Ieri, venerdì 11 giugno 2021, è stato trasmetto il primo evento online del 2021 della Community ICTPower.

Nel nuovo mondo del lavoro flessibile, sempre più digitale, è chiaro quanto siano importanti strumenti e tecnologie orientate alla collaborazione, all’apprendimento, alla condivisione e soprattutto alla sicurezza.

Già nelle precedenti #POWERCON abbiamo trattato questi temi e ancora una volta vogliamo ribadire quali siano gli strumenti giusti per supportare persone e organizzazioni a crescere e migliorare in questo mondo del lavoro in cambiamento. Nel corso dell’ultimo anno abbiamo vissuto un’evoluzione accelerata degli ambienti di lavoro, nonché del nostro stile di vita e vogliamo sensibilizzare tutti, dai decision maker ai dipendenti, all’utilizzo corretto delle tecnologie e alla gestione degli aspetti relativi alla sicurezza informatica.

Grazie al contributo di Nicola, Roberto, Raffaele, Luca e Vito abbiamo erogato 4 sessioni il cui contenuto è piaciuto davvero tanto.

Vogliamo ringraziare tutti per la partecipazione e per i complimenti ricevuti e per coloro che non hanno potuto partecipare nessun problema, perché qui di seguito troverete tutte le sessioni e il materiale proiettato in modo da guardarlo liberamente:

• #POWERCON2021 – Evento online dell’11 giugno – Roberto Tafuri e Nicola Ferrini – Pubblicare applicazioni aziendali utilizzando Azure AD Application Proxy
• #POWERCON2021 – Evento online dell’11 giugno – Raffaele Valensise – Protezione cloud-to-cloud per Microsoft 365 con Veeam
• #POWERCON2021 – Evento online dell’11 giugno – Luca Cavana – Microsoft 365 Retention Labels and Policies – Come gestire la conservazione dei dati quando essi lasciano l’on-premises (coming soon)
• #POWERCON2021 – Evento online dell’11 giugno – Vito Macina – Windows 10 – Road to the “Sun”

Alla prossima #POWERCON !

L'articolo #POWERCON2021 – Innovazione digitale e sicurezza informatica – Grazie per aver partecipato proviene da ICT Power.

Azure Migrate è un tool gratuito che permette di individuare le risorse nel datacenter, effettuare l’analisi dell’idoneità delle macchine per la migrazione verso il Azure, stima dei costi e visualizzazione delle dipendenze delle app, nel caso in cui abbiate delle applicazioni multi-tier. Gli strumenti a disposizione permettono di velocizzare il trasferimento rapido in modalità lift-and-shift e hanno l’obiettivo di farvi risparmiare, suggerendovi le dimensioni ottimali per le vostre risorse cloud.

Affrontare una migrazione verso il cloud potrebbe essere per molti una vera e propria sfida e sicuramente la valutazione dei costi è un fattore importante per molte realtà, che però possono usufruire nel cloud della sicurezza, della governance e della scalabilità delle soluzioni proposte. Senza dimenticare che l’implementazione delle best practices e dei team di supporto a nostra disposizione in Azure migliorano di molto la nostra soluzione, che potrebbe essere obsoleta, sottodimensionata, poco sicura e perché no, anche costosa nella sua attuale gestione.

Azure Migrate ci aiuta nel processo di migrazione utilizzando tre fasi ben precise:

• Discovery: Il tool si occupa di trovare tutte le risorse che possono essere migrate nel cloud
• Assessment: è la fase più importante, perché ci permette di valutare se le nostre macchine possono essere migrate e ci permette di avere una stima dei costi della nostra infrastruttura ospitata in Azure
• Migration: la migrazione è enormemente semplificata e ci permette di portare le macchine nel cloud e successivamente eseguirle con pochissimi clic ed in pochissimo tempo.

Figura 1: Azure Migrate capabilities – Credits: Microsoft

In questa guida utilizzerò un’appliance distribuita in locale per individuare i server per la migrazione ad Azure. L’appliance di Azure Migrate verrà utilizzata per Individuare e valutare i server in esecuzione nell’ambiente VMware locale e per migrare i server senza installare agent.

L’appliance dispone dei servizi seguenti:

• Gestione configurazione appliance: si tratta di un’applicazione Web che può essere configurata con i dettagli di origine per avviare l’individuazione e la valutazione dei server.
• Agente di individuazione: l’agente raccoglie i metadati di configurazione del server che possono essere usati per creare valutazioni locali.
• Agente di valutazione: l’agente raccoglie i metadati delle prestazioni del server che possono essere usati per creare valutazioni basate sulle prestazioni.
• Servizio di aggiornamento automatico: il servizio mantiene aggiornati tutti gli agenti in esecuzione nell’appliance. Viene eseguito automaticamente una volta ogni 24 ore.
• Agente DRA: orchestra la replica del server e coordina la comunicazione tra i server replicati e Azure. Usato solo quando si esegue la replica dei server in Azure usando la migrazione senza agente.
• Gateway: invia i dati replicati ad Azure. Usato solo quando si esegue la replica dei server in Azure usando la migrazione senza agente.
• Agente di individuazione e valutazione SQL: invia i metadati di configurazione e prestazioni SQL Server istanze e database ad Azure.

Figura 2: Schema di funzionamento dei servizi offerti dalla appliance di Azure Migrate

Creazione del progetto di migrazione utilizzando Azure Migrate

Dal portale di Azure cercate la funzionalità Azure Migrate e nella scheda Overview vi verranno mostrati gli scenari per migrare i datacenter on-premises ad Azure.

Figura 3: Scheda Overview di Azure Migrate

Cliccando su Assess and migrate Servers verrete reindirizzati al nodo Windows, Linux and SQL Servers, da cui potrete lanciare il wizard per creare un nuovo progetto di migrazione.

Cliccate su Create project e inserite le informazioni richieste, facendo attenzione a scegliere di voler tenere i dati di progetto in Europa. Impostate la sottoscrizione, il gruppo di risorse, il nome del progetto e la geografia per i dati del progetto di migrazione. Qui verranno messi solo i vostri dati di progetto; successivamente potrete decidere dove mettere le macchine da replicare e da migrare.

Figura 4: Creazione del progetto di migrazione

Microsoft permette di effettuare un assessment completo dell’infrastruttura esistente on-premises. Durante il processo di assessment vengono collezionate molte informazioni relative al vostro ambiente, che vi potranno aiutare successivamente a scegliere le risorse (e quindi gestire i costi) della vostra infrastruttura.

Discover

In questa prima fase abbiamo la possibilità di valutare il nostro ambiente e capire se esistono configurazioni che non sono adatte per Azure, come ad esempio la versione del sistema operativo oppure la dimensione del disco troppo grande da poter essere supportata in Azure. In più, a seconda delle problematiche riscontrate, ci verranno proposte anche delle soluzioni per poter evitare problemi con la successiva migrazione.

Fate clic su Discover nel nodo Assessment tools per iniziare il wizard, che vi assisterà nella fase di valutazione della vostra infrastruttura on-premises.

Figura 5: Inizio della fase di assessment

Nella schermata successiva vi verrà chiesto se volete fare un Discover della vostra infrastruttura utilizzando un’appliance oppure semplicemente importando un file CSV con le caratteristiche delle vostre macchine. Dopo aver scelto la modalità, scegliete in che modo le vostre macchine sono virtualizzate nel datacenter on-premises (Hyper-V oppure VMware) o se sono macchine fisiche o macchine ospitate in altri cloud pubblici, come AWS, GCP, Xen, ecc.).

Io ho deciso di utilizzare la Azure Migrate appliance, una VM preparata da Microsoft con all’interno tutti i tool necessari al Discover.

In alternativa potete scaricare un file ZIP con all’interno uno script PowerShell di installazione e tutto il software necessario a poter fare l’assessment della vostra infrastruttura, da eseguire in una macchina creata da voi on-premises.

NOTA: La macchina deve avere almeno 8 vCPU, 32 GB di RAM e circa 80 GB di spazio di archiviazione su disco.

Successivamente generate una chiave che vi servirà a configurare la vostra Azure Migrate appliance e che collegherà l’appliance al vostro progetto di Azure Migrate, in cui verranno caricate tutte le informazioni recuperate dai software di analisi e discovery.

Figura 6: Download dell’appliance o dello script di configurazione di Azure Migrate

Nel caso in cui abbiate deciso di scaricare il file ZIP con lo script di installazione e i software da utilizzare in una delle vostre macchine virtuali, all’interno del file troverete i tool mostrati nella figura sotto e vi basterà lanciare lo script AzureMIgrateInstaller.ps1 per procedere all’installazione dei tool necessari.

Figura 7: Script di installazione di Azure Migrate

Avendo deciso di utilizzare la virtual appliance, ho effettuato il download del file OVA e l’ho importata nella mia infrastruttura VMware, seguendo i passaggi mostrati nelle immagini seguenti:

Figura 8: Importazione della virtual appliance di Azure Migrate nell’infrastruttura VMware

Figura 9: Scelta della cartella di importazione della virtual appliance di Azure Migrate

Figura 10: Scelta dell’host di virtualizzazione su cui eseguire la virtual appliance di Azure Migrate

Figura 11: Dettagli della virtual appliance di Azure Migrate

Figura 12: Scelta del datastore in cui importare la virtual appliance di Azure Migrate

Figura 13: Scelta del Port Group a cui collegare la virtual appliance di Azure Migrate

Figura 14: Schermata di riepilogo dell’importazione della virtual appliance di Azure Migrate

Figura 15: Importazione della virtual appliance di Azure Migrate completata

Avviate la VM, accettate i termini di utilizzo di Windows Server, inserite la password per l’amministratore locale e successivamente loggatevi.

Figura 16: Termini di licenza di utilizzo di Windows Server 2016

Al termine dell’avvio e dopo aver effettuato il login si aprirà l’Appliance Configuration Manager che vi permetterà, tramite una pagina web, di configurare l’appliance per poter comunicare tutti i dati relativi alle vostre macchine virtuali nel progetto di Azure Migrate. Le configurazioni richieste sono molto semplici e la pagina web è molto intuitiva.

Figura 17: Termini di utilizzo della virtual appliance di Azure Migrate

La virtual appliance di Azure Migrate provvederà a controllare che ci siano degli aggiornamenti da installare. Nel mio caso erano disponibili degli aggiornamenti e li ho installati seguendo le istruzioni a video.

Figura 18: Aggiornamenti disponibili per la virtual appliance di Azure Migrate

È necessario installare nella virtual appliance di Azure Migrate il VMware Virtual Disk Development Kit (VDDK). Cliccate sul link per collegarvi al portale di VMware, loggatevi con le vostre credenziali e provvedete al download e alla successiva estrazione dei file nella cartella indicata, come mostrato nelle figure sotto:

Figura 19: Mancanza del prerequisito VMware vSphere Virtual Disk Development Kit (VDDK)

Figura 20: Download del VMware vSphere Virtual Disk Development Kit dal sito ufficiale VMware

È possibile rieseguire i prerequisiti in qualsiasi momento durante la configurazione dell’appliance per verificare se l’appliance soddisfa tutti i prerequisiti.

Figura 21: Verifica di tutti i prerequisiti per la corretta esecuzione della virtual appliance di Azure Migrate

A questo punto, dopo aver controllato i prerequisiti software necessari al funzionamento dell’appliance, è necessario registrare la Azure Migrate appliance utilizzando la chiave di progetto che avete generato prima nel portale di Azure. In questo modo l’appliance invierà i dati collezionati direttamente nel nostro progetto di Azure Migrate.

Dal portale di Azure cliccate su Generate Key e segnatevi la chiave generata, che dovrà poi essere inserita nell’Appliance Configuration Manager.

Figura 22: Creazione della chiave di progetto dal portale di Azure

Inserite la chiave nell’Appliance Configuration Manager ed effettuate il login al vostro progetto di Azure per completare l’associazione della virtual appliance con Azure Migrate.

Figura 23: Inserimento della chiave di progetto e login ad Azure Migrate

Figura 24: Codice per il login ad Azure

Figura 25: Inserimento delle credenziali di autenticazione ad Azure

Figura 26: Registrazione della virtual appliance di Azure Migrate in corso

La procedura di registrazione dell’appliance di Azure Migrate potrebbe durare alcuni minuti. Nel mio caso sono bastati solo tre minuti, ma ce ne potrebbero volere fino a dieci.

Terminata la procedura di registrazione, fate clic su Add credentials per inserire le credenziali amministrative del vostro VMware vCenter, in modo tale che sia possibile fare il discover delle macchine virtuali in esecuzione nella vostra infrastruttura VMware.

Figura 27: Inserimento delle credenziali di accesso al VMware vCenter

Aggiungete quindi il VMware vCenter Server che volete utilizzare per il vostro progetto di migrazione con Azure Migrate, indicando l’indirizzo IP o l’FQDN.

NOTA: È necessario un server che esegue server vCenter versione 6.7, 6.5, 6.0 o 5.5.

Figura 28: Aggiunta del VMware vCenter Server di cui effettuare il discover e l’assessment

Figura 29: Aggiunta del VMware vCenter Server completata

Procedete quindi con l’inserimento delle credenziali che vi serviranno per poter effettuare un assessment agentless delle vostre VM, eseguendo l’inventario software e l’analisi delle dipendenze tra le diverse macchine. Potete scegliere dall’elenco se inserire credenziali di utenti locali di Windows o di Linux ed eventualmente credenziali di dominio. Per aggiungere più credenziali contemporaneamente, selezionate Add More.

Figura 30: Inserimento delle credenziali per l’assessment delle VM

Terminato l’inserimento di tutte le informazioni richieste, potete procedere facendo clic su Start discovery.

Figura 31: Inizio della discovery delle VM on-premises

Figura 32: Avvio della discovery dell’infrastruttura on-premises

La discovery inizia nel giro di pochissimi minuti ma sono necessari circa 15 minuti prima che l’inventario dei server individuati venga visualizzato nel portale di Azure. Il tool si connetterà al vostro VMware vCenter e comincerà a collezionare informazioni.

Figura 33: La discovery è iniziata e i dati vengono caricati nel nostro progetto di Azure Migrate

Dal portale di Azure, nel nodo Windows, Linux and SQL Server di Azure Migrate, vedrete che la Discovery è iniziata e nel giro di qualche minuto sarà possibile cominciare l’ assessment, come mostrato nella figura sotto.

NOTA: L’inventario software viene eseguito una volta ogni 12 ore.

Figura 34: La discovery delle VM on-premises è visibile nel portale di Azure

Assessment

Il percorso di migrazione ad Azure prevede la valutazione dei carichi di lavoro locali per misurare l’idoneità del cloud, identificare i rischi e stimare costi e complessità. La fase di assessment è quella più importante perché ci mostrerà se le nostre macchine possono essere migrate ad Azure e soprattutto che costi dovremo affrontare per ospitare la nostra infrastruttura nel cloud.

Dal nodo Windows, Linux and SQL Server di Azure Migrate, cliccate su Assess nella scheda Assessment tools.

Figura 35: Terminata la discovery è possibile effettuare l’assessment. Scelta del tipo di assessment da effettuare

Nel nostro caso vogliamo creare delle macchine Azure. Dopo aver selezionato Azure VM dal menu a tendina, partirà un wizard che vi guiderà nella creazione del report di assessment. Scegliete come Discovery Source Servers discovered from Azure Migrate Appliance e fate clic su Edit per cambiare le proprietà dell’assessment.

Figura 36: Wizard per la creazione del report di assessment

Poiché l’assessment è in grado di effettuare una stima dei costi, è importante configurare correttamente i parametri del progetto. Nella figura sotto sono mostrati i parametri disponibili. Modificateli a vostro piacimento per ottenere una stima dei costi verosimile.

Figura 37: Modifica dei parametri dell’assessment di Azure Migrate

Terminata la configurazione dei parametri proseguite con il wizard.

Figura 38: Modifica dei parametri dell’assessment completata

Dopo aver dato un nome all’assessment e un nome al gruppo di macchine da includere, scegliete di quali macchine volete effettuare l’ assessment, selezionando quelle che sono state trovate dalla appliance di Azure Migrate che avete installato on-premises e che ha effettuato il discovery.

Figura 39: Scelta delle macchine on-premises di cui fare l’assessment

Figura 40: Creazione dell’assessment

Nel giro di pochissimo tempo verrà creato l’ assessment e sarà possibile visualizzarne i risultati , partendo direttamente dal nodo Windows, Linux and SQL Server di Azure Migrate.

Figura 41: Assessment creato

Cliccando sul gruppo di server verrete reindirizzati alla pagina degli assessment, da cui potrete visualizzare le informazioni raccolte dall’appliance di Azure Migrate.

Figura 42: Scelta dell’assessment

Come si può vedere dalla figura sotto, sono state trovate diverse macchine virtuali e vengono visualizzati i costi stimati e la possibilità (readiness) delle macchine di poter essere migrate ed eseguite in Azure.

Figura 43: Risultati dell’Assessment creato

Cliccando su Azure readiness potete ricevere il dettaglio per ogni singola macchina virtuale ed in più cliccando su Edit properties avete la possibilità di modificare il vostro assessment.

Figura 44: Dettaglio della Azure readiness delle VM scelte

Potete modificare l’ assessment scegliendo una target location diversa da quella scelta in precedenza, cambiare la dimensione delle macchine virtuali, il VM uptime ed altri parametri disponibili, come mostrato nella figura sotto:

Figura 45: Modifica dei parametri dell’assessment – Cambio della VM series

Come si può vedere dalla figura sotto, i risultati dell’ assessment sono diversi da quelli proposti inizialmente, perché tengono conto le modifiche che ho effettuato ai parametri e ricalcolano i costi considerando le nuove configurazioni che ho scelto.

Figura 46: Assessment modificato secondo i nuovi parametri inseriti

Migration

Dopo l’assessment siamo pronti per la terza fase, cioè la migrazione delle macchine virtuali VMware in Azure. Date un’occhiata alla pagina Selezionare un’opzione di migrazione VMware con Azure Migrate Server – Azure Migrate | Microsoft Docs per conoscere di diversi scenari di migrazione.

Io ho deciso di effettuare una migrazione agentless Supporto per la migrazione di VMware in Azure Migrate – Azure Migrate | Microsoft Docs, che utilizza l’appliance di Azure Migrate.

L’opzione di replica senza agente funziona usando gli snapshot VMware e la tecnologia VMware changed block tracking (CBT) per replicare i dati dai dischi delle macchine virtuali. Quando la replica è configurata per una macchina virtuale, viene innanzitutto attraversata una fase di replica iniziale. Durante la replica iniziale, viene creato uno snapshot della macchina virtuale e viene replicata una copia completa dei dati dai dischi snapshot nei dischi gestiti nella sottoscrizione di destinazione.

Al termine della replica iniziale per la macchina virtuale, il processo di replica passa a una fase di replica incrementale (delta replication). Nella fase di replica incrementale le modifiche ai dati che si sono verificate dall’inizio dell’ultimo ciclo di replica completato vengono replicate e scritte nei dischi gestiti della replica, mantenendo la replica sincronizzata con le modifiche apportate nella macchina virtuale. La tecnologia VMware changed block tracking (CBT) viene usata per tenere traccia delle modifiche tra i cicli di replica.

Dal portale di Azure, scegliete Azure Migrate scegliete il nodo Windows, Linux and SQL Server e cliccate su Replicate nella scheda dei Migration tools. Dopo aver scelto il virtualizzatore che utiizzate on-premises e la regione di Azure dove volete migrare le macchine virtuali fate clic su Create Resources. Nelle figure sotto sono mostrati tutti i passaggi:

Figura 47: Fase di Discover dei Migration Tools

Figura 48: Scelta del tipo di infrastruttura su cui girano attualmente le vostre macchine

Figura 49: Scelta del tipo di appliance che verrà utilizzata per la replica delle macchine

Figura 50: Scelta dei parametri di importazione delle macchine

Figura 51: Le macchine da replicare sono quelle di cui abbiamo effettuato l’assessment

Figura 52: Inserimento delle informazioni relative alla sottoscrizione, al resource group, alla VNET e alle opzioni di disponibilità e di cifratura delle VM

Decidete quale dimensione deve avere ogni singola VM oppure lasciate decidere ad Azure Migrate, secondo le informazioni che avrà raccolto l’appliance di Azure Migrate durante a fase di assessment e secondo le indicazioni che avete dato voi se avete cambiato l’assessment come mostrato prima.

Figura 53: Scelta della dimensione delle VM Scelta della dimensione delle VM

Figura 54: Scelta dei dischi da replicare per ogni singola VM

Figura 55: Schermata di riepilogo ed avvio della replica delle VM

Il processo di creazione delle risorse necessarie alla migrazione dura pochi minuti. Nella figura sotto sono mostrate tutte le risorse create in Azure che verranno utilizzate per la replica e la protezione delle VM.

Figura 56: Risorse create per la replica delle VM

Nel giro di qualche minuto comincerà anche la replica delle VM on-premises. Potete seguire le diverse fasi dal portale di Azure, dalla blade di notifica.

Figura 57: Avvio della replica delle VM on-premises

Prima dell’avvio della replica verranno effettuate delle operazioni sulle VM on-premises. Durante la replica iniziale, viene creato uno snapshot della macchina virtuale e viene replicata una copia completa dei dati dai dischi snapshot nei dischi gestiti nella sottoscrizione di destinazione.

Figura 58: Cattura degli snapshot delle VM on-premises

Figura 59: Dettaglio di uno degli snapshot catturati

Terminate le operazioni on-premises, comincerà la replica delle VM. Nel portale di Azure vi verrà mostrata una notifica.

Figura 60: Avvio delle repliche notificata nel portale di Azure

A questo punto non vi resta che attendere la prima replica di tutte le VM scelte. Mettetevi comodi

Figura 61: Replica iniziale delle VM in Azure

Tutte le macchine verranno replicate attraverso la Azure Migrate Appliance (si veda la figura 2). Come si può vedere nell’immagine sotto c’è parecchia attività

Figura 62: La replica delle VM avviene attraverso la Azure Migrate appliance

Figura 63: Inizio della prima replica delle VM

Al termine della replica iniziale per la macchina virtuale, il processo di replica passa a una fase di replica incrementale (Delta Sync). Nella fase di replica incrementale le modifiche ai dati che si sono verificate dall’inizio dell’ultimo ciclo di replica completato vengono replicate e scritte nei dischi gestiti della replica, mantenendo la replica sincronizzata con le modifiche apportate nella macchina virtuale. La tecnologia VMware changed block tracking (CBT) viene usata per tenere traccia delle modifiche tra i cicli di replica.

Vengono replicati solo i dati modificati dopo il ciclo di replica completato precedente per mantenere sincronizzata la replica per la macchina virtuale. Al termine di ogni ciclo di replica, viene rilasciato lo snapshot e viene eseguito il consolidamento dello snapshot per la macchina virtuale. L’appliance di Azure Migrate continuerà ad effettuare una sincronizzazione differenziale delle VM ogni ora.

Figura 64: Alcune macchine hanno completato la replica iniziale

A seconda della dimensione delle VM e della banda disponibile potrebbero volerci diverse ore per completare la prima replica. Al termine della replica iniziale, le macchine riporteranno lo stato Delta Sync e sarà possibile effettuare il Test di migrazione.

Figura 65: Replica iniziale delle VM completata

Nell’infrastruttura VMware on-premises sarà possibile vedere i diversi task di rimozione degli snapshot alla fine della replica iniziale.

Figura 66: Rimozione degli snapshot nell’infrastruttura on-premises alla fine della replica iniziale delle VM

Test di migrazione delle VM

Per assicurarvi che la migrazione sia andata a buon fine potete effettuare un test di migrazione, che catturerà uno snapshot del disco della macchina virtuale che avete replicato e successivamente lo collegherà ad una VM di test da eseguire in Azure per le verifiche del caso. Cliccate sulla Vm da testare e scegliete Test Migration dai pulsanti in alto. Nella schermata successiva scegliete a quale virtual network collegare la macchina virtuale, in modo tale da potervi poi successivamente connettere e verificare che tutto funzioni in maniera corretta.

Figura 67: Inizio del test di migrazione della VM

NOTA: la virtual network a cui collegare la VM deve essere già esistente. Vi consiglio di utilizzare una virtual network non collegata alla rete di produzione perché altrimenti vi ritroverete due host con lo stesso nome nella rete.

Figura 68: Scelta della virtual network a cui collegare la VM, per effettuare i test. e inizio del test di migrazione

Cliccando sulle Notifiche avrete al possibilità di seguire in tempo reale le operazioni di preparazione ed avvio del test di migrazione.

Figura 69: Avvio del test di migrazione della VM

Figura 70: Avvio della VM completato. È ora possibile effettuare i test di funzionamento

Noterete a questo punto che è stata creata una nuova macchina virtuale, con lo stesso nome della VM ma con il suffisso -test, a cui vi potrete collegare per effettuare tutte le prove di funzionamento, come mostrato nella figura sotto:

Figura 71: VM di test creata, pronta per poter essere testata

Collegatevi quindi alla macchina virtuale in desktop remoto ed effettuate tutte le prove che ritenete necessarie per verificarne il corretto funzionamento nel cloud.

Figura 72: Collegamento alla VM per il test di migrazione

Figura 73: Macchina VMware eseguita in Azure – Test di funzionamento

Ripetete la stessa procedura per tutte le VM, in modo tale da poter verificare se tutti software funzionano perfettamente e le VM possono scambiare dati tra di loro.

Figura 74: Avvio del test per tutte le altre macchine da migrare

Le macchine virtuali saranno avviate in Azure e riporteranno nella colonna della fase di migrazione la scritta Test clean up pending. Procedete al completamento di tuti i test.

Figura 75: Tutte le macchine da migrare sono avviate e sono in fase di test

Figura 76: Tutte le macchine di test sono attive e potete procedere con le verifiche di funzionamento

Terminati tutti i test potete quindi ritornare nel pannello di Azure Migrate e utilizzare il tasto Clean up test migration per completare la procedura di test e per distruggere la/le macchina/e di test creata/e.

Figura 77: Completamento del test di migrazione e pulizia delle risorse di test create

Figura 78: Conferma della pulizia delle risorse di test

Migrazione delle VM

Terminati tutti i test le macchine saranno nello stato Ready to migrate e sarà possibile migrare la macchina virtuale utilizzando il tasto Migrate dal portale di Azure Migrate. Partirà una procedura che vi guiderà nell’operazione di lift-and-shift e di accensione della macchina in Azure. Come si può vedere dalle figure sotto l’operazione è molto semplice e non necessita di spiegazioni.

Figura 79: Le VM replicate possono essere migrate e accese in Azure

Decidete quali macchine migrare scegliendole dalla lista. Azure Migrate supporta la replica simultanea di 500 macchine virtuali. Quando si prevede di replicare più di 300 macchine virtuali, è necessario distribuire un’appliance con scalabilità orizzontale. L’appliance di scalabilità orizzontale è simile a un’appliance Azure Migrate primaria, ma è costituita solo da un agente gateway per facilitare il trasferimento dei dati in Azure.

Le VM on-premises verranno spente e verrà eseguita una replica incrementale di tutti i dati, sfruttando la tecnologie del VMware change block Tracking (CBT). Al termine della replica incrementale i dischi gestiti della replica corrispondenti alla macchina virtuale vengono usati per creare la macchina virtuale in Azure. Subito prima di attivare la migrazione/failover, è necessario arrestare la macchina virtuale locale. L’arresto della macchina virtuale garantisce zero perdite di dati durante la migrazione.

Figura 80: Scelta delle VM da migrare

Figura 81: Avvio del processo di migrazione della VM replicata

Figura 82: Snapshot e consolidamento dei rischi della VM on-premises

Figura 83: L’operazione di migrazione è completata

Al termine dell’operazione di migrazione potrete notare che la macchina scelta risulta nello stato Migrated.

Figura 84: La macchina è stata migrata correttamente

Nel portale di Azure troverete le macchine migrate e potrete cominciare ad utilizzarle.

Figura 85: Le macchine migrate sono visibili nel portale di Azure

Figura 86: Overview della macchina migrata

A questo punto è possibile interrompere la replica e completare la migrazione. Verrà fermata la macchina on-premises e verrà anche interrotta la replica con la macchina accesa in Azure. L’arresto della replica eliminerà i dischi intermedi (dischi di inizializzazione) creati durante la replica dei dati e si eviteranno anche costi aggiuntivi associati alle transazioni di archiviazione in questi dischi.

Dal pannello di Azure Migrate selezionate la macchina migrata e fate clic su Stop replication.

Figura 87: Interruzione della replica tra la VM on-premises e quella migrata in Azure

Figura 88: Operazione di interruzione della replica in corso

Terminata la procedura noterete che la VM migrata non è più disponibile tra la Replicating machines conosciute dalla Azure Migrate virtual appliance.

Figura 89: La macchina VMware migrata viene eliminata dalle macchine replicate dalla Azure Migrate appliance

Procedete alla migrazione delle restanti macchine virtuali.

Conclusioni

Grazie ad Azure Migrate siamo capaci di spostare facilmente i nostri workload dall’on-premises verso Azure. Dopo una prima fase di assessment possiamo avere un’idea dei costi di esercizio e delle configurazioni migliori per l’esecuzione delle nostre VM nel cloud di Microsoft. La fase di discovery e di assessment rappresentano un punto cruciale per la scelta strategica della migrazione. Il tool poi ci permette davvero con pochi clic di migrare le macchine virtuali VMware in Azure.

Per approfondimenti vi rimando alla pagina Documentazione di Azure Migrate | Microsoft Docs dove troverete ulteriori informazioni, guide di approfondimento e le Domande frequenti Azure Migrate – Azure Migrate | Microsoft Docs

L'articolo Migrare macchine virtuali VMware dall’on-premises ad Azure utilizzando Azure Migrate proviene da ICT Power.

Abbiamo già visto nella guida Utilizzare la Azure Multi-Factor Authentication con Remote Desktop Gateway in Windows Server 2016 e Windows Server 2019 come sia possibile aumentare la sicurezza delle connessioni verso il Remote Desktop Server.

Poiché dal 1° Luglio 2019 Microsoft non permette di scaricare il server MFA per offrire l’autenticazione a due fattori, ho deciso di riscrivere la guida utilizzando la nuova modalità di integrazione con l’estensione di Azure MFA per i Network Policy Services.

Il Remote Desktop Gateway è uno dei ruoli dell’infrastruttura di Remote Desktop per consente agli utenti remoti di connettersi a qualsiasi risorsa interna alla LAN da Internet, utilizzando una connessione crittografata, senza dover configurare connessioni VPN (Virtual Private Network) verso l’azienda. Il server trasmette il traffico RDP attraverso la porta 443, utilizzando un tunnel HTTP over TLS/SSL (Transport Layer Security/Secure Sockets Layer). Questo siginifica che , indipendentemente dai server remoti che vogliamo raggiungere, è sufficiente avere un unico server Remote Desktop Gateway (o più di uno per avere alta disponibilità) esposto ad Internet ed un’unica porta aperta (TCP 443) per poterci connettere a tutta l’infrastruttura aziendale.

Per aumentare la sicurezza è possibile usare Azure MFA e l’utente per potersi autenticare dovrà inserire le proprie credenziali e utilizzare l’app Microsoft Authenticator, rispondere ad una telefonata o utilizzare un token hardware.

La procedura di autenticazione sarà quindi:

1. L’utente si collega al portale web delle RemoteApp e inserisce le proprie credenziali
2. L’utente fa doppio clic sull’icona dell’applicazione per lanciare la RemoteApp
3. Se è stato abilitato il Web SSO sul Remote Desktop Web Access non verrà chieste all’utente di reinserire le credenziali di accesso alla RemoteApp
4. L’utente riceve una telefonata oppure risponde ad una richiesta che appare sull’app Microsoft Authenticator (secondo fattore di autenticazione)
5. L’utente è autenticato e la RemoteApp si apre

Come funziona la Multifactor Authentication (MFA) con il Remote Desktop Gateway

Il flusso di autenticazione è essenzialmente formato dalle seguenti fasi:

1. Il server Remote Desktop Gateway riceve da un utente remoto una richiesta di autenticazione per la connessione a una risorsa, ad esempio una sessione desktop remoto o una RemoteApp. Fungendo da client RADIUS, il server Gateway Desktop remoto converte la richiesta in un messaggio di richiesta di accesso RADIUS e invia il messaggio al server RADIUS in cui è installata l’estensione NPS di Azure MFA.
2. La combinazione di nome utente e password viene verificata in Active Directory e l’utente viene autenticato.
3. Se vengono soddisfatte tutte le condizioni (ad esempio, le restrizioni relative all’ora del giorno o all’appartenenza al gruppo), l’estensione NPS di Azure MFA attiva una richiesta di autenticazione secondaria con l’autenticazione Azure AD MFA.
4. Azure AD MFA comunica con Azure AD, recupera i dettagli dell’utente ed esegue l’autenticazione secondaria usando i metodi supportati.
5. Al termine della richiesta di autenticazione a più fattori, Azure AD MFA comunica il risultato all’estensione NPS di Azure MFA.
6. Il Server NPS in cui è installata l’estensione invia un messaggio di autorizzazione al server Remote Desktop Gateway.
7. All’utente viene concesso l’accesso alla risorsa di rete richiesta tramite Remote Desktop Gateway.

Figura 1: Flusso di richiesta di autenticazione con Azure AD Multi-Factor Authentication

Prerequisiti

È necessario che abbiate un’infrastruttura con:

• Remote Desktop Services. Si veda la guida Configurare le RemoteApp con i Remote Desktop Services di Windows Server 2016 e Windows Server 2019 – ICT Power e la guida Configurare l’alta disponibilità dei Remote Desktop Services in Windows Server 2016 e Windows Server 2019 – ICT Power
• Licenze per Azure AD MFA. Richiede Azure AD Premium P1 o P2. Ci sono anche diversi bundle che la contengono. Si veda l’articolo Microsoft 365 Licensing: quali funzionalità sono disponibili e confronto tra i piani – ICT Power
• Server con installato il ruolo NPS (Network Policy Services). Deve essere un server diverso dal Remote Desktop Gateway
• Active Directory sincronizzata con Azure AD. Gli utenti locali devono essere sincronizzati con Azure AD e abilitati per MFA.

Configurare gli account per la verifica in due passaggi.

È importante considerare che l’utente deve essere abilitato per l’utilizzo di Azure MFA e che può utilizzare solo la verifica telefonica o l’app Microsoft Authenticator con notifiche push. Il metodo SMS text non funziona con Remote Desktop Gateway perché non offre la possibilità di immettere un codice di verifica.

Qui di seguito vengono mostrati i diversi passaggi per l’onboarding dell’app Microsoft Authenticator per un utente che si collegherà in desktop remoto.

Figura 2: Onboarding di Azure MFA per un utente

Figura 3: Download dell’app Microsoft Authenticator sul proprio smartphone

Figura 4: Aggiunta dell’account al Microsoft Authenticator

Figura 5: Test di utilizzo della Azure MFA

Figura 6: Test di utilizzo riuscito

Figura 7: Onboarding di Azure MFA con l’app Microsoft Authenticator completata

Installazione e configurazione dell’estensione NPS di Azure MFA

Prima di poter scaricare l’estensione NPS di Azure MFA è necessario procurarsi l’ID del tenant di Azure AD che verrà chiesto durante la fase di setup.

Figura 8: Tenant ID Di Azure AD

Procedete al download dell’estensione NPS e installatelo in un server che avrà il ruolo di NPS.

NOTA: L’estensione NPS NON può essere installata sul server di Remote Desktop Gateway.

Figura 9: Download dell’estensione NPS di Azure MFA

Figura 10: Installazione dell’estensione sul server NPS

Per garantire comunicazioni protette e sicure, è necessario configurare i certificati che l’estensione NPS può usare. È possibile creare e configurare il certificato utilizzando uno script PowerShell che esegue le seguenti azioni:

• Crea un certificato autofirmato
• Associa la chiave pubblica del certificato ad una managed identity in Azure AD
• Salva il certificato nell’archivio del computer locale
• Concede l’accesso alla chiave privata del certificato all’utente Network Service
• Riavvia il servizio NPS

Aprite un prompt di Windows PowerShell come amministratore, portatevi nella cartella c:\Program Files\Microsoft\AzureMfa\Config ed eseguite lo script AzureMfaNpsExtnConfigSetup.ps1

Lo script installerà sul server NPS, se non è presente, il modulo PowerShell di Azure AD. Quando richiesto autenticatevi con le credenziali di Global Admin ed incollare il Tenant ID di Azure AA che avete copiato precedentemente dal portale di Azure.

Figura 11: Login ad Azure AD con le credenziali di tenant administrator

Figura 12: Esecuzione dello script completata

Configurare i componenti NPS sul server di Remote Desktop Gateway

Sul server che ospita il ruolo di Remote Desktop Gateway, aprite RD Gateway Manager e dalla proprietà modificate le configurazioni nella scheda RD CAP Store indicando che il server utilizzerà un server centralizzato. Indicate il nome del server che ha il ruolo NPS e su cui avete installato l’estensione NPS per Azure MFA. Aggiungete anche il RADIUS secret che servirà per stabilire il trust con il server NPS.

Figura 13: Modifica del RD CAP Store sul RD Gateway

Figura 14: Il server RD Gateway utilizzerà un RADIUS remoto per le autenticazioni ed autorizzazioni

Per assicurarsi che ci sia tempo per convalidare le credenziali degli utenti e di eseguire la verifica in due passaggi (MFA) è necessario modificare il valore di timeout RADIUS. Nel server Remote Desktop Gateway aprite la console del Network Policy Server e in Remote RADIUS Server Groups modificate le proprietà del gruppo TS GATEWAY SERVER GROUP, che si è creato quando abbiamo configurato la RD CAP Store. Selezionate il server, fate clic su Edit e nella scheda Load Balancing modificare il valore predefinito da 3 a un valore compreso tra 30 e 60 secondi, come mostrato in figura:

Figura 15: Modifica del TIMEOUT RADIUS sul server RD Gateway

Potete anche verificare che le policy di accesso remoto utilizzeranno il server remoto specificato in precedenza. Nella figura sotto è mostrato come fare:

Figura 16: Verifica dell’utilizzo del server RADIUS centralizzato per le richieste di accesso remoto

Configurazione del server RADIUS in cui è installata l’estensione NPS di Azure MFA

Il server NPS in cui è installata l’estensione NPS deve essere in grado di scambiare messaggi RADIUS con il servizio NPS del Remote Desktop Gateway. Prima di tutto assicuratevi che il server sia registrato in Active Directory e che possa quindi accedere alle proprietà degli utenti.

NOTA: Assicuratevi anche che le porte RADIUS (UDP 1812, UDP 1813, UDP 1645, UDP 1646) siano aperte sul firewall di Windows. Qui di seguito un rapido comando per creare l’eccezione:

netsh advfirewall firewall add rule name="NPS" dir=in localport=1812,1813,1645,1646 remoteport=0-65535 protocol=UDP action=allow remoteip=any localip=any

Figura 17: Registrazione del server NPS in Active Directory

Figura 18: Registrazione in Azure AD del server NPS completata

A questo punto registrate il Remote Desktop Gateway come RADIUS CLIENT. Inserite le informazioni di connessione e il RADIUS Secret che avete impostato precedentemente.

Figura 19: Registrazione del server Remote Desktop Gateway come RADIUS CLIENT

Figura 20: Il server RD Gateway è adesso un RADIUS Client

Configurazione delle Network Policy per consentire l’accesso al Remote Desktop Gateway

Il server NPS in cui abbiamo installato l’estensione NSP per Azure MFA è l’archivio centrale per i criteri di autorizzazione della connessione. Modificate quindi la Network Policy per consentire le connessioni in ingresso. Duplicate la policy Connessioni ad altri server di accesso e configuratela come mostrata nelle immagini sotto:

Figura 21: Duplicazione della policy Connessioni ad altri server di accesso

Figura 22: Modifica della policy di accesso nella scheda Overview

Figura 23: Modifica della policy di accesso nella scheda Constraints

Se volete potete anche modificare le Condizioni di accesso, ad esempio specificando che gli utenti devono appartenere ad un particolare gruppo di Active Directory.

Figura 24: Modifica della policy di accesso nella scheda Conditions

Assicuratevi che il nuovo criterio sia in cima alla lista e che sia abilitato.

Figura 25: Nuova Network Policy completata

Verifica della connessione al Remote Desktop Gateway e utilizzo di Azure MFA

Collegatevi al portale del Remote Desktop Web Access con un account consentito dai criteri di autorizzazione della connessione e abilitato per l’Azure AD MFA

Figura 26: Connessione alla RemoteApp utilizzando un Remote Desktop Gateway

Dopo aver immesso correttamente le credenziali per l’autenticazione primaria, la finestra di dialogo Connessione desktop remoto indica lo stato Avvio della connessione remota.

Figura 27: In attesa della conferma del metodo secondario di autenticazione – Azure MFA

L’utente riceverà sul proprio dispositivo la richiesta di Azure MFA con il metodo che ha configurato in precedenza.

Figura 28-29: Richiesta di Azure Authenticator sullo smartphone dell’utente

Se l’autenticazione viene eseguita correttamente con il metodo di autenticazione secondario configurato in precedenza per Azure MFA l’utente verrà connesso all’applicazione.

Figura 30: Autenticazione riuscita e creazione della sessione remota per l’utente

Figura 31: RemoteApp avviata correttamente

Conclusioni

La Multi-Factor Authentication ci aiuta a proteggere l’accesso ai nostri dati più importanti perché, oltre alla combinazione di username e password, richiede che venga fornita un’ulteriore prova della nostra identità. Grazie all’integrazione con Azure MFA anche l’accesso alle applicazioni on-premises può essere protetto con l’autenticazione a due fattori.

L'articolo Integrare Remote Desktop Gateway con Azure Multi-factor Authentication proviene da ICT Power.

Come molti di voi sapranno, è possibile joinare ad Azure AD sia Windows 10 che Windows Server 2019 eseguito in una Azure VM, a patto però che vengano utilizzate le seguenti versioni:

• Windows Server 2019 Datacenter
• Windows 10 1809 o successive

I vantaggi di poter utilizzare Azure AD sono ormai conosciuti da tutti. Ne abbiamo parlato diverse volte in altri articoli e nelle conferenze #POWERCON, soffermandoci molto sul tema della sicurezza informatica.

Oggi vi voglio mostrare quanto sia facile creare una Azure VM con Windows Server 2019, aggiungerla ad Azure AD e poi effettuare l’accesso in RDP da una macchina Windows 10 che sia anch’essa joinata allo stesso tenant di Azure AD a cui avete joinato la macchina con Windows Server.

Dal portale di Azure create una nuova macchina virtuale e scegliete di utilizzare l’immagine di Windows Server 2019 Datacenter.

Figura 1: Scelta dell’immagine corretta con cui creare la Azure VM

Continuate con le configurazioni che preferite e nella scheda Management scegliete l’opzione Login with Azure AD. Vedrete che si selezionerà in automatico anche la voce System assigned managed identity.

Figura 2: Scelta del login con Azure AD per la nostra Azure VM

Se selezionate un’immagine diversa da Windows Server 2019 Datacenter riceverete un errore come quello mostrato nella figura sotto:

Figura 3: L’immagine scelta per la creazione della Azure VM non è compatibile con il login ad Azure AD

Nel nodo Identity della Azure VM è possibile verificare la presenza della System assigned managed identity creata ed utilizzata per accedere alle risorse cloud.

Figura 4: System assigned managed identity associata alla Azure VM creata

Collegatevi alla Azure VM e verificate che sia stata joinata ad Azure AD. Potete utilizzare il comando dsregmd /status

Figura 5: Verifica del join ad Azure AD della nostra Azure VM con Windows Server 2019 Datacenter

È anche possibile abilitare il Login ad Azure AD per le macchine virtuali eseguite in Azure che sono già state create, sempre a patto che si tratti di Windows Server 2019 Datacenter o Windows 10 1809 e versioni successive.

Come prima operazione create una System assigned managed identity per la Azure VM già esistente, come mostrato nella figura sotto:

Figura 6: Creazione della System assigned managed identity per la Azure VM già esistente

Successivamente installate l’estensione per il Login ad Azure AD utilizzando la Azure Cloud Shell e digitando il comando

az vm extension set \
    --publisher Microsoft.Azure.ActiveDirectory \
    --name AADLoginForWindows \
    --resource-group ICTPower \
    --vm-name Server2019

Figura 7: Esecuzione del comando di installazione dell’estensione per il join ad Azure AD anche per le VM già attive in Azure

Figura 8: Installazione dell’estensione della VM completata

In Azure AD potete vedere che le due Azure VM con Windows Server 2019 Datacenter sono joinate

Figura 9: Le VM con Windows Server 2019 risultano joinate ad Azure AD

Configurare l’accesso alla Azure VM

Per poter concedere l’accesso alla Azure VM dovrete configurare l’ Access control (IAM) e assegnare il ruolo di  Virtual Machine Administrator Login oppure di Virtual Machine User Login agli utenti o al gruppo di Azure AD a cui sarà consentito utilizzare la VM e collegarsi in RDP, come mostrato nella figura sotto:

Figura 10: Autorizzazioni di accesso per utenti e gruppi di Azure AD

Collegamento alla macchina Azure

È importante sottolineare che l’accesso alla Azure VM joinata ad Azure AD è consentito soltanto da computer con Windows 10, versione 2004 (build 20H1) che siano Azure AD joined o hybrid Azure AD joined allo stesso tenant di Azure AD e solo da un utente a cui avete concesso le autorizzazioni di accesso tramite l’ Access control (IAM) della Azure VM.

Figura 11: La macchina da cui effetturare il collegamento RDP deve essere Azure AD joined o hybrid Azure AD joined allo stesso tenant di Azure AD

Figura 12: Connessione alla Azure VM con le credenziali di un utente autorizzato al ruolo di Virtual Machine Administrator Login o Virtual Machine User Login

Figura 13: Connessione alla Azure VM con Windows Server 2019 effettuata

Figura 14: La connessione è avvenuta con l’utenza di Azure AD autorizzata

Conclusioni

Utilizzare Azure AD anche per Windows Server 2019 è un ulteriore passo verso l’adozione del cloud e verso l’abbandono delle nostre infrastrutture on-premises per l’esecuzione dei workload. La sicurezza offerta da Azure AD, la possibilità di utilizzare la passwordless authentication o la multifactor authentication, unita al conditional access, permettono di poter innalzare tutto il livello di sicurezza della nostra azienda, sia per quanto riguarda l’autenticazione sia per quanto riguarda la fruizione die servizi online.

L'articolo Joinare Windows Server 2019 ad Azure Active Directory proviene da ICT Power.

Durante l’ultima conferenza Ignite, Microsoft ha annunciato la disponibilità di utilizzare Windows Admin Center nel portale di Azure. La funzionalità è tutt’ora in Preview pubblica, ma è decisamente interessante utilizzare il browser per gestire le Azure VM con Windows Server 2012 R2, Windows Server 2016 e Windows Server 2019.

Abbiamo già avuto modo di parlare in altre guide di Windows Admin Center, quindi vi invito a dare un’occhiata ai nostri precedenti articoli per poter familiarizzare con la funzionalità.

Per abilitare Windows Admin Center è sufficiente collegarsi al portale di Azure e nel blade della Azure VM selezionare la voce Windows Admin Center (preview) e cliccare su Install.

Come si può vedere dalla figura sotto, potete scegliere su quale porta girerà il servizio e se volete accedervi da Internet. In tal caso verranno create le eccezioni nel Network Security Group della scheda di rete della Azure VM.

Figura 1: Abilitazione della funzionalità di Windows Admin Center per la Azure VM

Per poter accedere ad Windows Admin Center dal portale di Azure deve essere installata un’estensione nella macchina virtuale. È necessario attendere pochi minuti per il completamento dell’installazione dell’estensione.

Figura 2: Installazione dell’estensione della Azure VM per attivare Windows Admin Center

Terminata l’attivazione di Windows Admin Center sarà possibile collegarsi tramite IP pubblico o tramite IP privato.

Figura 3: Attivazione di Windows Admin Center completata

Figura 4: Nella Azure VM è stata installata un’estensione per potersi collegare a Windows Admin Center dal portale di Azure

Se non avete aperto le porte sul Network Security Group (dimenticando di mettere il segno di spunta sull’apposita opzione in fase di attivazione della funzionalità) riceverete un messaggio di errore come quello mostrato nella figura sotto:

Figura 5: Errore di connessione per mancanza di eccezioni nel Network Security Group

Provvedete quindi a concedere l’accesso dall’esterno di Azure a Windows Admin Center configurando in maniera opportuna il Network Security Group.

Figura 6: Configurazione del Network Security Group per concedere la connessione a Windows Admin Center dal Internet

Configurate opportunamente tutte le regole, vi verrà presentata la schermata di login. Utilizzate le credenziali di un amministratore locale della Azure VM.

Figura 7: Schermata di login di Windows Admin Center

NOTA: Durante la preview ho notato che la connessione fallisce sia se utilizzate l’app del portale di Azure, sia se utilizzate Microsoft Edge. La connessione avviene solo con Google Chrome.

Figura 8: Gestione dalla Azure VM tramite Windows Admin Center direttamente nel portale di Azure

Figura 9: Connessione in desktop remoto alla Azure VM tramite Windows Admin Center direttamente nel portale di Azure

Figura 10: Amministrazione della Azure VM in desktop remoto tramite Windows Admin Center direttamente nel portale di Azure

Conclusioni

Windows Admin Center è un’applicazione basata su browser, distribuita a livello locale per la gestione di server, cluster, infrastrutture iper-convergenti e client. Un’evoluzione delle console di gestione, Server Manager o MMC, facile da installare e senza costi aggiuntivi. Poterlo utilizzare direttamente dal portale di Azure semplifica di molto la gestione delle nostre macchine Windows e permette di poterci connettere in maniera sicura ai nostri server.

L'articolo Amministrare le Azure VM con Windows Admin Center (preview) proviene da ICT Power.

Tra le novità annunciate il 7 giugno 2021 nell’articolo Azure Virtual Desktop: The flexible cloud VDI platform for the hybrid workplace | Azure Blog and Updates | Microsoft Azure, oltre al cambio di nome da Windows Virtual Desktop ad Azure Virtual Desktop, trovo interessante la possibilità di aggiungere (joinare) le VM di Azure Virtual Desktop ad Azure AD.

Il Modern Desktop, secondo la visione di Microsoft, è un computer con Windows 10 (e prossimamente con Windows 11), con Microsoft 365 Apps for Enterprise (o for Business), aggiunto ad Azure AD e gestito da Microsoft Endpoint Manager (Intune).

Se non conoscete già Azure Virtual Desktop vi suggerisco di leggere la mia guida Introduzione a Azure Virtual Desktop – ICT Power

In questa guida voglio mostrarvi come configurare un pool di host di Azure Virtual Desktop che utilizzeranno l’autenticazione di Azure AD. Le macchine del pool verranno infatti joinate direttamente ad Azure AD e per questo motivo, nonostante il servizio permetta di eseguire macchine virtuali con sistema operativo Windows 7, Windows 10, Windows Server 2012 R2, 2016, 2019, saremo limitati all’utilizzo delle sole immagini con Windows 10.

In più le macchine verranno automaticamente aggiunte a Microsoft Endpoint Manager per poter essere gestite.

NOTA: Al momento della scrittura di questa guida la funzionalità è in preview. Durante la preview l’host pool deve essere in modalità validation environment.

Creare un pool di host con il portale di Azure

I pool di host sono una raccolta di una o più macchine virtuali identiche all’interno degli ambienti Azure Virtual Desktop. Ogni pool di host può contenere un gruppo di app con cui gli utenti possono interagire come farebbero in un desktop fisico.

Dal portale di Azure cercate Virtual Desktop e lanciate la creazione di un nuovo pool dal pulsante Create a host pool

Figura 1: Lancio del wizard di creazione di un nuovo host pool di Azure Virtual Desktop

Inserite le informazioni richieste relative alla sottoscrizione, al resource group, all’host pool name e scegliete il tipo di host pool. Io ho deciso di creare un host pool personale, quindi ho scelto Personal. Ho anche deciso di assegnare i desktop in maniera dinamica agli utenti, man mano che si connetteranno.

Figura 2: Scelta del tipo di host pool e assignment type

Nella scheda Virtual Machines scegliete il prefisso che verrà assegnato alle VM che verranno create e l’immagine da utilizzare.

• Scelta del tipo di immagine da utilizzare: Potete scegliere un’immagine dal Marketplace di Azure tra quelle disponibili oppure potete utilizzare una vostra immagine precedentemente realizzata. Vi rimando alla lettura dell’articolo Preparare e personalizzare un’immagine del disco rigido virtuale Master-Azure | Microsoft Docs per le istruzioni corrette su come realizzare un’immagine specifica per Azure Virtual Desktop. Io ho scelto Windows 10 Enterprise multi-session, Version 20H2 + Microsoft 365 Apps (GEN2).

Attualmente le immagini disponibili nella Gallery sono:

• Windows 10 Enterprise, Version 1909
• Windows 10 Enterprise, Version 1909(GEN2)
• Windows 10 Enterprise, Version 2004
• Windows 10 Enterprise, Version 2004 (GEN2)
• Windows 10 Enterprise, Version 20H2
• Windows 10 Enterprise, Version 20H2 (GEN2)

Figura 3: Scelta del tipo di immagine da utilizzare nel pool

In Number of VMs specificare il numero di macchine virtuali (al massimo 400) che si vuole creare nel pool di host. Io ho scelto di creare 5 macchine virtuali.

Figura 4: Configurazioni scelte per le macchine virtuali

Scegliete a quale virtual network connettere l’host pool, assicurandovi che la rete virtuale possa connettersi al domain controller (se decidete come domain join Active Directory), poiché sarà necessario joinare le macchine virtuali al dominio aziendale. I server DNS della rete virtuale selezionata devono essere quindi configurati per l’uso degli indirizzi IP dei controller di dominio.

Se volete permettere l’accesso da Internet potete dare un IP pubblico alle VM. Vi consiglio di selezionare No, perché un IP privato è più sicuro. Gli utenti, infatti, si potranno collegare anche da Internet attraverso il client di Azure Virtual Desktop anche se non assegnate un indirizzo IP pubblico alle macchine che compongono l’Host Pool.

A questo punto scegliete dal menu a tendina di voler effettuare il join ad Azure AD e mettete su Yes la possibilità di fare l’enrollment automatico ad Intune (Endpoint Manager).

Figura 5: Le macchine del pool verranno aggiunte ad Azure AD e gestite da Intune

Nella schermata Workspace è possibile registrare un gruppo di applicazioni che saranno poi utilizzate dai nostri utenti. Scegliere quindi se volete creare una nuova area di lavoro o selezionare un’area di lavoro esistente. È possibile registrare il gruppo di app in un secondo momento, ma è consigliabile eseguire la registrazione dell’area di lavoro appena possibile, in modo che il pool di host funzioni correttamente.

Figura 6: Creazione del Workspace

Figura 7: Verifica delle informazioni inserite

Dopo aver fatto clic su Create verrà lanciato il processo di distribuzione, che creerà:

• Un nuovo pool di host.
• Un gruppo di app desktop.
• Un’area di lavoro, se si è scelto di crearla.
• Se si sceglie di registrare il gruppo di app desktop, la registrazione verrà completata.
• Le macchine virtuali, che verranno aggiunte ad Azure AD e verrà effettuato l’enrollment in Intune

Figura 8: Creazione del nuovo Azure Virtual Desktop Host Pool completata

Visualizzando il resource group nel quale avete deciso di creare Azure Virtual Desktop è possibile verificare tutte le risorse di Azure che sono state create:

Figura 9: Risorse di Azure che sono state create dal wizard di Azure Virtual Desktop

In Azure Active Directory le VM create risulteranno joinate ad Azure AD e gestite tramite Microsoft Intune, come mostrato nella figura sotto:

Figura 10: Le VM del pool sono state joinate ad Azure AD e sono gestite tramite Microsoft Intune

Anche nel portale di Microsoft Endpoint Manager sono visibili gli host del pool appena creato.

Figura 11: Gli host del pool di Azure Virtual Desktop sono visibili nel portale di Endpoint Manager

Gestire i gruppi di applicazioni

il gruppo di app predefinito creato per un nuovo pool di host di Azure Virtual Desktop pubblica il desktop completo. È inoltre possibile creare uno o più gruppi di applicazioni RemoteApp.

rima che i vostri utenti possano connettersi ad Azure Virtual Desktop è necessario assegnare gli utenti al Desktop Application Group (DAG) che è stato creato attraverso l’HostPool wizard. Il nome è in genere <HostPoolname>-DAG. Selezionate il Desktop Application Group dal pannello di Azure e nel nodo Assignment procedete ad aggiungere gli utenti, o meglio ancora i gruppi, che potranno accedere alle applicazioni offerta da Azure Virtual Desktop Host Pool.

Figura 12: Aggiunta di utenti e gruppi che potranno accedere al Desktop Application Group

Gestire l’accesso alle VM del pool

Per potersi connettere da dispositivi che non sono joinati ad Azure AD è necessario modificare le proprietà dell’host Pool. In particolare, bisogna aggiungere la proprietà targetisaadjoined:i:1 alle custom RDP property del pool, come mostrato nella figura sotto:

Figura 13: Modifica delle custom RDP properties dell’host pool per permettere le connessioni da macchine non joinate ad Azure AD

In più, per garantire l’accesso alle Azure AD-joined VMs è necessario configurare l’assegnazione dei ruoli di Azure AD per le VM. Potete assegnare il ruolo di  Virtual Machine User Login o di Virtual Machine Administrator Login direttamente alle VM, al resource group che le contiene oppure alla sottoscrizione. Io ho assegnato il ruolo a livello di resource group, come mostrato nella figura sotto:

Figura 14: Assegnazione dei ruoli per permettere l’accesso alle VM del pool di Azure Virtual Desktop

Distribuzione di una applicazione tramite Endpoint Manager

Visto che le macchine del pool di Azure Virtual Desktop sono gestite da Endpoint Manager, ho deciso di distribuire le Microsoft 365 Apps for Enterprise a tutti gli host. Nelle figure sotto sono mostrati tutti i passaggi.

NOTA: Maggiori dettagli sull’utilizzo di Microsoft Endpoint Manager sono disponibili su questo sito utilizzando le chiavi di ricerca Modern Desktop – ICT Power e Intune – ICT Power

Figura 15: Distribuzione di una nuova applicazione tramite Endpoint Manager

Figura 16: Selezione dell’applicazione Microsoft 365 Apps per Windows 10

Figura 17: Configurazione delle Microsoft 365 Apps per Windows 10

Figura 18: Configurazione delle Microsoft 365 Apps per Windows 10

Figura 19: Distribuzione delle Microsoft 365 Apps per Windows 10 per tutti i dispositivi

Figura 20: schermata di riepilogo delle configurazioni delle Microsoft 365 Apps per Windows 10

Nel giro di pochi minuti, poiché ho deciso di rendere le Microsoft 365 Apps obbligatorie per tutti i dispositivi, inizierà la distribuzione su tutte le macchine gestite da Intune.

In alternativa avrei potute distribuire l’applicazione anche solo per un gruppo di dispositivi, come le macchine del nostro pool di Azure Virtual Desktop. Un’idea potrebbe essere quella di creare un gruppo dinamico di dispositivi e tramite query inserire solo quelli del nostro pool. Nella figura sotto è mostrato un esempio:

Figura 21: Gruppo dinamico di dispositivi

Connessione ad Azure Virtual Desktop Host Pool

Per poter accedere a Azure Virtual Desktop è possibile utilizzare il client web HTML 5 disponibile all’indirizzo https://rdweb.wvd.microsoft.com/arm/webclient oppure è possibile utilizzare il client Windows dedicati, che potete trovare alla pagina Connettersi a desktop virtuale Windows 10 o 7-Azure | Microsoft Docs. Potete installare il client per l’utente corrente, nel qual caso non sono richiesti diritti di amministratore, oppure l’amministratore può installare e configurare il client in modo che tutti gli utenti del dispositivo possano accedervi. Dopo l’installazione, il client può essere avviato dal menu Start cercando Desktop remoto.

Nel mio caso ho utilizzato il client web e dopo l’autenticazione mi sono collegato al WorkSpace (Production) che avevo creato durante il wizard. Come si può vedere dalla figura sotto, è visibili il SessionDesktop pubblicato tramite il gruppo di applicazioni predefinito e a cui abbiamo dato i permessi si accedere ad un gruppo di utenti di Azure AD.

Figura 22: Connessione al Workspace tramite client web

Cliccando su SessionDesktop avrete a possibilità di vedere l’intero desktop remoto con Windows 10 e lavorare con tutte le applicazioni. Vi verrà richiesto di consentire l’accesso alle stampanti locali e ai dischi del dispositivo da cui si sta effettuando la connessione.

Inserite le credenziali per poter accedere al desktop remoto e sarete pronti per cominciare a lavorare!

Figura 23: Inserimento delle credenziali per poter accedere al desktop remoto

Come si può vedere dalla figura sotto, nel pool di host di Azure Virtual Desktop sono state distribuite le Microsoft 365 Apps da Endpoint Manager (Intune).

Figura 24: Nel pool di host di Azure Virtual Desktop sono state distribuite le Microsoft 365 Apps da Endpoint Manager (Intune)

Dall’app Settings (Impostazioni) possiamo verificare che la macchina è stata joinata ad Azure AD.

Figura 25: La macchina è stata joinata ad Azure AD

La presenza del pulsante Info ci fa capire che la macchina è gestita da Microsoft Endpoint Manager.

Figura 26: La VM è gestita da Microsoft Endpoint Manager

Conclusioni

La possibilità di utilizzare esclusivamente Azure AD per autenticare gli utenti nel pool di Azure Virtual Desktop e poter gestire le macchine del pool con Microsoft Endpoint Manager ci proietta verso la gestione del Modern Desktop e ci permette di poter lavorare esclusivamente in Cloud. In un futuro non troppo remoto sarà possibile avere solo dei thin client in azienda (o a casa) e poter ridurre costi di manutenzione, sicurezza e gestione on-premises.

L'articolo Azure Virtual Desktop, Azure AD e Endpoint Manager: l’evoluzione del Modern Desktop proviene da ICT Power.

Durante il Microsoft Inspire 2021, tenutosi il 14 luglio 2021, Microsoft ha annunciato Windows 365. Con questa novità si aprono le porte a una nuova categoria di “computer” in un mondo del lavoro sempre più ibrido: Cloud PC.

Dall’annuncio, possiamo recuperare una descrizione sintetica di questo ambizioso progetto: “Windows 365 garantirà un’esperienza PC completa e personalizzata basata sul cloud su qualsiasi dispositivo, offrendo ai lavoratori e alle imprese potenza, semplicità e sicurezza per il lavoro ibrido“. Satya Nadella, Presidente e CEO di Microsoft, aggiunge: “Proprio come le applicazioni sono state portate in cloud con il modello SaaS, ora stiamo portando il sistema operativo sul cloud, fornendo alle organizzazioni una maggiore flessibilità e un modo sicuro per consentire ai propri collaboratori di essere più produttivi e connessi, indipendentemente dalla loro posizione geografica”.

Di cosa si tratta in parole semplici? Ogni utente abilitato avrà la possibilità di accedere a un PC virtuale, tramite browser, macOS, Android o il client di Desktop Remoto, sfruttando la potenza dei servizi Cloud offerti da Microsoft Azure. Il vantaggio maggiore sta nella elevata personalizzazione della macchina (modulare l’effettiva potenza necessaria) e nella disponibilità / sincronizzazione di sessione di lavoro, applicazioni, contenuti e impostazioni. Nello scenario tipo l’utente accede al suo Cloud PC da un dispositivo X, termina la sessione, riprende sul dispositivo Y, in completa soluzione di continuità, mantenendo il flusso di lavoro intatto.

Windows 365 sarà disponibile per le imprese di ogni dimensione a partire dal 2 agosto 2021. Successivamente il servizio sarà disponibile anche a livello Consumer.

Il nuovo paradigma del lavoro /Hybrid Work/

A seguito della pandemia è innegabile come sia effettivamente emerso un nuovo modello di lavoro, diversificato dai processi virtuali e dalla collaborazione da remoto. In questo ambiente, più distribuito e centralizzato, le persone hanno la necessità di accedere alle informazioni aziendali da diversi luoghi e, soprattutto, da tantissimi dispositivi diversi. L’aumento delle minacce informatiche ci porta, di conseguenza, a prestare maggiore attenzione nel proteggere queste informazioni spesso critiche.

“Il lavoro ibrido ha rivoluzionato il ruolo della tecnologia nelle imprese”, dice Jared Spataro, Corporate Vice President, Microsoft 365. “In un contesto in cui la forza lavoro è più eterogenea che mai, le organizzazioni hanno bisogno di un nuovo modo per assicurare una migliore esperienza di produttività combinando versatilità, semplicità e sicurezza. Il Cloud PC è una nuova ed entusiasmante categoria di personal computer ibridi, che trasforma qualsiasi dispositivo in uno spazio di lavoro digitale personalizzato, produttivo e sicuro. L’annuncio odierno di Windows 365 è solo l’inizio di un percorso che vedrà la scomparsa del confine tra il dispositivo e il cloud“.

Windows 365 punta a gestire e risolvere tutte quelle sfide pre-pandemia, offrendo maggiore flessibilità e garantendo, al contempo, la sicurezza necessaria dei dati dell’organizzazione. I lavoratori stagionali, ad esempio, potranno cambiare team senza dover affrontare i problemi logistici legati alla consegna di un nuovo hardware o alla messa in sicurezza dei dispositivi personali, permettendo alle organizzazioni di adattarsi con più efficienza e sicurezza ai periodi di lavoro più intensi. Inoltre, le aziende potranno facilmente garantire ai lavoratori specializzati in ruoli creativi, analitici, ingegneristici o scientifici una maggiore potenza di calcolo e un accesso sicuro alle applicazioni essenziali di cui essi hanno bisogno.



Caratteristiche principali di Windows 365

Microsoft durante la presentazione ha evidenziato tre caratteristiche per descrivere questo nuovo servizio di Cloud PC, il quale unisce Windows alla potenza del Cloud Computing:

• Potenza. Windows 365 fornisce l’esperienza completa del PC sul cloud. Con l’avvio istantaneo del proprio Cloud PC personale, gli utenti possono trasferire applicazioni, strumenti, dati e impostazioni dal cloud a qualsiasi dispositivo. Inoltre, il cloud garantisce maggiore versatilità nella potenza di elaborazione e nell’archiviazione, offrendo scalabilità ai responsabili IT, che potranno gestirle in base alle proprie esigenze. Con la possibilità di scegliere tra Windows 10 e Windows 11 (quando sarà disponibile nel corso del 2021), le aziende possono scegliere il Cloud PC più adatto alle proprie esigenze con un costo mensile per utente.
• Semplicità. Con un Cloud PC, gli utenti possono accedere e riprendere il proprio lavoro da dove lo hanno lasciato su diversi dispositivi, vivendo un’esperienza Windows semplice e familiare abilitata dal cloud. Per i responsabili IT, Windows 365 semplifica anche la distribuzione, l’aggiornamento e la gestione, oltre a non richiedere la virtualizzazione, a differenza di altre soluzioni. Con Windows 365 ottimizzato per l’endpoint, l’IT può facilmente ottenere, distribuire e gestire i Cloud PC per la propria azienda proprio come gestisce i dispositivi fisici attraverso Microsoft Endpoint Manager. Le piccole e medie imprese possono acquistare Windows 365 direttamente o attraverso un fornitore di servizi cloud e completare l’impostazione in pochi clic. Al contempo, Microsoft continua a innovare Azure Virtual Desktop, per rispondere alle esigenze delle imprese che contano su avanzate esperienze di virtualizzazione e che desiderano più opzioni di personalizzazione e flessibilità. In merito a quest’ultimo, abbiamo pubblicato una introduzione qualche giorno fa in questo articolo.
• Sicurezza. Windows 365 è sicuro by design, poiché sfrutta la potenza del cloud e si basa sul principio Zero Trust. Le informazioni sono protette e archiviate sul cloud, non sul dispositivo. Contando su aggiornamenti costanti, sulle avanzate funzionalità di sicurezza e sulle linee guida di Microsoft, Windows 365 semplifica la cybersecurity e consiglia le migliori impostazioni di sicurezza per l’ambiente in questione.

Configurazioni e prezzi (provvisorie)

Microsoft non ha ufficializzato ancora configurazioni e prezzi, ma grazie ad alcune informazioni reperibili in rete possiamo leggere delle prime indicazioni. Windows 365 avrà circa 12 configurazioni basate su Azure Virtual Desktop con le formule Business ed Enterprise. La configurazione base sarà di 1 CPU, 2 GB di RAM e 64 GB di spazio su disco virtuale, mentre la configurazione più prestante avrà 8 CPU, 32 GB di RAM e 512 GB di spazio su disco virtuale.

Figura 1 – Cloud PC con 2 CPU, 4 GB di RAM e 128 GB di disco

Nell’immagine (Fig. 1) possiamo osservare che per 2 CPU, 4 GB di RAM e 128 GB di spazio su disco virtuale il prezzo del servizio sarà di 31$ / mese ad utente con il piano Windows 365 Business, ovvero la proposta destinata ad aziende con meno di 300 dipendenti. Si tratta ancora di informazioni non ufficialmente confermate, ma offrono un primo sguardo al modello economico di questo nuovo servizio di Cloud PC.

Grazie a The Verge possiamo raccogliere qualche ulteriore dettaglio: ogni Cloud PC sarà in grado di accedere a una connessione a Internet con velocità di download di 10 Gbps e velocità di upload di 4 Gbps. Microsoft sta anche testando un’opzione per reindirizzare video e altri contenuti multimediali nelle singole sessioni virtuali. Logicamente, il modo migliore per provare Windows 365 sarà tramite la connessione da un PC con sistema operativo Windows poiché funzionalità come multi-monitor (fino a 16), connessione USB, reindirizzamento AV di Teams e supporto per gli scanner saranno disponibili solo da Windows.

Scopriremo maggiori informazioni, le varie configurazioni disponibili e il listino completo nei prossimi giorni, ovviamente aggiorneremo questo articolo.

Link utili

• Windows 365 Sito Ufficiale
• Introducing a new era of hybrid personal computing: the Windows 365 Cloud PC | Microsoft 365 Blog
• Windows 365 vs. Azure Virtual Desktop (AVD) – Comparing Two DaaS Products – Nerdio (getnerdio.com)
• Government IT strengthens connection with remote communities, helps secure hybrid workplaces with Windows 365

L'articolo Windows 365, la nuova era del Cloud PC proviene da ICT Power.

Il 19 agosto 2021 Microsoft ha rilasciato ufficialmente Windows Server 2022. Per scaricarla e provarla potete collegarvi al link Try Windows Server 2022 on Microsoft Evaluation Center.

Windows Server 2022 è stato rilasciato in 3 versioni: Standard, Datacenter e Azure Edition e tutte le versioni avranno sia la modalità di installazione Core che quella Desktop Experience, come per le precedenti versioni di Windows Server.

La versione Azure Edition sarà però disponibile solo online in Azure e on-premises in Azure Stack HCI. Windows Server 2022 Datacenter: Azure Edition consente di usare i vantaggi del cloud per mantenere aggiornate le macchine virtuali riducendo al minimo i tempi di inattività.

Per un confronto tra le diverse edizioni vi invito a leggere l’articolo Confronto tra le edizioni Standard, Datacenter e Datacenter: Azure Edition di Windows Server 2022

Figura 1: Download di Windows Server 2022 dal portale di Visual Studio

Figura 2: Disponibilità di Windows Server 2022 in Microsoft Azure

Figura 3: Modalità di installazione di Windows Server 2022

Funzionalità rimosse o non più sviluppate a partire da Windows Server 2022

Ogni versione di Windows Server include nuove caratteristiche e funzionalità, ma io vorrei cominciare da quelle che sono state rimosse rispetto alle versioni precedenti.

Sicuramente risalta il fatto che non verrà più sviluppata la versione semestrale di Windows Server. Ebbene sì, d’ora in poi avremo solo gli aggiornamenti disponibili nel canale LTSC (Long-Term Servicing Channel). Con il Long-Term Servicing Channel, viene rilasciata una nuova versione principale di Windows Server ogni 2-3 anni. Gli utenti hanno diritto a 5 anni di supporto Mainstream e 5 anni di supporto Extended. Il Long-Term Servicing Channel continuerà a ricevere sia aggiornamenti della sicurezza sia aggiornamenti non relativi alla sicurezza, ma non riceverà le nuove funzionalità.

Il Canale semestrale era ideale per i clienti che desideravano attuare le innovazioni rapidamente, con l’opportunità di sfruttare le nuove funzionalità del sistema operativo, sia nelle applicazioni, in particolare quelle basate su Containers e Microservices, sia nei Software-defined Hybrid Datacenter. Per i prodotti Windows Server 2016 e 2019 in Canale semestrale (Semi-annual Channel) erano disponibili nuovi rilasci due volte l’anno, in primavera e in autunno, ma l’acquisto era disponibile solo per i clienti con contratti multilicenza con Software Assurance, nonché tramite Azure Marketplace o altri provider di servizi cloud/di hosting.

Tra le funzionalità rimosse in Windows Server 2022 vi segnalo invece il Servizio iSNS server (Internet Archiviazione Name Service), già rimosso in Windows Server, versione 1709.

Novità di Windows Server 2022

Windows Server 2022 è basato sulla solida base di Windows Server 2019 e offre molte innovazioni su tre temi chiave: sicurezza, integrazione e gestione ibrida di Azure e piattaforma applicativa.

Le novità più importanti relative alla sicurezza sono:

• Secured-core server: offre protezioni utili contro attacchi sofisticati e può offrire maggiore sicurezza durante la gestione dei dati cruciali in alcuni dei settori più sensibili ai dati. Si basa su tre elementi fondamentali: sicurezza semplificata, protezione avanzata e difesa preventiva.
• Sicurezza semplificata: Quando si acquista hardware da un OEM per server secured-core, si ha la garanzia che l’OEM abbia fornito un set di hardware, firmware e driver che soddisfano la configurazione secured-core. Tramite Windows Admin Center sarà possibile abilitare la funzionalità in maniera molto semplice.
• Protezione avanzata: Le protezioni abilitate da un server secured-core sono destinate a creare una piattaforma sicura per le applicazioni critiche e i dati usati in tale server. La funzionalità secured-core si estende nelle aree seguenti:
  • Hardware root-of-trust: il chipset TPM 2.0 fornisce un archivio sicuro per chiavi e dati sensibili e può essere utilizzando con lo standard BitLocker;
  • Firmware protection: poiché il firmware viene eseguito con credenziali privilegiate sono stati osservati aumenti di attacchi da parte di piattaforme malware e ransomware, specialmente verso i domain controller;
  • Virtualization-based security (VBS): Grazie alla VBS è possibile proteggersi dall’intera classe di vulnerabilità usate negli attacchi di cryptocurrency mining, dato l’isolamento fornito da VBS tra le parti privilegiate del sistema operativo, ad esempio il kernel e il resto del sistema.
• Difesa preventiva: L’abilitazione delle funzionalità di base di protezione consente di difendersi e interrompere in modo proattivo molti dei percorsi che gli utenti malintenzionati possono usare per sfruttare un sistema. Questo set di difese consente anche ai team IT e SecOps di sfruttare meglio il proprio tempo nelle numerose aree che necessitano di attenzione.
• Trasporto: HTTPS e TLS 1.3 abilitati per impostazione predefinita Windows Server 2022: Transport Layer Security (TLS) 1.3 è la versione più recente del protocollo di sicurezza più distribuito di Internet, che crittografa i dati per fornire un canale di comunicazione sicuro tra due endpoint. HTTPS e TLS 1.3 sono ora abilitati per impostazione predefinita Windows Server 2022
  
• DNS sicuro: richieste di risoluzione dei nomi DNS crittografate con DNS su HTTPS: Il client DNS in Windows Server 2022 supporta ora DNS su HTTPS (DoH) che crittografa le query DNS usando il protocollo HTTPS. Ciò consente di mantenere il traffico il più privato possibile impedendo intercettazioni e la manipolazione dei dati DNS.
  
• Server Message Block (SMB): crittografia SMB AES-256: Windows Server 2022 supporta le suite di crittografia AES-256-GCM e AES-256-CCM per la crittografia e la firma SMB. Windows negozierà automaticamente questo metodo di crittografia più avanzato quando si connetterà a un altro computer che lo supporta e può anche essere reso obbligatorio tramite group policy.
  
• SMB su QUIC: SMB su QUIC aggiorna il protocollo SMB 3.1.1 in Windows Server 2022 Datacenter: Azure Edition e supporta i client Windows per usare il protocollo QUIC anziché TCP. Usando SMB su QUIC insieme a TLS 1.3, utenti e applicazioni possono accedere in modo sicuro e affidabile ai dati dai file server perimetrali in esecuzione in Azure. Gli utenti di dispositivi mobili e telecomunicazioni non necessitano più di una VPN per accedere ai file server tramite SMB quando si Windows. Altre informazioni sono disponibili nella documentazione di SMB over QUIC.
  

Maggiori informazioni sono disponibili alla pagina Protect your infrastructure with Secured-core server – Microsoft Tech Community

Per abilitare le funzionalità di Secured-core è necessario utilizzare Windows Admin Center. Come prima operazione aggiungete il feed delle funzionalità Insider, utilizzando il feed URL aka.ms/wac-insiders-feed nell’estension feed di Windows Admin Center, come mostrato nella figura sotto:

Figura 4: Aggiunta del feed URL per abilitare le funzionalità Insider in Windows Admin Center

A questo punto aggiungete l’estensione Security (preview). Dopo l’installazione dell’estensione, sarà necessario installare un ulteriore aggiornamento per abilitare le funzionalità di Secured-core. Noterete anche che cambierà l’icona dell’estensione Security.

Figura 5: Aggiunta dell’estensione Security (Preview) in Windows Admin Center

Nella scheda Secured-core della voce Security di Windows Admin Center provvedete a configurare tutte le funzionalità di sicurezza mancanti, come mostrato nelle figure sotto:

Figura 6: Funzionalità abilitate e funzionalità mancanti per la Secured-core di Windows Server 2022

Figura 7: Dopo l’abilitazione delle funzionalità di Secured-core mancanti è necessario riavviare il server

Poiché sto utilizzando una macchina virtuale, alcune funzionalità della secured-core di Windows Server 2022 non sono disponibili.

Figura 8: alcune funzionalità della secured-core di Windows Server 2022 non sono disponibili per le macchine virtuali

Funzionalità ibride di Azure

Già Windows Server 2016 aveva introdotto diverse funzionalità che gli permettevano di integrarsi con Microsoft Azure, che poi sono state migliorate in Windows Server 2019. In Windows Server 2022 è stato dato maggior rilievo alle seguenti funzionalità:

• Azure Arc enabled Windows Servers: La gestione dei server on-premises con Azure Arc è progettata per essere coerente con la modalità di gestione delle macchine virtuali native di Azure. Quando una macchina virtuale ibrida viene connessa ad Azure, diventa una macchina virtuale connessa e viene considerata come una risorsa in Azure. Per chi non conosce Azure Arc rimando alla lettura della guida Azure Arc for Servers: la soluzione Microsoft per la gestione del cloud ibrido – ICT Power;
  

Figura 9: Onboarding della macchina on-premises con Windows Server 2022 in Azure Arc

Figura 10: La macchina on-premises con Windows Server 2022 è stata aggiunta ed è gestibile da Microsoft Azure

• Windows Admin Center: I miglioramenti apportati all’interfaccia di amministrazione di Windows per la gestione di Windows Server 2022 permettono di monitorare e abilitare le funzionalità di Secured-core, come ho mostrato prima;
  

Figura 11: Windows Server 2022 gestito da Windows Admin Center

• Azure Automanage – Hotpatch: Hotpatch, parte di Gestione automatica di Azure, è supportato in Windows Server 2022 Datacenter: Azure Edition. L’hotpatching è un nuovo modo per installare gli aggiornamenti nelle nuove macchine virtuali di Azure Edition di Windows Server che non richiedono un riavvio dopo l’installazione. Altre informazioni sono disponibili nella documentazione Gestione automatica di Azure . I vantaggi sono:
  • Riduzione dell’impatto del carico di lavoro con un minor numero di riavvii
  • Distribuzione più rapida degli aggiornamenti poiché i pacchetti sono più piccoli, l’installazione più veloce e l’orchestrazione delle patch con Gestione aggiornamenti di Azure è più semplice
  • Protezione migliore, poiché l’ambito dei pacchetti di aggiornamento di Hotpatch è Windows aggiornamenti della sicurezza che vengono installati più velocemente senza riavviare

La funzionalità di Hotpatch è attualmente in Preview. Qui di seguito sono mostrati i diversi passi per la sua attivazione e per testare la funzionalità. Come prima operazione è necessario registrare l’Azure Provider ed attendere fino a 15 minuti per la sua attivazione.

Figura 12: Abilitazione della funzionalità di Hotpatch per la sottoscrizione Azure

Durante l’anteprima, l’applicazione automatica delle patch guest alle macchine virtuali viene abilitata automaticamente per tutte le macchine virtuali create con un’immagine Windows Server Azure Edition. Con l’applicazione automatica delle patch guest alle macchine virtuali abilitata:

• Le patch classificate come Critiche o Sicurezza vengono scaricate e applicate automaticamente nella macchina virtuale.
• Le patch vengono applicate durante le ore di minore attività nel fuso orario della macchina virtuale.
• L’orchestrazione delle patch viene gestita da Azure e le patch vengono applicate seguendo i principi di disponibilità.
• L’integrità delle macchine virtuali, come determinato tramite i segnali di integrità della piattaforma, viene monitorata per rilevare gli errori di applicazione delle patch.

Le patch critiche e di sicurezza disponibili vengono scaricate e applicate automaticamente. Questo processo inizia automaticamente ogni mese quando vengono rilasciate nuove patch.

Durante l’anteprima, per creare una macchina virtuale è necessario iniziare a usare questo collegamento. Specificare i dettagli della macchina virtuale e assicurarsi che l’immagine Windows Server Azure Edition che si vuole usare sia selezionata nell’elenco a discesa.

Figura 13: Scelta dell’immagine di Windows Server 2022: Azure Edition

Figura 14: La funzionalità di Hotpatch è abilitata automaticamente

Al termine della creazione della macchina Azure sarà possibile visualizzare le configurazioni di Hotpatch dal nodo Guest + host updates della VM stessa nel portale di Azure.

Figura 15: Guest + host update della VM nel portale di Azure

Figura 16: Assessment manuale delle patch mancanti

Figura 17: Forzatura dell’installazione delle patch dopo l’assessment manuale

Maggiori informazioni sono disponibili alla pagina Hotpatch per Windows Server Azure Edition (anteprima) | Microsoft Docs

Funzionalità particolari

Alcune funzionalità sono dei miglioramenti rispetto alla versione precedente di Windows Server:

• Nested virtualization per i processori AMD: La virtualizzazione annidata è una funzionalità che consente di eseguire Hyper-V all’interno di una macchina virtuale (VM) Hyper-V. Windows Server 2022 offre il supporto per la virtualizzazione annidata tramite processori AMD, offrendo più opzioni hardware per gli ambienti.

Figura 18: Abilitazione di Hyper-V in una virtual machine con processore AMD

• Browser Microsoft Edge: Microsoft Edge è incluso in Windows Server 2022 e sostituisce Internet Explorer. Può essere usato sia nella modalità di installazione Core che in quella Desktop Experience.
  

Funzionalità relative allo storage

Molte funzionalità aggiuntive sono state rese disponibili per lo storage. Non dimentichiamoci che Windows Server viene utilizzato anche in Azure direttamente da Microsoft per ospitare i workload dei propri utenti e che quindi diverse funzionalità sono state sviluppate proprio perché loro per primi che hanno avuto bisogno. Vi segnalo:

• Storage Migration Service: Il miglioramento del servizio di Storage Migration permette di migrare facilmente verso altri Windows Server o verso macchine Azure. Ne avevo già parlato nella guida Migrare file server utilizzando lo Storage Migration Service di Windows Server 2019 – ICT Power. In particolare, in Windows Server 2022 è possibile:
  
  • Eseguire la migrazione di utenti e gruppi locali al nuovo server.
  • Eseguire la migrazione dell’archiviazione dai cluster di failover, la migrazione a cluster di failover e la migrazione tra server autonomi e cluster di failover.
  • Eseguire la migrazione dell’archiviazione da un server Linux che usa Samba.
  • Sincronizzare più facilmente le condivisioni migrate in Azure usando Sincronizzazione file di Azure.
  • Eseguire la migrazione a nuove reti, ad esempio Azure.
  • Eseguire la migrazione di server CIFS NetApp da array FAS NetApp Windows server e cluster

Figura 19: Funzionamento di Storage Migration Service

Figura 20:Installazione di Storage Migration Service in Windows Admin Center

Figura 21: Gestione della migrazione dei servizi di storage utilizzando Windows Admin Center

Maggiori informazioni sono disponibili alla pagina Storage Migration Service overview | Microsoft Docs

• Adjustable storage repair speed: è una nuova funzionalità di Storage Spaces Direct che offre un maggiore controllo sul processo di risincronizzazione dei dati allocando le risorse per ripristinare le copie dei dati (resilienza) o eseguire carichi di lavoro attivi (prestazioni). Ciò consente di migliorare la disponibilità e di gestire i cluster in modo più flessibile ed efficiente. Trovate maggiori informazioni visitando la pagina Adjustable storage repair speed in Azure Stack HCI and Windows Server clusters – Azure Stack HCI | Microsoft Docs
  

Figura 22: Modifica della Storage repair speed di un cluster utilizzando Windows Admin Center

• Storage bus cache with Storage Spaces on standalone servers: La storage bus cache può migliorare significativamente le prestazioni di lettura e scrittura, mantenendo al tempo stesso l’efficienza di archiviazione e mantenendo bassi i costi operativi. Maggiori info sono disponibili alla pagina Storage bus cache on Storage Spaces | Microsoft Docs
  

Figura 23: Funzionamento della Storage bus cache con gli Storage Spaces sui server standalone

• SMB compression: Il miglioramento di SMB in Windows Server 2022 e Windows 11 consente a un utente o a un’applicazione di comprimere i file durante il trasferimento in rete. In questo modo si elimina la necessità di sgonfiare manualmente un file con un’applicazione, copiarlo e quindi gonfiarlo nel computer di destinazione. I file compressi consumeranno meno larghezza di banda di rete e richiederanno meno tempo per il trasferimento, a costo di un leggero aumento dell’utilizzo della CPU durante i trasferimenti. La compressione SMB è più efficace nelle reti con minore larghezza di banda. Trovate maggior informazioni alla pagina Compressione SMB | Microsoft Docs
  

Figura 24: Aggiornamento dell’estensione di Files & file sharing in Windows Admin Center

SMB Compression può essere abilitata sia per le nuove condivisioni per le cartelle condivise esistenti.

Figura 25: Abilitazione di SMB Compression per una cartella condivisa

Conclusioni

Windows Server 2022 introduce diverse novità interessanti, sia a livello applicativo che a livello di integrazione con il cloud Azure. Un serio lavoro è stato fatto per migliorare le funzionalità relative alla sicurezze e mai come in questo momento sono necessarie per evitare attacchi informatici e per assicurare un livello di protezione superiore per le aziende e per i loro workload.

L'articolo Windows Server 2022: tutte le novità proviene da ICT Power.

Abbiamo già visto nell’articolo Windows Server 2022: tutte le novità – ICT Power quali sono le principali novità del sistema operativo di Microsoft che è stato rilasciato pochissimi giorni fa.

In questo articolo, seguendo il successo dell’articolo Windows Server 2016 – Quali sono le differenze tra la Standard Edition e la Datacenter Edition – ICT Power, raccolgo quelle che sono le principali differenze tra le diverse versioni di Windows Server 2022: Standard, Datacenter e Datacenter: Azure Edition.

Windows Server 2022 è stato infatti rilasciato in 3 versioni: Standard, Datacenter e Azure Edition e tutte le versioni avranno sia la modalità di installazione Core che quella Desktop Experience, come per le precedenti versioni di Windows Server.

La versione Azure Edition sarà però disponibile solo online in Azure e on-premises in Azure Stack HCI. Windows Server 2022 Datacenter: Azure Edition consente di usare i vantaggi del cloud per mantenere aggiornate le macchine virtuali riducendo al minimo i tempi di inattività.

Funzionalità disponibili in generale

Nelle tabelle sottostanti è possibile confrontare i principali Limiti, i Ruoli Server disponibili e le diverse Funzionalità delle due versioni di Windows Server 2022:

Limiti

Ruoli server

Caratteristiche e funzionalità

Funzionalità rimosse o non più sviluppate a partire da Windows Server 2022

Ogni versione di Windows Server include nuove caratteristiche e funzionalità, ma ce ne sono alcune che sono state rimosse rispetto alle versioni precedenti.

Sicuramente risalta il fatto che non verrà più sviluppata la versione semestrale di Windows Server. Ebbene sì, d’ora in poi avremo solo gli aggiornamenti disponibili nel canale LTSC (Long-Term Servicing Channel). Con il Long-Term Servicing Channel, viene rilasciata una nuova versione principale di Windows Server ogni 2-3 anni. Gli utenti hanno diritto a 5 anni di supporto Mainstream e 5 anni di supporto Extended. Il Long-Term Servicing Channel continuerà a ricevere sia aggiornamenti della sicurezza sia aggiornamenti non relativi alla sicurezza, ma non riceverà le nuove funzionalità.

Il Canale semestrale era ideale per i clienti che desideravano attuare le innovazioni rapidamente, con l’opportunità di sfruttare le nuove funzionalità del sistema operativo, sia nelle applicazioni, in particolare quelle basate su Containers e Microservices, sia nei Software-defined Hybrid Datacenter. Per i prodotti Windows Server 2016 e 2019 in Canale semestrale (Semi-annual Channel) erano disponibili nuovi rilasci due volte l’anno, in primavera e in autunno, ma l’acquisto era disponibile solo per i clienti con contratti multilicenza con Software Assurance, nonché tramite Azure Marketplace o altri provider di servizi cloud/di hosting.

Tra le funzionalità rimosse in Windows Server 2022 vi segnalo invece il Servizio iSNS server (Internet Archiviazione Name Service), già rimosso in Windows Server, versione 1709.

Approfondimenti

Per approfondimenti sulle novità di Windows Server 2022 potete consultare la mia guida Windows Server 2022: tutte le novità – ICT Power.

Buon lavoro!

L'articolo Confronto tra le edizioni Standard, Datacenter e Datacenter: Azure Edition di Windows Server 2022 proviene da ICT Power.

Microsoft, attraverso un post sul blog ufficiale di Windows, ha annunciato che il futuro sistema operativo client Windows 11 sarà disponibile dal 5 ottobre 2021. A partire da questa data, l’aggiornamento gratuito a Windows 11 inizierà a essere disponibile per tutti i PC Windows 10 compatibili e idonei, mentre i nuovi PC con Windows 11 preinstallato inizieranno a essere disponibili per l’acquisto nei vari store fisici e online.

Il sistema operativo Windows continua ad avere un ruolo centrale nel mondo dei Personal Computer, sia professionale che privato. Gli obiettivi generali di Microsoft sono: maggiore produttività e sostegno alla creatività.

Undici punti importanti di Windows 11

• Nuovo design e suoni moderni di Windows 11, “freschi, puliti e piacevoli”, per trasmettere un senso di calma e tranquillità.
• Nuovo menu Start. Esso utilizza la potenza del Cloud e di Microsoft 365 per mostrare i file recenti indipendentemente dal dispositivo utilizzato.
• Snap Layout, Snap Group e Desktop offrono un modo ancora più potente per il multitasking e l’ottimizzazione dello spazio sullo schermo.
• Chat di Microsoft Teams integrata nella barra delle applicazioni offre un modo più rapido per connettersi con le persone.
• Widget, un nuovo feed personalizzato basato sull’intelligenza artificiale, il quale fornisce accesso alle informazioni importanti all’interno di una scheda a comparsa.
• Esperienza di gioco avanzata. Windows 11 esprime appieno il potenziale dell’hardware compatibile con il sistema Microsoft, utilizzando tecnologie come DirectX12 Ultimate, DirectStorage e Auto HDR.
• Nuovo Microsoft Store, ricostruito con un design completamente rinnovato il quale semplifica la ricerca e la scoperta di app, giochi, programmi e film in un’unica posizione.
• Windows 11 è la versione di Windows più inclusiva, con il potenziamento delle funzioni di accessibilità pensate per e progettate da utenti con disabilità.
• Windows 11 introduce nuove opportunità per Sviluppatori e Creator, aprendo il Microsoft Store a più sviluppatori e ISV (Independent Software Vendor), permettendo loro di portare le proprie app sullo Store, e non solo.
• Windows 11 è ottimizzato per velocità, efficienza ed esperienze migliorate con touch, penna digitale e input vocale.
• Windows 11 è il sistema operativo ottimizzato per il lavoro ibrido, offrendo nuove esperienze che si adattano alle persone, sicure by design, facili e familiari per la distribuzione e gestione IT. Le aziende possono testare Windows 11 in anteprima su Azure Virtual Desktop o, quando sarà disponibile ufficialmente, sul recente Windows 365.

Maggiori informazioni le trovate nel nostro articolo completo dedicato a Windows 11

Aggiornamento a Windows 11 e nuovi dettagli sui requisiti minimi

L’aggiornamento gratuito sarà graduale e misurato principalmente con un ampio focus sulla qualità. I dispositivi idonei recenti riceveranno per primi l’aggiornamento, mentre sarà implementato successivamente sui dispositivi già presenti sul mercato, secondo alcuni criteri prestabiliti: modelli di intelligence che valutano l’idoneità dell’hardware, metriche di affidabilità, età del dispositivo e altri fattori che possono impattare sull’esperienza di aggiornamento.

Microsoft punta a offrire l’aggiornamento gratuito a Windows 11 a tutti i dispositivi idonei entro la prima metà del 2022.

Nuova app PC Health Check per i Windows Insider

A giugno si è creata una certa confusione in merito alla app Controllo integrità del PC e ai requisiti minimi di Windows 11. L’app ufficiale (PC Health Check) sarà aggiornata prima della disponibilità generale del sistema operativo, ma nel frattempo gli utenti Windows Insider possono testare una versione in anteprima la quale mostra maggiori informazioni e messaggi più completi.

Microsoft ha lavorato a stretto contatto con i produttori hardware, i rivenditori e i Windows Insider per verificare la possibilità di offrire l’aggiornamento di Windows 11 anche a dispositivi con processori Intel di settima generazione e AMD Zen 1.

A seguito dei risultati dei vari test è stato aggiornato l’elenco dei processori compatibili, ma rimangono inalterati i requisiti minimi di sistema originari:

• Processori compatibili a 64 bit (elenco)
• 4 GB di memoria RAM
• 64 GB di spazio di archiviazione
• UEFI Secure Boot
• Scheda video compatibile
• Chip TPM 2.0

Sono stati identificati una serie di “nuovi” modelli di PC che soddisfano questi requisiti, originariamente non inclusi, i quali utilizzano un processore Intel di settima generazione:

• Intel® Core X-series, Xeon® W-series
• Intel® Core 7820HQ (solo alcuni modelli selezionati, venduti con driver moderni basati sui principi di design DCH)

Sul fronte AMD, dopo aver analizzato attentamente la prima generazione di processori AMD Zen in collaborazione con AMD, non sono state aggiunte CPU supportate all’elenco.

Se volete maggiori approfondimenti sull’aggiornamento dei requisiti minimi vi consigliamo di leggere il post del blog ufficiale di Windows.

L'articolo Windows 11, disponibile a partire dal 5 ottobre 2021 proviene da ICT Power.

Universal Print, servizio disponibile in Microsoft 365, offre alle organizzazioni la possibilità di gestire in cloud ed in modo centralizzato il proprio parco stampanti.

La soluzione di stampa in cloud basata su Azure evita ai SysAdmin di implementare e gestire un Print Server locale e offre agli utenti finali la possibilità di stampare da remoto e ovunque si trovino.

Nella pagina Partner Integrations – Universal Print | Microsoft Docs sono disponibili tutti i partner che offrono un’integrazione “nativa” con il servizio.

In alternativa, è possibile installare on-premises il tool Universal Print Connector al fine di coprire stampanti non compatibili nativamente con Universal Print.

Figura 1 – Architettura e componenti Universal Print

Per usufruire del servizio Universal Print, è necessario assegnare agli utenti in Azure AD una delle seguenti subscription/licenze:

• Microsoft 365 Enterprise F3, E3, E5, A3, A5;
• Windows 10 Enterprise E3, E5, A3, A5;
• Microsoft 365 Business Premium;
• Universal Print standalone.

In questo articolo vedremo come implementare l’Universal Print Connector con i seguenti requisiti:

• Connector:
  • Windows Server 2016 64 bit o successivi (Windows Server 2019 64 bit consigliato);
  • oppure Windows 10 Pro/Enterprise 64 bit 1809 o build successive ;
  • .Net Framework 4.7.2 o successivi;
  • Connessione a internet e raggiungibilità ai servizi: *.print.microsoft.com, *.microsoftonline.com, *.azure.com, *.msftauth.net, go.microsoft.com, aka.ms.
• Clients:
  • Windows 10 1903 o build successive;
  • Dispositivo joinato in Azure AD o Hybrid Azure AD Join o Azure AD Registered. Per ulteriori informazioni, vi invito a consultare la guida Dispositivi Azure AD Joined, Hybrid Azure AD Joined e Azure AD Registered: facciamo chiarezza – ICT Power.

Installazione Universal Print Connector

Di seguito vi riporto i dettagli dell’infrastruttura utilizzata come laboratorio:

• Universal Print Connector installato su Windows Server 2019 64-bit;
• Client Windows 10 versione 20H2 joinato in Azure AD;
• Utenza cloud-only loggata sul client Windows 10 20H2 e con subscription assegnata Windows 10 Enterprise E5;
• Stampante di rete HP Deskjet 3700 installata in locale sul server che ospiterà il Connector.

Figura 2 – Stampanti installate su server che ospiterà il Connector

Per iniziare procedete con il download del Connector dal link https://aka.ms/UPConnector ed avviate l’installazione sul Windows Server/Windows 10 interessato:

Figura 3 – Installazione connector

Figura 4 – Installazione connector

Figura 5 – Installazione connector

Lanciate il wizard di configurazione e loggatevi con un’utenza con permessi di Global Administrator o Printer Administrator al tenant Microsft 365 della vostra organizzazione.

Figura 6 – Accesso al tenant Microsoft 365 con utente amministrativo per la configurazione di Universal Print Connector

Per procedere con la registrazione del connettore, è necessario indicare un nome e successivamente cliccate su Register come da seguente immagine.

Figura 7 – Registrazione del connettore Universal Print

Una volta completata la registrazione, selezionate le stampanti da rendere disponibili ai client tramite Universal Print.

N.B. Per rendere le stampanti disponibili alla registrazione, è necessario che siano installate in locale sul Windows Server/Windows 10 che ospita il connector.

Figura 8 – Registrazione della stampante sul connector

Figura 9 – Registrazione in-progress della stampante in Universal Print

Figura 10 – Registrazione della stampante completata

Accedete al portale Universal Print – Microsoft Azure con le credenziali di un Global Admin o Printer Admin e nella sezione Printers troverete la lista e dettagli di tutte le stampanti registrate al servizio Universal Print della vostra organizzazione.

Figura 11 – Stampanti registrate in Universal Print su portale Azure

Spostatevi nella sezione Printer Shares per condividere le stampanti agli utenti interessati.

Nel mio caso ho condiviso la stampante HP indicando come nome di condivisione “HP Printer” e destinandola ad una specifica utenza.

Figura 12 – Condivisione di una stampante tramite Universal Print

Installazione della stampante condivisa tramite Universal Print su dispositivo Windows 10

Nelle impostazioni del client Windows 10, recatevi nella sezione dedicata alle stampanti e cliccate il tasto per aggiungere un nuovo dispositivo.

N.B. Sul client Windows 10 dovrà essere loggato l’utente a cui è stata condivisa la stampante tramite Universal Print.

Figura 13 – Aggiunta della stampante su client condivisa tramite Universal Print

Figura 14 – Aggiunta della stampante su client condivisa tramite Universal Print

Figura 15 – Aggiunta della stampante su client condivisa tramite Universal Print

Figura 16 – Aggiunta della stampante su client condivisa tramite Universal Print

Sul portale di Azure, accedendo nell’apposita sezione dedicata alle stampanti gestite con Universal Print (Printers), è possibile verificare i job di stampa, modificare le proprietà della stampante, il connettore associato ed applicare eventuali modifiche di condivisione utente.

Figura 17 – Job di stampa in Universal Print

Figura 18 – Modifica proprietà stampanti in Universal Print

Conclusioni

L’utilizzo di Universal Print per la gestione delle stampanti e l’installazione del Connector sono attività molto semplici e portano numerosi vantaggi sia agli amministratori di sistema che agli utenti finali.

In un articolo successivo, vedremo come distribuire le stampanti gestite in cloud sui dispositivi Windows 10 con Microsoft Endpoint Manager.

Per approfondimenti, vi invito a leggere la documentazione ufficiale Set up Universal Print | Microsoft Docs

L'articolo Microsoft 365 – Gestione delle stampanti in cloud con Universal Print proviene da ICT Power.

Il 31 agosto, Microsoft tramite un blog post, ha annunciato una grandissima novità con l’introduzione del nuovo piano P1 per Microsoft Defender for Endpoint (Ex Defender ATP).

Microsoft Defender for Endpoint è una piattaforma di sicurezza per gli endpoint utile a rilevare, analizzare e bloccare eventuali minacce avanzate.

La soluzione protegge dispositivi con a bordo sistemi operativi Linux, MacOS, iOS e Android, compresi ovviamente quelli della casa di Redmond (Windows client e server).

Nell’immagine seguente sono riportate in verde le funzionalità incluse nel nuovo piano P1 rispetto al piano completo P2.

Figura 1 – Funzionalità Microsoft Defender for Endpoint

Con Microsoft Defender for Endpoint P1, le organizzazioni avranno a disposizione le seguenti tecnologie principali:

• Antimalware basato su cloud e AI che aiutano a bloccare ransomware, malware e altre tipologie di minacce;
• Attack surface reduction utile a prevenire attacchi di tipo zero-day, controllare gli accessi ed hardening dei dispositivi;
  
• Device based conditional access estende ai dispositivi le potenzialità di Conditional Access ad esempio con controlli sul livello di integrità.
  

La tabella seguente offre una comparativa generale tra i 2 piani e tutte le funzionalità disponibili per Microsoft Defender for Endpoint.

Figura 2 – Tabella piani Microsoft Defender for Endpoint

Oltre alle features di base, soluzioni come Device control, Web control e Application control concedono un importante valore aggiunto e livelli di protezione avanzate.

N.B. Al momento non abbiamo evidenza se Endpoint Data Loss Prevention sia incluso o meno nel piano P1. Contiamo di verificare il prima possibile e sarà nostra premura aggiornare l’articolo.

Ma le sorprese non sono finite qui perché oltre ad essere disponibile in prova gratuita per 90 giorni, il piano P1 sarà incluso nei piani Microsoft 365 E3/A3 oppure acquistabile in modalità “standalone”.

Anche il piano P2 potrà essere acquistato nella modalità standalone oppure nei classici piani licensing Microsoft 365 E5/A5, Microsoft 365 E5/A5 security o Windows 10 E5/A5.

Figura 3 – Licensing Microsoft Defender for Endpoint P1

Conclusioni

L’obiettivo di Microsoft con l’introduzione del piano P1 è quello di accelerare l’adozione di Microsoft Defender for Endpoint ed estendere il modello “zero trust” ai dispositivi, proteggendo i dati aziendali e controllando gli accessi.

Per ulteriori approfondimenti vi invito a leggere la documentazione ufficiale Microsoft Defender per endpoint | Microsoft Docs

L'articolo Microsoft 365 – Introduzione del nuovo piano P1 per Microsoft Defender for Endpoint proviene da ICT Power.

Durante il Microsoft Inspire 2021, tenutosi il 14 luglio 2021, Microsoft ha annunciato Windows 365. Ne abbiamo già parlato nell’articolo Windows 365, la nuova era del Cloud PC – ICT Power

A seguito della pandemia è innegabile come sia effettivamente emerso un nuovo modello di lavoro, diversificato dai processi virtuali e dalla collaborazione da remoto. In questo ambiente, più distribuito e centralizzato, le persone hanno la necessità di accedere alle informazioni aziendali da diversi luoghi e, soprattutto, da tantissimi dispositivi diversi. L’aumento delle minacce informatiche ci porta, di conseguenza, a prestare maggiore attenzione nel proteggere queste informazioni spesso critiche.

Windows 365 fornisce l’esperienza completa del PC sul cloud. Con l’avvio istantaneo del proprio Cloud PC personale, gli utenti possono trasferire applicazioni, strumenti, dati e impostazioni dal cloud a qualsiasi dispositivo. Inoltre, il cloud garantisce maggiore versatilità nella potenza di elaborazione e nell’archiviazione, offrendo scalabilità ai responsabili IT, che potranno gestirle in base alle proprie esigenze.

Acquisto delle licenze

Windows 365 è disponibile in 2 edizioni: Windows 365 Business e Windows 365 Enterprise. Alla pagina Compare Windows 365 Business and Enterprise | Microsoft Docs trovate maggiori informazioni ed una tabella di confronto delle funzionalità.

Come prima operazione sarà necessario acquistare le licenze di Windows 365. È possibile farlo direttamenbte dal portale di Microsoft 365 andando in Billing à Purchase Services.

Figura 1: Acquisto delle licenze di Windows 365 dal portale di Microsoft 365

Scegliete la licenza che fa per voi. Noi per questa guida abbiamo scelto la versione Windows 365 Enterprise. Windows 365 è disponibile in diversi piani, che sono disponibili alla pagina Piani e prezzi di Windows 365 | Microsoft. Nella figura sotto è mostrato l’attuale licensing per le licenze Enterprise:

Figura 2: Licensing di Windows 365 Enterprise

Selezionate il piano che preferite acquistare scegliendolo dal menu a tendina, come mostrato nella figura sotto. Il piano definisce la Potenza di calcolo che verrà assegnata alla macchina virtuale Windows 365.

Figura 3: Scelta del piano di Windows 365 Enterprise

Terminato l’acquisto della licenza decidete a quale utente del vostro tenant volete associarla.

Figura 4: Associazione della licenza ad un utente del tenant

Gestione di Windows 365

La gestione di un PC creato in Windows 365 viene fatta interamente dal portale di Microsoft Endpoint Manager https://endpoint.microsoft.com . Cliccando sull’apposito nodo Windows 365 presente in Devices del portale potrete avere accesso a tutte le configurazioni.

Figura 5: Portale di amministrazione di Windows 365

Preparazione dell’infrastruttuta on-premises

Prima di procedere alla creazione del nostro PC Windows 365 sarà necessario preparare l’infrastruttura on-premises. Nel nostro caso abbiamo creato un ambiente di dominio realizzando un domain controller in una macchina virtuale su Azure.

Figura 6: Ambiente di dominio creato su Microsoft Azure

Poiché il computer Windows 365 verrà collegato alla Virtual Network, sarà necessario modificare il DNS della VNET in modo tale che punti all’iindirizzo IP del domain controller.

Figura 7: Modifica del DNS della VNET per farlo puntare al domain controller

Vogliamo che il computer Windows 365 venga aggiunto ad una particolare OU del nostro dominio. Nella figura sotto è mostrato come recuperare il Distinguished Name della Organizational Unit di Active Direcotry di destinazione del Windows 365 PC.

Figura 8: Distinguished Name della OU di destinazione del Windows 365 PC

Per poter aggiungere il computer Windows 365 al nostro dominio on-premises abbiamo anche creato un utente locale chiamato adjoin@ictpower.local e gli abbiamo delegato i privilegi per joinare i PC a dominio. Anche se l’operazione non è strettamente legata a Windows 365, è buona norma lavorare sempre con i minor privilegi amministrativi e assicurare il massimo livello di sicurezza al nostro ambiente. Per approfondimenti vi rimando alla lettura dell’articolo Implementazione dei modelli amministrativi con privilegi minimi | Microsoft Docs

Figura 9: Delega del privilegio di aggiungere un PC al dominio

Figura 10: Schermata iniziale del wizard di delega di Active Directory

Figura 11: Scelta dell’utente a cui verranno delegati i privilegi

Figura 12: Personalizzazione del privilegio di delega

Figura 13: Scelta degli oggetti di Active Direcotry a cui delegare i privilegi

Figura 14: Scelta dei permessi da delegare

Figura 15: Completamento del wizard di delega

Configurazione dell’Hybrid Azure AD Join

Prima di iniziare a configurare Windows 365 è necessario abilitare L’Hybrid Azure AD Join. L’operazione è molto semplice e verrà effettuata dal tool Azure AD Connect. Vi rimandiamo alla lettura dell’articolo Dispositivi Azure AD Joined, Hybrid Azure AD Joined e Azure AD Registered: facciamo chiarezza – ICT Power per approfondire le funzionalità riservate alle diverse modalità di registrazione dei dispositivi in Azure AD.

Nelle figure sotto sono mostrati tutti i passaggi per abilitare Azure AD Hybrid Join:

Figura 16: Modifica delle configurazioni dei dispositivi in Azure AD Connect

Figura 17: Scelta della configurazione di Azure AD Hybrid join

Figura 18: Scelta del sistema operativo dei dispositivi

Figura 19: Configurazione del Service Connection Point (SCP) per trovare i dispositivi in Azure AD

Configurazione delle rete on-premises

Per poter collegare i PC Windows 365 alla nostra rete sarà necessario configurare l’On-premises network connection. Dal portale di Microsoft Endpoint Manager selezionate la scheda On-premises network connection e fate clic su Create per lanciare il wizard, come mostrato nella figura sotto:

Figura 20: Configurazione dell’On-premises network connection

Date un nome alla connessione, scegliete la sottoscrizione Azure, il Resource Group e la Virtual Network a cui connettere le macchine Windows 365. La Virtual Network dovrà poter contattare il dominio on-premises a cui aggiungere le macchine Windows 365. Mentre nel nostro caso la VNET scelta coincide con la stessa VNET in cui abbiamo creato Il nostro domain controller, assicuratevi che se il domain controller sia on-premises la VNET sia capace di raggiungere la vostra rete aziendale, magari con una connessione VPN Site-to-Site o con ExpressRoute.

Figura 21: Creazione della connessione alla rete on-premises

Indicate a questo punto il nome del dominio on-premises e l’Organizational Unit a cui volete aggiungere le macchine Windows 365, oltre ovviamente alle credenziali di un utente che abbia tuti i priviegi necessari per fare join al dominio (ricordate che lo abbiamo creato appositamente prima?).

Figura 22: Informazioni per l’aggiunta del computer Windows 365 al dominio on-premises

Figura 23: Completamento del wizard per l’On-premises network connection

Terminato il wizard cominceranno tutti i controlli necessari per verificare di avere accesso al dominio on-premises.

Figura 24: Verifiche di accesso al dominio on-premises

Nel caso la verifica non vada a buon fine riceverete dei messaggi di avviso che vi daranno indicazioni sulla motivazione. Come si può vedere dalla figura sotto, potreste ricevere il messaggio Check on-premises network connection con warning. Cliccate sul link per verificare lo Status:

Figura 25: Check on-premises network connection con warning

Durante la fase di controllo verrà creato un account computer all’interno del dominio on-premises. Questo account viene utilizzato per verificare di avere tutti gli accessi alla rete aziendale e al dominio interessato.

Figura 26: Account computer creato sul dominio locale per la verifica degli accessi

Nel nostro caso l’errore era derivato dal fatto che Azure AD Connect non aveva ancora replicato gli account computer negli ultimi 60 minuti.

Figura 27: Errore di Azure AD device Sync

Potete verificare l’intervallo di replica (che di default è di 30 minuti) con il comando PowerShell Get-ADSyncScheduler eseguito sul server in cui avete installato il tool Azure AD Connect.

Figura 28: Verifica dell’intervallo di sincronizzazione del tool Azure Ad Connect

Per forzare la sincronizzazione manuale potete lanciare il comando PowerShell Start-ADSyncSyncCycle sul server in cui avete installato il tool Azure AD Connect in modo tale da replicare l’account computer creato automaticamente dal processo di verifica.

Dopo la replica dei dispositivi cliccate sul pulsante Retry nella schermata in cui visualizzate i dettagli di errore (figura 27) oppure potete cliccare in qualsiasi momento sul link che vi appare nella colonna Status. Assicuratevi che vi venga restituito lo status
Check successful, come mostrato in figura:

Figura 29: Controllo della connessione con l’infrastruttura on-premises effettuato con successo

Provisioning del Cloud PC

Per creare il nostro PC con Windows 365 è necessario creare una provisioning policy. Accertatevi che l’utente che state utilizzando abbia i privilegi di Intune Service Administrator.

Dal portale di Microsoft Endpoint Manager selezionate la scheda Provisioning Policies e fate clic su + Create Policy

Figura 30: Creazione di una nuova Provisioning Policy

Date un nome alla policy e selezionate una On-premises network connection.

Figura 31: Nome della provisioning policy e selezione della on-premises network connection

Nella scheda Image scegliete quale immagine di Windows volete distribuire in Windows 365. Attualmente è disponibile solo Windows 10, ma presto sarà disponibile anche Windows 11. Windows 11, disponibile a partire dal 5 ottobre 2021 – ICT Power

Figura 32: Scelta dell’immagine da utilizzare in Windows 365

Scegliete quindi a quale gruppo di utenti di Azure AD volete assegnare tramite policy l’immagine che avete scelto.

Figura 33: Gruppo di utenti di Azure AD a cui assegnare la policy

Figura 34: Schermata di riepilogo della creazione della policy

A questo punto comincerà il provisioning della vostra macchina Windows 365.

Figura 35: Provisioning in corso della macchina Windows 365

Figura 36: Provisioning della macchina Windows 365 completato

Accesso a Windows 365 tramite browser

Terminato il provisioning della macchina Windows 365 possiamo provare ad accedere. Collegatevi al portale My Apps (microsoft.com) con le credenziali di un utente che appartenga al gruppo che avete autorizzato all’accesso tramite la provision policy e cliccate sull’icona Windows 365.

Figura 37: Accesso al portale https://myapps.microsoft.com/

Nella schermata di Benvenuto troverete il link per accedere al vostro Cloud PC, come mostrato nella figura sotto:

Figura 38: Schermata di benvenuto con l’accesso al Cloud PC di Windows 365

Immettete le vostre credenziali di dominio per accedere alla macchina Windows 365.

Figura 39: Inserimento delle credenziali di accesso per la macchina Windows 365

Figura 40: Connessione a Windows 365 completata

Creazione di regole di accesso condizionale e Multi-Factor Authentication

Per aumentare il livello di sicurezza degli accessi alla nostra infrastruttura basata su Windows 365 è possibile creare delle regole di accesso condizionale e imporre l’utilizzo della multi-factor authentication (MFA).

Dal portale di Microsoft Endpoint Manager selezionate il nodo Devices e fate clic su Conditional Access.

Figura 41: Conditional access nel portale di Microsoft Endpoint Manger

Create una nuova regola di accesso condizionale, seguendo le indicazioni mostrate nelle figure sotto:

Figura 42: Regola di accesso condizionale solo per un gruppo di utenti di Azure AD

Figura 43: La regola di accesso condizionale varrà solo quando ci si collegherà a Windows 365

Figura 44: Obbligo di utilizzo della multi-factor authentication (MFA)

Conclusioni

Windows 365 punta a gestire e risolvere tutte quelle sfide pre-pandemia, offrendo maggiore flessibilità e garantendo, al contempo, la sicurezza necessaria dei dati dell’organizzazione. I lavoratori stagionali, ad esempio, potranno cambiare team senza dover affrontare i problemi logistici legati alla consegna di un nuovo hardware o alla messa in sicurezza dei dispositivi personali, permettendo alle organizzazioni di adattarsi con più efficienza e sicurezza ai periodi di lavoro più intensi. Inoltre, le aziende potranno facilmente garantire ai lavoratori specializzati in ruoli creativi, analitici, ingegneristici o scientifici una maggiore potenza di calcolo e un accesso sicuro alle applicazioni essenziali di cui essi hanno bisogno.

Il Cloud PC unisce Windows alla potenza del Cloud Computing. Potenza, semplicità e sicurezza dono le tre caratteristiche di questo nuovo servizio. Le informazioni sono protette e archiviate sul cloud, non sul dispositivo. Contando su aggiornamenti costanti, sulle avanzate funzionalità di sicurezza e sulle linee guida di Microsoft, Windows 365 semplifica la cybersecurity e consiglia le migliori impostazioni di sicurezza per l’ambiente di lavoro.

L'articolo Configurare Windows 365 Enterprise proviene da ICT Power.

Durante il Microsoft Inspire 2021, tenutosi il 14 luglio 2021, Microsoft ha annunciato Windows 365. Con questa novità si aprono le porte a una nuova categoria di “computer” in un mondo del lavoro sempre più ibrido: Cloud PC.

Dall’annuncio, possiamo recuperare una descrizione sintetica di questo ambizioso progetto: “Windows 365 garantirà un’esperienza PC completa e personalizzata basata sul cloud su qualsiasi dispositivo, offrendo ai lavoratori e alle imprese potenza, semplicità e sicurezza per il lavoro ibrido“. Satya Nadella, Presidente e CEO di Microsoft, aggiunge: “Proprio come le applicazioni sono state portate in cloud con il modello SaaS, ora stiamo portando il sistema operativo sul cloud, fornendo alle organizzazioni una maggiore flessibilità e un modo sicuro per consentire ai propri collaboratori di essere più produttivi e connessi, indipendentemente dalla loro posizione geografica”.

Di cosa si tratta in parole semplici? Ogni utente abilitato avrà la possibilità di accedere a un PC virtuale, tramite browser, macOS, Android o il client di Desktop Remoto, sfruttando la potenza dei servizi Cloud offerti da Microsoft Azure. Il vantaggio maggiore sta nella elevata personalizzazione della macchina (modulare l’effettiva potenza necessaria) e nella disponibilità / sincronizzazione di sessione di lavoro, applicazioni, contenuti e impostazioni. Nello scenario tipo l’utente accede al suo Cloud PC da un dispositivo X, termina la sessione, riprende sul dispositivo Y, in completa soluzione di continuità, mantenendo il flusso di lavoro intatto.

Windows 365 sarà disponibile per le imprese di ogni dimensione a partire dal 2 agosto 2021. Successivamente il servizio sarà disponibile anche a livello Consumer.

Il nuovo paradigma del lavoro /Hybrid Work/

A seguito della pandemia è innegabile come sia effettivamente emerso un nuovo modello di lavoro, diversificato dai processi virtuali e dalla collaborazione da remoto. In questo ambiente, più distribuito e centralizzato, le persone hanno la necessità di accedere alle informazioni aziendali da diversi luoghi e, soprattutto, da tantissimi dispositivi diversi. L’aumento delle minacce informatiche ci porta, di conseguenza, a prestare maggiore attenzione nel proteggere queste informazioni spesso critiche.

“Il lavoro ibrido ha rivoluzionato il ruolo della tecnologia nelle imprese”, dice Jared Spataro, Corporate Vice President, Microsoft 365. “In un contesto in cui la forza lavoro è più eterogenea che mai, le organizzazioni hanno bisogno di un nuovo modo per assicurare una migliore esperienza di produttività combinando versatilità, semplicità e sicurezza. Il Cloud PC è una nuova ed entusiasmante categoria di personal computer ibridi, che trasforma qualsiasi dispositivo in uno spazio di lavoro digitale personalizzato, produttivo e sicuro. L’annuncio odierno di Windows 365 è solo l’inizio di un percorso che vedrà la scomparsa del confine tra il dispositivo e il cloud“.

Windows 365 punta a gestire e risolvere tutte quelle sfide pre-pandemia, offrendo maggiore flessibilità e garantendo, al contempo, la sicurezza necessaria dei dati dell’organizzazione. I lavoratori stagionali, ad esempio, potranno cambiare team senza dover affrontare i problemi logistici legati alla consegna di un nuovo hardware o alla messa in sicurezza dei dispositivi personali, permettendo alle organizzazioni di adattarsi con più efficienza e sicurezza ai periodi di lavoro più intensi. Inoltre, le aziende potranno facilmente garantire ai lavoratori specializzati in ruoli creativi, analitici, ingegneristici o scientifici una maggiore potenza di calcolo e un accesso sicuro alle applicazioni essenziali di cui essi hanno bisogno.

Caratteristiche principali di Windows 365

Microsoft durante la presentazione ha evidenziato tre caratteristiche per descrivere questo nuovo servizio di Cloud PC, il quale unisce Windows alla potenza del Cloud Computing:

• Potenza. Windows 365 fornisce l’esperienza completa del PC sul cloud. Con l’avvio istantaneo del proprio Cloud PC personale, gli utenti possono trasferire applicazioni, strumenti, dati e impostazioni dal cloud a qualsiasi dispositivo. Inoltre, il cloud garantisce maggiore versatilità nella potenza di elaborazione e nell’archiviazione, offrendo scalabilità ai responsabili IT, che potranno gestirle in base alle proprie esigenze. Con la possibilità di scegliere tra Windows 10 e Windows 11 (quando sarà disponibile nel corso del 2021), le aziende possono scegliere il Cloud PC più adatto alle proprie esigenze con un costo mensile per utente.
• Semplicità. Con un Cloud PC, gli utenti possono accedere e riprendere il proprio lavoro da dove lo hanno lasciato su diversi dispositivi, vivendo un’esperienza Windows semplice e familiare abilitata dal cloud. Per i responsabili IT, Windows 365 semplifica anche la distribuzione, l’aggiornamento e la gestione, oltre a non richiedere la virtualizzazione, a differenza di altre soluzioni. Con Windows 365 ottimizzato per l’endpoint, l’IT può facilmente ottenere, distribuire e gestire i Cloud PC per la propria azienda proprio come gestisce i dispositivi fisici attraverso Microsoft Endpoint Manager. Le piccole e medie imprese possono acquistare Windows 365 direttamente o attraverso un fornitore di servizi cloud e completare l’impostazione in pochi clic. Al contempo, Microsoft continua a innovare Azure Virtual Desktop, per rispondere alle esigenze delle imprese che contano su avanzate esperienze di virtualizzazione e che desiderano più opzioni di personalizzazione e flessibilità. In merito a quest’ultimo, abbiamo pubblicato una introduzione qualche giorno fa in questo articolo.
• Sicurezza. Windows 365 è sicuro by design, poiché sfrutta la potenza del cloud e si basa sul principio Zero Trust. Le informazioni sono protette e archiviate sul cloud, non sul dispositivo. Contando su aggiornamenti costanti, sulle avanzate funzionalità di sicurezza e sulle linee guida di Microsoft, Windows 365 semplifica la cybersecurity e consiglia le migliori impostazioni di sicurezza per l’ambiente in questione.

Configurazioni e prezzi

Microsoft ha ufficializzato tutte le configurazioni e prezzi. Windows 365 propone 12 configurazioni, basate su Azure Virtual Desktop, per le formule Business ed Enterprise.

La configurazione base sarà di 1 vCPU, 2 GB di RAM e 64 GB di spazio su disco virtuale per un costo di 21,90€ al mese (IVA esclusa) o 18,20€ al mese (IVA esclusa) se si può beneficiare del Windows Hybrid Benefit (Fig.1). Quest’ultimo è un vantaggio per le licenze, il quale consente di ridurre il costo di Windows 365 Business con uno sconto fino al 16% sull’abbonamento se si è già in possesso di Windows 10 Pro su un dispositivo.

La configurazione più prestante avrà 8 vCPU, 32 GB di RAM e 512 GB di spazio su disco virtuale per un costo di 147,50 € al mese (IVA esclusa) o 143,90 al mese (IVA esclusa) se si può beneficiare del Windows Hybrid Benefit.

Figura 1 – Esempio di configurazione base Cloud PC con il piano Windows 365 Business

Se volete creare la vostra configurazione potete far riferimento a questo link, mentre di seguito vi lasciamo due immagini riepilogative di tutti i piani e prezzi di Windows 365: Business (Fig.2) ed Enterprise (Fig.3).

Figura 2 – Piani e prezzi di Windows 365 Business

Figura 3 – Piani e prezzi di Windows 365 Enterprise

Infine, grazie a The Verge, possiamo raccogliere qualche ulteriore dettaglio: ogni Cloud PC sarà in grado di accedere a una connessione a Internet con velocità di download di 10 Gbps e velocità di upload di 4 Gbps. Microsoft sta anche testando un’opzione per reindirizzare video e altri contenuti multimediali nelle singole sessioni virtuali. Logicamente, il modo migliore per provare Windows 365 sarà tramite la connessione da un PC con sistema operativo Windows poiché funzionalità come multi-monitor (fino a 16), connessione USB, reindirizzamento AV di Teams e supporto per gli scanner saranno disponibili solo da Windows.

Se volete sapere come configurare Windows 365 Enterprise potete leggere la nostra guida https://www.ictpower.it/microsoft-365/configurare-windows-365-enterprise.htm

Link utili

• Windows 365 Sito Ufficiale
• Windows 365 vs. Azure Virtual Desktop (AVD) – Comparing Two DaaS Products – Nerdio (getnerdio.com)
• Government IT strengthens connection with remote communities, helps secure hybrid workplaces with Windows 365

L'articolo Windows 365, la nuova era del Cloud PC proviene da ICT Power.

A partire da oggi è finalmente disponibile la versione definitiva di Windows 11, il nuovo sistema operativo client di Microsoft. Design rinnovato, nuovi suoni, caratteri e icone, Windows 11 fornisce uno spazio dove poter massimizzare la produttività, la creatività e lo svago, in cui l’utente può coltivare le sue passioni in un’esperienza sempre più moderna.

La data di rilascio ufficiale è 4 ottobre 2021 e la versione è identificata dal numero 21H2 build 22000. A partire da questo giorno inizia il supporto per la prima versione di Windows 11 con le seguenti date di fine ciclo di vita:

• Home, Pro, Pro Education e Pro for Workstations (18 mesi) – 10 ottobre 2023
• Enterprise, Education and IoT Enterprise (36 mesi) – 8 ottobre 2024

In questo articolo raccogliamo tutti gli elementi e le caratteristiche utili a prepararsi per l’aggiornamento di Windows 11. Per un approfondimento sulle novità del nuovo sistema operativo vi rimandiamo al nostro articolo completo Windows 11, il nuovo inizio di Windows

Quali dispositivi usare con Windows 11?

Windows 11 può essere installato su tutti quei PC che soddisfano i requisiti hardware minimi: sui nuovi PC sarà possibile trovarlo preinstallato, mentre l’aggiornamento potrebbe essere effettuato sui dispositivi che eseguono già Windows 10.

Per verificare se l’attuale PC con Windows 10 può eseguire Windows 11 è necessario installare la versione definitiva dell’app Controllo integrità PC. Con questa applicazione sarà possibile ricevere una serie di informazioni di riepilogo sul proprio PC (Fig.1), verificare se esso soddisfa i requisiti minimi (Fig.2) e, eventualmente, avere maggiori dettagli sui risultati del test (Fig.3).

Figura 1 – Schermata principale di Contollo integrità PC

Figura 2 – Verifica dei requisiti del PC

Figura 3 – Verifica dei requisiti del PC con dettagli

Se il PC non soddisfa i requisiti minimi per l’esecuzione di Windows 11, bisogna necessariamente valutare la possibilità di passare a un nuovo dispositivo Windows 11.

Contestualmente, è bene ricordare che non tutti i PC Windows 10, i quali soddisfano i requisiti hardware minimi, potranno essere aggiornati nello stesso momento. Per garantire un’esperienza di aggiornamento ottimale, l’aggiornamento a Windows 11 viene offerto a un numero limitato di PC per volta così come accadeva con Windows 10. In Impostazioni > Windows Update è possibile verificare se l’aggiornamento a Windows 11 è pronto per il proprio dispositivo. In alcuni casi, l’aggiornamento potrebbe essere bloccato a causa di un problema specifico noto.

Sono un utente esperto, posso installare Windows 11 anche se il PC non soddisfa i requisiti minimi?

Moltissimi di voi si saranno posti questa domanda da diverso tempo e noi, più che avvertirvi, vi incolliamo la risposta ufficiale di Microsoft: “Installare Windows 11 in un dispositivo che non soddisfa i requisiti minimi del sistema Windows 11 non è consigliabile. Se scegli di installare Windows 11 su hardware non idoneo, dovresti prendere in considerazione il rischio di incorrere in problemi di compatibilità.

Il tuo dispositivo potrebbe non funzionare correttamente a causa di questi problemi di compatibilità o di altro tipo. I dispositivi che non soddisfano questi requisiti di sistema non saranno più garantiti per ricevere gli aggiornamenti, inclusi ma non limitati agli aggiornamenti di sicurezza.”

“Noi siamo certi di quello che facciamo e quindi vogliamo installarlo comunque tramite ISO!”

Molti saranno caparbi e, anche in questo caso, Microsoft ha pronta una dichiarazione di non responsabilità (Fig.4) che si applica se si installa Windows 11 su un dispositivo che non soddisfa i requisiti minimi di sistema.

Figura 4 – Dichiarazione di non responsabilità per dispositivi non compatibili

Microsoft ufficialmente non vieta l’installazione su PC non idonei, ma in sintesi ci dice: “PC avvisato mezzo salvato!”

Come installare Windows 11?

Il piano di implementazione dell’aggiornamento per Windows 11, conferma Microsoft, inizia a partire da oggi e continuerà nel 2022. La tempistica specifica varia in base al dispositivo. Gli amministratori IT potranno iniziare a valutare i dispositivi presenti all’interno della propria organizzazione per stabilire un piano di aggiornamento interno.

Il metodo più semplice per verificare se Windows 11 è disponibile per il proprio dispositivo è quello di andare da Impostazioni > Windows Update e selezionare la voce Verifica disponibilità aggiornamenti (Fig.5). Se visualizzate il banner come quello mostrato nella figura, allora il vostro PC è pronto per l’aggiornamento.

Figura 5 – Verifica disponibilità aggiornamenti in Windows 10

Usare l’Assistente installazione per eseguire l’aggiornamento a Windows 11

Se il PC dovesse soddisfare i requisiti minimi si potrebbe utilizzare il comodissimo Assistente aggiornamento Windows 11, il quale controlla l’attuale versione di Windows in uso e successivamente propone la possibilità di aggiornarla in maniera del tutto automatica.

Figura 6 – Assistente aggiornamento Windows 11 in azione

Creare i supporti di installazione di Windows 11

Per eseguire una reinstallazione o un’installazione pulita di Windows 11 su un PC nuovo o usato, è possibile scaricare il Media Creation Tool (Fig.7 e Fig.8) per realizzare un supporto USB o un DVD di avvio. Esso è disponibile già dai tempi di Windows 10 ed è un utile attrezzo da avere sempre a portata di mano.

Figura 7 – Media Creation Tool di Windows 11

Figura 8 – Esempio di utilizzo del Media Creation Tool

Scaricare l’immagine del disco (ISO) di Windows 11

Questa opzione è consigliata agli utenti che vogliono creare un supporto di installazione di avvio (unità flash USB o DVD) oppure una macchina virtuale con Windows 11 (sfruttando il file ISO). L’ISO scaricata è di tipo multi-edizione, in quanto utilizza il codice Product Key per sbloccare l’edizione corretta. Per scaricare l’immagine del disco fate riferimento al Software Download Center (Fig.9) oppure tramite le sottoscrizioni di Visual Studio, VLSC (Volume Licensing Service Center) e Azure Marketplace.

Figura 9 – Download della ISO di Windows 11

Windows 11 (business editions)

• Windows 11 Pro
• Windows 11 Pro N
• Windows 11 Pro for Workstations
• Windows 11 Pro N for Workstations
• Windows 11 Pro Education
• Windows 11 Pro Education N
• Windows 11 Education
• Windows 11 Education N
• Windows 11 Enterprise
• Windows 11 Enterprise N

• en-us_windows_11_business_editions_x64_dvd_3a304c08.iso
  SHA256: 6939B236E6976F6EEAEA045DE805801F312700300C8359D17C0ABF31B35371E3
• it-it_windows_11_business_editions_x64_dvd_be8e4dd7.iso
  SHA256: B0FC0182065B2011FD99ABA93C5DFAD4A91D176292A646BA6926B3B6FEE353AA

Windows 11 (consumer editions)

• Windows 11 Home
• Windows 11 Home N
• Windows 11 Core Single Language
• Windows 11 Pro
• Windows 11 Pro N
• Windows 11 Pro for Workstations
• Windows 11 Pro N for Workstations
• Windows 11 Pro Education
• Windows 11 Pro Education N
• Windows 11 Education
• Windows 11 Education N

• en-us_windows_11_consumer_editions_x64_dvd_bd3cf8df.iso
  SHA256: 667BD113A4DEB717BC49251E7BDC9F09C2DB4577481DDFBCE376436BEB9D1D2F
• it-it_windows_11_consumer_editions_x64_dvd_3986cb0f.iso
  SHA256: 5776F686C23C6EB0BCC9FBB773C643938DE820753F41BC985566A1229128B068

Versione di valutazione di Windows 11 Enterprise

Per chi volesse provare una versione di valutazione di 90 giorni (edizione Enterprise) può scaricarla direttamente dall’Evaluation Center. Questo software è progettato per i professionisti IT interessati a provare Windows 11 Enterprise per conto della propria azienda. Microsoft sconsiglia di installare questa versione di valutazione per chi non lavora a livello professionale nell’ambito IT o gestione di reti o dispositivi aziendali.

Lingue disponibili

Cinese (Semplificato), Cinese (Tradizionale), Coreano, Francese, Giapponese, Inglese (Gran Bretagna), Inglese (Stati Uniti), Italiano, Portoghese, Spagnolo, Tedesco

Informazioni per clienti Commerciali ed Education

Microsoft ha realizzato Windows 11 tenendo in considerazione la solida base di Windows 10 all’interno di ambienti di lavoro ibrido, di insegnamento e di apprendimento. La Pianificazione, la Preparazione e la Distribuzione di Windows 11 insieme a Windows 10 utilizza gli stessi processi, criteri e applicazioni per la gestione. Per maggiori informazioni è possibile consultare questo link.

Figura 10 – Windows 11 Enterprise

Per tutti gli amministratori IT (e non solo) lasciamo in basso tantissimi link di approfondimento, ma è importante segnalare nuove funzionalità di analisi in arrivo su Endpoint analytics in Endpoint Manager per semplificare ulteriormente la distribuzione di Windows 11. Per saperne fate riferimento al post ufficiale del Blog di Microsoft Endpoint Manager.

In aggiunta, Microsoft ha realizzato il report Windows 11 Readiness in Update Compliance per supportare gli amministratori IT nell’identificazione dei dispositivi che soddisfano i requisiti minimi di Windows 11 e sono in grado di eseguire un aggiornamento, e quali non sono in grado e perché.

Windows 365 Enterprise ora supporta Windows 11

Windows 365 Enterprise, di cui abbiamo pubblicato una guida per la sua configurazione, ora supporta Windows 11 per tutti i nuovi Cloud PC di cui è stato eseguito il provisioning nelle aree geografiche disponibili a partire dal 5 ottobre 2021 (Fig.11). Per approfondimento fate riferimento al post pubblicato sul Windows IT Pro Blog.

Figura 11 – Windows 11 Cloud PC su Windows 365

Nelle prossime settimane pubblicheremo nuovi articoli di approfondimento sul nuovo sistema operativo Client di Microsoft.

Rimanete sintonizzati sui nostri canali ufficiali per non perdervi tutte le novità.

Strumenti, risorse e link utili per Windows 11 21H2

• Windows 11: A new era for the PC begins today
• Tools to support Windows 11 deployment
• 11 things to know about the new Microsoft Store on Windows 11
• Windows 11 Security Book
• Developing for Windows 11

L'articolo Windows 11, inizia oggi la nuova era di Windows proviene da ICT Power.

Grazie a Microsoft Endpoint Manager è possibile distribuire facilmente applicazioni in Windows 10 e in Windows 11. Gli amministratori IT possono usare Microsoft Endpoint Manager (formerly Microsoft Intune) per gestire le app client usate dai dipendenti dell’azienda. Questa funzionalità si aggiunge alla gestione dei dispositivi e alla protezione dei dati. Una delle priorità di un amministratore è fare in modo che gli utenti finali abbiano accesso alle app necessarie per lavorare.

Endpoint Manager offre un’ampia gamma di funzionalità che consente di usare le app necessarie nei diversi dispositivi in cui le si vuole eseguire. Nella tabella seguente è disponibile un riepilogo delle funzionalità di gestione delle app:

Figura 1: Riepilogo delle funzionalità di gestione delle app di Microsoft Endpoint Manager

Distribuzione di Microsoft 365 Apps

Per poter distribuire le Microsoft 365 Apps (formerly Office 365 ProPlus) è sufficiente collegarsi al portale di Microsoft Endoint Manager e dal nodo Apps scegliere la voce Windows e quindi Windows Apps. Facendo clic sul pulsante +Add potete scegliere dal menu come app type la voce Microsoft 365 Apps.

Figura 2: Scelta della distribuzione delle Microsoft 365 Apps

Figura 3: Selezione delle Microsoft 365 Apps

Nella scheda App suite information inserite le informazioni richieste.

Figura 4: App suite information

Procedete con la configurazione della scheda Configure App Suite e decidete in che modo configurare le Microsoft 365 Apps. Io ho scelto di utilizzare il Configuration Designer e ho selezionato quali applicazioni installare, quale versione, quale canale di aggiornamento e quale lingua delle Microsoft 365 Apps.

Figura 5: Scheda Configure App Suite e scelta delle applicazioni di distribuire

Figura 6: Scelta del canale di aggiornamento

Figura 7: Scelta delle lingue di installazione delle Microsoft 365 Apps

Scegliete quindi a quale gruppo di utenti o di dispositivi deve essere assegnata la suite Microsoft 365 Apps. Io ho scelto di distribuirla a tutti gli utenti e ho scelto che l’installazione sia obbligatoria.

Figura 8: Scelta del gruppo di utenti o dispositivi a cui verrà distribuita la suite Microsoft 365 Apps

Figura 9: Schermata di riepilogo della distribuzione delle Microsoft 365 Apps

Figura 10: Scheda Overview e gestione dell’applicazione

Per poter accelerare il processo di distribuzione delle Microsoft 365 Apps potete selezionare uno dei client di Microsoft Endpoint Manager e utilizzare il pulsante Sync per forzare la sincronizzazione. Nel mio caso CLIENT5 è una macchina Windows 11 che è Azure AD Joine.

Figura 11: Forzatura della sincronizzazione delle policy dalla console di Microsoft Endpoint Manager

Nel giro di pochi secondi inizierà la distribuzione delle Microsoft 365 Apps, come si può vedere anche dal Task Manager mostrato nella figura sotto:

Figura 12: Inizio della distribuzione delle Microsoft 365 Apps

Figura 13: Installazione delle Microsoft 365 Apps completata

Dalla console di Microsoft Endpoint Manager sarà poi possibile verificare l’effettiva installazione dell’applicazione, come mostrato in figura:

Figura 14: Verifica dell’installazione dal portale di Microsoft Endpoint Manager

Installazione di Microsoft Edge

La distribuzione e l’installazione di Microsoft Edge sono identici alla distribuzione delle Microsoft 365 Apps. Come si può vedere dalla figura sotto, sulla macchina b è installato Edge 90.0.818.66

Il nostro obiettivo è quello di distribuire una versione più aggiornata e di utilizzare il canale da distribuire di Microsoft Edge chiamato Dev.

Figura 15: Versione di Edge installata di default in Windows 11 21H1

Procedete quindi alla distribuzione di Microsoft Edge utilizzando la stessa modalità vista prima per le Microsoft 365 Apps. Nelle figure sotto sono mostrati tutti i passaggi:

Figura 16: Distribuzione di Microsoft Edge dal portale di Endpoint Manager

Figura 17: Selezione dell’app Microsoft Edge

Figura 18: Scheda App information di Microsoft Edge

Figura 19: Scelta del canale di distribuzione di Microsoft Edge

Figura 20: Scelta del gruppo di utenti o dispositivi in cui installare Microsoft Edge

Figura 21: Il browser Microsoft Edge sarà disponibile solo per un gruppo di utenti o dispositivi

Figura 22: Schermata di riepilogo della distribuzione di Microsoft Edge

Figura 23: Scheda Overview della distribuzione dell’app Microsoft Edge nel portale di Microsoft Endpoint Manager

Poiché abbiamo deciso di rendere disponibile l’applicazione e non di distribuirla in maniera obbligatoria a tutti gli utenti, l’installazione dell’app Microsoft Edge dovrà essere effettuata dall’utente dall’app Company Portal oppure dal portale web https://portal.manage.microsoft.com/

Per maggiori informazioni su come Gestire le app dal sito Web del Portale aziendale Intune | Microsoft Docs vi rimando alla lettura dell’articolo segnalato.

Distribuzione di applicazioni utilizzando il Microsoft Store for Business

Per poter distribuire applicazioni tramite il Microsoft Store for Business è necessario prima abilitarlo da Tenant Administration à Connectors and tokens à Microsoft Store for Business. Selezionate Enable e poi fate clic su Save.

Figura 24: Abilitazione del Microsoft Store for Business

Dopo averlo abilitato fate clic sul link Open the Microsoft Store for Business per procedere alla configurazione.

Figura 25: Apertura del portale Microsoft Store for Business per la successiva configurazione

Nel portale Microsoft Store for Business scegliete Manage à Settings à Distribute à Management tools. Nella pagina Management tools page cliccate su Activate sul rigo della voce Microsoft Intune. Se nella pagina è presente anche la voce Microsoft Intune Enrollment (come nel mio caso) NON la Abilitate.



Figura 26: Abilitazione del Microsoft Store for Business per Microsoft Intune

Figura 27: Abilitazione del Microsoft Store for Business per Microsoft Intune completata

Installazione dell’app Company Portal tramite il Microsoft Store for Business

Per installare l’app Company Portal è sufficiente cercarla nel portale e dopo averla selezionata fate clic su Get the App. Accettate quindi la licenza, seguendo i passaggi mostrati nelle figure sotto:

Figura 28:Ricerca dell’app Company Portal nel Microsoft Store for Business

Figura 29: Selezione dell’app Company Portal

Figura 30: Accettazione della licenza di utilizzo dell’app Company Portal

Figura 31: L’app è stata aggiunta all’inventario delle app da distribuire con il Microsoft Store for Business

Sincronizzazione del Microsoft Store for Business

Tornate nel portale di Microsoft Endpoint Manager e da Tenant administration à Connectors and tokens à Microsoft Store for Business fate click su Sync per aggiungere le nuove Microsoft Store for Business Apps ad Intune.

Figura 32: Sincronizzazione delle app di Microsoft Store for Business con Intune

Terminato il processo di sincronizzazione, le app che avete deciso di distribuire saranno presenti in Apps à Windows à Windows apps.

Figura 33: L’app aggiunta dal Microsoft Store for Business è disponibile tra le app da distribuire

Non vi rimane quindi che assegnare l’app ai vostri utenti e/o ai dispositivi gestiti da Endpoint Manager. Selezionate l’app Company Portal (Online) e dalle Properties modificate l’Assignment, come mostrato nelle figure sotto. Io ho scelto di assegnare in maniera obbligatoria l’applicazione a tutti gli utenti.

Figura 34: Modifica delle proprietà dell’applicazione

Figura 35: Assegnazione dell’applicazione a tutti gli utenti

Figura 36: Salvataggio delle modifiche effettuate all’applicazione

Nel giro di pochissimo tempo (nel mio caso un paio di minuti) l’applicazione sarà disponibile nel menu avvio delle macchine gestite da Endpoint Manager.

Figura 37: L’applicazione è stata installata ed è disponibile nel menu avvio

Se aprite l’applicazione Company Portal troverete tutte le informazioni relative ai dispositivi dell’utente e potrete visualizzare le applicazioni pubblicate.

Figura 38: Il Company Portal mostra le applicazioni pubblicate

Installazione delle applicazioni pubblicate

Per installare le applicazioni pubblicate è sufficiente dal Company Portal scegliere l’applicazione e seguire le istruzioni a video.

Figura 39: Installazione dell’applicazione Microsoft Edge Dev

Figura 40: Installazione dell’applicazione Microsoft Edge Dev completata

Nel portale di Microsoft Endpoint Manager è possibile visualizzare le applicazioni gestite dal nodo Devices
à
Windows
à Nome del client à
Managed Apps

Figura 41: Visualizzazione delle app gestite nel portale di Endpoint Manager

Distribuzione delle app del Microsoft Store (pubblico)

Per distribuire le app del Microsoft Store è necessario procurarsi l’URL dell’app. Collegatevi all’indirizzo https://www.microsoft.com/it-it/store/apps/windows e cercate l’app che volete distribuire. In questo esempio ho deciso di distribuire Power BI Desktop.

Figura 42: Selezione dell’app dal portale del Microsoft Store

Selezionate l’indirizzo dell’app, omettendo tutta la parte dopo il punto interrogativo. Nel mio caso l’URL è https://www.microsoft.com/it-it/p/power-bi-desktop/9ntxr16hnw1t

Dal portale di Microsoft Endpoint Manager navigate in Apps à Windows à Windows Apps e selezionate Add. Dalla scheda Select App type scegliete Microsoft Store app.

Figura 43: Aggiunta di una app del Microsoft Store pubblico

Compilate i campi richiesti come nell’immagine sotto.

Figura 44: Inserimento della descrizione dell’app del Microsoft Store

Completate le informazioni, ricordandovi di mettere l’URL senza la parte dopo il punto interrogativo (togliete dall’URL la parte ?activetab=pivot:overviewtab)

Figura 45: Configurazione dell’app e aggiunta del logo

Figura 46: Aggiunta dei gruppi di utenti a cui consentire l’installazione dell’app

Figura 47: Schermata di riepilogo della distribuzione dell’app del Microsoft Store

Per verificare la corretta distribuzione dell’app effettuate una sincronizzazione del client utilizzando il Company Portal. L’app sarà disponibile nel giro di pochi minuti.

Figura 48: Aggiornamento del Company Portal

Figura 49: L’app è disponibile nel Company Portal

Figura 50: Scelta dell’installazione dell’app Power BI Desktop

NOTA: non è necessario effettuare il login per installare un’app del Microsoft Store pubblico. Decidete voi se loggarvi o rifiutare il login al momento in cui vi verrà chiesto di effettuarlo.

Figura 51: Scaricamento e installazione dell’app Power BI Desktop

Figura 52: Installazione dell’app Power BI Desktop completata

Figura 53: Avvio dell’app Power BI Desktop

Distribuzione delle Line-Of-Business App nei dispositivi aziendali

La distribuzione delle app Line-Of-Business viene effettuata tramite file di installazione. Questo tipo di app viene in genere scritto internamente. In questo esempio ho deciso di installare un file Msi ed in particolare il browser Google Chrome. Procuratevi il file di installazione di Google Chrome dalla pagina Scaricare il browser Chrome per l’azienda – Chrome Enterprise, come mostrato nella figura sotto:

Figura 54: Download di Google Chrome Enterprise

Dal portale di Microsoft Endpoint Manager navigate in Apps à Windows à Windows Apps e selezionate Add. Dalla scheda Select App type scegliete Line-of-business app.

Figura 55: Selezione della distribuzione di una Line-of-business app

Figura 56: Scelta di distribuzione di una Line-of-business app

Selezionate il collegamento Select app package file e caricate un file di installazione Windows con estensione msi, appx, appxbundle, msix e msixbundle. Verranno visualizzati i dettagli dell’app. Selezionate il file MSI di Google Chrome che avete precedentemente scaricato.

Figura 57: Selezione del file MSI di Google Chrome

Completate le informazioni richieste nella scheda App information, come mostrato nella figura sotto:

Figura 58: Completamento delle informazioni richieste

Decidete il gruppo di utenti o di dispositivi a cui assegnare l’applicazione. Io ho deciso di assegnare l’applicazione a tutti i dispositivi.

Figura 59: Assegnazione dell’applicazione ad un gruppo di utenti o di dispositivi

Figura 60: Schermata di riepilogo della distribuzione della Line-of-business app

A questo punto partirà il caricamento del file MSI in Microsoft Endpoint Manager. Attendete il completamento dell’operazione.

Figura 61: Dopo il caricamento del file dell’applicazione, l’app è pronta per essere installata

Maggiori informazioni sono disponibili alla pagina Aggiungere un’app line-of-business per Windows a Microsoft Intune | Microsoft Docs

Poiché ho deciso di installare in maniera obbligatoria l’app su tutti i dispositivi, nel giro di pochi minuti sarà possibile verificare la corretta installazione di Google Chrome.

Figura 62: Installazione di Google Chrome completata

Distribuire un’App Win32

Prerequisiti

Per usare la gestione delle app Win32, assicurarsi che siano soddisfatti i seguenti prerequisiti:

• Usare Windows 10 versione 1607 o successive (edizioni Enterprise, Pro ed Education).
• I dispositivi devono essere aggiunti o registrati Azure Active Directory (Azure AD) ed essere registrati automaticamente.
• Le applicazioni Windows possono avere dimensioni massime di 8 GB.

Preparare il contenuto delle app Win32 per il caricamento

Prima di poter aggiungere un’app Win32 a Microsoft Intune, è necessario preparare l’app usando lo Strumento di preparazione di contenuti Win32

Convertire il contenuto dell’app Win32

Usare lo Strumento di preparazione di contenuti Win32 per eseguire l’analisi preliminare delle app di Windows classiche (Win32). Lo strumento converte i file di installazione delle applicazioni nel formato intunewin. Lo strumento rileva anche alcuni attributi richiesti da Intune per determinare lo stato di installazione delle applicazioni. Dopo aver usato questo strumento nella cartella di installazione delle app, sarà possibile creare un’app Win32 nella console di Endpoint Manager.

Scaricate lo strumento da GitHub come file ZIP. Il file compresso contiene una cartella denominata Microsoft-Win32-Content-Prep-Tool-master. La cartella contiene lo strumento di preparazione, la licenza, un file leggimi e le note sulla versione.

Figura 63: Download dello strumento Microsoft di preparazione dei contenuti Win32

Io ho deciso di installare WinRAR. Prima di procedere alla conversione del file tramite lo Strumento di preparazione di contenuti Win32 assicuratevi di sbloccare il file di installazione che avete scaricato. Quando si scaricano i file da una fonte non attendibile come ad esempio siti Internet, Windows per sicurezza imposta un blocco sul file. Per eliminare il blocco è sufficiente aprire le proprietà del file e mettere il segno di spunta su Sblocca. In alternativa si può utilizzare il comando PowerShell Unlock-File

Figura 64: Sblocco del file di installazione di WinRAR

Da un prompt di PowerShell con privilegi elevati lanciate il tool e seguite le informazioni richieste a video. Mi sono prima posizionato nella cartella dove ho estratto il file IntuneWinAppUtil.exe, l’ho sbloccato con il comando Unblock-File e poi l’ho lanciato. Come si può vedere dalla figura sotto, il risultato dell’output è il file con estensione .intunewin

Alla pagina dello Strumento di preparazione di contenuti Win32 è disponibile tutta la documentazione per maggiori informazioni sul programma e sul suo funzionamento.

Figura 65: Conversione dell’eseguibile e generazione del file .intunewin

Completata la procedura di conversione, dal portale di Microsoft Endpoint Manager navigate in Apps à Windows à Windows Apps e selezionate Add. Dalla scheda Select App type scegliete Windows app (Win32).

Figura 66: Scelta di distribuzione di un’app Win32

Figura 67: Selezione della distribuzione di un’app Win32

Selezionate il collegamento Select app package file e caricate il file .intunewin che avete precedentemente creato.

Figura 68: Caricamento del file .intunewim

Attendete il caricamento del file e provvedete alla compilazione di tutti i campi richiesti nella scheda App Information, come mostrato nella figura sotto:

Figura 69: Upload e configurazione dell’app Win32

Nella scheda Program vengono richiesti i comandi per installare e disinstallare in maniera l’applicazione. Informatevi quindi sul sito del produttore su quali siano i comandi corretti da utilizzare.

Nel caso di WinRAR sono i seguenti:

• Install command: Nome_dell_eseguibile.exe /S (la S deve essere maiuscola)
• Uninstall command: “%ProgramFiles%\WinRAR\unistall.exe” /S (la S deve essere maiuscola)

Figura 70: Nella scheda Program è necessario inserire i comandi in installazione e disinstallazione silente del programma

Procedete nella scheda Requirements a indicare le informazioni richieste, come l’architettura del sistema operativo, la versione minima del sistema operativo o altri prerequisiti hardware necessari per la corretta installazione e funzionamento del software che state distribuendo.

Figura 71: Scelta dei requisiti del sistema operativo in cui verrà installata l’applicazione

Figura 72: Configurazione dei requisiti del sistema operativo della macchina in cui verrà installato il software

Le Detection Rules da utilizzare variano a seconda del software che state distribuendo. Io ho deciso di verificare la presenza del software controllando che esista la cartella di installazione.

Figura 73: Regole di detection del software

Figura 74: Regole di detection del software configurate

Se prima si installare il software è necessario che ci siano delle dipendenze, come ad esempio un framework oppure un’altra applicazione, potete servirvi della scheda Dependencies.

Figura 75: Verifica delle dipendenze del software

È da poco disponibile ed è ancora in Preview la funzionalità di Supersedence. Potete infatti specificare se l’app che state distribuendo dovrà sostituire un’app già installata.

Figura 76: Funzionalità di supersedence dell’app Win32

Assegnate l’app al gruppo di utenti o di dispositivi che preferite. Io ho scelto di rendere l’applicazione disponibile per tutti gli utenti

Figura 77: Assegnazione dell’applicazione

Figura 78: Schermata di riepilogo della distribuzione di un’app Win32

Provvedete quindi ad aggiornare i vostri client tramite l’app Company Portal per verificare la disponibilità della nuova applicazione WIn32.

Figura 79: Aggiornamento dei client tramite l’app Company Portal

Figura 80: L’app WinRAR è disponibile nel Company Portal

Figura 81: Download e installazione di WinRAR

Figura 82: Installazione di WinRAR completata

Aggiungere app Web a Microsoft Endpoint Manager

Un’app web è un’applicazione che utilizza un browser per poter essere utilizzata. Tramite Endpoint Manager potrete distribuire collegamenti ai diversi siti che gli utenti dovranno utilizzare per lavorare, dando la possibilità di vedere le applicazioni web insieme alle altre applicazioni che utilizzeranno normalmente.

Dal portale di Microsoft Endpoint Manager navigate in Apps à Windows à Windows Apps e selezionate Add. Dalla scheda Select App type scegliete Web Link.

Figura 83: Distribuzione di un web link con Microsoft Endpoint Manager

Figura 84: Scelta del web link come tipo di applicazione da distribuire

Completate le informazioni richieste nella scheda App information, aggiungendo il nome del sito, l’URL, la categoria, l’immagine, ecc.

Figura 85: Configurazione del Web Link

Assegnate l’app (web link) al gruppo di utenti o di dispositivi che preferite. Io ho scelto di rendere l’applicazione obbligatoria per tutti gli utenti

Figura 86: Scelta del gruppo di utenti o dispositivi che riceveranno il web link

Figura 87: Configurazione del web link completata

Gli utenti finali possono avviare app Web direttamente dall’app Company Portal selezionando l’app Web e quindi scegliendo l’opzione Apri nel browser. L’URL Web pubblicato viene aperto direttamente nel browser.

Figura 88: Il Web Link è disponibile nel Company Portal

Figura 89: Visualizzazione dell’app web nel browser

Distribuire pacchetti MSIX con Microsoft Endpoint Manager

MSIX è un formato di pacchetto di app di Windows (introdotto in Windows 10 versione 1709 (10.0.16299.0)) che permette di distribuire e gestire le app in maniera moderna. Le applicazioni vengono racchiuse all’interno di un unico file e possono essere distribuite in maniera molto semplice nei sistemi operativi Windows. Trovate maggiori informazioni al link https://docs.microsoft.com/it-it/windows/msix/overview

Le applicazioni Windows possono essere convertite in formato MSIX partendo da file MSI, EXE, ClickOnce o App-V.

Per sapere come distribuire pacchetti in formato MSIX utilizzando Microsoft Endpoint Manager vi invito a leggere la mia guida Microsoft 365 Modern Desktop Management – Distribuire pacchetti MSIX con Microsoft Endpoint Manager – Intune – ICT Power

Conclusioni

Distribuire applicazioni sui nostri client Windows 10 e Windows 11 tramite Microsoft Endpoint Manager è davvero semplice e lo strumento supporta un’ampia gamma di app: App dallo store (pubblico e business), App scritte all’interno dell’azienda o app personalizzate (line-of-business), Microsoft Edge, Microsoft 365 Apps e anche app web (sotto forma di links). Maggiori dettagli sono disponibili alla pagina Aggiungere app in Microsoft Intune | Microsoft Docs

L'articolo Microsoft Endpoint Manager – Microsoft Intune – Distribuire e gestire le applicazioni in Windows 10 e Windows 11 proviene da ICT Power.

Dal 5 Ottobre 2021 abbiamo la possibilità di giocare con il nuovo sistema operativo di Microsoft Windows 11.

Su ICTPower troverete già molti articoli che ne parlano e che possono essere utilizzate dai lettori per trarre spunto o per cultura. Ad esempio, come già descritto nell’articolo di Vito Macina Windows 11, il nuovo inizio di Windows – ICT Power, a differenza delle altre versioni di Windows, l’installazione della versione 11 necessita di alcuni prerequisiti.

Questo articolo descrive i passi da seguire per una corretta installazione di Windows 11 utilizzando VMware Workstation 16 Pro.

Trust Platform Module (TPM)

Il Trust Platform Module (TPM) Un chip TPM è un processore di crittografia progettato per eseguire operazioni crittografiche. Viene utilizzato per incrementare la sicurezza delle comunicazioni tra le componenti Hardware di un sistema. Per maggiori informazioni è possibile consultare la documentazione ufficiale Microsoft Panoramica della tecnologia Trusted Platform Module (Windows) – Windows security | Microsoft Docs.

Uno dei prerequisiti di Windows 11 è l’utilizzo del TPM. Per verificare che sul proprio sistema sia abilitato è possibile utilizzare uno dei due metodi elencati di seguito:

• Utilizzare l’app Sicurezza di Windows App
• Utilizzare la Microsoft Management Console

Metodo 1 – App Sicurezza di Windows App

Cliccare sulle impostazioni di Windows – Aggiornamento e sicurezza – Sicurezza di Windows – Sicurezza dei dispositivi:

Figura 1 – Impostazioni di Windows

Figura 2 – Sicurezza di Windows

Se viene visualizzata l’opzione “Processore di sicurezza” con la possibilità di visualizzarne di dettagli, il sistema soddisfa i prerequisiti di Windows 11

Figura 3 – Sicurezza dispositivi

In caso contrario, è necessario Abilitare TPM 2.0 nel PC (microsoft.com).

Metodo 2 – Microsoft Management Console

Eseguire la combinazione di tasti “Windows + R” oppure cliccare su Start, poi su Esegui e digitare “tpm.msc”

Figura 4 – Esegui

All’apertura della console è possibile constatare se il TPM è abilitato

Figura 5 – Microsoft Management Console – Gestione TPM

Se queste informazioni sono presenti, il sistema soddisfa i requisiti di Windows 11.

Se la versione del TPM è minore di 2.0, il sistema non soddisfa i requisiti.

Abilitare il TPM

Nel caso fosse necessario abilitare il TPM va tenuto in considerazione che questa configurazione viene gestita tramite BIOS UEFI; quindi, possono variare in base al dispositivo/PC utilizzato.

Per accedere alle impostazioni è necessario aprire le Impostazioni di windows – aggiornamento & sicurezza – ripristino – riavvia ora

Figura 6 – Impostazioni di Windows

Figura 7 – Avvio Avanzato

Successivamente è necessario cliccare su “Risoluzione dei problemi – Opzioni avanzate – Impostazioni Firmware UEFI – Riavvia“.

Figura 8 – Risoluzione dei problemi – Impostazioni firmware UEFI

Le configurazioni che dobbiamo cercare solitamente sono nel sottomenu Bios/UEFI all’interno di sezioni denominate “Advanced”, “Security”, “Trusted Computing”.

A questo punto, in base al dispositivo/PC utilizzato, le configurazioni relative al TPM possono essere trovate sotto le voci:

• Dispositivo di sicurezza
• Stato TPM
• Supporto ai dispositivi di sicurezza
• AMD fTPM
• AMD PSP fTPM
• Intel PTT
• Intel Trust Technology

Se non si è certi di ciò che si sta facendo o delle modifiche necessarie da effettuare, vi consiglio di controllare, in base al firmware che si sta utilizzando, le informazioni di supporto dei vari produttori di tecnologia quali Asus, Dell, Acer, Lenovo, etc…

Creazione di una VM con Windows 11 utilizzando VMware Workstation

La creazione di una macchina virtuale che ospiterà Windows 11 richiede le stesse configurazioni di una macchina fisica. Sarà quindi necessario configurare il virtual hardware della VM per l’utilizzo di un virtual TPM e del Secure Boot.

Dopo aver effettuato il download della ISO dal sito Microsoft, iniziamo la configurazione della nuova VM cliccando su Crea nuova virtual machine.

Figura 9 – VMware Workstation – Creazione nuova VM

Successivamente selezioniamo la configurazione avanzata per poter gestire tutte le opzioni disponibili

Figura 10 – VMware Workstation – Wizard

Selezioniamo “Workstation Beta” per una compatibilità hardware aggiornata

Figura 11 – VMware Workstation – Compatibilità hardware

Selezioniamo il file ISO di Windows 11

Figura 12 – VMware Workstation – Selezione ISO

Selezioniamo come tipologia di sistema operativo “Microsoft Windows” e con versione “Windows 10 and later x64”

Figura 13 – VMware Workstation – Selezione OS

Inseriamo il nome della VM ed il percorso dove salvare i file che la compongono

Figura 14 – VMware Workstation – Definizione VM

Solitamente, a questo punto, potevamo scegliere di cliccare su Next ed utilizzare le impostazioni di default relativamente al Firmware da utilizzare.

Con Windows 11, invece, dobbiamo necessariamente abilitare il Secure Boot

Figura 15 – VMware Workstation – Configurazione firmware

Configuriamo la quantità di processori da utilizzare. Nel mio caso scelgo due processori e due core per processore, ricordando che il prerequisito minimo è un processore da 1 GHz con due o più core

Figura 16 – VMware Workstation – Definizione CPU

Configuriamo la quantità di RAM da utilizzare. Il prerequisito minimo è 4GB.

Figura 17 – VMware Workstation – Definizione RAM

Per quanto riguarda le configurazioni di rete ovviamente non ci sono prerequisiti, nel mio caso utilizzerò una connessione con NAT

Figura 18 – VMware Workstation – Configurazioni di rete

Utilizziamo il controller I/O di default, ovvero LSI Logic SAS

Figura 19 – VMware Workstation – Configurazione controller I/O

La tipologia di disco può essere configurata in base alle esigenze. Nel mio caso ho utilizzato NVMe.

Figura 20 – VMware Workstation – Configurazione disco virtuale

Il disco della VM non è stato ancora creato, pertanto scelgo di farne uno nuovo

Figura 21 – VMware Workstation – Configurazione disco virtuale

Le dimensioni minime richieste per Windows 11 sono 60GB, nel mio caso scelgo 100GB in un unico file

Figura 22 – VMware Workstation – Configurazione disco virtuale

Scegliamo il nome del file VMDK

Figura 23 – VMware Workstation – Configurazione disco virtuale

Controlliamo che le configurazioni effettuate corrette e clicchiamo su Finish.

Figura 24 – VMware Workstation – Riepilogo configurazioni VM

Avvio della VM

Avviamo la VM ed iniziamo l’installazione di Windows 11. Se non sono stati soddisfatti i requisiti l’errore più comune è il seguente

Figura 25 – Installazione di Windows – Errore

I requisiti non soddisfatti sono i seguenti:

• Encryption della VM
• Il caricamento del TPM all’interno della VM

Per configurare questi due ultimi step è necessario aprire la finestra delle impostazioni della nuova VM Windows 11

Figura 26 – VMware Workstation – Impostazioni VM

Cliccare sul tab Options – Access Control, successivamente su “Encrypt…”

Figura 27 – VMware Workstation – Crittografia VM

Configuriamo una password e facciamo in modo di non perderla poiché non avremo più la possibilità di accedere ai dati della VM

Figura 28 – VMware Workstation – Configurazione crittografia

Figura 29 – VMware Workstation – Configurazioni VM

Tornando sul tab “Hardware”, clicchiamo su “Add…”

Figura 30 – VMware Workstation – Nuovo componente hardware

Clicchiamo su “Trusted Platform Module”, successivamente su Finish

Figura 31 – VMware Workstation – Tipologie di componenti hardware

Dopo aver caricato il modulo, clicchiamo su OK per chiudere la finestra delle impostazioni della VM

Figura 32 – VMware Workstation – Configurazione VM

Avviando la macchina virtuale e proseguendo con il wizard di installazione del nuovo sistema operativo possiamo constatare l’assenza di problemi di compatibilità.

Figura 33 – Installazione Windows

Al termine dell’installazione, il sistema si riavvierà come di consueto permettendoci finalmente di utilizzare il nuovo Windows 11 con VMware Workstation Pro.

Figura 34 – Windows 11

Conclusioni

Il nuovo sistema operativo Microsoft Windows 11 raccoglie tutta una serie di configurazioni relative alla sicurezza. Quello che apparentemente può sembrare una sorta di imposizione è, in realtà, una semplificazione delle attività di gestione e configurazione in ottica sicura. In questo modo l’utente viene accompagnato nell’utilizzo delle nuove tecnologie mantenendo alti gli standard di sicurezza. In un mondo dove il cyber crimine è così attivo, dove gli attacchi più violenti vengono eseguiti ogni giorno, la sicurezza deve essere sempre tenuta in considerazione.

Stay tuned!

L'articolo Installare una VM Windows 11 con VMware Workstation proviene da ICT Power.

È attualmente in preview una funzionalità molto interessante delle Azure VM che permette di aumentare notevolmente il livello di sicurezza delle macchine generazione 2. Questa funzionalità si chiama Trusted Launch e implementa una serie di tecnologie che consentono di:

• Distribuire in modo sicuro le macchine virtuali con boot loaders, kernel del sistema operativo e driver verificati.
• Proteggere in modo sicuro chiavi, certificati e segreti nelle macchine virtuali.
• Ottenere informazioni dettagliate e attendibilità sull’integrità dell’intera boot chain.
• Assicurarsi che i workload siano attendibili e verificabili.

Attualmente la funzionalità in preview ha i seguenti limiti:

Dimensioni delle VM supportate

• Serie B
• Serie Dav4, serie Dasv4
• Serie DCsv2
• Serie Dv4, serie Dsv4, serie Dsv3, serie Dsv2
• Serie Ddv4, serie Ddsv4
• Serie Fsv2
• Serie Eav4, serie Easv4
• Serie Ev4, serie Esv4, serie Esv3
• Serie Edv4, serie Edsv4
• Serie Lsv2

Sistemi operativi supportati

• Redhat Enterprise Linux 8.3
• SUSE 15 SP2
• Ubuntu 20.04 LTS
• Ubuntu 18.04 LTS
• Debian 11
• CentOS 8.4
• Oracle Linux 8.3
• Windows Server 2019
• Windows Server 2016
• Windows 11 Pro
• Windows 11 Enterprise
• Windows 11 Enterprise multi-sessione
• Windows 10 Pro
• Windows 10 Enterprise
• Windows 10 Enterprise multisessione

In questa anteprima non sono supportate le seguenti funzionalità:

• Backup
• Azure Site Recovery
• Shared Image Gallery
• Ephemeral OS disk
• Disco condiviso
• Immagine gestita
• Host dedicato di Azure

Alla base del Trusted Launch c’è l’avvio protetto (Secure Boot). L’avvio protetto funziona per garantire l’avvio solo dei sistemi operativi e dei driver firmati e questa modalità è implementata nel firmware della piattaforma per proteggere il cliente dall’installazione di rootkit e kit di avvio basati su malware.

In più è stato anche aggiunto il Virtual Trusted Platform Module (vTPM). Si tratta di una versione virtualizzata di un hardware Trusted Platform Module, conforme alla specifica TPM2.0, che funge da insieme di credenziali (vault) sicuro dedicato per le chiavi di crittografia.

La sicurezza basata sulla virtualizzazione (Virtualization-based security o VBS) usa l’hypervisor per creare un’area di memoria sicura e isolata. Windows usa queste aree per eseguire varie soluzioni di sicurezza con maggiore protezione da vulnerabilità e exploit dannosi. Il Trusted Launch consente di abilitare Hypervisor Code Integrity (HVCI) e Windows Defender Credential Guard. HVCI è una potente mitigazione del sistema che protegge i processi di Windows in modalità kernel dall’inserimento e dall’esecuzione di codice dannoso o non verificato. Controlla i driver e i file binari in modalità kernel prima dell’esecuzione, impedendo il caricamento in memoria dei file non firmati. In questo modo si garantisce che tale codice eseguibile non possa essere modificato dopo il caricamento.

Introdotto in Windows 10 Enterprise e Windows Server 2016, lo strumento Windows Defender Credential Guard usa la sicurezza basata su virtualizzazione per isolare i segreti, in modo che siano accessibili solo dal software di sistema con privilegi. L’accesso non autorizzato a questi segreti può produrre attacchi di furto delle credenziali come attacchi di tipo Pass-the-Hash o Pass-The-Ticket. Windows Defender Credential Guard impedisce questi attacchi proteggendo gli hash delle password NTLM, i ticket di autorizzazione Kerberos e le credenziali archiviate dalle applicazioni come credenziali di dominio.

Creazione di una VM con Trusted Launch

Per distribuire una macchina virtuale con il trusted launch abilitato è sufficiente utilizzare il portale di Azure e scegliere di distribuire un’immagine supportata in una VM generazione 2.

NOTA: è possibile abilitare il trusted launch solo per le nuove macchine virtuali e non per quelle esistenti. La funzionalità sarà disponibile per le VM esistenti quando il Trusted launch verrà rilasciato in General Availability (GA).

Nella sezione Security Type del wizard di creazione di una nuova Azure VM, dopo aver scelto una VM di generazione2, è possibile abilitare il Trusted launch virtual machines, come mostrato in figura:

Figura 1: Scelta del Trusted Launch nel Security Type della Azure VM

Scegliete quindi se volete abilitare sia il Secure Boot che il vTPM.

Figura 2: Abilitazione del Secure Boot e del VTPM

Dopo la creazione, a macchina spenta, è anche possibile disattivare sia la funzionalità di Secure Boot che di vTPM.

,

Figura 3: Verifica delle funzionalità e possibilità di aggiornamento della trusted launch configuration

Collegandovi in desktop remoto alla VM potrete verificare tramite il comando msinfo32.exe che il Secure Boot è abilitato e tramite Gestione dispositivi che la VM è dotata di un chipset TPM.

Figura 4: Verifica dell’abilitazione di Secure Boot e vTPM all’interno della VM

A questo punto, grazie alla presenza del vTPM, all’interno della VM sarà possibile utilizzare la funzionalità di crittografia Bitlocker, per la protezione dei dischi della Azure VM.

Figura 5: Abilitazione della funzionalità Bitlocker nella Trusted Launch VM

Figura 6: Cifratura del disco in corso

Conclusioni

L’avvio attendibile (secure boot) protegge da kit di avvio (boot kit), rootkit e malware a livello di kernel. Questi sofisticati tipi di malware vengono eseguiti in modalità kernel e rimangono nascosti agli utenti. Con il trusted launch abbiamo finalmente la possibilità di aumentare il livello di sicurezza delle macchine virtuali di generazione 2 in Azure. Quando la funzionalità sarà disponibile in disponibilità generale (GA) allora potremo anche convertire la VM di generazione 2 già esistenti.

Se siete interessati alla stessa funzionalità on-premises vi rimando alla lettura dell’articolo Utilizzare il virtual Trusted Platform Module (vTPM) per abilitare BitLocker e il VM Shielding in Hyper-V – ICT Power

L'articolo Creare una trusted launch VM in Microsoft Azure per abilitare il Secure Boot ed il vTPM (preview) proviene da ICT Power.

Microsoft Endpoint Manager offre la possibilità alle organizzazioni di gestire in modo centralizzato dispositivi personali (BYOD) e/o aziendali di casa Apple.

Nell’articolo Microsoft Intune – Gestione dei dispositivi BYOD Apple iOS e iPadOS – ICT Power sono riportati i prerequisiti e gli step necessari per l’onboarding di devices iPhone o iPad.

Di seguito un riepilogo delle funzionalità di Endpoint Manager inerenti alla gestione delle apps:

Figura 1 – Riepilogo delle funzionalità di gestione delle app di Microsoft Endpoint Manager

iOS Store App

È possibile assegnare e distribuire le app con questo metodo solo se sono gratuite nell’App Store.

Collegatevi al portale endpoint.microsoft.com e nella sezione Apps selezionate la voce iOS/iPadOS. Per aggiungere una nuova applicazione, cliccate su Add e successivamente nel menu a comparsa iOS store app.

Figura 2 – Aggiunta iOS store app in Microsoft Endpoint Manager

Come da seguente immagine, selezionate la voce Search the App Store. A seguire selezionate il paese di riferimento ed iniziate a digitare il nome (anche parziale) dell’applicazione da distribuire.

Una volta selezionata l’applicazione interessata, cliccate la voce Select.

Figura 3 – Ricerca dell’app ios store app da distribuire

Apportate eventuali modifiche alle informazioni di base dell’app e cliccate la voce Next.

Figura 4 – Informazioni di base dell’ios store app

Selezionate la modalità di distribuzione preferita aggiungendo il gruppo di dispositivi o di utenti ai quali destinare l’applicazione.

La modalità available è utilizzabile solo per gruppi di utenti o per tutta la popolazione aziendale.

Figura 5 – Assegnazione dell’app su Endpoint Manager

Figura 6 – Review generale dell’app iOS store app creata

Web link

Tramite Microsoft Endpoint Manager è possibile distribuire un collegamento ad una web app. Per garantire l’accesso è necessario che sul dispositivo ci sia un browser installato. In iOS/iPadOS viene aggiunto automaticamente nella schermata iniziale del device.

Dal portale di Microsoft Endpoint Manager navigate in Apps -> iOS/iPadOS -> iOS/iPadOS Apps e selezionate Add. Dalla scheda Select App type scegliete Web Link.

Figura 7 – Creazione di un web link per iOS/iPadOS devices

Compilate come da immagine seguente le informazioni richieste.

Infine, assegnate l’applicazione ai dispositivi/utenti desiderati.

Figura 8 – Assegnazione del web link ai dispositivi/utenti

Risultato finale su dispositivo iOS per iOS store app e web link

Figura 9 – Richiesta approvazione per installazione app su dispositivo BYOD iOS

Figura 10 – Apps installate su dispositivo iOS

Figura 11 – Web link su dispositivo iOS

Apple Business Manager (ABM) – Volume-purchased iOS iPadOS Apps

Apple Business Manager consente di gestire ed acquistare licenze per un’app da distribuire sui dispositivi iOS/iPadOS e macOS aziendali. Grazie all’integrazione con Microsoft Endpoint Manager, è possibile sincronizzare le informazioni relative a Volume Purchase Program, in modo da avere una gestione completa delle app nell’azienda e tenere traccia dell’uso delle app acquistate.

Nelle prossime settimane, pubblicheremo un articolo sull’integrazione di Apple Business Manager con Microsoft Endpoint Manager.

Loggatevi sul portale business.apple.com e nella sezione Apps and Books cercate e selezionate l’applicazione interessata. Indicate la location di riferimento, la quantità di licenze da acquistare (anche se gratis) in base al numero di utenti/dispositivi da coprire e cliccate sulla voce Get.

Figura 12 – Acquisto app su portale Apple Business Manager

Per impostazione predefinita, Intune sincronizza l’Apple VPP Token con Apple due volte al giorno. Per ricevere il prima possibile le applicazioni approvate su ABM nel portale Microsoft Endpoint Manager, è necessario avviare una sincronizzazione manuale recandovi in Tenant administrations -> Connectors and tokens -> Apple VPP Tokens – > selezionate il token interessato – > Sync.

Figura 13 – Sync Apple VPP Token manuale dal portale Endpoint Manager

Terminato il processo di sync, l’applicazione apparirà nella sezione iOS/iPadOS apps e come tipologia iOS volume purchase program app.

Figura 14 – iOS volume purchase program app in Microsoft Endpoint Manager

Selezionate l’applicazione interessata e procedete con l’assegnazione ai dispositivi/utenti desiderati.

N.B. Di recente, Microsoft ha reso di default il parametro Device licensing per l’opzione License type.

Figura 15 – Assegnazione app Volume-purchased iOS iPadOS tramite Microsoft Endpoint Manager

Per ulteriori informazioni, vi rimando all’articolo ufficiale Manage Apple volume-purchased apps – Microsoft Intune | Microsoft Docs

iOS/iPadOS line-of-business app

L’utilizzo delle app Line-Of-Business è destinato alla distribuzione di applicativi sviluppati internamente all’organizzazione. Prevede il caricamento di un file di installazione .IPA e l’adesione al programma iOS Developer Enterprise Program.

Figura 16 – Line of Business Apps per dispositivi iOS e iPadOS

Conclusioni

Con Microsoft Endpoint Manager gli amministratori di sistema hanno la possibilità di distribuire e gestire le applicazioni su dispositivi Apple personali ed aziendali, in modo semplice ed intuitivo.

Per maggiori informazioni, vi rimando ai seguenti articoli ufficiali:

• Add iOS store apps to Microsoft Intune | Microsoft Docs;
• Add web apps to Microsoft Intune | Microsoft Docs;
• Add an iOS/iPadOS line-of-business app to Microsoft Intune | Microsoft Docs;
• Manage volume-purchased apps and books with Microsoft Intune | Microsoft Docs

L'articolo Microsoft Endpoint Manager – Microsoft Intune – Distribuire e gestire le applicazioni per dispositivi Apple iOS e iPadOS proviene da ICT Power.

Endpoint Analytics è una soluzione disponibile in Microsoft Endpoint Manager (formerly Intune) che permette di ottenere informazioni dettagliate per misurare il funzionamento dell’organizzazione e la qualità dell’esperienza offerta agli utenti. L’analisi degli endpoint consente di identificare i criteri (le group policy) o i problemi hardware che potrebbero rallentare i dispositivi e di apportare miglioramenti in modo proattivo prima che gli utenti finali segnalino rallentamenti o generino un ticket all’helpdesk.

Generalmente gli utenti segnalano rallentamenti o tempi di caricamento del sistema operativo o delle applicazioni dovuti a diversi fattori:

• Hardware legacy
• Configurazioni software non ottimizzate
• Problemi causati da aggiornamenti e modifiche della configurazione

Spesso il reparto IT non è al corrente di questi problemi perché non ha molta visibilità nell’esperienza dell’utente finale. In genere, l’unico modo per avere visibilità su questi problemi è rappresentato da un canale di supporto lento e costoso che spesso non fornisce informazioni chiare su ciò che deve essere ottimizzato.

Endpoint Analytics è progettato per migliorare la produttività dell’utente e ridurre i costi del supporto IT, mettendo a disposizione informazioni approfondite dell’esperienza utente.

Prerequisiti per le licenze

I dispositivi registrati in Endpoint Analytics necessitano di una licenza Microsoft Endpoint Manager valida. Licenze disponibili per Microsoft Intune | Microsoft Docs

Dal portale di Microsoft Endpoint Manager cliccate sulla voce Reports e quindi sulla voce Endpoint Analytics

Figura 1: Endpoint Analytics in Microsoft Endpoint Manager

Dalla schermata principale decidete se volete collezionare i dati da tutti i vostri dispositivi gestiti nel Cloud o solo per alcuni gruppi.

Figura 2: Schermata introduttiva di Endpoint Analytics

Figura 3: Avvio della collezione di informazioni tramite la soluzione Endpoint Analytics

Nella scheda Overview verrete avvisati che è necessario effettuare l’enrollment in Endpoint Manager (Intune) ed il successivo riavvio dei vostri dispositivi Windows e che potrebbe essere necessario attendere fino a 24 ore per vedere i primi risultati in console.

Figura 4: Prima di poter visualizzare delle informazioni è necessario l’enroll e il successivo riavvio dei dispositivi Windows 10

La soluzione Endpoint Analytics è in grado di ricevere informazioni sui dispositivi gestiti sia da Intune che da Configuration Manager. Nella scheda Settings potete visualizzare lo stato di connessione delle due soluzioni di management di Microsoft.

Figura 5: Settings di Endpoint Analytics

Dopo circa 24 ore ho cominciato a visualizzare le prime informazioni collezionate. Come si può vedere dalla figura sotto, nella scheda Overview è possibile visualizzare anche un punteggio in base alle informazioni raccolte, messo a confronto con una baseline di performance consigliata da Microsoft, creata facendo riferimento a configurazioni simili alla vostra che sono state raccolte da altre aziende e installazioni.

In particolar modo sono visibili:

• Startup performance: permette di identificare eventuali latenze durante le fasi di boot o di logon ai dispositivi;
• Raccomanded software: fornisce indicazioni e consigli sull’ottimizzazione dello strato software installato sui dispositivi;
• Work from anywhere (preview): nella release del 27 settembre 2021 (Service release 2109) Microsoft ha aggiornato alcune funzionalità in vista dell’imminente uscita di Windows 11 e con Work from anywhere, già rilasciato il 27 luglio 2021 (Service release 2107), permette di determinare quale hardware risulta essere pronto per Windows 11.

Figura 6: Scheda Overview di Endpoint Analytics

Nella scheda Device Scores vengono mostrati tutti i dispositivi da cui si stanno raccogliendo le informazioni e un dettaglio dei loro “punteggi”.

Figura 7: Dettaglio dei “punteggi” assegnati ai dispositivi

Startup performance

Nel Report Startup performance è possibile visualizzare se ci sono dei ritardi nell’avvio del computer o nel login dell’utente, che possano compromettere la produttività dell’utente che sta utilizzando il dispositivo.

Lo startup score è un punteggio compreso tra 0 e 100 ed è calcolato come media tra il Boot Score ed il Sign-in Score:

• Boot Score: è un punteggio è basato sul tempo medio trascorso dalla fase di accensione del dispositivo fino al momento in cui sono richieste le credenziali di accesso all’utente (senza considerare il tempo necessario all’avvio dopo l’applicazione degli aggiornamenti mensili);
• Sign-in Score: è un punteggio è basato sul tempo medio trascorso dal momento in cui vengono inserite le credenziali fino a quando il sistema risulta essere pronto per l’utilizzo. Il desktop deve risultare disponibile e l’utilizzo della CPU deve essere inferiore al 50%.

Maggiori informazioni sui singoli punteggi sono disponibili alla pagina Punteggi, baseline e informazioni dettagliate in Endpoint Analytics – Microsoft Endpoint Manager | Microsoft Docs

Figura 8: Startup Performance in Endpoint Analytics

Proactive remediations

Le correzioni proattive (Proactive remediations) sono pacchetti di script che consentono di rilevare e risolvere problemi di supporto comuni in un dispositivo prima che l’utente si renda conto che si è verificato un problema. Queste correzioni consentono di ridurre le chiamate al supporto tecnico. È possibile creare un pacchetto di script personalizzato o distribuire uno dei pacchetti di script scritti e usati nell’ambiente per ridurre i ticket di supporto.

Ogni pacchetto di script è costituito da uno script di rilevamento, uno script di correzione e metadati. Tramite Intune è possibile distribuire questi pacchetti di script e visualizzare i report sulla loro efficacia. Microsoft sta sviluppando attivamente nuovi pacchetti di script e invita gli utenti a condividere le proprie esperienze.

Le correzioni proattive richiedono oltre alla licenza per Endpoint Analytics anche una delle seguenti licenze:

• Windows 10 Enterprise E3 o E5 (incluso in Microsoft 365 F3, E3 o E5)
• Windows 10 Education A3 o A5 (incluso in Microsoft 365 A3 o A5)
• Windows 10 Virtual Desktop Access (VDA) per utente

Sono disponibili maggiori informazioni alla pagina Correzioni proattive – Microsoft Endpoint Manager | Microsoft Docs

Figura 9: Abilitazione delle proactive remediations

Recommended software

Il report Recommended software visualizza il punteggio di adozione del software, un numero compreso tra 0 e 100 che rappresenta una media ponderata della percentuale di dispositivi che hanno distribuito vari software consigliati.

Le metriche che vengono mostrate sono:

• Windows 10 offre un’esperienza utente migliore rispetto alle versioni precedenti di Windows. Questa metrica misura la percentuale di dispositivi in Windows 10 rispetto a una versione precedente di Windows;
• Windows Autopilot offre un’esperienza di provisioning iniziale dei PC Windows 10 più semplice rispetto all’esperienza nativa. Questa metrica misura la percentuale di dispositivi Windows 10 registrati per Autopilot;
• La Cloud Identity gestita tramite Azure Active Directory (Azure AD) offre agli utenti numerosi vantaggi in termini di produttività, tra cui l’accesso Single Sign-On a livello di dispositivo ad app e servizi, l’accesso Windows Hello, il ripristino self-service di BitLocker e il roaming dei dati aziendali. Questa metrica misura la percentuale di dispositivi registrati in Azure AD;
• Il Cloud Management tramite Configuration Manager (MECM) e/o Intune offre strumenti di gestione integrati basati sul cloud e opzioni di co-gestione univoche per il provisioning, la distribuzione, la gestione e la protezione di endpoint e applicazioni in un’organizzazione. Questa metrica misura la percentuale di PC collegati al cloud Microsoft 365 che possono utilizzare funzionalità aggiuntive, ad esempio l’accesso condizionale.

Figura 10: Raccomended software in Endpoiunt Analytics

Work from anywhere (preview)

La possibilità per i dipendenti di lavorare da qualsiasi posizione in modo produttivo è essenziale nel mondo di oggi. Questo report offre informazioni dettagliate sulla preparazione della forza lavoro per essere produttiva ovunque ci si trovi.

Nella release del 27 luglio 2021 (Service release 2107) di Intune, Microsoft ha rilasciato un nuovo report chiamato Work from Anywhere, un’evoluzione del report Recommended Software.

Il punteggio Work from Anywhere è un numero compreso tra 0 e 100. Il punteggio rappresenta una media ponderata della percentuale di dispositivi che hanno distribuito le varie informazioni dettagliate per aiutare gli utenti finali a essere produttivi da qualsiasi luogo.

Le metriche utilizzate sono:

• Windows: misura la percentuale di dispositivi nelle versioni supportate di Windows;
  
• Gestione del cloud: misura la percentuale di PC collegati al cloud Microsoft 365 e gestiti da Configuration Manager (MECM) o da Intune;
  
• Identità cloud: misura la percentuale di dispositivi joinati o registrati in Azure Active Directory (AD);
  
• Provisioning cloud: misura la percentuale Windows dispositivi Intune registrati e con un profilo di distribuzione creato per Autopilot.
  

Figura 11: Schermata Work from anywhere

Cliccando sui link relativo alle metriche calcolate viene indicato quali sono le operazioni correttive per poter avere un punteggio maggiore.

Figura 12: Azioni correttive consigliate: In questo caso sono la registrazione e la creazione di profili di distribuzione per i dispositivi esistenti Windows Autopilot con Microsoft Intune.

Aggiunta del dispositivo a Windows AutoPilot

Per utilizzare Windows AutoPilot è necessario che il dispositivo sia “conosciuto” dalla vostra infrastruttura cloud. Quando comprate un nuovo dispositivo il produttore dell’hardware può caricare per conto vostro le informazioni specifiche del dispositivo. Se invece volete utilizzare Windows AutoPilot per gestire i dispositivi che già possedete nella vostra azienda, utilizzando un apposito script PowerShell potete prendere le informazioni relative ai dispositivi che poi potete caricare all’interno di Microsoft Intune o di Microsoft Store for Business.

Nella figura sotto viene mostrato il comando utilizzando per poter importare il dispositivo direttamente in Windows Autopilot.

Figura 13: Aggiunta di un dispositivo a Windows Autopilot

Configurazione del Cloud provisioning

Per procedere alla configurazione del cloud provisioning per la mia macchina ho utilizzato la guida Microsoft 365 Modern Desktop Management – Distribuzione di Windows Autopilot per i dispositivi esistenti con l’Offline Windows Autopilot deployment profile – ICT Power

Se disponete di un profilo di configurazione di Windows Autopilot potete creare e distribuire un Offline Windows Autopilot deployment profile. Ottenete il file AutoPilotConfigurationFile.json e dsitribuitelo in tutti i dispositivi esistenti. Il file dovrà essere copiato nella cartella C:\Windows\Provisioning\Autopilot dei dispositivi; sarà poi possibile procedere al SYSPREP di questi dispositivi per poterli ridistribuire agli utenti.

NOTA: Il file JSON si dovrà chiamare necessariamente AutoPilotConfigurationFile.json

Figura 14: il file AutoPilotConfigurationFile.json viene copiato nella cartella C:\Windows\Provisioning\Autopilot di un dispositivo esistente

Dopo aver registrato il dispositivo in Autopilot, Endpoint Analytics vi mostrerà la corretta registrazione e vi chiederà di assegnargli un profilo di configurazione Autopilot.

Figura 15: Il dispositivo è stato registrato in Autopilot ed è in attesa di ricevere una configurazione

Dopo aver applicato le azioni correttive (applicazione del profilo Autopilot) il punteggio viene modificato, come mostrato in figura sotto.

NOTA: Potrebbero volerci diverse ore per visualizzare la modifica del punteggio dopo aver applicato le azioni correttive.

Figura 16: Azioni correttive implementate

Figura 17: I dispositivi sono registrati in Autopilot e hanno un profilo di configurazione Autopilot associato

Cliccando sula scheda Windows è possibile avere un dettaglio dei dispositivi. Nel mio caso la macchina aveva uno stato Unknown per quanto riguardava la possibilità di installare Windows 11. Lo stato Unknown è abbastanza normale quando un dispositivo viene aggiunto da poco a Endpoint Analytics e nel giro di qualche ora saprete se il dispositivo è Capable o Not Capable per l’aggiornamento a Windows 11.

NOTA: I Windows 11 hardware readiness insights non impattano sul punteggio del Work from anywhere.

Endpoint Analitycs valuta le metriche hardware necessarie all’installazione di Windows 11, che potete visualizzare alla pagina Requisiti per Windows 11 – What’s new in Windows | Microsoft Docs

Per installare o eseguire l’aggiornamento a Windows 11, i dispositivi devono soddisfare i requisiti hardware minimi seguenti:

• Processore: 1 gigahertz (GHz) o superiore, con due o più core in un processore a 64 bit compatibile o SoC (system on chip)
• RAM: 4 gigabyte (GB) o maggiore.
• Spazio di archiviazione: per installare Windows 11, è necessario uno spazio di archiviazione di 64 GB o maggiore.
  • Potrebbe essere necessario uno spazio di archiviazione aggiuntivo per scaricare gli aggiornamenti e abilitare funzionalità specifiche.
• Scheda grafica: compatibile con DirectX 12 o versione successiva, con un driver WDDM 2.0.
• Firmware di sistema: UEFI, abilitato per l’avvio protetto.
• TPM: Trusted Platform Module versione 2.0.
• Schermo: schermo ad alta definizione (720p), monitor da 9″ o superiore, 8 bit per canale di colore.

Consiglio la lettura dell’articolo Understanding readiness for Windows 11 with Microsoft Endpoint Manager – Microsoft Tech Community per maggiori approfondimenti.

Figura 18: Windows 11 readiness status

Nel giro di qualche ora sarà possibile sapere se il dispositivo è Capable o Not Capable. Nel mio caso è Not Capable e la motivazione è dovuta al fatto che la CPU non è tra quelle supportate.

Figura 19: Il dispositivo non può essere aggiornato a Windows 11 perché ha un processore non supportato

Per verificare se il vostro PC con Windows 10 può eseguire Windows 11 è possibile installare l’app Controllo integrità PC. Con questa applicazione riceverete una serie di informazioni di riepilogo sul proprio PC, verificherete se esso soddisfa i requisiti minimi e avere maggiori dettagli sui risultati del test.

Figura 20: L’app Integrità PC mostra che il dispositivo non ha un CPU supportata

Figura 21: L’app Controllo integrità PC mostra che il dispositivo rispetta tutti i prerequisiti per l’aggiornamento a Windows 11

I dispositivi che rispettano tutti i prerequisiti vengono visualizzati come Capable.

Figura 22: Dispositivi che possono essere aggiornati a Windows 11

Conclusioni

Endpoint Analytics permette alle aziende di migliorare la produttività degli utenti grazie alle informazioni dettagliate sulla configurazione dei dispositivi, sui tempi di avvio del sistema e di accesso alle applicazioni, sulle prestazioni degli endpoint. La gestione moderna dei dispositivi fatta con Endpoint Manager permette poi di semplificare molto le procedure e di amministrare nel miglior modo la nuova modalità di lavoro, il cosiddetto new normal, che permette il lavoro a distanza in maniera sicura ed efficiente.

L'articolo Microsoft Endpoint Manager – Microsoft Intune – Introduzione alla soluzione Endpoint Analytics proviene da ICT Power.