dalla governance. Abbiamo molto scritto in questo blog a proposito della Multi-Factor Authentication (MFA) e della Passwordless Authentication e i vantaggi per la sicurezza delle autenticazioni sono indubbi. Identity is the new security boundary!

Inserire i dispositivi in Azure AD

Per inserire un dispositivo in Azure AD, sono disponibili più opzioni:

• Registrazione in Azure AD

  I dispositivi registrati in Azure AD sono in genere dispositivi personali (tablet, PC, smartphone) e sono accessibili con un account Microsoft personale o un altro account locale.

  • Windows 10
  • iOS
  • Android
  • MacOS
• Join ad Azure AD

  I dispositivi aggiunti ad Azure AD sono di proprietà di un’organizzazione e sono accessibili con un account Azure AD appartenente all’organizzazione. Sono presenti solo nel cloud.

  • Windows 10
  • Macchine virtuali Windows Server 2019 in esecuzione in Azure (Server Core non è supportato)
• Join ad Azure AD in modalità ibrida

  I dispositivi aggiunti ad Azure AD in modalità ibrida sono di proprietà di un’organizzazione e sono accessibili con un account Azure AD appartenente all’organizzazione. Sono presenti nel cloud e nell’ambiente locale.

  • Windows 7, 8.1 o 10
  • Windows Server 2008 o versioni successive

Dispositivi aggiunti ad Azure AD (Azure AD Joined)

A partire dalla versione di Windows 10 Anniversary Update (Professional oppure Enterprise) è possibile aggiungere il sistema operativo client di casa Microsoft ad Azure Active Directory (Azure AD), la directory basata sul cloud multi-tenant usata come servizio di gestione delle identità, che combina i servizi di directory, la gestione dell’accesso delle applicazioni e la protezione delle identità in un’unica soluzione.

L’aggiunta ad Azure AD è destinata alle organizzazioni che vogliono essere basate prima di tutto o solo sul cloud ed è possibile solo se utilizzate Windows 10. Ricordatevi anche che potete joinare ad Azure AD solo un computer che si trova in un Workgroup e non i computer già joinati ad un dominio.

Figura 1: Dispositivo aggiunto ad Azure AD (Azure AD Joined)

L’obiettivo dei dispositivi joinati ad Azure AD è quello di rendere più semplici:

• Le distribuzioni Windows di dispositivi di proprietà dell’azienda
• L’accesso ad app e risorse aziendali da qualsiasi dispositivo Windows
• La gestione basata su cloud di dispositivi di proprietà dell’azienda
• L’accesso degli utenti ai dispositivi tramite il proprio account aziendale o dell’istituto di istruzione di Active Directory.

Nella tabella sotto vi riporto i principali vantaggi:

Dispositivi joinati all’identità ibrida di Azure AD (Hybrid Azure AD Joined)

Dal lontano 1999 nelle aziende si è diffusa Active Directory , che si fonda sui concetti di dominio (in particolare di un Dominio Windows Server) e di directory, ovvero un insieme di servizi di rete, meglio noti come directory services, gestiti da un domain controller e adottati dai sistemi operativi Microsoft a partire da Windows 2000 Server.

Per le aziende che già utilizzano Active Directory Domain Services (AD DS) e vogliono anche sfruttare le funzionalità offerte da Azure Active Directory è possibile implementare dispositivi aggiunti all’identità ibrida di Azure AD (Hybrid Azure AD Joined). Questi dispositivi sono contemporaneamente joinati all’Active Directory locale e registrati con l’Azure Active Directory.

Figura 2: Dispositivo aggiunto all’identità ibrida di Azure AD (Hybrid Azure AD Joined)

L’utilizzo dei dispositivi joinati all’identità ibrida di Azure AD è necessario quando:

• Sono state distribuite app Win32 in questi dispositivi che fanno affidamento sull’autenticazione di computer Active Directory.
• Si vuole continuare a usare Criteri di gruppo per gestire la configurazione del dispositivo.
• Si vuole continuare a usare le soluzioni di imaging esistenti per distribuire e configurare i dispositivi.
• È necessario supportare i dispositivi Windows 7 e 8,1 di livello inferiore, oltre a Windows 10
  

Nella tabella sotto vi riporto i principali vantaggi:

Dispositivi registrati in Azure AD (Azure AD Registered)

L’obiettivo dei dispositivi registrati in Azure AD è fornire agli utenti il supporto per gli scenari BYOD (Bring Your Own Device) o per dispositivi mobili (smartphone, tablet, ecc.). In questi scenari, un utente può accedere alle risorse controllate Azure Active Directory dell’organizzazione usando un dispositivo personale. In più gli amministratori possono avere un maggior controllo sul dispositivo ed imporre regole di accesso condizionale.

Figura 3: Dispositivi registrati in Azure AD (Azure AD Registered)

Un tipico scenario di utilizzo di Dispositivi registrati in Azure AD (Azure AD Registered) è quello mostrato nell’articolo Configurare l’accesso condizionale alle applicazioni on-premises utilizzando Azure AD Device Registration

Quando un dispositivo è joinato ad un dominio di Active Directory gli utenti possono accedere alle risorse aziendali senza dover reinserire le proprie credenziali di autenticazione ogni volta che si tenta di effettuare l’accesso a queste risorse. Se il dispositivo non è joinato, gli utenti possono accedere alle risorse aziendali, in particolare ai siti web, ma devono reinserire ogni volta le credenziali.

In Windows 8.1 è stata introdotta la funzionalità di WorkPlace Join, che in Windows 10 è stata rinominata in Device Registration. Gli utenti possono accedere alle applicazioni web con l’esperienza di Single Sign-On (SSO) effettuando l’accesso da un dispositivo abilitato per la Device Registration, senza che il dispositivo sia un computer del dominio.

La Device Registration è particolarmente utile quando gli utenti utilizzano i propri dispositivi privati per accedere alle risorse aziendali. Lo smart working ci permette di lavorare da casa e di essere flessibili negli orari e negli spazi dove lavorare. Ma per lavorare abbiamo bisogno di un device, che sia un portatile, un tablet o un PC e abbiamo bisogno di poter controllare gli accessi da questi dispositivi.

Lo stesso ragionamento può essere applicato agli smartphone, ormai sempre più spesso utilizzati per lavorare.

In Azure AD i dispositivi possono essere gestiti usando strumenti per la gestione di dispositivi mobili (MDM), come Microsoft Intune, Microsoft Endpoint Configuration Manager, Criteri di gruppo (aggiunta ad Azure AD in modalità ibrida), strumenti per la gestione di applicazioni mobili (MAM) o altri strumenti di terze parti.

La registrazione e l’aggiunta di dispositivi ad Azure AD offrono agli utenti un accesso SSO facile alle risorse cloud. Questo processo consente anche agli amministratori di applicare criteri di accesso condizionale alle risorse in base al dispositivo da cui viene eseguito l’accesso.

È possibile registrare i dispositivi che utilizzano il sistema operativo:

• Windows 10
• macOS
• iOS
• Android

Conclusioni

Con la diffusione di dispositivi di tutte le forme e dimensioni e del concetto BYOD (Bring Your Own Device) gli amministratori di sistema si trovano a dover affrontare due obiettivi opposti:

• Consentire agli utenti finali di essere produttivi sempre e ovunque
• Proteggere gli asset dell’organizzazione

Per proteggere questi asset, il personale IT deve gestire prima di tutto le identità dei dispositivi. A tale scopo, può usare strumenti come Microsoft Intune per assicurarsi che siano soddisfatti gli standard di sicurezza e conformità.
Azure Active Directory (Azure AD) consente l’accesso Single Sign-On a dispositivi, app e servizi da qualsiasi posizione:

• Gli utenti hanno accesso agli asset dell’organizzazione di cui hanno bisogno.
• Il personale IT dispone dei controlli necessari per proteggere l’organizzazione.

La gestione delle identità dei dispositivi costituisce un elemento fondamentale per l’accesso condizionale basato su dispositivo. Con i criteri di accesso condizionale basato su dispositivo è possibile assicurarsi che l’accesso alle risorse nell’ambiente in uso sia possibile solo con dispositivi gestiti.

L'articolo Dispositivi Azure AD Joined, Hybrid Azure AD Joined e Azure AD Registered: facciamo chiarezza proviene da ICT Power.

Le funzionalità di Cloud Management Gateway (CMG) e Cloud Distribution Point (CDP) disponibili in Microsoft Endpoint Configuration Manager offrono la possibilità di gestire i client in Internet in modo semplice.

Il CMG come servizio cloud (PaaS) in Microsoft Azure consente di “coprire” dispositivi che si trovano al di fuori della rete aziendale o in sedi remote senza esporre la propria infrastruttura in Internet.

Di seguito una lista delle funzionalità principali:

• Distribuzione software;
• Aggiornamenti software;
• Protezione degli endpoint;
• Inventario hardware e software;
• Stato del client e notifiche;
• Esecuzione di script;
• CMPivot;
• Impostazioni di conformità;
• Installazione client di Config Mgr con Azure AD https://docs.microsoft.com/en-us/mem/configmgr/core/clients/deploy/deploy-clients-cmg-azure;
• Installazione client di Config Mgr con la modalità token-based authentication (Disponibile con la versione di MECM 2002) https://docs.microsoft.com/en-us/mem/configmgr/core/clients/deploy/deploy-clients-cmg-token;
• Task Sequence https://docs.microsoft.com/en-us/mem/configmgr/osd/deploy-use/deploy-a-task-sequence#deploy-windows-10-in-place-upgrade-via-cmg.

L’integrazione di questi servizi non prevede l’apertura di alcuna porta in ingresso per la rete locale. I ruoli di Service connection point e CMG connection point avviano tutte le comunicazioni con Azure e il Cloud management gateway.

Per ulteriori dettagli, vi invito a visitare la documentazione ufficiale https://docs.microsoft.com/en-us/mem/configmgr/core/clients/manage/cmg/plan-cloud-management-gateway#required-ports

Figura 1 – Flusso di rete tra rete On-Premises ed Azure

In questo articolo vedremo come implementare le funzionalità di Cloud Management Gateway e Cloud Distribution Point in Microsoft Endpoint Configuration Manager con i seguenti requisiti:

• Versione Configuration Manager 1902 o successiva per l’inizializzazione del CMG con Azure Resource Manager;
• Comunicazione in MECM tra clients con identità presente solo in Active Directory e il Cloud Management Gateway in HTTPS (necessaria una PKI interna). Per la configurazione di una PKI 2-tier all’interno della propria infrastruttura, vi invito a leggere l’articolo https://www.ictpower.it/sistemi-operativi/deploy-pki-in-windows-server-2016-parte-1-architettura-di-una-pki-two-tier.htm ;
• Una sottoscrizione Azure attiva ed un’utenza con permessi di Global administrator.

Prima di iniziare,accertatevi che la funzionalità Cloud Management Gateway sia attiva.

Console di Configuration Manager -> Administration -> Overview -> Updates and Servicing -> Features -> Cloud Management Gateway -> Turn on.

Figura 2 – Verifica funzionalità Cloud Management Gateway in console Config Mgr

Configurazione Azure Services

Il primo step da smarcare riguarda la configurazione degli Azure Services. Le 2 apps (Server e Client) forniscono dettagli sulla sottoscrizione, sulla configurazione e sono necessarie per l’integrazione con Azure AD.

Il wizard disponibile in console offre la possibilità, in modo semplice ed intuitivo, di configurare gli Azure Services.

Console di Configuration Manager -> Administration -> Overview -> Cloud Services -> Azure Services -> Configure Azure Services.

Figura 3 -Configurazione degli Azure Services in Config Mgr

Indicate un nome e selezionate la voce Cloud Management.

Figura 4 – Selezione di Cloud Management in wizard Azure Services

Selezionate l’Azure environment AzurePublicCloud e procedete con la creazione della Web app cliccando su Browse.

Figura 5 – Wizard Azure Services per la creazione delle apps

Nella schermata successiva, cliccate Create.

Figura 6 – Creazione Server App in wizard Azure Services

Indicate un nome all’applicazione (Es. MECM – Server App), selezionate la validità della secret key (1 o 2 anni) e cliccate su Sign In per accedere con l’account Global Admin di Azure.

Lasciate come di default le opzioni Home page URL e APP ID URI a meno di particolari esigenze.

Figura 7 – Configurazione Server App in wizard Azure Services

Selezionate la server app creata in precedenza e cliccate OK.

Figura 8 – Selezione della server app creata in precedenza nel wizard Azure Services

Procedete ora con la configurazione della Native Client App cliccando su Browse…

Figura 9 – Creazione della Native Client App in wizard Azure Services

Nella schermata successiva, cliccate Create.

Figura 10 – Creazione della Native Client App

Indicate un nome alla Client App (ES. MECM – Client App) e loggatevi con la vostra utenza Global Admin di Azure.

Figura 11 – Configurazione della Client App

Selezionate la Client App creata in precedenza e cliccate OK.

Figura 12 – Selezione della Client App in wizard Azure Services

Le opzioni Enable Azure AD User Discovery e Enable Azure AD Group Discovery non incidono sul funzionamento del Cloud Management Gateway. La scelta è a vostra discrezione ed in base alla vostra infrastruttura.

Figura 13 – Discovery Settings in wizard Azure Services

Nella pagina Summary verificate i parametri e cliccate su Next.

Figura 14 – Summary in wizard Azure Services

Terminata la configurazione, cliccando su Azure Services in Configuration Manager troverete il nuovo servizio Azure pertinente al Cloud Management.

Figura 15 – Verifica Azure Services in console Configuration Manager

Verifica disponibilità del dominio di terzo livello *.cloudapp.net

Prima di procedere con la creazione del template e l’enrollment del certificato, vi consiglio di verificare la disponibilità del dominio di terzo livello per il Cloud Management Gateway.

Loggatevi nel portale di Azure, cercate Cloud services (classic) e successivamente cliccate su Add.

Figura 16 – Cloud Services su Azure per verifica dominio di terzo livello *.cloudapp.net

Nel mio caso e come da seguente immagine, ho verificato la disponibilità dell’Azure domain name ictpowcmg.cloudapp.net.

Non procedete con la creazione del Cloud Service perché verrà aggiunto automaticamente in Azure in fase di inizializzazione del CMG.

Figura 17 – Validazione del dominio di terzo livello per il Cloud Management Gateway.

Configurazione del Certificate Template per Cloud Management Gateway

Accedete al server con a bordo il ruolo di Certification Authority e negli Windows Administrative Tools selezionate la voce Certification Authority.

Per la creazione del nuovo template: click destro su Certificate Teamplates -> Manage.

Figura 18 – Gestione dei certificate template su CA

Selezionate il template preesistente Web Server e con click destro scegliete la voce Duplicate Template.

Figura 19 – Duplicazione del template Web Server sulla CA

Nel tab General, indicate un nome al template (Es. MECM CMG Cert) e la validità del certificato. Nel mio caso ho inserito come validità 2 anni.

Figura 20 – Inserimento nome e validità del certificato CMG

Nel tab Request Handling spuntate l’opzione Allow private key to be exported.

Figura 21 – Allow private key to be exported per il certificato CMG

Nel tab Security, aggiungete il computer account del primary site server di Configuration Manager ed assegnate i permessi di Read ed Enroll.

Figura 22 – Permessi di enrollment del certificato CMG per il server Config Mgr

Per rendere disponibili il nuovo template per il certificato destinato al CMG, cliccate su Certificate Templates -> New -> Certificate Template to Issue.

Figura 23 – Issue del certificate templates CMG

Selezionate il nome del template creato in precedenza e cliccate OK.

Figura 24 – Certificate template disponibile per l’enrollment

Enrollment del certificato per il Cloud Management Gateway

Recatevi sul primary site server di Configuration Manager e procedete con l’enrollment del certificato per il Cloud Management Gateway: MMC -> Add or Remove Snap-in -> Certificates -> Computer Account.

In Personal -> Certificates -> All Tasks -> Request New Certificate.

Figura 25 – Enrollment del certificato CMG 1

Selezionate il template creato in precedenza e cliccate More information is required to enroll for this certificate. Click here to configure settings.

Figura 26 – Enrollment del certificato CMG 2

Nel tab Subject, compliate i seguenti campi:

Common name: (Es. ictpowcmg.cloudapp.net);

DNS: DNS Name *.cloudapp.net (Es. ictpowcmg.cloudapp.net).

Figura 27 – Enroll del certificato CMG 3

Terminata la configurazione, cliccate su Enroll.

Figura 28 – Enroll del certificato CMG 4

Export del certificato per il Cloud Management Gateway

Una volta generato il certificato, procedete con l’export: click destro sul certificato e selezionate l’opzione Export.

Figura 29 – Export del certificato CMG 1

Selezionate la voce Yes, export the private key e cliccate Next.

Figura 30 – Export del certificato CMG 2

Figura 31 – Export del certificato CMG 3

Indicate una password e nella schermata successiva la cartella di destinazione dove verrà posizionato il .pfx.

Figura 32 – Export del certificato CMG 4

Figura 33 – Export del certificato CMG 5

Creazione del Cloud Management Gateway in Microsoft Endpoint Configuration Manager

Ora entriamo nel vivo con la creazione del CMG. Recatevi in Console di Configuration Manager -> Administration -> Overview -> Cloud Services -> Cloud Management Gateway -> Create Cloud Management Gateway.

Figura 34 – Creazione del Cloud Management Gateway in Config Mgr

Loggatevi con l’utenza Global Admin di Azure ed automaticamente verranno popolati i campi Subscription ID, Azure AD app name e Azure AD tenant name.

Figura 35 – Configurazione del CMG in Config Mgr

Cliccate su Browse… e selezionate il certificato esportato in precedenza. In base al DNS inserito in fase di enrollment verranno popolati i campi Service name e Deployment name.

Dopodiché indicate la Region e il Resource Group nel quale verrà eseguito il deployment del Cloud Management Gateway.

Figura 36 – Configurazione parametri Cloud Management Gateway

Selezionate la voce Certificates… e caricate i certificati Root ed eventuale SubCA.

Essendo nel mio caso una PKI 2 tier ho caricato i certificati che compongono la catena (Root e Sub CA).

Figura 37 – Caricamento dei certificati in fase di inizializzazione CMG

Infine, spuntate le opzioni Verify Client Certificate Revocation e Allow CMG to function as a cloud distribution point and serve content from Azure storage per aggiungere la funzionalità di Cloud Distribution Point al medesimo servizio del CMG.

Figura 38 – Configurazione parametri Cloud Management Gateway

Configurate l’Alerting in base alle vostre esidenze e cliccate Next.

Figura 39 – Configurazione Alerting Cloud Management Gateway

Una volta terminato il wizard, partirà il provisioning del servizio.

Figura 40 – Provisioning del Cloud Management Gateway

Configurazione del ruolo Cloud Management Gateway Connection Point

Il CMG Connection Point è indispensabile per la comunicazione dell’infrastruttura on-prem di MECM con il Cloud Management Gateway.

Per aggiungere il ruolo recatevi in Administration -> Overview -> Site Configuration -> Servers and Site System Roles -> Selezionate un server con ruolo di Management Point (consigliato) -> Add Site System Roles.

Figura 41 – Configurazione del CMG Connection Point in MECM

Nel wizard spuntate l’opzione Cloud management gateway connection point e cliccate Next.

Figura 42 – Selezione del ruolo CMG connection point

Selezionate il nome del CMG interessato e cliccando Next il gioco è fatto.

Figura 43 – Configurazione del ruolo CMG Connection Point

Abilitazione del traffico dei clients con il Cloud Management Gateway.

In Administration -> Overview -> Site Configuration -> Servers and Site System Roles selezionate il server con a bordo il ruolo di Management Point ed entrate nelle proprietà.

Figura 44 – Configurazione del MP per abilitare traffico verso CMG

Spuntate l’opzione Allow Configuration Manager cloud management gateway traffic e selezionate la voce Allow intranet and Internet connections.

Figura 45 – Abilitazione del traffico verso il CMG

Configurazione dei Client Settings

Questo passaggio è fondamentale per la comunicazione dei clients con il CMG e gli altri servizi in cloud.

Administration -> Overview -> Client Settings -> Create Custom Client Device Settings.

Figura 46 – Creazione dei Client Settings per la comunicazione client con i Cloud Services

Indicate un nome al Client Device Settings e spuntate la voce Cloud Services.

Figura 47 Configurazione del Client Device Settings per i Cloud Services

Selezionate la voce Yes per le opzioni Allow access to cloud distribution point e Enable clients to use a cloud management gateway.

Figura 48 – Configurazione del Client Device Settings per i Cloud Services

BONUS: Nel caso in cui vogliate abilitare o meno la comunicazione dei clients con Config Mgr attraverso connessioni Internet in tethering è possibile configurare l’opzione Metered Internet Connections.

Figura 49 – Configurazione dei Client Device Settings per metered internet connections.

Una volta completata la configurazione non dimenticate di distribuirla sui clients interessati.

Conclusioni

Con il diffondersi dell’home working, per la gestione dei dispositivi in termini di protezione e produttività è richiesto uno sforzo non indifferente per gli IT Admin.

L’adozione di queste funzionalità in Microsoft Endpoint Configuration Manager richiede numerose operazioni da eseguire ma allo stesso tempo offre altrettanti vantaggi.

Per ulteriori dettagli, vi rimando al seguente articolo ufficiale: https://docs.microsoft.com/en-us/mem/configmgr/core/clients/manage/cmg/plan-cloud-management-gateway

L'articolo Microsoft Endpoint Configuration Manager – Implementazione di Cloud Management Gateway e Cloud Distribution Point proviene da ICT Power.

Da pochissimi giorni sono disponibili gli Azure Shared Disks, una funzionalità che permette di collegare un managed disk a diverse macchine virtuali Azure contemporaneamente.

La nuova funzionalità di Azure è disponibile sia per le machine Linux che per le macchine Windows e permette di semplificare la creazione dei Guest Cluster. Già in passato abbiamo parlato della funzionalità degli Shared Disks on-premises nella guida Virtual Hard Disk Sharing in Windows Server 2016 ed oggi voglio mostrarvi come implementare un traditional Windows Failover Cluster in Microsoft Azure, in modo tale da poter creare o migrare le vostre applicazioni clusterizzate direttamente in Azure.

Come funziona

Le macchine virtuali nel cluster possono leggere o scrivere sul disco collegato in base alla prenotazione (reservation) scelta dall’applicazione che gira nel cluster usando le SCSI Persistent Reservations. Gli Azure Shared Disks permettono di utilizzare storage a blocchi che potrà essere utilizzato da più VM contemporaneamente e che verrà visto come una LUN (logical unit number) collegata a tutti I nodi del cluster.

Limitazioni

L’abilitazione dei dischi condivisi è disponibile solo per un subset di tipi di disco. Attualmente solo dischi Ultra e SSD Premium possono abilitare i dischi condivisi. Ho già parlato degli Azure Ultra SSD disk nella guida Utilizzare i dischi ULTRASSD nelle macchine virtuali in Azure (preview). Appena avete un pò di tempo dategli un’occhiata

Per maggiori informazioni sulle attuali limitazioni degli Azure Shared Disks vi rimando alla lettura della pagina https://docs.microsoft.com/en-us/azure/virtual-machines/linux/disks-shared

Se siete interessati a provare le unità SSD Premium condivise è necessario prima iscriversi per l’accesso. Per l’utilizzo dei dischi ULTRA SSD non è necessaria invece nessuna registrazione.

Figura 1: Schema del traditional Windows Failover Cluster da realizzare in Microsoft Azure

Utilizzo degli Azure Shared Disks

I dischi condivisi di Azure sono supportati in Windows Server 2008 e versioni successive. La maggior parte del clustering basato su Windows si basa su Windows Server Failover Clustering. In questa guida vi mostrerò come creare uno Scale-Out File Server utilizzando un template che trovate al link https://aka.ms/azure-shared-disk-sofs-template

Per utilizzare il template è necessario disporre già di un dominio e di una VNET a cui agganciare le macchine virtuali Azure. Io ho creato la mia infrastruttura utilizzando il template al link https://github.com/Azure/azure-quickstart-templates/tree/master/active-directory-new-domain-ha-2-dc, che permette di creare un nuovo dominio e due domain controller con pochi clic.

Figura 2: Creazione di un nuovo dominio in Azure utilizzando un template

Figura 3: Parametri per la configurazione del nuovo dominio

Alla fine del deployment verranno create le risorse mostrate in figura:

Figura 4: Risorse create dal template per la distribuzione di un nuovo dominio in Azure VMs

Dopo la creazione dell’infrastruttura di dominio ho provveduto ad utilizzare il template per la creazione di uno Scale-Out File Server Cluster che utilizza gli Azure Shared Disks. Collegatevi alla pagina https://aka.ms/azure-shared-disk-sofs-template e lanciate la creazione delle risorse facendo clic sul pulsante Deploy to Azure.

Figura 5: Creazione di uno Scale-Out File Server Cluster che utilizza gli Azure Shared Disks

Cliccando sul pulsante Deploy to Azure avrete la possibilità di compilare i parametri richiesti dal template. Ricordatevi di cliccare sul pulsante Edit parameters per poter indicare quale VNET utilizzare per la distribuzione delle Azure VMs che faranno parte dello Scale-Out File Server.

Figura 6: Configurazioni del template per creare uno Scale-Out File Server Cluster che utilizza gli Azure Shared Disks

Procedete alla modifica dei parametri del template e nella riga

    "subnetUri": {
      "value": "/subscriptions/{subscription-id}/resourceGroups/{resource-group-name}/providers/Microsoft.Network/virtualNetworks/{vnet-name}/subnets/{subnet-name}"

inserite i parametri corretti che faranno riferimento alla sottoscrizone, al resource group e alla VNET dove si trova il domain controller del dominio da utilizzare

Figura 7: Modifica dei parametri del template con le informazioni corrette relative alla propria sottoscrizione e alla VNET da utilizzare

Ricordatevi di richiedere la registrazione della vostra sottoscrizione nel caso vogliate utilizzare gli Azure Shared Disks SSD Premium (previsti dal template che vi ho linkato) altrimenti riceverete l’errore mostrato in figura:

Figura 8: La sottoscrizioone utilizzata non è abilitata per l’utilizzo degli Azure Shared Disks SSD Premium

Il template creerà altre due macchine virtuali, che saranno I nodi dello Scale-Out File Server e un disco condiviso (Azure Shared Disk). Mettetevi comodi perchè il completamento del deployment, con l’esecuzione di tutti gli script di configurazione dello Scale-Out Failover Cluster, dura circa 27-28 minuti

Nelle figure sotto ho evidenziato le nuove risorse create e le proprietà dei dischi di una delle due nuove VM create dal template:

Figura 9: Risorse create dal template

Figura 10: Il disco condiviso è stato aggiunto alla VM che farà parte dello Scale-Out File Server

Collegandosi in desktop remoto ad una delle due VM create dal template, si potrà notare che saranno state aggiunte al dominio che abbiamo indicato e che l’Azure Shared Disk è stato collegato e configurator correttamente.

Figura 11: Le VM create dal template sono state aggiunte correttamente al dominio

Figura 12: L’Azure Shared Disk è stato collegato correttamente alle VM create dal template

Se volete controllare le configurazioni del cluster creato potete installare la console del Failover Cluster Manager (che non viene aggiunta dallo script).

Figura 13: Risorse del cluster creato in Azure con gli Shared Disks

Figura 14: Azure Share Disk collegato al cluster e formattato come Cluster Shared Volume (CSV)

Figura 15: Scale-Out File Server configurato correttamente

Conclusioni

Gli Azure Shared Disks aprono uno scenario davvero interessante per chi ha necessità di creare dei guest cluster o vuole spostare i workload esistenti in Azure. Con questo tipo di funzionalità gli Azure Shared Disks sono attualmente gli unici shared block storage che supportano nel cloud applicazioni clusterizzate che utilizzano sia Linux che Windows, come ad esempio i database clusterizzati o parallel file systems, i persistent containers e le applicazioni che utilizzano machine learning.

Visitate la pagina ufficiale dell’annuncio https://azure.microsoft.com/en-us/blog/announcing-the-general-availability-of-azure-shared-disks-and-new-azure-disk-storage-enhancements/ per avere maggiori Informazioni.

L'articolo Azure Shared Disks – Creazione di un traditional Windows Failover Cluster in Microsoft Azure proviene da ICT Power.

Il panorama tecnologico negli ultimi anni ha subito una drastica trasformazione: sempre più aziende fanno affidamento ai servizi Cloud (spesso senza saperlo, per saperne di più leggete l’articolo Controllare l’adozione del Cloud tramite Microsoft Cloud App Security). Questo non è un semplice cambio di fornitore di servizi IT ma è un approccio rinnovato rispetto a come vengono scritte le applicazioni e al modo di collaborare; il mondo di oggi è sempre più mobile-first e, di conseguenza, cloud-first.

Il fatto che gli asset tecnologici e la collaborazione non sono più contenuti (e limitati) all’interno della rete aziendale ha fatto cadere i presupposti della sicurezza informatica tradizionale basata sulla difesa del perimetro, adesso il nuovo perimetro è l’identità degli utenti: “Identity is the new perimeter“. Per proteggere questo nuovo perimetro si fa ricorso a tecnologie diverse come ad esempio la Multi Factor Authentication oppure a criteri di accesso come Conditional Access combinato con l’euristica intelligente di Identity Protection.

Per poter implementare questa nuova visione si è reso necessario ripensare gli schemi ed i protocolli di autenticazione utilizzati nel passato (Kerberos, NTLM, Digest, plaintext…) adottando nuove soluzioni tecnologiche nate appositamente per il Cloud (WS-Fed, SAML, OAuth…). All’interno di Microsoft 365 il supporto ai nuovi protocolli di autenticazione prende il nome di Modern Authentication.

Come avviene l’autenticazione legacy

Figura 1 – Autenticazione Kerberos

In Figura 1 è rappresentato uno dei flussi di autenticazione più classici e familiari: l’autenticazione Kerberos, inventata dal MIT nei tardi anni ’80 e fondamento dell’autenticazione all’interno di Active Directory. Nell’immagine sono riconoscibili tutte le fasi dell’autenticazione:

• 1-2: Kerberos Authentication Service Request/Response: il Client si autentica e riceve il Ticket Granting Ticket
• 3-4: Kerberos Ticket Granting Service Request/Response: il Client, che deve accedere ad un Servizio sul Server, richiede in base al Service Principal Name di quello specifico servizio un Ticket Grating Service
  
• 5-6: Kerberos Application Server Request/Response: il Client presenta il Ticket Granting Service al Servizio il quale è in grado di interpretarlo e di autorizzare o meno il Client

Un altro esempio classico è la proxy authentication, quello che accade in Exchange Online e qualsiasi applicazione che basi l’autenticazione su NTLM o LDAP:

Figura 2 – Proxy Auth

1. Outlook tenta di accedere alla cassetta postale, invia quindi le credenziali ad Exchange Online
2. Exchange Online verifica le credenziali presso Azure AD
   
3. Azure AD risponde ed al client viene concesso oppure negato l’accesso

Questi sono solo esempi dei protocolli di autenticazione consolidati all’interno delle reti on-premises, ma tutti condividono le stesse limitazioni:

• Non sono pensati per essere sicuri se trasportati su Internet
• È necessario che applicazione, client e server siano su reti in grado di parlarsi
• Spesso sono necessari dei “trust” che richiedono ampi privilegi e molte porte, spesso non proprio firewall-friendly
• L’applicazione deve avere al suo interno del codice per poter interagire con il sistema di autenticazione, e deve trattare i suoi package di autenticazione in maniera sicura (Kerberos AS, hash NTLM, coppia username/password in caso di integrazione LDAP diretta)
• Non sono estensibili

Quando una applicazione è coinvolta in questo genere di autenticazione deve essere lei stessa (in linea generale) a richiedere al client le credenziali: un esempio è Outlook in configurazione Legacy il quale sfrutta NTLM.

Figura 3 – Outlook Legacy Auth

Queste limitazioni hanno portato l’industria informatica a sviluppare nuovi standard di autenticazione che sorpassano i concetti e le limitazioni dell’epoca su cui si basavano i vecchi protocolli e introducono nuove e ricche funzionalità di autenticazione.

Come avviene la Modern Autentication

Figura 4 – Modello di passive authentication

In Figura 4 è rappresentato un modello generico di come avviene l’autenticazione tramite i nuovi protocollo di autenticazione, un po’ di terminologia:

• STS: Secure Token Service (a volte chiamato Idp, Identity Provider) è il servizio che fornisce i token di autenticazione, nel mondo Microsoft è Azure Active Directory oppure Active Directory Federation Services
• RP: Relying Party è il servizio che consuma questi token e può essere un altro STS oppure una applicazione
• Client: è l’applicazione client che tenta di accedere al Relying Party, assume il ruolo di Bearer, ovverosia portatore, in quanto “porta” il Security Token dal STS al RP.

Ecco come avviene:

1. Il Client cerca di accedere al Relying Party
2. Il Relying Party
   reindirizza il Client presso il STS
3. Il STS esegue la procedura di autenticazione
   
4. Il STS consegna il Security Token al Client
5. Il Security Token viene consegnato al Relying Party
6. Il Relying Party
   valida il Security Token tramite la firma digitale apposta dal STS

Questo flusso di autenticazione porta molti vantaggi, principalmente derivate dal fatto che le funzioni di autenticazione sono implementate interamente all’interno del STS, liberando le applicazioni da questa responsabilità.

Sempre prendendo Outlook come esempio, ecco come si presenta il prompt di autenticazione quando si sta utilizzando la Modern Authentication: come è possibile osservare non è più Outlook a richiedere le credenziali ma vengono richieste direttamente dal STS (Azure AD).

Figura 5 – Outlook Modern Auth

Modern Authentication – Under the Hood

Utilizzando uno strumento come Fiddler è possibile analizzare i singoli passi che avvengono durante il processo di autenticazione. I numeri riportati nelle immagini sono corrispondenti a quelli nella Figura 4

Figura 6 – Fiddler capture 1

Figura 7 – Fiddler Capture 2

Analizzando il Token al punto 4 tramite uno strumento in grado di decodificarlo, come ad esempio JWT.io, è possibile analizzare le informazioni di autenticazione che verranno trasmesse all’applicazione.

Figura 8 – JSON Web Token

Come potete osservare l’applicazione riceve semplicemente un JSON Web Token con all’interno tutti i dati necessari a identificare l’utente, sgravandola dal compito di dover implementare una sua logica interna di autenticazione.

Come abilitare la Modern Authentication in Microsoft 365

Per abilitare la Modern Authentication è necessario l’utilizzo di client compatibili con essa:

• Office 2013 (il quale necessita di due chiavi di registro e dal 13 ottobre 2020 non sarà più supportato per l’uso con Microsoft 365 / Office 365)
• Office 2016
  
• Office 2019
  
• Office 365 Apps for Enteprise
  
• Office 365 Apps for Business
  

Così come alcune configurazioni lato tenant
Microsoft 365 se è stato creato precedentemente al 1° agosto 2017, tutti i tenant creati successivamente hanno la Modern Authentication
abilitata per impostazione predefinita.

Per aggiungere il supporto alla Modern Authentication al tenant andare sull’Admin Center https://admin.microsoft.com/ e portarsi su Settings -> Org settings -> Modern Authentication e spuntare “Turn on modern authentication for Outlook 2013 for Windows and later“, premere quindi su “Save changes”

Figura 9 – Modern Authentication

Questa operazione non ha impatti particolari in quanto aggiunge il supporto alla Modern Authentication senza disabilitare i protocolli legacy. I client che utilizzano ancora i protocolli legacy continueranno a connettersi regolarmente mentre chi è in grado di utilizzare la Modern
Authentication noterà il cambiamento nella finestra di login nel client Outlook, che non chiederà più le credenziali come in Figura 3 ma bensì tramite un browser integrato come in Figura 5.

SharePoint Online ha la Modern Authentication già abilitata per impostazione predefinita.

Come disabilitare i protocolli legacy in Microsoft 365

Dopo aver abilitato la Modern Authentication è possibile disabilitare il supporto ai protocolli legacy, questa operazione però va compiuta dopo essersi assicurati che non sono più in uso, pena l’impossibilità di accedere al servizio da parte dei client che ancora li utilizzano.

Per fare ciò collegarsi al pannello di amministrazione di Azure AD
https://aad.portal.azure.com e portarsi su Sign-Ins, modificare quindi il filtro predefinito premendo su Add filters e selezionare tutti gli endpoint legacy.

Figura 10 – Legacy Auth Sign-ins

Se non esistono logins effettuati da client legacy si può procedere alla disabilitazione dei protocolli, altrimenti sarà necessario procedere ad una campagna di aggiornamento dei clients (PC ma anche dispositivi mobili). Premendo il tasto Download sarà possibile esportare un file CSV (Comma Separated Values) e maneggiarlo tramite Microsoft Excel.

Per disabilitare i protocolli legacy su Exchange Online sarà sufficiente togliere i segni di spunta dai protocolli che si vuole disabilitare

Figura 11 – Disabilitare Legacy Auth EXO

Mentre per SharePoint Online sarà necessario andare sull’admin center specifico, premere su Policies -> Access Control -> Apps that don’t use modern authentication -> Block access e premere Save

Figura 12 – Modern Authentication SPO

Una volta effettuati questi passi i protocolli legacy sono stati disabilitati con successo.

Conclusioni

La Modern Authentication permette un’esperienza di autenticazione più ricca, sicura e pratica per gli utenti. Un effetto immediatamente tangibile è il ridotto numero di eventi di account lockout e cambi password meno problematici (che fanno più danno che beneficio: Utilizzare Azure AD Identity Protection per rilevare e gestire i rischi legati all’accesso degli utenti) in quanto le applicazioni non eseguono più il caching delle credenziali.

La disabilitazione dei vecchi protocolli di autenticazione, anche senza l’implementazione della Multi Factor Authentication, garantisce un livello di protezione maggiore in quanto gli attacchi ai protocolli legacy sono di gran lunga più comuni e meno onerosi per l’attaccante.

È possibile gestire in maniera granulare le policy di autenticazione tramite diversi strumenti: dalle Authentication Policies per Exchange Online, fino ad arrivare a Conditional Access. I Security Defaults di Azure AD, per i clienti che non hanno a diposizione oppure non vogliono utilizzare Conditional Access, disabilitano i protocolli di autenticazione legacy.

L'articolo Come funziona la Modern Authentication in Microsoft 365 proviene da ICT Power.

Da pochissimi giorni è disponibile in preview pubblica in Microsoft Azure una funzionalità che permette di aggiornare automaticamente le macchine Windows, consentendo di semplificare la gestione degli aggiornamenti con l’applicazione di patch alle macchine virtuali in modo sicuro e automatico per garantire la conformità e aumentare il livello di sicurezza di tutta l’infrastruttura.

Le patch di sicurezza e critiche disponibili vengono scaricate e applicate automaticamente nella macchina virtuale. Per installare patch che hanno altre classificazioni patch o pianificare l’installazione di patch all’interno della finestra di manutenzione personalizzata, è possibile usare Gestione aggiornamenti.

La valutazione e l’installazione delle patch sono automatiche e il processo include anche il riavvio della macchina virtuale se è necessario.
La macchina virtuale viene valutata periodicamente per determinare le patch applicabili, che possono essere installate ogni giorno nella macchina virtuale SOLO durante gli orari di minore traffico per la macchina virtuale. Questa valutazione automatica garantisce che tutte le patch mancanti vengano individuate alla prima possibile opportunità. Le patch vengono installate entro 30 giorni dalla versione di Windows Update mensile.

Il processo di installazione della patch viene orchestrato a livello globale da Azure per tutte le macchine virtuali in cui è abilitata l’applicazione automatica delle patch, facendo in modo che le macchine virtuali in zone di disponibilità (availability zone) diverse o in un set di disponibilità (availability set) non vengano aggiornate simultaneamente.

Immagini del sistema operativo supportate

Nell’anteprima di questa funzionalità sono supportate solo le macchine virtuali create dal marketplace di Azure e che hanno le seguenti versioni:

• Windows Server 2012 R2 Datacenter
• Windows Server 2016 Datacenter
• Windows Server 2016 Datacenter Core
• Windows Server 2019 Datacenter
• Windows Server 2019 Datacenter Core

Le immagini personalizzate NON sono attualmente supportate nell’anteprima.

Abilitazione della funzionalità di patching automatico

Già durante la creazione di una nuova macchina virtuale è possibile verificare che nel wizard viene proposta la Patch Installation, come mostrato in figura:

Figura 1: Patch Installation proposta nel wizar did creazione di una nuova VM

Come si può vedere dalla figura sopra, la modalità suggerita di default è OS-orchestrated patching, cioè le patch vengono installate nella VM tramite Aggiornamenti automatici.

La seconda modalità disponibile è Manual patching: questa modalità disabilita gli Aggiornamenti automatici nella macchina virtuale Windows.

• La terza modalità, oggetto di questo articolo, è Azure-orchestrated patching (preview): questa modalità consente l’applicazione automatica delle patch per la macchina virtuale Windows e l’installazione della patch successiva è orchestrata da Azure. L’impostazione di questa modalità disabilita inoltre la Aggiornamenti automatici nativa nella macchina virtuale Windows per evitare la duplicazione.

NOTA: L’applicazione automatica delle patch per le macchine virtuali Windows è attualmente disponibile in anteprima pubblica. Per usare la funzionalità è necessaria una procedura di consenso esplicito. Questa versione di anteprima viene messa a disposizione senza contratto di servizio e non è consigliata per i carichi di lavoro di produzione.

Attivazione della funzionalità Azure-orchestrated patching (preview)

Per attivare la funzionalità è necessario lanciare in Azure Cloud Shell o nella vostra postazione di lavoro i seguenti comandi PowerShell:

#Per abilitare la funzionalità di anteprima, è necessario un unico consenso esplicito per la funzionalità InGuestAutoPatchVMPreview per sottoscrizione
Register-AzProviderFeature -FeatureName InGuestAutoPatchVMPreview -ProviderNamespace Microsoft.Compute

#La registrazione delle funzionalità può richiedere fino a 15 minuti. Per verificare lo stato della registrazione
Get-AzProviderFeature -FeatureName InGuestAutoPatchVMPreview -ProviderNamespace Microsoft.Compute

#Una volta registrata la funzionalità per la sottoscrizione, completare il processo di consenso esplicito propagando la modifica nel provider di risorse di calcolo
Register-AzResourceProvider -ProviderNamespace Microsoft.Compute

Figura 2: Consenso esplicito all’utilizzo della funzionalita di auto patching delle VM

Da questo momento in poi nel wizard di creazione di una nuova VM avrete la possibilità di scegliere l’Azure-orchestrated patching

Figura 3: L’Azure-orchestrated patching è stato abilitato ed è disponibile nel wizard di creazione di una nuova Azure VM

Se vi collegate alla Azure VM e controllate dall’App Settings le configurazioni di Windows Update noterete sicuramente che sono disattivati, come ci aspettavamo che avvenisse. La disattivazione degli Aggiornamenti automatici evita che ci siano operazioni duplicate sugli aggiornamenti.

Figura 4: Gli Aggiornamenti automatici sono stati disabilitati nella Azure VM in modo tale che vengano gestiti da Azure

NOTA: Potrebbero essere necessarie più di tre ore per abilitare gli aggiornamenti automatici dei guest VM in una macchina virtuale, in quanto l’abilitazione viene completata durante le ore di minore traffico della macchina virtuale. Poiché la valutazione e l’installazione delle patch si verificano solo durante le ore non di punta, la macchina virtuale deve essere in esecuzione durante gli orari di minore traffico per applicare le patch.

È anche possibile attivare una valutazione delle patch su richiesta per la macchina virtuale in qualsiasi momento. La valutazione della patch può richiedere alcuni minuti per il completamento e lo stato dell’ultima valutazione viene aggiornato nella visualizzazione dell’istanza della macchina virtuale.

Invoke-AzVmPatchAssessment -ResourceGroupName "myResourceGroup" -VMName "myVM"

Abilitazione dell’applicazione automatica della patch per le VM già esistenti

Per abilitare l’applicazione automatica delle patch durante la creazione o per aggiornare la configurazione di una macchina virtuale già esistente è necessario usare la cmdlet Set-AzVMOperatingSystem

$VirtualMachine = Get-AzVM -ResourceGroupName "myResourceGroup" -VMName "myVM"
$ComputerName = "myVMNETBIOSName"
$Credential = Get-Credential

Set-AzVMOperatingSystem -VM $VirtualMachine -Windows -ComputerName $ComputerName -Credential $Credential -ProvisionVMAgent -EnableAutoUpdate -PatchMode "AutomaticByPlatform"

Figura 5: Abilitazione del patching automatico per una Azure VM già esistente

Conclusioni

Per semplificare l’applicazione delle patch alle macchine virtuali di Azure, è disponibile una nuova opzione denominata Automatic VM guest patching, che aiuta a gestire gli aggiornamenti applicando automaticamente e in modo sicuro patch alle macchine virtuali per mantenere la conformità della sicurezza. Con questa modalità di gestione delle patch la VM viene valutata periodicamente per verificare la disponibilità di patch del sistema operativo e gli aggiornamenti classificati come “Critici” o “Sicurezza” vengono automaticamente scaricati e installati sulla VM durante le ore non di punta. Questa orchestrazione delle patch viene gestita da Azure e le patch vengono applicate non appena vengono rilasciate da Microsoft.

L'articolo Configurare l’applicazione automatica di patch per le macchine virtuali Windows in Azure proviene da ICT Power.

Tra le novità annunciate ieri a Microsoft Ignite 2020, l’evento dedicato ai professionisti dell’IT e agli sviluppatori enterprise Microsoft, c’è stata la preview pubblica di Azure Automanage for virtual machines, un nuovo servizio che ha l’obiettivo di migliorare la gestione delle macchine virtuali che girano in Azure e di ridurre drasticamente i costi operativi.

Nell’annuncio https://techcommunity.microsoft.com/t5/azure-governance-and-management/azure-automanage-for-virtual-machines-public-preview/ba-p/1671094 si legge infatti che l’obiettivo è quello di implementare le best practices per la gestione delle Azure VM e applicare le configurazioni in maniera completamente automatica.

In particolare, la funzionalità delle best practices per le VM di Azure Automanage esegue cinque operazioni:

• Onboarding intelligente e selezione delle best practices per i servizi di Azure
• Configurazione automaticamente di ogni servizio in base alle best practice di Azure
• Configurazione del sistema operativo guest in base alla Microsoft baseline
• Monitoraggio automatico e correzione delle problematiche
• Esperienza semplice: pochi clic per la configurazione e al resto ci pensa la funzionalità

Le funzionalità di Azure Automanage offrono quindi i seguenti vantaggi:

• Costi ridotti grazie all’automazione della gestione di Windows Server
• Maggiore uptime delle VM grazie alle operazioni ottimizzate da Azure
• Implementazione delle migliori pratiche di sicurezza (security best practices)

Attualmente la funzionalità disponibile solo per le macchine Windows ma presto verrà estesa anche alle macchine Linux. Inoltre, la preview pubblica è disponibile sono nelle regioni West Europe, East US, West US 2, Canada Central e West Central US.

I servizi di Azure che possono essere gestiti sono:

• Virtual Machines Insights Monitoring
• Backup
• Azure Security Center
• Microsoft Antimalware
• Update Management
• Change Tracking and Inventory
• Azure Automation Account
• Log Analytics Workspace

Come funziona Azure Automanage

Azure Automanage utilizza dei profili di configurazione per determinare quali sono i servizi di Azure devono essere abilitati per la macchina virtuale. Attualmente ci sono due profili di configurazione:

• Azure virtual machine best practices – Production
• Azure virtual machine best practices – Dev/Test

La differenza tra i diversi profili è dettata dal fatto che alcuni servizi sono consigliati in base al workload che sta girando all’interno delle macchine virtuali. Sicuramente in produzione sarà necessario utilizzare Azure Backup mentre in fase di sviluppo o in fase di test il servizio di backup potrebbe essere un costo non necessario e quindi non è il caso di abilitarlo.

Figura 1: Servizi configurati da Azure Automanage

Abilitazione di Azure Automanage

Per poter abilitare Azure Automanage è possibile utilizzare l’Azure Portal, le Azure Policy, il Software Development Kit SDK (con i linguaggi C#, Python e Go) oppure gli Azure Resource Manager (ARM) Templates.

In questa guida vi mostrerò come abilitare la funzionalità utilizzando il portale di Azure.

Dopo aver aperto il portale, cercate dalla barra di ricerca Automanage – Azure virtual machine best practices e cliccate sul pulsante Enable on existing VM.

Figura 2: Abilitazione di Azure Automanage dal portale

Selezionate le macchine per le quali volete abilitare la funzionalità di Azure Automanage.

Figura 3: Selezione delle Azure VM di cui effettuare l’onboarding

Nella parte di Configuration profile vi verrà proposto di utilizzare di default il profilo Azure virtual machine best practices – Production. Potete cliccare su Browse and change profiles and preferences per cambiare il profilo e per verificare quali sono le funzionalità che vengono abilitate.

Figura 4: Scelta del Configuration profile per Azure Automanage

Nella figura sotto sono mostrate le configurazioni del profilo Azure virtual machine best practices – Production.

Figura 5: Configurazioni del profilo Azure virtual machine best practices – Production

Personalizazzione del Configuration Profile

È anche possibile modificare il profilo di configurazione utilizzando le preferenze. Le preferenze sono un sottoinsieme di opzioni di configurazione che possiamo scegliere per il nostro profilo senza che queste però impattino con le Azure best practices. Se volete creare un nuovo set di preferenze per il vostro profilo di configurazione vi basterà cliccare su Create new preferences e modificare i servizi che Azure vi permette di personalizzare, senza rinunciare alle best practices.

Figura 6: Personalizzazione del profilo di configurazione

Scegliete l’Automanage Account che verrà utilizzato per effettuare le operazioni automatizzate all’interno delle vostre macchine virtuali. Potete farlo creare in maniera automatica dal wizard oppure potete cliccare sul pulsante Advanced nel blade Enable Azure VM best practice.

Per abilitare la funzionalità di Azure Automanage fate semplicemente clic sul pulsante Enable.

Figura 7: Abilitazione della funzionalità di Azure Automanage

Nel portale di Azure, nella pagina Automanage – Azure virtual machine best practices, avete la possibilità di visualizzare tutte le macchine per cui avete abilitato la funzionalità di Azure Automanage.

Figura 8: Stato delle Azure VM a cui è stata abilitata la funzionalità di Azure Automanag

È possibile disabilitare in qualsiasi momento la funzionalità di Azure Automanage semplicemente selezionando la macchina virtuale e cliccando su Disable automanagment. Un messaggio vi avviserà che disabilitando la funzionalità in realtà non verrà apportata nessuna modifica alla configurazione della macchina virtuale e che quindi tutti i servizi di Azure (Virtual Machines Insights Monitoring, Backup, Azure Security Center, Microsoft Antimalware, Update Management, Change Tracking and Inventory, Azure Automation Account, Log Analytics Workspace) che sono stati precedentemente abilitati continueranno a funzionare e ovviamente continuerete a pagarli, fino a quando non li disabiliterete voi manualmente.

Figura 9: Disabilitazione di Azure Automanagement per una VM

Figura 10: Avviso relativo al comportamento dei servizi già installati nella Azure VM

Conclusioni

La funzionalità di Azure Automanagement è decisamente interessante sia perché applica le best practices di Microsoft per la gestione delle Azure VM sia perché lo fa in maniera completamente automatizzata, sollevando gli IT Admins da questo tipo di incombenza e riducendo l’
operational expense (OpEx). L’abilitazione dei servizi di Virtual Machines Insights Monitoring, Backup, Azure Security Center, Microsoft Antimalware, Update Management, Change Tracking and Inventory, Azure Automation Account, Log Analytics Workspace permette di semplificare e automatizzare tutti quelli che sono i requisiti relativi a security, anti-malware, compliance, disaster recovery, ecc. di cui non si può fare assolutamente a meno!

L'articolo Azure Automanage: gestione automatica delle macchine virtuali in Azure proviene da ICT Power.

Nel gennaio 2020 i prodotti Windows Server 2008 e Windows Server 2008 R2 hanno raggiunto il limite del supporto esteso da parte di Microsoft. È quindi tempo di migrazione in quanto queste versioni di sistema operativo non sono più aggiornati ed aggiornabili.

Numerose normative, non ultimo il Regolamento Europeo sulla Protezione dei Dati Personali (GDPR), seppur non scendendo in dettagli tecnici, impongono al Titolare del Trattamento l’adozione di idonee misure di sicurezza. Ed il costante aggiornamento dei sistemi operativi è un tassello importante della protezione dei dati personali.

Active Directory (AD) è di fatto il sistema di autenticazione maggiormente utilizzato ed al quale viene affidata la protezione degli account di accesso di numerose infrastrutture. Parallelamente all’uscita dal supporto di WindowsServer 2008(r2) anche Active Directory segue lo stesso percorso.

In questo articolo vogliamo proporre il percorso che analizza la migrazione di un dominio AD installato su WindowsServer 2008 verso la versione più recente 2019.

Una breve considerazione è da fare relativamente ai livelli funzionali di domini e foreste, in questa guida si presuppone che il dominio di partenza sia al livello funzionale 2008 e che al termine il dominio migrato sia portato al livello funzionale 2016. Può sembrare strano che la versione di Windows Server 2019 renda disponibile il livello funzionale della versione precedente, ma è così; da questo punto di vista AD disponibile in WindowsServer 2019 non ha portato cambiamenti rispetto alla versione 2016.

Prima di procedere con la migrazione vera e propria sarebbe (è) meglio effettuare un test in un ambiente isolato dove verificare che le varie integrazioni come ad esempio le autenticazioni tramite LDAP piuttosto che applicazioni che si integrano con lo schema di AD, continuino a funzionare anche dopo la migrazione.

Schema dell’ambiente di test utilizzato per questa guida

Figura 1 Schema dell’ambiente di test

Check List per la migrazione di Active Directory

• Verifica ed auditing degli eventi di AD al fine di rilevare preventivamente eventuali malfunzionamenti
• Pianificazione del percorso di migrazione documentando i vari passi
• Individuazione delle risorse fisiche/virtuali per i nuovi DC
• Installare il sistema operativo WindowsServer 2019 ed eseguirne l’aggiornamento con l’installazione delle ultime patch disponibili
• Verificare che il software antivirus abbia le esclusioni corrette per operare con Active Directory
• Installare il ruolo Active Directory Domain Services
• Spostamento dei ruoli FSMO dal Domain Controller versione 208 al Domain Controller 2019
• Rimozione del ruolo di Domain Controller 2008 dal dominio
• Attivazione del livello funzionale della Foresta / Dominio alla versione 2016 (su server 2019)
  • A questo proposito è utile ricordare che è possibile effettuare l’innalzamento del livello funzionale della Directory così come è possibile effettuarne la regressione fino al livello 2008 R2.
• Verifica ed auditing degli eventi post-migrazione

Migrazione del Dominio Active Directory

Di seguito sono riportati i passi relativi alla completa migrazione del dominio, operazione che nel suo complesso è articolata in due passaggi, il primo consiste nell’introduzione all’interno del dominio di un nuovo server di versione 2019, ed il secondo nella rimozione del server 2008. Ognuno di questi due macro-passaggi è ulteriormente suddiviso in passi che sono dettagliati più avanti.

1. Installazione del sistema operativo ed impostazione di un indirizzo IP statico (non proposto in questa guida)
2. Esecuzione della console PowerShell (o ISE) con privilegi elevati
3. Join del nuovo server al dominio esistente e login con credenziali di amministratore
4. Installazione del servizio DNS
5. Installazione del ruolo Active Directory Domain Services
6. Promozione del nuovo server a Domain Controller
7. Verifica dell’installazione dei servizi AD
8. Verifica della presenza dei ruoli FSMO
9. Spostamento dei ruoli FSMO sul nuovo server
10. Verifica tramite Registro Eventi dello spostamento dei ruoli
11. Verifica della funzione di Global Catalog sul nuovo server

Join del nuovo server al dominio esistente (3)

In questo passaggio il nuovo server viene fatto partecipare come membro al dominio ICTPOWER.LOCAL

Add-Computer -DomainName “ICTPOWER.LOCAL” -Restart

Figura 2 Join al dominio tramite Powershell

Figura 3 richiesta delle credenziali

Installazione del servizio DNS (4)

Il servizio DNS è uno dei punti cardine su cui si appoggia AD ed è necessario che sia presente anche sul nuovo server, in quanto la rimozione fisica di DC01 eliminerà anche il servizio DNS

Install-WindowsFeature -Name DNS -IncludeManagementTools

Figura 4 installazione del servizio DNS

Installazione del ruolo AD Domain Services (5)

Install-WindowsFeature -Name AD-Domain-Services  -IncludeManagementTools

Figura 5 aggiunta del ruolo relativo ai servizi AD

Promozione del nuovo server a Domain Controller (6)

Il comando riportato qui di seguito configura il ruolo Active Directory sul server DC02, per la sua esecuzione è necessario fornire una serie di informazioni quali la password dell’utente della modalità di restore, il server da cui replicare il database AD, ed i percorsi locali n cui l’infrastruttura verrà installata

Install-ADDSDomainController -DomainName ictpower.local -SafeModeAdministratorPassword (Convert-SecureString -AsPlainText “SafeM0deAdminPwd!” -Force)
-ReplicationSourceDC “dc01.ictpower.local”
-DatabasePath “C:\Windows\NTDS”
-LogPath “C:\Windows\SYSVOL”
-Force:$True

Figura 6 definizione del server come Domain Controller e warning relativi

Figura 7 conferma del comando precedente

Verifica dell’installazione dei servizi AD (7)

Tramite questo comando è possibile verificare che i servizi relativi ad AD siano presenti ed attivi

Get-Service adws,kdc,netlogon,dns

Figura 8 Verifica dei servizi attivi di AD

Verifica della presenza dei ruoli FSMO di dominio e di foresta (8)

Get-ADDomain | Format-Table PDCEmulator,RIDMaster,InfrastructureMaster

Figura 9 verifica della presenza dei ruoli FSMO di DOMINIO

Get-Forest | Format-Table SchemaMaster, DomainNamingMaster

Figura 10 verifica della presenza dei ruoli FSMO di FORESTA

Spostamento dei ruoli FSMO sul nuovo server (9)

Move-ADDirectoryServerOperationMasterRole -Identity DC02 -OperationMasterRole SchemaMaster, DomainNaminMaster, PDCEmulator, RIDMaster, InfrastructureMaster -Confirm: $False

Figura 11 spostamento dei ruoli FSMO sul nuovo server

Verifica tramite Registro Eventi dello spostamento dei ruoli FSMO (10)

Figura 12 registro eventi ID 1458

La verifica può avvenire tramite il cmdlet utilizzato al punto 8 oppure rilevando la presenza dell’evento 1458 nel registro eventi relativo ai Directory Services. Per ogni ruolo trasferito viene rilevato un evento

Verifica della funzione di Global Catalog sul nuovo server (11)

La procedura di installazione di un nuovo Domain controller lo imposta per default con la funzione di Global Catalog, tuttavia è importante verificare che questa condizione sia verificata e solo successivamente procedere con la rimozione del primo DC

Get-ADDomainController -Filter * | Select Name, IsGlobalCatalog

Figura 13 rilevazione delle funzioni di Global Catalog

Una ulteriore verifica della completa integrazione del nuovo Domain Controller DC02 in dominio può essere effettuata tramite due comandi PowerShell che rilevano gli errori di replica a livello di dominio e di foresta

Get-ADReplicationFailure -Target ICTPOWER.LOCAL -Scope Domain
Get-ADReplicationFailure -Target ICTPOWER.LOCAL -Scope Forest

Se anche questo controllo non presenta eventi di errore possiamo procedere con il passo successivo cioè l’eliminazione di DC01 dall’infrastruttura

Rimozione del Domain Controller versione 2008 e modifica del livello Funzionale ( Funcional Level) a livello di dominio e di Foresta in AD

Questa operazione è da effettuarsi sul Domain Controller 2008 dopo aver fatto accesso con utente a privilegi elevati

1. Accesso con privilegi di “Enterprise Admin”
   
2. Dal menu Esegui digitare DCPROMO
   
3. Seguire il Wizard con i passi proposti per la rimozione
   
4. Spegnimento del server
   
5. Modifica del Livello Funzionale di AD
   

Seguire il Wizard con i passi proposti per la rimozione (3)

Figura 14 Dcpromo

Figura 15 avviso controllo GC

Proseguendo con OK viene proposta la scelta in figura 14 dove è possibile rimuovere completamente il dominio, scelta ovviamente da non fare in questo contesto.

Figura 16 rimozione del Dominio (NON Selezionare)

Viene richiesto di impostare una nuova password per l’utente Administrator locale al server 2008 che rimarrà come membro del dominio migrato

Figura 17 impostazione password

Figura 18 Completamento del wizard e riavvio della macchina

A questo punto, riavviato il server questo risulterà membro del dominio ICTPOWER.LOCAL, sul server DC02 (2019) è ancora necessario eliminare dalla configurazione DNS della scheda di rete, i rifermenti all’indirizzo DNS relativi a DC01 (che era stato configurato in occasione della connessione in rete).

A questo proposito si può notare che la procedura di configurazione dei servizi AD su DC02 non ha modificato il valore impostato in origine ma ha aggiunto il loopback address.

Figura 19 configurazione IP DC02

Rimosso il riferimento al DC01 nella configurazione DNS il dominio è operativo con il nuovo server DC02 e con sistema operativo 2019.

Modifica del Livello Funzionale di AD

Tramite PowerShell possiamo rilevare l’attuale livello funzionale del Dominio e della Foresta

Get-AdDomain | format-list domainmode
Get-AdForest | format-list forestmode

Figura 20 livelli funzionali di dominio e foresta

Innalzamento del livello funzionale di Foresta e Dominio alla versione 2016

Come già accennato in precedenza pur con una versione server 2019 il massimo livello funzionale disponibile è 2016, quindi procederemo ad innalzare l’intera infrastruttura a questo livello

Set-ADDomainMode –identity ICTPOWER.LOCAL -DomainMode Windows2016Domain -Confirm:$False
Set-ADForestMode –identity ICTPOWER.LOCAL -ForestMode Windows2016Forest -Confirm:$False

Figura 21 innalzamento dei livelli funzionali

Forse non tutti sanno che:

Fino alla versione funzionale 2008 di dominio e foresta, l’operazione di innalzamento era a senso unico verso l’alto ossia 2000à2003à2008 e NON era reversibile.

Dalla versione 2008 R2 in poi è possibile in maniera molto semplice innalzare ed abbassare il livello funzionale di Dominio e Foresta, tuttavia è un’operazione possibile esclusivamente tramite PowerShell e non tramite GUI.

Figura 22 gestione del livello funzionale di dominio da AD Domain and Trust

Conclusioni:

seppur apparentemente molto semplice il processo di aggiornamento di Active Directory è necessario che venga pianificato e verificato fin nei minimi particolari, soprattutto in infrastrutture molto grandi e distribuite dove sono presenti applicativi che usano lo schema di AD per il loro funzionamento, piuttosto che autenticazione, una puntuale fase di test diventa imprescindibile.

Riferimenti:

Impostazioni consigliate per i software antivirus su DC

https://support.microsoft.com/en-us/help/822158/virus-scanning-recommendations-for-enterprise-computers

Controllo delle funzionalità di replica su AD

https://techcommunity.microsoft.com/t5/itops-talk-blog/powershell-basics-how-to-check-active-directory-replication/ba-p/326364

Livelli Funzionali di Active Directory

https://docs.microsoft.com/it-it/windows-server/identity/ad-ds/active-directory-functional-levels

Ruoli FSMO (Flexible Single Master Operation Roles) in Active Directory

https://docs.microsoft.com/it-it/troubleshoot/windows-server/identity/fsmo-roles

L'articolo Migrare Active Directory da Windows Server 2008 / 2008 R2 a Windows Server 2019 proviene da ICT Power.

Il secondo aggiornamento di funzionalità dell’anno 2020, nome ufficiale Windows 10 October 2020 Update, è finalmente disponibile. Il rilascio è iniziato da qualche giorno sui vari canali di distribuzione: Windows Update (come sempre, in maniera frazionata), Windows Server Update Services (WSUS) e Windows Update for Business. Le immagini ufficiali posso essere scaricate tramite le sottoscrizioni di Visual Studio, il Software Download Center (Assistente Aggiornamento o Media Creation Tool) e il VLSC (Volume Licensing Service Center).

Questo aggiornamento presenta una serie di nuove funzionalità, riassunte nel nostro articolo e presentate in quello ufficiale pubblicato sul Blog ufficiale di Windows.

La data di rilascio ufficiale è 20 ottobre 2020 e la versione è identificata dal numero 20H2 build 19042. A partire da questo giorno Microsoft inizia a supportare la nuova versione del sistema operativo Windows 10 con le seguenti date di fine ciclo di vita:

• Edizioni Home, Pro, Pro Education, Pro for Workstations e IoT Core – 10 maggio 2022
• Enterprise, Education and IoT Enterprise – 9 maggio 2023*

*Manutenzione garantita per 30 mesi dalla data di rilascio per l’aggiornamento di funzionalità rilasciato nella seconda metà dell’anno

Un esperimento che sembra riuscito

I più attenti avranno notato che, rispetto alla versione 1903, la build si differenzia di un solo numero. Microsoft ha testato questa tipologia di aggiornamento di funzionalità già l’anno scorso e sembrava essere solo un esperimento (anche in base a una serie di dichiarazioni). A conti fatti i risultati saranno stati molto positivi, tant’è che la medesima modalità è stata riproposta per Windows 10 October 2020 Update.

Facciamo un rapido riepilogo. Windows 10 2004 e 20H2
condividono il medesimo core del sistema operativo con un set di file di sistema identico. Le nuove funzionalità della 20H2 sono state già incluse nell’aggiornamento qualitativo mensile per Windows 10 2004, datato 8 settembre 2020 (KB4571756), ma esse sono inattive/disabilitate e in uno stato “dormiente”.

Grazie al già citato “enablement package” (pacchetto di abilitazione), ovvero un piccolo e rapido “interruttore”, tutte le nuove funzionalità vengono attivate. Esso viene identificato dal (KB4562830).

Utilizzando questo comodo sistema, l’aggiornamento a Windows 10 20H2, dovrebbe richiedere all’incirca lo stesso tempo necessario per installare gli aggiornamenti qualitativi mensili, ovvero il tempo necessario ad effettuare un riavvio del sistema.

Ulteriori informazioni sull’aggiornamento di funzionalità con enablement package

Novità di Windows 10 October 2020 Update

Per gli utenti finali

• Menu Start riprogettato
  Integrato nel menu Start un design più snello il quale va a rimuovere le tinte unite dietro le varie icone nell’elenco delle app e delle “live tile”, applicando uno sfondo uniforme e parzialmente trasparente alle singole tessere (in base al tema del sistema operativo).
  
• ALT+TAB tra le schede di Microsoft Edge
  La funzione introdotta nel lontano Windows 2.0 si espande. Ora è possibile utilizzare la combinazione di tasti ALT + TAB non solo per passare da un’applicazione all’altra, ma anche per navigare tra le schede aperte in Microsoft Edge. L’impostazione si può modificare da Impostazioni > Sistema > Multitasking > ALT+TAB.
  
• Notifiche migliorate
  Le notifiche “Toast” ora mostrano il logo della relativa app nell’angolo in alto a sinistra, in modo da poter verificare immediatamente la provenienza. Disattivate le notifiche dell’Assistente notifiche, le quali avvertono quando lo stesso è abilitato – sia tramite regola automatica che abilitandolo manualmente.
  
• Impostazioni
  Prosegue l’integrazione del “vecchio” Pannello di Controllo all’interno della “nuova” pagina Impostazioni, aggiungendo ulteriori funzionalità.
  
• Tablet Experience
  Precedentemente, scollegando la tastiera da un dispositivo 2 in 1, veniva visualizzata una notifica che richiedeva l’intervento dell’utente per scegliere se passare o meno alla modalità tablet. In Windows 10 20H2, l’impostazione predefinita è stata cambiata: la notifica non viene più visualizzata e Windows passerà automaticamente alla nuova modalità tablet. Questa impostazione è modificabile da Impostazioni > Sistema > Tablet.
  
• Frequenza di aggiornamento dello schermo
  Con la disponibilità sul mercato di monitor sempre più prestanti, è stata aggiunta la possibilità di modificare la frequenza di aggiornamento del display direttamente dalle impostazioni seguendo il percorso Impostazioni > Sistema > Schermo > Impostazioni schermo avanzate > Frequenza di aggiornamento (ovviamente il tutto è legato all’hardware in proprio possesso).
  
• Microsoft Edge (basato sul motore Chromium)
  Windows 10 versione 20H2 è la prima versione di Windows 10 a integrare nativamente il nuovo browser Microsoft Edge basato sul motore Chromium.
  

Per gli IT Professional

• Mobile Device Management (MDM)
  I criteri di gestione dei dispositivi mobili (Mobile Device Management) sono stati estesi con nuove impostazioni Utenti e gruppi locali che corrispondono alle opzioni disponibili per i dispositivi gestiti tramite il classico Criteri di gruppo da 20 anni orsono. Per altre informazioni sulle novità di MDM, fate riferimento a questo link.
  
• Windows Autopilot
  Sono stati annunciati diversi miglioramenti a Windows Autopilot dalla versione 2004, tra cui Windows Autopilot per HoloLens 2, Windows Autopilot con la co-gestione e i report di Autopilot Deployment. Per i dettagli su tutto questo e altro, segnaliamo questo video approfondimento.
  
• Microsoft Defender Application Guard per Office
  Microsoft Defender Application Guard, progettato per Windows 10, ora supporta Office. Con esso è possibile avviare documenti di Office non attendibili (provenienti, ad esempio, dall’esterno dell’organizzazione) in un contenitore isolato, per evitare che un contenuto potenzialmente dannoso possa compromettere la sicurezza del dispositivo e dei dati contenuti al suo interno. Ulteriori dettagli li trovate nella Public Preview per gli amministratori.
  
• LCU + ​​SSU = payload singolo
  Da molti anni veniva richiesto a Microsoft di semplificare la distribuzione degli ultimi aggiornamenti cumulativi e degli aggiornamenti dello stack di manutenzione. A partire da Windows 10 versione 20H2, LCU (Latest Cumulative Update) e SSU (Servicing Stack Update) sono stati combinati in un unico aggiornamento mensile cumulativo, disponibile tramite Microsoft Catalog o Windows Server Update Services. Per altre informazioni, fate riferimento a questo link.
  
• Accesso biometrico più sicuro
  Windows Hello ora offre il supporto della sicurezza basata su virtualizzazione per alcuni sensori di impronte digitali e riconoscimento del volto. Questa funzionalità, integrata nel sistema operativo, isola e protegge i dati di autenticazione biometrica degli utenti.
  
• Windows Sandbox
  In questa versione sono disponibili nuovi criteri per Windows Sandbox. Per altre informazioni, vedere CSP Policy – WindowsSandbox.
  

Ulteriori informazioni sulle novità di Windows 10 20H2
Ulteriori informazioni su come ottenere Windows 10 20H2

Ulteriori informazioni sulla distribuzione di Windows 10

Caratteristiche rimosse o non più sviluppate (20H2)

Ogni nuova versione di Windows 10 contiene funzionalità aggiunte e/o migliorate, ma a volte alcune di esse vengono rimosse o non più sviluppate.

Rimosse dalla 20H2

• Metadati del servizio MBAE. L’esperienza dell’app MBAE è sostituita da un’app MO UWP. I metadati per il servizio MBAE vengono rimossi.

Non più sviluppate dalla 20H2

• Nulla da segnalare in questa versione.

Scaricare Windows 10 October 2020 Update

Per chi fosse interessato a scaricare le ISO ufficiali, strumenti e risorse legate a Windows 10 20H2 forniamo di seguito tutte le relative informazioni:

Windows 10 (business editions), version 20H2

All’interno del Media sono presenti le seguenti edizioni:

• Windows 10 Pro
• Windows 10 Pro N
• *Windows 10 Pro for Workstations
• *Windows 10 Pro N for Workstations
• Windows 10 Pro Education
• Windows 10 Pro Education N
• Windows 10 Education
• Windows 10 Education N
• Windows 10 Enterprise
• Windows 10 Enterprise N

*È richiesta l’installazione di Windows 10 Pro, versione 1709 o superiore, prima di poter attivare il product key di Window 10 Pro for Workstations.

• en_windows_10_business_editions_version_20h2_x64_dvd_4788fb7c.iso
  SHA256: 4767510FFB63CC6FE81BC81DDD377454751313185FFAE30B88DD597C8A24D371
• en_windows_10_business_editions_version_20h2_x86_dvd_fae4084e.iso
  SHA256: FD5891EE37F46A3061CE97EC47F3C85E596246344AACEDBC0CBA5276496BD93B
• it_windows_10_business_editions_version_20h2_x64_dvd_7a3fab79.iso
  SHA256: 73AB72F111AB76D870FA859DC09B89ADED674730F574C9289C9414B6F345AE3D
• it_windows_10_business_editions_version_20h2_x86_dvd_c5d48730.iso
  SHA256: BE0608D4D75FB4A9D520B24622A191251106158C1CB6549595B5DF521E4667D9

Windows 10 (consumer editions), version 20H2

All’interno del Media sono presenti le seguenti edizioni:

• Windows 10 Home
• Windows 10 Home N
• Windows 10 Core Single Language
• Windows 10 Pro
• Windows 10 Pro N
• *Windows 10 Pro for Workstations
• *Windows 10 Pro N for Workstations
• Windows 10 Pro Education
• Windows 10 Pro Education N
• Windows 10 Education
• Windows 10 Education N

*È richiesta l’installazione di Windows 10 Pro, versione 1709 o superiore, prima di poter attivare il product key di Window 10 Pro for Workstations.

• en_windows_10_consumer_editions_version_20h2_x64_dvd_ab0e3e0a.iso
  SHA256: E793F3C94D075B1AA710EC8D462CEE77FDE82CAF400D143D68036F72C12D9A7E
• en_windows_10_consumer_editions_version_20h2_x86_dvd_ea9a9e3f.iso
  SHA256: 09DC23EAF0FCBFBA44FB987672FE63DA55BCF25EA40E351581FBEE0411D7F408
• it_windows_10_consumer_editions_version_20h2_x64_dvd_90f3c2e1.iso
  SHA256: 340020436E4A8F773C8081AF73ED95A1410FCA5DE413B28BCB47440778292057
• it_windows_10_consumer_editions_version_20h2_x86_dvd_f5b14f4f.iso
  SHA256: F35520474244EA5044CA2A53104207E0C45617E9D674AF63317FD762BC762FF6

Versione di valutazione di Windows 10 Enterprise 20H2

Per chi volesse provare una versione di valutazione di 90 giorni (edizione Enterprise) può scaricarla direttamente dall’ Evaluation Center:

Lingue disponibili

Cinese (semplificato), cinese (tradizionale), coreano, francese, giapponese, inglese (Gran Bretagna), inglese (Stati Uniti), italiano, portoghese, spagnolo, tedesco

Edizioni

• Windows 10 Enterprise, version 20H2 | 64-bit ISO
• Windows 10 Enterprise, version 20H2 | 32-bit ISO
• Windows 10 Enterprise LTSC 2019 | 64-bit ISO
• Windows 10 Enterprise LTSC 2019 | 32-bit ISO

Strumenti e risorse

• Security baseline (bozza) per Windows 10 e Windows Server 20H2
• Template ADMX per Windows 10 20H2
• Foglio di lavoro relativo all’elenco delle Group Policy per Windows 10 20H2
• Windows Release Health Dashboard (problemi noti e notifiche)

Continuate a seguirci sui nostri canali per tutte le novità e gli approfondimenti su Windows 10.

L'articolo Windows 10 October 2020 Update proviene da ICT Power.

Come si stanno evolvendo le aziende in questo periodo? Come la pandemia ha cambiato le nostre abitudini lavorative? Quali sono i vantaggi ed i limiti del modern workplace?

Tanti hanno cercato di dare una risposta a queste domande negli ultimi mesi.

Noi vogliamo dire la nostra e vogliamo tirare le somme di questa evoluzione nell’ultima #POWERCON2020 di quest’anno, mostrandovi come riadattare le infrastrutture tecniche ai nuovi modelli di lavoro.

Nicola Ferrini parlerà di Azure Active Directory come Security Boundary. Il servizio di gestione delle identità di Azure Active Directory (Azure AD) per le aziende offre accesso Single Sign-On e autenticazione a più fattori per proteggere gli utenti dal 99,9% degli attacchi informatici. In questa sessione verranno analizzate tutte le funzionalità che permettono di rimanere produttivi ovunque, indipendentemente dal fatto che le persone si trovino in sede o lavorino in remoto, proteggendo le credenziali dell’utente e rendendo più sicura l’autenticazione, che rappresenta il nuovo security boundary.

Roberto Tafuri mostrerà come La sicurezza del Modern Desktop passa da Microsoft Endpoint Manager (Intune). Avere un Modern Desktop significa sfruttare al massimo le funzionalità offerte sia dal sistema operativo che dalla suite Microsoft 365. Con l’utilizzo di Windows 10 e la soluzione di MDM (Mobile Device Management) e MAM (Mobile Application Management) Microsoft Intune, le organizzazioni hanno la possibilità di migliorare la produttività ed aumentare il livello di sicurezza. Nella sua sessione parlerà della gestione delle seguenti funzionalità per i dispositivi Windows 10: Bitlocker, Windows Hello for Busines, Windows Update for Business, App protection policies, Backup e protezione dei files con OneDrive for Business.

Ermanno Goletto e Roberto Massa ci mostreranno come Migrare Active Directory a Windows Server 2019. Sebbene la nuova versione del sistema operativo server Microsoft non introduca novità nelle funzionalità di Active Directory è comunque importante migrare i Domain Controller a questa versione dal momento che con Windows Server 2019 saranno supportati solo i livelli funzionali Windows Server 2008 e successivi. In questa sessione approfondiranno la procedura e le best practices per la migrazione dei domain controller Windows Server 2008 ormai fuori supporto a Windows Server 2019 in modo da mantenere aggiornata la propria infrastruttura Active Directory.

Albano Lala parlerà di Intelligent Communications con Microsoft Teams. Microsoft Teams è il fulcro della visione di Microsoft in ambito di Intelligent Communications e nel suo percorso di crescita Teams ha imparato a conoscere il mondo della telefonia e a padroneggarlo con i PBX as a service e tramite le integrazioni con i PBX On-Premises. In questa sessione vedremo nel dettaglio gli strumenti che ci offre Microsoft Teams per unire il mondo della fonia e dei meeting con gli strumenti di collaboration di Microsoft 365.

Vito Macina parlerà di Windows 10 Eternal, Continuous Evolution. Windows 10 raggiunge il traguardo dei 6 anni e continua la sua eterna evoluzione senza alcun freno. Non solo funzionalità, ma soprattutto processo e concetto. Nella sessione parleremo dei profondi cambiamenti avvenuti in meno di 1 anno e non mancheranno le consuete informazioni utili.

AGENDA

Vi aspettiamo online!

La partecipazione al seminario è GRATUITA. Per registrarvi cliccate sull’immagine sotto:

L'articolo #POWERCON2020 – Nuovi modelli di lavoro nelle aziende al tempo del Covid-19 – Evento online GRATUITO proviene da ICT Power.

Nel mese di settembre Windows Admin Center è stato rilasciato in preview direttamente su Azure!

Dal portale è possibile gestire VM IaaS in maniera sempre più granulare. Per poter accedere alla preview, però, è necessario attendere: al momento della scrittura di questo articolo non è possibile effettuare una richiesta di accesso a questa funzionalità.

Per provare comunque la versione 2009 possiamo creare una VM su Azure ed installare WAC in modalità gateway. Le uniche configurazioni da fare sono relative al Network Security Group e regole firewall per interagire correttamente con l’istanza.

Per installare WAC possiamo consultare la documentazione ufficiale.

Dopo aver eseguito l’installazione è necessario collegare il server gateway alla sottoscrizione Azure che si vuole gestire.

Per fare ciò è necessario selezionare Azure Hybrid Services e registrare l’istanza con Azure

Figura 1: Azure Hybrid Sercies – Registrazione

Dopo aver completato la registrazione è necessario creare un Azure Network Adapter.

Possiamo effettuare questa configurazione direttamente da WAC cliccando su Networks, successivamente su Add Azure Network Adapter

Figura 2: Network – Network Adapter

Figura 3: WAC – Notifica

Per poter abilitare il traffico verso WAC possiamo eseguire il comando:

Set-NetFirewallRule -Name WINRM-HTTP-In-TCP-PUBLIC -RemoteAddress x.x.x.x/YY

Il parametro Remote Address dovrà contenere l’address space della VNet nella quale sono attestate le VM su Azure.

Verifichiamo che WAC riesca ad enumerare i server sulla VNet e passiamo gestione

Figura 4: WAC – Nuovo server su Azure

Il gateway WAC è pronto per essere utilizzato per la gestione dei server su Azure!

Conclusioni

Windows Admin Server non smette di stupire e, considerata la velocità con la quale sono esauriti gli slot disponibili per la preview su Azure, è evidente che l’interesse è sempre alto. Del resto, WAC è ha già dimostrato ampiamente i suoi punti di forza già nelle versioni precedenti.

In attesa di ulteriori sviluppi, il link per effettuare il download di WAC è disponibile nella sezione su sito Microsoft. Come di consueto, qualsiasi feedback può essere rilasciato sul portale UserVoice. Possiamo contribuire attivamente sullo spazio messo a disposizione sui forum delle Microsoft Tech Communities su Windows Admin Center.

Stay tuned!

L'articolo Windows Admin Center 2009 – Preview su Azure proviene da ICT Power.

Fin dal rilascio di Windows Server 2000, la funzionalità Group Policy Object (GPO) ha permesso agli amministratori di rete di poter configurare in maniera centralizzata i computer della propria organizzazione. Infatti, in un ambiente di lavoro che è completamente gestito da un’ infrastruttura basata sulle Group Policy, l’amministratore non ha bisogno di configurare singolarmente i computer e le impostazioni gli utenti.

Le Group policy possono essere associate ad un intero sito di Active Directory, al dominio oppure possono essere associate alle singole Organizational Unit (OU).

Tantissimo è stato scritto in questi anni a proposito delle GPO e quello che mi propongo di scrivere in questa breve guida è rispondere alle domande più frequenti che sono venuti fuori durante i miei corsi.

Le Group Policy sono un potentissimo strumento che permette di poter imporre le configurazioni sia agli utenti che ai computer, in particolar modo configurazioni che riguardano la sicurezza, le applicazioni desktop, la gestione e la distribuzione del software e le configurazioni relative alla rete.

In particolar modo, gli Administrative Templates delle GPO modificano chiavi di registro di Windows, sia nel ramo utente che nel ramo computer, che contengono la parola Policies.

Figura 1: Le Group Policy modificano le chiavi registro di Windows

Gestione delle Group Policy: console e tools

Per gestire le Group policy abbiamo a disposizione alcune console come la Group Policy Management Console e il Group Policy Management Editor. Ma ci sono anche diversi strumenti a riga di comando come GPUpdate e GPResult

Figura 2: Strumenti per la gestione delle Group Policy: Group Policy Management Console e Group Policy Editor

Figura 3: Risultato dell’esecuzione del comando gpresult

Applicazione delle Group Policy

Uno dei vantaggi delle Group Policy è che vengono applicate in background senza l’intervento dell’amministratore e vengono riapplicate in maniera automatica ogni 5 minuti per i domain controller e ogni 90 minuti + 30 minuti per i computer del dominio. L’impostazione è modificabile cambiando i valori del ramo Computer Configuration à Policies à Administrative Templates à System à Group Policy e configurando le due policy Set Group Policy refrsh interval for domain controllers e Set Group Policy refrsh interval for computers

Figura 4: Configurazione degli intervalli di refresh delle GPO per i computer e per i domain controller

Administrative Templates

Come già scritto prima, gli Administrative Templates delle Group Policy modificano i rami del registro computer HKEY_LOCAL_MACHINE e dell’utente HKEY_CURRENT_USER. Questi file, originariamente creati in formato .ADM e successivamente in Windows Server 2008 creati in formato .ADMX, permettono di configurare un notevole numero di parametri del sistema operativo, ma anche di alcuni applicativi. Infatti è possibile aggiungere ulteriori administrative templates alle nostre group policy per poter configurare in ambiente enterprise prodotti come Microsoft Office, Adobe Acrobat Reader, Google Chrome, Mozilla Firefox e tanti altri. Dopo essersi procurati sul sito del produttore dell’applicativo i diversi file ADMX, è sufficiente copiarli nella cartella C:\Windows\PolicyDefinitions del domain controller.

Se, ad esempio, volete aggiungere gli Administrative Templates per poter gestire le Microsoft 365 Apps for enterprise, Office 2019 oppure Office 2016, potete scaricarli dal link https://www.microsoft.com/en-us/download/details.aspx?id=49030 . Dopo averli estratti sarà sufficiente copiarli nella cartella C:\Windows\PolicyDefinitions del domain controller. Riaprendo successivamente il Group Policy Editor per qualsiasi GPO, le nuove configurazioni saranno disponibili e potranno essere utilizzate per poter gestire le applicazioni Office, come mostrato nelle figure sotto:

Figura 5: Aggiunta degli Administrative Templates di Office alle policy di dominio

Figura 6: Gestione delle applicazioni Office utilizzando le Group Policy

Come si può vedere dalla figura sopra, gli Administrative Templates sono stati incollati nella cartella C:\Windows\PolicyDefinitions del domain controller e la console ci mostra che sono stati presi dal computer locale (la freccia lo evidenzia nell’immagine). Di default, quando aprite la Group Policy Management Console viene contattato non un domain controller qualsiasi ma quello che ha il ruolo FSMO (Flexible Single Master Operation) di PDC Emulator. Se avete più domain controller, come è giusto che sia, e se sono anche distribuiti in diversi Site di Active Directory, sarà necessario copiare gli Administrative Templates in tutte le cartelle C:\Windows\PolicyDefinitions di tutti i domain controller in modo tale da poterlo configurare da qualsiasi DC e non necessariamente dal DC che ha il ruolo di PDC Emulator. Per ovviare a questa incombenza è possibile utilizzare il Central Store delle GPO, disponibile da Windows Server 2008.

Figura 7: La Group Policy Management Console si collega in maniera predefinita al domain controller con il ruolo di PDC Emulator

Utilizzo del Central Store

Per poter gestire le Group Policy da qualsiasi domain controller e non necessariamente da quello che il ruolo di PDC Emulator, soprattutto se aggiungete Administrative Templates che non sono inclusi in Windows Server, è necessario utilizzare il Central Store delle GPO. Tutta la cartella C:\Windows\PolicyDefinitions di uno dei domain controller deve essere copiata nel percorso \\<nome dominio>\SYSVOL\<nome dominio>\Policies. Va da se che d’ora in poi tutti gli Administrative Templates da aggiungere dovranno essere copiati nella cartella centralizzata della SYSVOL e non più nella cartella locale dei domain controller.

Figura 8: Configurazione del Central Store per le GPO

Come si può vedere dalla figura sotto, Il Group Policy Editor fa riferimento al Central Store per il caricamento e la visualizzazione degli Administrative Templates.

Figura 9: Il Central Store viene utilizzato per caricare gli Administrative Templates

Group Policy Processing order

Quello che spesso sfugge è l’ordine con cui le Group policy vengono applicate all’interno della nostra organizzazione . Infatti, è molto importante considerare l’ordine di precedenza in quanto, nonostante l’applicazione delle configurazioni sia cumulativa, l’ultima policy sovrascriverà la configurazione applicata da una policy precedente:

Ordine di precedenza: Local à Site à Domain à OU à Child OU…
visibile nel tab Group Policy Inheritance della Group Policy Management Console. L’impostazione che vincerà è quella applicate alla Child OU, perchè è stata create appositamente per gestire in maniera diversa gli utenti ed I computer che si trovano in quella OU.

Questo tipo di comportamento, che è quello predefinito, può essere modificato configurando la policy precedente in modalità Enforced e, nel caso vengano configurate le stesse impostazioni, quella che vince è quella applicata a livello più alto. Ripeto infatti che tutte le configurazioni vengono sommate (sono cumulative) e che stiamo solo decidendo il comortamento nel caso in cui due policy diverse vadano a modificare la stessa impostazione.

Figura 10: Group Policy processing order

Si tenga presente che più è basso il numero della precedenza nella scheda Group Policy Inheritance à Più in alto verrà visualizzata la policy nella lista –à La policy più in alto avrà la precedenza

Lower number à Higher on list à Precedence

Figura 11: Esempio di Group Policy Inheritance

L’eredità può anche essere bloccata, cliccando col tasto destro sulla OU e scegliendo Block Inheritance. In questo modo verranno applicate solo le GPO associate a quella OU. Se ci sono delle Child OU, queste invece erediteranno dalla OU padre, a meno che non blocchiate l’ereditarietà anche per loro, agendo singolarmente su ogni OU.

Figura 12: Blocco dell’ereditarietà per una OU

In ogni caso, ricordatevi che se a livello più altro una GPO è Enforced, vincerà sempre. Nella figura sotto si può notare che la Default Domain Policy è stata forzata e viene applicata anche nel caso alla OU chiamata ROMA abbia applicato il blocco dell’ereditarietà.

Figura 13: Enforcement di una GPO in modo tale da impedire le modifiche apportate da una GPO ad un livello più basso, in caso di contrasto

Loopback Processing Mode

Ho già avuto modo di scrivere del Loopback Processing Mode nell’articolo Come funziona il Loopback Processing Mode nelle Group Policy. Molti di voi sapranno già che le Group Policy hanno la possibilità di configurare sia i computer che gli utenti e le configurazioni utente vengono applicate indipendentemente dal computer dove l’utente si logga.

Ci sono casi, tuttavia, dove questo tipo di comportamento potrebbe non andare bene; ad esempio se un utente si logga su un Remote Desktop Session Host (Terminal Server), che è una macchina condivisa da più persone, vorrei evitare che si porti dietro alcune configurazioni.

Per ovviare a questo comportamento di default è necessario abilitare il Loopback Processing mode. Per abilitare il Loopback Processing Mode è necessario configurare la Policy scegliendo Computer Configuration/Administrative Templates/System/Group Policy e modificare il parametro Configure user Group Policy loopback processing mode

Se si abilita questa impostazione, è possibile selezionare una delle modalità seguenti nella casella Modalità:

• “Sostituisci” indica che le impostazioni utente definite negli oggetti Criteri di gruppo del computer sostituiscono le impostazioni utente generalmente applicate all’utente.
• “Unisci” indica che le impostazioni utente definite negli oggetti Criteri di gruppo del computer e le impostazioni utente normalmente applicate all’utente vengono combinate. In caso di conflitto, le impostazioni utente degli oggetti Criteri di gruppo del computer avranno la precedenza sulle impostazioni normali dell’utente.

Se si disabilita o non si configura questa impostazione, gli oggetti Criteri di gruppo dell’utente determineranno le impostazioni utente valide.

Figura 14: Loopback Processing Mode

Group Policy Preferences

Un discorso a parte lo meritano le Group Policy Preferences, introdotte in Windows Server 2008. Tramite le Group Policy Preferences è possibile distribuire e gestire le configurazioni del sistema operativo e degli applicativi, che non possono essere gestiti utilizzando le Group Policy. Alcuni esempi di Group Policy Preferences includono la mappatura dei dischi di rete, la creazione e la configurazione di operazioni pianificate, la creazione di utenti e gruppi locali e la modifica delle chiavi di registro utilizzate dalle applicazioni. La maggior parte delle volte offrono una valida alternativa agli script di logon degli utenti o di startup delle macchine.

Mentre infatti le GPO, grazie agli Administrative Templates, lavorano su chiavi di registro apposite (che contengono il ramo Policies) e che devono essere previste dallo sviluppatore, le Group Policy Preferences modificano le chiavi utilizzate dall’applicazione. Un esempio è ben descritto nell’articolo Gestione centralizzata di Java Virtual Machine in ambienti distribuiti e con l’utilizzo delle Group Policy Preferences

C’è da considerare anche che nonostante le Group Policy Preferences utilizzino lo stesso intervallo di refresh delle classiche Group Policy, non hanno esattamente lo stesso comportamento. Infatti, se scollegate una Group Policy da un Organizational Unit (OU), le configurazioni applicate dalla Group Policy verranno anch’esse rimosse. Invece le configurazioni applicate delle Group Policy Preferences rimarranno e dovranno essere eliminate con uno script oppure con una Group Policy Preferences che faccia l’operazione di rimozione (Delete).

Figura 15: Group Policy Preferences

Figura 16: Operazioni consentite dalle configurazioni delle Group Policy Preferences

Decisamente interessante per quanto riguarda le Group Policy Preferences è la possibilità di poter applicare le configurazioni solo se si verificano determinate condizioni. Utilizzando infatti l’Item-level targenting possiamo decidere le caratteristiche della macchina di destinazione della nostra configurazione, filtrando la lingua, il sistema operativo, il range di indirizzi IP della macchina, lo spazio disco disponibile, la RAM, ecc. come mostrato nella figura sotto:

Figura 17: Configurazione dell’Item-level targeting per la Group Policy Preference

Conclusioni

L’intento di questo articolo è quello di fissare solo alcuni concetti relativi alla Group Policy, che dovranno comunque essere approfonditi. Avere ben chiaro il comportamento e le modalità di applicazione delle GPO sono un ottimo strumento per configyurare ene la nostra infrastruttura e per poter effettuare poi il troubleshooting in maniera corretta nel caso di problematiche.

L'articolo Funzionamento delle Group Policy in Windows Server: facciamo un po’ di chiarezza proviene da ICT Power.

Come si stanno evolvendo le aziende in questo periodo? Come la pandemia ha cambiato le nostre abitudini lavorative? Quali sono i vantaggi ed i limiti del modern workplace?

Tanti hanno cercato di dare una risposta a queste domande negli ultimi mesi.

Noi vogliamo dire la nostra e vogliamo tirare le somme di questa evoluzione nell’ultima #POWERCON2020 di quest’anno, mostrandovi come riadattare le infrastrutture tecniche ai nuovi modelli di lavoro.

In questa sessione ho trattato il tema di Azure Active Directory come Security Boundary. Il servizio di gestione delle identità di Azure Active Directory (Azure AD) per le aziende offre accesso Single Sign-On e autenticazione a più fattori per proteggere gli utenti dal 99,9% degli attacchi informatici. In questa sessione verranno analizzate tutte le funzionalità che permettono di rimanere produttivi ovunque, indipendentemente dal fatto che le persone si trovino in sede o lavorino in remoto, proteggendo le credenziali dell’utente e rendendo più sicura l’autenticazione, che rappresenta il nuovo security boundary.

Potete scaricare la presentazione della sessione al link https://www.ictpower.it/download/POWERCON2020 – Nicola Ferrini – Azure Active Directory come Security Boundary.pdf

Qui di seguito invece c’è la registrazione della sessione:

L'articolo #POWERCON2020 – Evento online dell’11 dicembre – Nicola Ferrini – Azure Active Directory come Security Boundary proviene da ICT Power.

Come si stanno evolvendo le aziende in questo periodo? Come la pandemia ha cambiato le nostre abitudini lavorative? Quali sono i vantaggi ed i limiti del modern workplace?

Tanti hanno cercato di dare una risposta a queste domande negli ultimi mesi.

Noi vogliamo dire la nostra e vogliamo tirare le somme di questa evoluzione nell’ultima #POWERCON2020 di quest’anno, mostrandovi come riadattare le infrastrutture tecniche ai nuovi modelli di lavoro.

Potete scaricare la presentazione della sessione al link https://www.ictpower.it/download/POWERCON2020 – Roberto Tafuri – La sicurezza del Modern Desktop passa da Microsoft Endpoint Manager (Intune).pdf

Qui di seguito invece c’è la registrazione della sessione:

Grazie a tutti i partecipanti e arrivederci al prossimo evento!

L'articolo #POWERCON2020 – Evento online dell’11 dicembre – Roberto Tafuri – La sicurezza del Modern Desktop passa da Microsoft Endpoint Manager (Intune) proviene da ICT Power.

Come si stanno evolvendo le aziende in questo periodo? Come la pandemia ha cambiato le nostre abitudini lavorative? Quali sono i vantaggi ed i limiti del modern workplace?

Tanti hanno cercato di dare una risposta a queste domande negli ultimi mesi.

Noi vogliamo dire la nostra e vogliamo tirare le somme di questa evoluzione nell’ultima #POWERCON2020 di quest’anno, mostrandovi come riadattare le infrastrutture tecniche ai nuovi modelli di lavoro.

Potete scaricare la presentazione della sessione al link https://www.ictpower.it/download/POWERCON2020 – Ermanno Goletto – Roberto Massa – Migrare Active Directory a Windows Server 2019.pdf

Qui di seguito invece c’è la registrazione della sessione:

Grazie a tutti i partecipanti e arrivederci al prossimo evento!

L'articolo #POWERCON2020 – Evento online dell’11 dicembre – Ermanno Goletto e Roberto Massa – Migrare Active Directory a Windows Server 2019 proviene da ICT Power.

Come si stanno evolvendo le aziende in questo periodo? Come la pandemia ha cambiato le nostre abitudini lavorative? Quali sono i vantaggi ed i limiti del modern workplace?

Tanti hanno cercato di dare una risposta a queste domande negli ultimi mesi.

Noi vogliamo dire la nostra e vogliamo tirare le somme di questa evoluzione nell’ultima #POWERCON2020 di quest’anno, mostrandovi come riadattare le infrastrutture tecniche ai nuovi modelli di lavoro.

Microsoft Teams è il fulcro della visione di Microsoft in ambito di Intelligent Communications e nel suo percorso di crescita Teams ha imparato a conoscere il mondo della telefonia e a padroneggarlo con i PBX as a service e tramite le integrazioni con i PBX On-Premises. In questa sessione vedremo nel dettaglio gli strumenti che ci offre Microsoft Teams per unire il mondo della fonia e dei meeting con gli strumenti di collaboration di Microsoft 365.

Potete scaricare la presentazione della sessione al link https://www.ictpower.it/download/POWERCON2020 – Albano Lala – Intelligent Communications con Microsoft Teams.pdf

Qui di seguito invece c’è la registrazione della sessione:

Grazie a tutti i partecipanti e arrivederci al prossimo evento!

L'articolo #POWERCON2020 – Evento online dell’11 dicembre – Albano Lala – Intelligent Communications con Microsoft Teams proviene da ICT Power.

Come si stanno evolvendo le aziende in questo periodo? Come la pandemia ha cambiato le nostre abitudini lavorative? Quali sono i vantaggi ed i limiti del modern workplace?

Tanti hanno cercato di dare una risposta a queste domande negli ultimi mesi.

Noi vogliamo dire la nostra e vogliamo tirare le somme di questa evoluzione nell’ultima #POWERCON2020 di quest’anno, mostrandovi come riadattare le infrastrutture tecniche ai nuovi modelli di lavoro.

Windows 10 raggiunge il traguardo dei 6 anni e continua la sua eterna evoluzione senza alcun freno. Non solo funzionalità, ma soprattutto processo e concetto. Nella sessione parleremo dei profondi cambiamenti avvenuti in meno di 1 anno e non mancheranno le consuete informazioni utili.

Potete scaricare la presentazione della sessione al link https://www.ictpower.it/download/POWERCON2020 – Vito Macina – Windows 10 Eternal, Continuous Evolution.pdf

Qui di seguito invece c’è la registrazione della sessione:

L'articolo #POWERCON2020 – Evento online dell’11 dicembre – Vito Macina – Windows 10 Eternal, Continuous Evolution proviene da ICT Power.