Quando si parla di Windows, nell'immaginario collettivo si pensa principalmente al famosissimo sistema operativo di Microsoft, che è divenuto nel corso degli anni il sistema operativo più diffuso nel panorama delle macchine basate su architettura X86.
In realtà sotto il brand 'Windows' Microsoft raccoglie anche una serie aggiuntiva di programmi e servizi. Tra quelli più conosciuti c'è ad esempio la suite Windows Live, molto apprezzata ed utilizzata dal mercato consumer. Esistono tuttavia anche altri servizi, magari meno conosciuti e rivolti ad un pubblico diverso, che possono fregiarsi del titolo 'Windows'. Uno di questi è proprio Windows Intune, la soluzione cloud Microsoft pensata per la gestione centralizzata e la protezione dei computer di aziende piccole e grandi.
In questo articolo diviso in 5 puntate si vuole dare una panoramica generale delle possibilità che il servizio Windows Intune rende disponibili, offrendo anche una guida introduttiva all'utilizzo della trial di 30 giorni disponibile per la prova gratuita.
Cos'è Windows Intune
Windows Intune è un servizio cloud attivabile tramite abbonamento che si pone come obiettivo quello di semplificare il modo in cui i professionisti IT e i sistemisti gestiscono e proteggono i computer aziendali, assicurando livelli ottimali di produttività senza avere limitazioni legate ai vincoli geografici.
Al servizio base sono affiancate funzionalità e servizi aggiuntivi: l'abbonamento compre la licenza di aggiornamento del sistema operativo client Microsoft Windows alla migliore versione disponibile (attualmente Windows 7 Enterprise), o il fatto di poter usufruire della avanzata protezione da virus e malware assicurata dal motore antivirus Microsoft Forefront integrato nel client di Windows Intune.
Le caratteristiche dell'architettura
Windows Intune, pur consentendo di gestire le risorse in maniera avanzata, presenta una architettura abbastanza semplice.
Come si vede dalla figura 1, infatti, Windows Intune si sviluppa principalmente intorno al servizio Cloud, gestito e configurato dall'amministratore di sistema tramite la console web di amministrazione. Ovviamente il servizio cloud dialoga a sua volta con i vari server che garantiscono i servizi correlati, come gli Windows Update, e comunica con i computer aziendali tramite un agent installato localmente sui client.
I vantaggi della nuvola
Windows Intune permette di gestire gli aggiornamenti dei sistemi client, si potranno pianificare le azioni da eseguire su uno o più gruppi di pc e si potranno anche stabilire e creare criteri specifici con cui vengono gestite le impostazioni dei computer nella rete.
Oltre alla gestione della rete, abbiamo a disposizione molte funzionalità al servizio dell'amministratore. In particolare:
- Protezione dei computer client da minacce virus e malware, grazie il motore forefront integrato nel client;
- Gestione le impostazioni di sicurezza di ogni singolo client direttamente da console web
- Creazione di report, generazione di allarmi e monitoraggio costanteme dei computer associati alla rete
- Gestione delle licenze dei programmi installati nei computer client con esecuzione dell'inventario hardware e software
- Possibilità di approvare preventivamente gli aggiornamenti sia del sistema operativo Microsoft Windows, sia di applicativi di terze parti
- Possibilità di distribuire applicazioni, utilizzando lo spazio cloud appositamente messo a disposizione dal servizio Windows Azure
- Gestione della possibilità di offrire assistenza remota
- Accesso all'aggiornamento dei sistemi alla migliore versione di Windows disponibile
Grazie al Cloud computing tutto questo è reso oggi possibile direttamente da browser, tramite una semplice interfaccia. Questa de-localizzazione delle risorse hardware e software utilizzate per gestire il servizio è il punto focale grazie al quale possono essere offerti dei considerevoli vantaggi rispetto ai tradizionali sistemi on-site, tanto agli utenti quanto agli amministratori di rete. Grazie alla nuvola infatti si avrà sempre sotto controllo la situazione della rete di PC, e si potrà asicurare una assistenza più rapida, più completae più efficace.
I requisiti necessari
Innanzitutto è doveroso ricordare come Windows Intune sia compatibile solamente con macchine Windows (XP o successivi) che abbiano già installato un sistema Professional , Business, Enterprise o Ultimate. Tutte le versioni di Windows che non rientrano nell'elenco precedente non sono attualmente supportate dal servizio.
Per avere maggiori informazioni riguardanti i requisiti minimi consultare la apposita FAQ.
Per poter usufruire di Windows Intune bisogna inoltre disporre necesariamente di un Windows Live ID, attivabile gratuitamente.
La versione Trial
È possibile provare gratuis Windows Intune attivando un abbonamento trial da 30 giorni.
La versione di valutazione differisce dalla versione completa essenzialmente per due aspetti: il primo riguarda l'accesso all'aggiornamento per Windows 7 Enterprise (non disponibile con la trial), ed il secondo riguarda invece la quantità di spazio cloud su Windows Azure riservato per l'archiviazione dei package di installazione delle applicazioni distribuite tramite Windows Intune, limitato a soli 2Gb, contrariamente ai 20 della versione completa.
Nella seconda parte dell'articolo "installeremo" Intune e ne inizieremo a studiare l'interfaccia
Installazione ed interfaccia del client
Windows Intune è un servizio cloud-based, perciò non richiede in azienda nessuna installazione lato server, e quindi non ha bisogno di hardware dedicato, come ad esempio uno o più server, per poter funzionare correttamente.
I computer gestiti dal servizio necessiteranno invece dell'installazione di un agent locale per poter essere amministrati correttamente dalla cloud.
Il primo accesso
Dopo aver eseguito la procedura di registrazione (ad esempio alla versione di valutazione), possiamo accedere alla console di gestione di Windows Intune.
In questa schermata è sufficiente inserire i dati relativi al proprio Windows Live ID per poter accedere all'interfaccia di amministrazione.
Una volta autenticati, la schermata iniziale di Windows Intune ci presenterà una sorta di riepilogo delle informazioni più importanti che richiedono la nostra attenzione. In particolare saranno evidenziati gli eventuali avvisi riguardanti la sicurezza (Endpoint Protection), gli aggiornamenti dei sistemi, i criteri impostati sui client, ed il software che i client hanno installato al loro interno.
Installare il client
Come già sottolineato in precedenza, per poter usufruire di Windows Intune e' necessario disporre di PC con installate versioni di Windows XP o successive purchè siano Professional, business, Enterprise o Ultimate.
Per poter provare il funzionamento del servizio anche lato client, supponendo di non avere a disposizione altre macchine fisiche, potremmo far ricorso al Windows XP Mode, la macchina virtuale inclusa con la versione Professional (o superiore) di Windows 7, basata sull'ormai vetusto Windows XP. Per maggiori informazioni sulla installazione e configurazione della macchina virtuale Windows Virtual PC e sulla XP-Mode, consultare questa guida.
Naturalmente prima di procedere all'installazione del client, dovremo essere in grado di poter scaricare il software da distribuire ed installare. Eseguire questa operazione è molto semplice: basta selezionare dal frame di sinistra dell'interfaccia principale di Windows Intune l'ultima voce (amministrazione) e successivamente selezionare la voce 'Download del software Client', per scaricare il package da installare in tutte le postazioni che si vorranno includere nella rete gestita da Windows Intune.
Il package contiene l'eseguibile di setup e un certificato digitale che lega in modo univoco il client in cui stiamo facendo l'installazione al nostro abbonamento a Windows Intune. Una volta scaricato il software dovremo eseguire il file Windows_Intune_Setup
sulla macchina client che vorremo gestire (nel nostro caso la macchina virtuale con Windows XP).
Dopo aver completato la procedura di installazione dovremmo poter visualizzare l'icona sul desktop relativa a Windows Intune Center.
Windows Intune offre anche un efficace strumento di protezione dai virus e dai malware, quindi, oltre alla icona precedente sarà visualizzata nella barra di stato l'icona di notifica relativa allo stato del computer (lo stato risulterà 'protetto' solamente dopo aver aggiornato le definizioni antivirus).
Aggiungiamo il client ad un gruppo di Windows Intune
Una volta eseguite queste operazioni, sarà necessario aggiungere effettivamente la nostra macchina virtuale XP alla nostra rete di Windows Intune. Per poter eseguire questa operazione tramite la nostra interfaccia Web, dopo aver installato il client, basterà dall'interfaccia di Windows Intune andare su Computer > Computer non assegnati
, in modo da visualizzare una schermata simile a quella in figura:
Per gestire al meglio i computer tramite Windows Intune è necessario creare almeno un gruppo di computer (qualora non esista già un gruppo adatto allo scopo).
Per gruppo si intende un insieme di pc aggregati dall'amministratore sotto un unico nome, in modo da poter eseguire medesime operazioni parallelamente, ottimizzando tempo e costi di gestione. Naturalmente un gruppo viene può essere popolato secondo criteri diversi: nel caso esistano pc che necessitino di policy uguali tra di loro, ad esempio, sarebbe conveniente identificarli e gestili sotto un unico gruppo, così come magari sarebbe conveniente raggruppare i pc appartenenti a sedi diverse di una stessa azienda. I gruppi possono essere gerarchici, così da poter gestire anche l varie parentele, in modo da dare a disposizione dell'amministratore uno strumento di gestione distribuita ancora più preciso ed ottimizzato.
Per poter creare un nuovo gruppo basterà cercare tra l'elenco delle attività (l'elenco si trova in alto a destra della pagina visualizzata in figura 7) il link con scritto 'crea gruppo di computer'.
Apparirà una finestra centrale che darà la possibilità di creare un nuovo gruppo, specificare una descrizione ed eventualmente definirne anche il gruppo padre, in modo da impostare correttamente le gerarchie tra i vari gruppi.
Una volta eseguita questa operazione, basterà aggiungere il PC non assegnato al nuovo gruppo, selezionando il gruppo e clickando sulla attività 'aggiungi computer', in modo da ottenere una finestra simile a quella visualizzata nella figura 10.
Dopo aver eseguito tutte le operazioni sopra riportate, selezionando il gruppo dalla scheda 'Computer', sarà possibile visualizzare il riepilogo di tutte le varie informazioni relative ai computer che fanno parte di quel gruppo.
Figura 12. Il gruppo "Virtual Machines" è stato creato e popolato correttamente
(clic per ingrandire)
L'interfaccia del Client
Dopo aver configurato il client per essere gestito tramite Windows Intune, torniamo a soffermarci ed analizzare il servizio dal lato del client.
Nella macchina client facciamo clic sulla icona 'Windows Intune Center' presente sul Desktop. L'interfaccia lato Client di Windows Intune è semplice ed essenziale. Dalla figura 12 si può notare come sia di fatto suddivisa in tre parti distinte tra di loro.
La prima parte riguarda gli aggiornamenti di Windows Intune. Con questo temine in realtà si identificano non solo tutti gli aggiornamenti relativi al sistema operativo, ai programmi installati ed al client stesso di Windows Intune (che per poter essere visualizzati devono essere stati precedentemente approvati dall'amministratore della rete), ma anche l'accesso e l'installazione automatica a tutto il software distribuito. Il software distribuito (argomento analizzato più dettagliatamente nelle prossime 'puntate') verrà infatti anch'esso visualizzato dal client come un semplice aggiornamento, in modo da poter essere installato in maniera automatizzata e semplificata.
La seconda parte riguarda la gestione della siurezza tramite Windows Intune Endpoint Protection, il componente antivirus e antimalware incluso nel servizio.
La terza parte è dedicata alle possibili richieste di assistenza rivolte all'amministratore della rete da parte dell'utente. Facciamo click sul link per vedere cosa succede!
Gestire l'assistenza da remoto di InTune
Assicurare un'assistenza adeguata agli utenti è uno dei principali compiti che un buon amministratore di rete dovrebbe poter svolgere in modo semplice. Windows Intune a tal proposito offre degli strumenti integrati e piuttosto completi.
Cosa succede alla console?
Nelle pagine precedenti abbiamo generato una richiesta di assistenza da parte del client cliccando sul link presente nella terza sezione di Windows Intune Center. Cosa è cambiato all'interno dell'interfaccia web di gestione?
Come si nota dalla figura, la richiesta di assistenza remota inoltrata dal client è immediatamente visualizzabile all'interno degli avvisi, evidenziata da una X rossa. Facendo click sul link che identifica l'avviso critico, visualizzeremo la scheda relativa al computer da cui è stata richiesta assistenza. In questa schermata troveremo, tra le altre cose, la possibilità di approvare la richiesta di assistenza.
Oltre al messaggio visualizzato dalla console, l'amministratore ricverà una mail di avviso ogni qual volta verrà interpellato per una richiesta di assistenza da parte di qualche utente.
Approvando la richiesta di assistenza verrà automaticamente avviata una sessione di Easy Assist sul computer dell'amministratore, e verrà avviata anche simultaneamente sul computer client che ha richiesto assistenza.
Una volta che l'admin e l'utente nella postazione client sono in comunicazione tra di loro, oltre a poter chattare, possono anche scambiarsi file e condividere il desktop.
L'amministratore può anche richiedere il controllo totale del desktop: in questo caso al client verrà richiesta una approvazione preventiva.
L'amministratore, grazie alla possibilità di ottenere il totale controllo della macchina client, potrà facilmente gestire e risolvere i problemi.
Avviare una scansione antivirus del sistema client da remoto
Quando si parla di assistenza non si intende solamente la possibilità di rimediare ad un problema, ma anche e soprattutto alla possibilità di prevenire possibili malfunzionamenti della macchina client.
A questo scopo Windows Intune mette a disposizione molti strumenti interessanti, alcuni dei quali già accennati in precedenza.
Windows Intune permette agli amministratori di rete, tra le altre cose anche quella di avviare scansioni antivirus remote sulle macchine client. Per poter intraprendere questa operazione basterà andare nella sezione relativa ai computer e selezionarne uno o più da un gruppo. Facendo click sul computer selezionato con il pulsante destro, comparirà un menu a tendina con una serie di scelte possibili.
Se scegliamo 'Esegui un'analisi rapida di malware' avviamo ad esempio una scansione rapida del sistema alla ricerca di virus e malware.
Dal lato client la scansione avviene in background, tuttavia ad uno sguardo attento potrebbe non sfuggire la piccola icona di notifica in basso a destra
Impostare un nuovo criterio di protezione da virus e malware tramite Windows Intune Endpoint Protection
Windows Intune non permette solamente di cercare possibili minacce all'interno del sistema client da remoto, ma è in grado anche di gestire i criteri (le policy) secondo cui il client stesso deve agire, in modo da dare la possibilità all'amministratore di impostare determinati comportamenti a fronte dell'avvenire di eventi specifici.
Il pannello di gestione dei criteri si presenta similare a quello visualizzato nella seguente figura.
Per creare un nuovo criterio facciamo click sulla prima attività visualizzata in alto a destra 'crea nuovo criterio'. Una volta eseguita questa operazione ci apparirà una finestra apposita che darà la possibilità di scegliere in quale ambito il criterio dovrà essere applicato. È possibile infatti utilizzare le policy (criteri) di Windows Intune, per gestire il firewall del computer client, personalizzare il Windows Intune Center dei client e definire eccezioni o pianificazioni legate alla componente antivirus Endpoint Protection.
Dopo aver selezionato la tipologia di policy che ci interessa, basterà fare click su 'crea criterio', per arrivare alla schermata successiva. Come esempio proviamo a creare un criterio relativo al Windows Firewall.
Dalla schermata rappresentata in figura 24 si potrà facilmente decidere se attivare o meno il firewall, se bloccare le connessioni in ingresso o se notificare all'utente gli eventi in base a vari scenari di connessione del client. Oltre a tutto questo si può anche decidere se attivare o disattivare le eccezioni Windows Firewall per abilitare o disabilitare i servizi per profili di rete specifici.
Una volta salvato il criterio, Windows Intune chiederà se si vuole distribuire direttamente il nuovo criterio ad un gruppo di PC, oppure si vuole solamente salvare.
Per ora scegliamo di non distribuire il criterio. Una volta selezionato su 'No', potremo vedere il nuovo criterio creato, ma non ancora distribuito.
Per poter distribuire il criterio, basterà (una volta creato) selezionarlo e fare click con il tasto destro, in modo da visualizzarne il menu delle opzioni.
Selezionando 'Gestisci distribuzione', apparirà una finestra che ci darà la possibilità di selezionare i gruppi di PC ai quali applicare il criterio appena creato.
Il pannello di gestione degli aggiornamenti
Windows Intune da la possibilità agli amministratori di rete di poter decidere se e dove dare la possibilità all'utente di installare sia gli aggiornamenti sia di sistema, sia quelli relativi a programmi di terze parti. È inoltre possibile impostare delle regole per l'installazione automatizzata degli aggiornamenti, il tutto senza dover necessariamente disporre di un server WSUS (Windows Server Update Services).
Per poter accedere al pannello relativo agli aggiornamenti basta selezionare la terza icona presente sul lato sinistro della console.
Come si vede dalla figura, in questo caso sono presenti degli aggiornamenti da approvare prima di dare la possibilità all'utente di procedere con la loro installazione.
In realtà possiamo anche gestire gli aggiornamenti in maniera più automatizzata ed efficiente, rispetto alla dispersiva e poco efficiente approvazione manuale. Sul lato destro relativo alle vari attività troviamo infatti una interessante caratteristica di Windows Intune, ovvero la possiblità di configurare le impostazioni di approvazione automatiche per categoie e/o classificazione di aggiornamento.
Cliccando su 'configura impostazioni di approvazione automatiche', infatti, ci troveremo all'interno di una nuova finestra che ci darà non solo la possibilità di selezionare la categoria di aggiornamento (in base al produttore) e la tipologia di aggiornamento (ad esempio eggiornamento critico, o di sicurezza) per le quali richiedere l'assenso dell'amministratore prima della effettiva installazione sui client, ma anche di definire una o più regole da poter applicare a gruppi di PC, in modo da gestire il tutto in maniera automatizzata.
Figura 30. Pannello di configurazione per la approvazione automatica degli aggiornamenti
(clic per ingrandire)
Qualora decidessimo ci creare una regola per gestire gli aggiornamenti in maniera automatizzata (in fondo alla pagina), ci apparirà un pop-up con un semplice wizard, dove ci verranno chieste le cetegorie, le tipologie ed i gruppi a cui applicare la regola da creare.
Designare più amministratori di rete
Talvolta risulta necessario designare più amministratori di rete, in modo da aver la possibilità di far fronte alle problematiche in maniera più efficiente. Compiere questa operazione in Windows Intune risulta essere un'operazione davvero semplice: basta selezionare dal pannello amministrazione 'amministratori del servizio', ed aggiungere il Windows Live ID del nuovo amministratore, decidendo se potrà godere di diritti in sola lettura o avrà al contrario un accesso completo.
La distribuzione del software
Uno dei vantaggi dell'avere un servizio come Windows Intune è dato dal fatto che ogni volta Microsoft mette a disposizione nuovi strumenti e nuove funzionalità queste diventano disponibili per gli utenti senza la necessità di dover installare nuovi prodotti o nuovi componenti nella rete aziendale.
Ad esempio, un recente aggiornamento della componente 'cloud' di Windows Intune a messo a disposizione la possibilità di poter distribuire il software e le applicazioni direttamente dalla cloud, tramite l'interfaccia web di gestione.
Il servizio mette a disposizione per l'archivio e la distribuione dei package di installazione uno storage su Windows Azure, la cui dimensione di default è di 20Gb (limitato a 2GB nella versione di prova del servizio).
I client accederanno tramite collegamento WAN a questo storage e da qui avverrà il download delle applicazioni che saranno installate sui computer, in base alle regole e alle policy definite dall'amministratore.
Tipologia degli installer e dei setup supportati
Per poter distribuire un software all'interno di un gruppo di PC bisogna prima essere certi di mettere a disposizione di Windows Intune un formato valido e supportato per questa operazione. A questo proposito è giusto puntualizzare come sia possibile distribuire sia prodotti Microsoft che non. Windows Intune per la distribuzione supporta i formati MSI ed EXE, a patto che abbiano la possibilità di essere installati in maniera completamente automatizzata.
Dopo aver verificato questo requisito preliminare bisogna passare alla fase di caricamento del software da distribuire. Caricare del software all'interno dello storage dedicato è davvero molto semplice, basta selezionare tra le icone di sinistra quella relativa a 'Software' (la sesta) e su 'panoramica' cliccare sulla attività 'Passaggio 1: Carica software'.
Caricare il software nello storage online di Windows Intune
Eseguendo questa operazione ci verrà richiesto il login per verificare le credenziali di accesso (utilizzare lo stesso Live ID associato all'account di Windows Intune), verrà eseguito un breve check per verificare le caratteristiche e l'idoneità della connessione, quindi ci si avvierà un wizard che ci guiderà al caricamento del nostro software nello storage.
Quando ci verrà chiesto di definire il file di installazione, dovremo selezionare il file di installazione del programma che vogliamo distribuire. Poniamo ad esempio il caso di voler distribuire il software Skype: in questo caso, dopo aver eseguito il download del file di installazione, sceglieremo di caricare proprio l'eseguibile scaricato gratuitamente dal sito ufficiale.
Andando avanti nel Wizard, scopriremo che sono presenti molte opzioni per rendere più efficiente la distribuzione del software. Oltre al nome ed alla descrizione, ci verrà data la possibilità di definire l'architettura delle macchine compatibili con il software, di definire il sistema oprativo compatibile, di poter aggiungere delle regole per la eventuale rilevazione del software all'interno della macchina client (il software che si vuole distribuire potrebbe essere già presente in alcune macchine!), si possono aggiungere argomenti della riga di comando per 'pilotare' l'eseguibile di installazione e si possono definire ed associare codici di errore custom nel caso l'installazione non vada a buon fine.
Figura 34. Definire delle regole per la rilevazione di software già installato
(clic per ingrandire)
Una volta eseguite tutte queste operazioni obbligatorie, il file potrà essere caricato in modo da renderne possibile la distribuzione. La conferma di avvenuto caricamento sarà data dalla schermata finale del wizard, e potremo averne una ulteriore conferma facendo click sul link 'Visualizzare il software', in modo da visualizzare l'elenco del software presente nella memoria cloud di Windows Intune.
Distribuire in modo centralizzato è meglio che installare a mano!
È tutto pronto per poter finalmente distribuire Skype ai nostri gruppi di PC. Per poter eseguire questa semplice operazione basterà selezionare dalla schermata 'software' la seconda attività, chiamata 'Passaggio 2. Distribuisci software'.
Eseguendo questa operazione saremo così in grado di visualizzare l'elenco dei sofware pronti per la distribuzione, salvati nello storage online dedicato a Windows Intune, dove nel nostro caso comparirà il file SkypeSetup.exe caricato in precedenza.
Facendo click con il pulsante destro comparirà il menu delle opzioni, tra le quali quella specificatamente pensata per la distribuzione.
Per poter distribuire il software è necessario selezionare i gruppi di PC che riceveranno la distribuzione. Questa operazione sarà possibile dalla successiva schermata che comparirà prima della conferma di distribuzione avvenuta con successo.
Dopo aver selezionato i gruppi e aver dato conferma, il software verrà distribuito sulle macchine. Lo stato di avvenuta distribuzione potrà essere verificato andando a visualizzare il software gestito (icona principale software - software gestito).
Cosa succede lato client?
Una volta che l'amministratore ha configurato la distribuzione del software, l'installazione lato client sarà piuttosto trasparente. Il software distribuito, infatti, verrà visualizzato dalla console di Windows Intune Center come un semplice aggiornamento di sistema.
Installando l'aggiornamnto che la console ci propone, potremo verificare che si tratta effettivamente del software che abbiamo precedentemente distribuito.