Microsoft 365 Modern Desktop Management – Enroll di Windows 10 in Microsoft Intune

Avere un modern desktop (cioè un’installazione di Windows 10 e Office 365, mantenuta costantemente aggiornata) significa sfruttare al massimo le funzionalità offerte sia dal sistema operativo che dalla suite di collaborazione Office 365, avendo la possibilità di migliorare la produttività, il lavoro di gruppo e la collaborazione all’interno dell’azienda. In più, avendo sempre un sistema aggiornato, possiamo assicurare un livello di efficienza ma soprattutto di sicurezza notevole, che ci permette di difenderci dai continui attacchi che ci arrivano dall’esterno (e molto spesso anche dall’interno) dell’azienda.

Con Microsoft 365 abbiamo la possibilità di poter avere con un licensing molto semplice la maggior parte dei software necessari per poter essere realmente competitivi in un mercato estremamente dinamico come quello che stiamo vivendo e di adattarci alle nuove modalità di lavoro (come ad esempio l’Home working o lo Smart working).

La soluzione Microsoft 365 integra in un unico pacchetto Windows 10 Enterprise, Office 365 e Enterrise Mobility + Security.

Figura 1: Passaggi chiave necessari per passare al Modern Desktop

Poiché le aziende hanno bisogno che i propri dipendenti siano sempre più “mobili”, il ruolo dell’IT Admin è diventato molto più complesso rispetto al passato e non è più limitato a gestire i desktop, ma anche i dispositivi mobili, come ad esempio tablet e smartphone.

La possibilità di utilizzare Microsoft Intune semplifica di molto il lavoro degli amministratori di sistema e questo servizio basato sul cloud permette di:

  • Gestire i dispositivi mobili e i PC usati dagli utenti per accedere ai dati aziendali.
  • Gestire le app per dispositivi mobili usati dagli utenti.
  • Proteggere le informazioni aziendali grazie alla possibilità di controllare le modalità di accesso e condivisione dei dati da parte della forza lavoro.
  • Assicurarsi che i dispositivi e le app siano conformi ai requisiti di sicurezza aziendali.

Microsoft Intune è il componente della suite Enterprise Mobility + Security (EMS) di Microsoft che gestisce dispositivi e app per dispositivi mobili. Intune è integrato con altri componenti EMS come Azure Active Directory (Azure AD) per il controllo delle identità e degli accessi e Azure Information Protection per la protezione dei dati. Quando viene usato con Office 365 consente agli utenti di essere produttivi con tutti i dispositivi, garantendo al tempo stesso la protezione delle informazioni aziendali.

Figura 2: Diagramma dell’architettura di Microsoft Intune

Abbiamo visto nel precedente articolo Attivazione di una sottoscrizione gratuita di Microsoft Azure che sono tanti i servizi GRATUITI che Microsoft mette a disposizione degli utenti per permettergli di poter testare la propria tecnologia, ma molto spesso non vengono utilizzati oppure sono sconosciuti ai più.

Per poter testare Microsoft Intune potete registrarvi gratuitamente alla versione di prova di Enterprise Mobility + Security al link https://www.microsoft.com/en-us/cloud-platform/enterprise-mobility-security-trial

Figura 3: Registrazione della trial di Enterprise Mobility + Security

Dopo esservi registrati alla trial potrete associare le licenze direttamente dal portale di Microsoft Azure. Microsoft Intune è infatti già da qualche tempo incorporato nel portale di amministrazione di Azure. Per cominciare a familiarizzare con Microsoft Intune vi consiglio di leggere la Guida introduttiva a Intune nel portale di Azure.

La gestione degli utenti può essere fatta sia da Azure che da Intune

Figura 4: Gestione degli utenti in Microsoft Intune

Mentre l’assegnazione delle licenze può essere fatta da Azure Active Directory > Licenses > All products > Enterprise Mobility + Security E5

Figura 5: Assegnazione delle licenze di Microsoft Intune

Impostazione dell’autorità di gestione dei dispositivi mobili

Prima di abilitare la registrazione dei dispositivi, è necessario impostare l’infrastruttura di Intune. In particolare, per la registrazione del dispositivo è necessario impostare l’autorità di gestione dei dispositivi mobili. L’impostazione dell’autorità di gestione dei dispositivi mobili (MDM) determina la modalità di gestione dei dispositivi.

Le configurazioni possibili sono:

  • Intune autonomo: gestione solo cloud, che viene configurata tramite il portale di Azure. Include il set completo di funzionalità offerte da Intune.
  • Co-gestione di Intune: integrazione della soluzione cloud di Intune con System Center Configuration Manager per dispositivi Windows 10. Intune viene configurato tramite la console di Configuration Manager.
  • Gestione dei dispositivi mobili per Office 365: integrazione di Office 365 con la soluzione cloud di Intune. Intune viene configurato dall’interfaccia di amministrazione di Microsoft 365. Include un sottoinsieme delle funzionalità disponibili con Intune autonomo. Impostare l’autorità MDM nell’interfaccia di amministrazione di Microsoft 365.

Nel mio caso ho scelto di utilizzare solo Intune per la gestione dei dispositivi e dalla console di Intune ho selezionato in Device Enrollment > Choose MDM Authority la voce Intune MDM authority.

Figura 6: Selezione dell’autorità di gestione dei dispositivi mobili

Abilitazione della registrazione dei dispositivi in Azure AD

Per permettere agli utenti di poter aggiungere i propri dispositivi ad Azure AD è necessario abilitare la funzionalità in Azure AD. Verificate in Azure AD che in Devices > Device Settings sia abilitata la voce Users may join devices to Azure AD

Figura 7: Abilitazione della registrazione dei dispositivi in Azure AD

Integrazione di Azure AD con Intune per la registrazione automatica di Windows 10

Per configurare Microsoft Intune per registrare automaticamente i dispositivi quando utenti specifici eseguono l’accesso a dispositivi Windows 10 vi basterà semplicemente selezionare Azure Active Directory > Mobility (MDM and MAM) e successivamente Microsoft Intune. In questo modo sia i dispositivi aziendali sia i dispositivi BYOD degli utenti verranno registrati automaticamente.

Figura 8: Integrazione di Azure AD con Intune

Figura 9: Configurazione dell’integrazione di Azure AD con Intune

Enroll di Windows 10 in Microsoft Intune

Dopo aver preparato il tenant di Intune, è possibile registrare i dispositivi (enrollment). Per impostazione predefinita, i dispositivi di tutte le piattaforme sono autorizzati alla registrazione in Intune. Tuttavia, è possibile limitare i dispositivi in base alla piattaforma.

Ho deciso di gestire Windows 10 in workgroup tramite Microsoft Intune e di joinarlo ad Azure Active Directory. Questo permetterà all’utente di poter accedere a Windows utilizzando le proprie credenziali di Azure AD e di abilitare la modalità Bring Your Own Device (BYOD).

Poiché abbiamo abilitato la registrazione automatica, il dispositivo viene registrato automaticamente in Intune. Il vantaggio della registrazione automatica è che si tratta di un processo che può essere effettuato dall’utente in un unico passaggio.

NOTA: verificate che la versione di Windows 10 sia la 1607 o una versione successiva.

Dopo aver associato la licenza di Microsoft Intune all’utente, sono andato nell’App Settings di Windows 10 e ho effettuato il join ad Azure AD da Accounts
> Access work or school > +Connect. Quando ho scelto Join this device to Azure Active Directory ho inserito le credenziali dell’utente con la licenza di Enterprise Mobility + Security E5 e ho cliccato su Join.

Figura 10: Join di Windows 10 ad Azure Active Directory

Figura 11: Windows 10 è joinato ad Azure AD

La gestione del dispositivo verrà ora effettuata tramite Microsoft Intune, che ha provveduto ad installare dei certificati digitali che verranno utilizzati per la connessione al PC. Dalla console certlm.msc potrete verificare la presenza dei certificati

  • Microsoft Intune MDM Device CA
  • MS-Organization-Access
  • MS-Organization-P2P-Access [2019]

Figura 12: Certificati digitali utilizzati da Intune per la gestione di Windows 10

In Azure Active Directory, selezionando l’utente, sarà possibile verificare che il PC è stato aggiunto alla lista dei dispositivi personali, come mostrato in figura:

Figura 13: Il PC è stato aggiunto alla lista dei dispositivi dell’utente di Azure AD

Per forzare la sincronizzazione delle configurazioni di Microsoft Intune è possibile utilizzare l’app Settings e da Access Work or School, cliccando sul nome dell’utente collegato ad Azure AD, scegliere il pulsante Info. Nella finestra che si aprirà sarà possibile verificare tutte le informazioni di connessione ed eventualmente forzare un Sync con l’apposito pulsante.

Figura 14: Utente di Azure AD collegato a Windows 10

Figura 15: Stato di sincronizzazione del dispositivo

Conclusioni

La gestione dei dispositivi mobili, tablet, smartphone oppure Windows 10, è sicuramente una delle maggiori difficoltà per un amministratore di sistema. Grazie a Microsoft Intune questa gestione è di fatto enormemente semplificata. In più con Microsoft Intune è anche possibile distribuire applicazioni sui nostri dispositivi. Date un’occhiata all’articolo Microsoft 365 Modern Desktop Management – Distribuire e gestire le applicazioni sui dispositivi aziendali con Microsoft Intune