Roberto Tafuri
Nicola FerriniConfigurare Windows 365 Enterprise
Durante il Microsoft Inspire 2021, tenutosi il 14 luglio 2021, Microsoft ha annunciato Windows 365. Ne abbiamo già parlato nell’articolo Windows 365, la nuova era del Cloud PC – ICT Power
A seguito della pandemia è innegabile come sia effettivamente emerso un nuovo modello di lavoro, diversificato dai processi virtuali e dalla collaborazione da remoto. In questo ambiente, più distribuito e centralizzato, le persone hanno la necessità di accedere alle informazioni aziendali da diversi luoghi e, soprattutto, da tantissimi dispositivi diversi. L’aumento delle minacce informatiche ci porta, di conseguenza, a prestare maggiore attenzione nel proteggere queste informazioni spesso critiche.
Windows365 fornisce l’esperienza completa del PC sul cloud. Con l’avvio istantaneo del proprio Cloud PC personale, gli utenti possono trasferire applicazioni, strumenti, dati e impostazioni dal cloud a qualsiasi dispositivo. Inoltre, il cloud garantisce maggiore versatilità nella potenza di elaborazione e nell’archiviazione, offrendo scalabilità ai responsabili IT, che potranno gestirle in base alle proprie esigenze.
Acquisto delle licenze
Windows 365 è disponibile in 2 edizioni: Windows 365 Business e Windows 365 Enterprise. Alla pagina Compare Windows 365 Business and Enterprise | Microsoft Docs trovate maggiori informazioni ed una tabella di confronto delle funzionalità.
Come prima operazione sarà necessario acquistare le licenze di Windows 365. È possibile farlo direttamenbte dal portale di Microsoft 365 andando in Billing à Purchase Services.
Figura 1: Acquisto delle licenze di Windows 365 dal portale di Microsoft 365
Scegliete la licenza che fa per voi. Noi per questa guida abbiamo scelto la versione Windows 365 Enterprise. Windows 365 è disponibile in diversi piani, che sono disponibili alla pagina Piani e prezzi di Windows 365 | Microsoft. Nella figura sotto è mostrato l’attuale licensing per le licenze Enterprise:
Figura 2: Licensing di Windows 365 Enterprise
Selezionate il piano che preferite acquistare scegliendolo dal menu a tendina, come mostrato nella figura sotto. Il piano definisce la Potenza di calcolo che verrà assegnata alla macchina virtuale Windows 365.
Figura 3: Scelta del piano di Windows 365 Enterprise
Terminato l’acquisto della licenza decidete a quale utente del vostro tenant volete associarla.
Figura 4: Associazione della licenza ad un utente del tenant
Gestione di Windows 365
La gestione di un PC creato in Windows 365 viene fatta interamente dal portale di Microsoft Endpoint Manager https://endpoint.microsoft.com . Cliccando sull’apposito nodo Windows 365 presente in Devices del portale potrete avere accesso a tutte le configurazioni.
Figura 5: Portale di amministrazione di Windows 365
Preparazione dell’infrastruttuta on-premises
Prima di procedere alla creazione del nostro PC Windows 365 sarà necessario preparare l’infrastruttura on-premises. Nel nostro caso abbiamo creato un ambiente di dominio realizzando un domain controller in una macchina virtuale su Azure.
Figura 6: Ambiente di dominio creato su Microsoft Azure
Poiché il computer Windows 365 verrà collegato alla Virtual Network, sarà necessario modificare il DNS della VNET in modo tale che punti all’iindirizzo IP del domain controller.
Figura 7: Modifica del DNS della VNET per farlo puntare al domain controller
Vogliamo che il computer Windows 365 venga aggiunto ad una particolare OU del nostro dominio. Nella figura sotto è mostrato come recuperare il Distinguished Name della Organizational Unit di Active Direcotry di destinazione del Windows 365 PC.
Figura 8: Distinguished Name della OU di destinazione del Windows 365 PC
Per poter aggiungere il computer Windows 365 al nostro dominio on-premises abbiamo anche creato un utente locale chiamato [email protected] e gli abbiamo delegato i privilegi per joinare i PC a dominio. Anche se l’operazione non è strettamente legata a Windows 365, è buona norma lavorare sempre con i minor privilegi amministrativi e assicurare il massimo livello di sicurezza al nostro ambiente. Per approfondimenti vi rimando alla lettura dell’articolo Implementazione dei modelli amministrativi con privilegi minimi | Microsoft Docs
Figura 9: Delega del privilegio di aggiungere un PC al dominio
Figura 10: Schermata iniziale del wizard di delega di Active Directory
Figura 11: Scelta dell’utente a cui verranno delegati i privilegi
Figura 12: Personalizzazione del privilegio di delega
Figura 13: Scelta degli oggetti di Active Direcotry a cui delegare i privilegi
Figura 14: Scelta dei permessi da delegare
Figura 15: Completamento del wizard di delega
Configurazione dell’Hybrid Azure AD Join
Prima di iniziare a configurare Windows 365 è necessario abilitare L’Hybrid Azure AD Join. L’operazione è molto semplice e verrà effettuata dal tool Azure AD Connect. Vi rimandiamo alla lettura dell’articolo Dispositivi Azure AD Joined, Hybrid Azure AD Joined e Azure AD Registered: facciamo chiarezza – ICT Power per approfondire le funzionalità riservate alle diverse modalità di registrazione dei dispositivi in Azure AD.
Nelle figure sotto sono mostrati tutti i passaggi per abilitare Azure AD Hybrid Join:
Figura 16: Modifica delle configurazioni dei dispositivi in Azure AD Connect
Figura 17: Scelta della configurazione di Azure AD Hybrid join
Figura 18: Scelta del sistema operativo dei dispositivi
Figura 19: Configurazione del Service Connection Point (SCP) per trovare i dispositivi in Azure AD
Configurazione delle rete on-premises
Per poter collegare i PC Windows 365 alla nostra rete sarà necessario configurare l’On-premises network connection. Dal portale di Microsoft Endpoint Manager selezionate la scheda On-premises network connection e fate clic su Create per lanciare il wizard, come mostrato nella figura sotto:
Figura 20: Configurazione dell’On-premises network connection
Date un nome alla connessione, scegliete la sottoscrizione Azure, il Resource Group e la Virtual Network a cui connettere le macchine Windows 365. La Virtual Network dovrà poter contattare il dominio on-premises a cui aggiungere le macchine Windows 365. Mentre nel nostro caso la VNET scelta coincide con la stessa VNET in cui abbiamo creato Il nostro domain controller, assicuratevi che se il domain controller sia on-premises la VNET sia capace di raggiungere la vostra rete aziendale, magari con una connessione VPN Site-to-Site o con ExpressRoute.
Figura 21: Creazione della connessione alla rete on-premises
Indicate a questo punto il nome del dominio on-premises e l’Organizational Unit a cui volete aggiungere le macchine Windows 365, oltre ovviamente alle credenziali di un utente che abbia tuti i priviegi necessari per fare join al dominio (ricordate che lo abbiamo creato appositamente prima?).
Figura 22: Informazioni per l’aggiunta del computer Windows 365 al dominio on-premises
Figura 23: Completamento del wizard per l’On-premises network connection
Terminato il wizard cominceranno tutti i controlli necessari per verificare di avere accesso al dominio on-premises.
Figura 24: Verifiche di accesso al dominio on-premises
Nel caso la verifica non vada a buon fine riceverete dei messaggi di avviso che vi daranno indicazioni sulla motivazione. Come si può vedere dalla figura sotto, potreste ricevere il messaggio Check on-premises network connection con warning. Cliccate sul link per verificare lo Status:
Figura 25: Check on-premises network connection con warning
Durante la fase di controllo verrà creato un account computer all’interno del dominio on-premises. Questo account viene utilizzato per verificare di avere tutti gli accessi alla rete aziendale e al dominio interessato.
Figura 26: Account computer creato sul dominio locale per la verifica degli accessi
Nel nostro caso l’errore era derivato dal fatto che Azure AD Connect non aveva ancora replicato gli account computer negli ultimi 60 minuti.
Figura 27: Errore di Azure AD device Sync
Potete verificare l’intervallo di replica (che di default è di 30 minuti) con il comando PowerShell Get-ADSyncScheduler eseguito sul server in cui avete installato il tool Azure AD Connect.
Figura 28: Verifica dell’intervallo di sincronizzazione del tool Azure Ad Connect
Per forzare la sincronizzazione manuale potete lanciare il comando PowerShell Start-ADSyncSyncCycle sul server in cui avete installato il tool Azure AD Connect in modo tale da replicare l’account computer creato automaticamente dal processo di verifica.
Dopo la replica dei dispositivi cliccate sul pulsante Retry nella schermata in cui visualizzate i dettagli di errore (figura 27) oppure potete cliccare in qualsiasi momento sul link che vi appare nella colonna Status. Assicuratevi che vi venga restituito lo status Check successful, come mostrato in figura:
Figura 29: Controllo della connessione con l’infrastruttura on-premises effettuato con successo
Provisioning del Cloud PC
Per creare il nostro PC con Windows 365 è necessario creare una provisioning policy. Accertatevi che l’utente che state utilizzando abbia i privilegi di Intune Service Administrator.
Dal portale di Microsoft Endpoint Manager selezionate la scheda Provisioning Policies e fate clic su + Create Policy
Figura 30: Creazione di una nuova Provisioning Policy
Date un nome alla policy e selezionate una On-premises network connection.
Figura 31: Nome della provisioning policy e selezione della on-premises network connection
Nella scheda Image scegliete quale immagine di Windows volete distribuire in Windows 365. Attualmente è disponibile solo Windows 10, ma presto sarà disponibile anche Windows 11. Windows 11, disponibile a partire dal 5 ottobre 2021 – ICT Power
Figura 32: Scelta dell’immagine da utilizzare in Windows 365
Scegliete quindi a quale gruppo di utenti di Azure AD volete assegnare tramite policy l’immagine che avete scelto.
Figura 33: Gruppo di utenti di Azure AD a cui assegnare la policy
Figura 34: Schermata di riepilogo della creazione della policy
A questo punto comincerà il provisioning della vostra macchina Windows 365.
Figura 35: Provisioning in corso della macchina Windows 365
Figura 36: Provisioning della macchina Windows 365 completato
Accesso a Windows 365 tramite browser
Terminato il provisioning della macchina Windows 365 possiamo provare ad accedere. Collegatevi al portale My Apps (microsoft.com) con le credenziali di un utente che appartenga al gruppo che avete autorizzato all’accesso tramite la provision policy e cliccate sull’icona Windows 365.
Figura 37: Accesso al portale https://myapps.microsoft.com/
Nella schermata di Benvenuto troverete il link per accedere al vostro Cloud PC, come mostrato nella figura sotto:
Figura 38: Schermata di benvenuto con l’accesso al Cloud PC di Windows 365
Immettete le vostre credenziali di dominio per accedere alla macchina Windows 365.
Figura 39: Inserimento delle credenziali di accesso per la macchina Windows 365
Figura 40: Connessione a Windows 365 completata
Creazione di regole di accesso condizionale e Multi-Factor Authentication
Per aumentare il livello di sicurezza degli accessi alla nostra infrastruttura basata su Windows 365 è possibile creare delle regole di accesso condizionale e imporre l’utilizzo della multi-factor authentication (MFA).
Dal portale di Microsoft Endpoint Manager selezionate il nodo Devices e fate clic su Conditional Access.
Figura 41: Conditional access nel portale di Microsoft Endpoint Manger
Create una nuova regola di accesso condizionale, seguendo le indicazioni mostrate nelle figure sotto:
Figura 42: Regola di accesso condizionale solo per un gruppo di utenti di Azure AD
Figura 43: La regola di accesso condizionale varrà solo quando ci si collegherà a Windows 365
Figura 44: Obbligo di utilizzo della multi-factor authentication (MFA)
Conclusioni
Windows 365 punta a gestire e risolvere tutte quelle sfide pre-pandemia, offrendo maggiore flessibilità e garantendo, al contempo, la sicurezza necessaria dei dati dell’organizzazione. I lavoratori stagionali, ad esempio, potranno cambiare team senza dover affrontare i problemi logistici legati alla consegna di un nuovo hardware o alla messa in sicurezza dei dispositivi personali, permettendo alle organizzazioni di adattarsi con più efficienza e sicurezza ai periodi di lavoro più intensi. Inoltre, le aziende potranno facilmente garantire ai lavoratori specializzati in ruoli creativi, analitici, ingegneristici o scientifici una maggiore potenza di calcolo e un accesso sicuro alle applicazioni essenziali di cui essi hanno bisogno.
Il Cloud PC unisce Windows alla potenza del Cloud Computing. Potenza, semplicità e sicurezza dono le tre caratteristiche di questo nuovo servizio. Le informazioni sono protette e archiviate sul cloud, non sul dispositivo. Contando su aggiornamenti costanti, sulle avanzate funzionalità di sicurezza e sulle linee guida di Microsoft, Windows 365 semplifica la cybersecurity e consiglia le migliori impostazioni di sicurezza per l’ambiente di lavoro.