L’utilizzo dei dispositivi personali per il lavoro, così come il fatto che i dipendenti possano lavorare anche fuori dall’ufficio, hanno richiesto cambiamenti nelle modalità di gestione dei dispositivi all’interno delle aziende.
Microsoft ha introdotto il concetto di Modern Management per descrivere il processo di transizione dalla gestione dei device tradizionale, con una infrastruttura on-premise, verso un ambiente cloud-based dove Azure AD viene utilizzato per la gestione delle identità e degli accessi e soluzioni SaaS (Software-as-a-Service) vengono utilizzate per le funzionalità di messaging, collaboration e altro.
A tal proposito, è necessario discostarci dalla filosofia di pensiero “legacy” che prevede un concetto tradizionale di IT dove l’approccio adottato è incentrato sui dispositivi. Un dispositivo di proprietà aziendale viene rilasciato ai dipendenti e solo questi sono autorizzati a unirsi alla rete aziendale per l’accesso alle applicazioni ed ai servizi aziendali.
Attraverso il Modern Management, le politiche sono rivolte agli utenti finali e adottano un approccio incentrato sull’utente; BYOD (Bring Your Own Device) permette ai dipendenti di utilizzare i propri device per accedere alle risorse aziendali consentendo molta più flessibilità, efficienza e produttività rispetto ai metodi tradizionali precedenti.
Microsoft Endpoint Manager è la soluzione per eccellenza che compie il primo passo verso la gestione centralizzata di tutti i device. Microsoft unisce insieme Configuration Manager ed Intune in un’unica console denominata Microsoft Endpoint Manager Admin Center.
A partire dalla versione 2002 di Configuration Manager, è possibile sincronizzare i dispositivi registrati su Configuration Manager sul servizio Cloud ed eseguire azioni attraverso la console Admin Center: questa funzionalità è stata denominata Tenant Attach.
Requisiti
Per poter procedere con l’attivazione di Tenant Attach, è necessario disporre dei seguenti requisiti:
- Una subscription Azure;
- Un account con diritti di Global Administrator
- Sarà utilizzato all’interno della console di Configuration Manager per eseguire l’onboarding;
- Un account con diritti di Full Administrator sull’infrastruttura Configuration Manager;
-
- Il server Configuration Manager dovrà essere in grado di raggiungere i seguenti endpoint:
- https://aka.ms/configmgrgateway
- https://*.manage.microsoft.comUn account utilizzato per eseguire le azioni sui device con le seguenti caratteristiche:
- Discoverato dal processo Azure Active Directory User discovery (funzionalità da attivare dalla sezione Features su Configuration Manager) e Active Directory User discovery;
- Questo significa che l’account utilizzato deve essere un oggetto utente sincronizzato in Azure AD;
- Diritti di Notify Resource sulla classe di oggetti Collections su Configuration Manager;
- Diritti di Initiate Configuration Manager action all’interno della sezione Remote tasks su Microsoft Endpoint Manager Admin Center;
- Discoverato dal processo Azure Active Directory User discovery (funzionalità da attivare dalla sezione Features su Configuration Manager) e Active Directory User discovery;
- Il server Configuration Manager dovrà essere in grado di raggiungere i seguenti endpoint:
Attivazione della funzionalità
Riportiamo qui sotto una breve guida per poter attivare la funzionalità Tenant Attach:
- Accedere alla console Configuration Manager utilizzando l’account definito in precedenza con diritti di Full Administrator;
- Selezionare la sezione Administration dal ribbon presente nella parte inferiore della console;
- Espandere la folder Cloud Service e selezionare l’opzione Co-management;
- Dal ribbon presente in alto, selezionare la voce Configure Co-management;
- All’interno della sezione Tenant onboarding, premere sul pulsante Sign In ed utilizzare l’account Global Admin;
- Rimuovere il flag dall’opzione Enable automatic client enrollment for co-management per evitare che i dispositivi sincronizzati procedano automaticamente con l’enroll su Microsoft Intune;
- Premere sul pulsante Next;
NOTA: verrà visualizzato un warning indicando che verrà creata una nuova applicazione sul tenant Azure AD per permettere la sincronizzazione dei dati su Intune; premere sul pulsante Yes per proseguire.
- All’interno della sezione Configure upload, definire quali dispositivi sincronizzare con Microsoft Endpoint Manager;
- Selezionando l’opzione All my devices managed by Microsoft Endpoint Configuration Manager (raccomanded) verranno sincronizzati tutti i dispositivi presenti nell’infrastruttura Configuration Manager;
- Selezionando l’opzione Specific collection sarà possibile definire un subset di dispositivi;
- Premere sul pulsante Next per completare la procedura;
Per accertarsi del corretto completamento della procedura, risulta necessario verificare la presenza della nuova applicazione sul tenant Azure AD; per fare questo seguire gli step sotto indicati:
- Accedere al portale Azure utilizzando l’account definito in precedenza con diritti di Global Administrator;
- Dalla pagina Home, selezionare l’opzione Azure Active Directory (se non presente cercarlo attraverso l’apposito campo di ricerca presente in alto);
- Dal ribbon presente sulla sinistra, selezionare la voce Enterprise Application presente all’interno della sezione Manage;
- Dall’elenco delle applicazioni presenti, accertarsi che risulti presente una nuova applicazione denominata ConfigMgrSvc_ seguito da un GUID identificativo;
Come riportato in precedenza, questa applicazione verrà utilizzata per la sincronizzazione dei dati tra Microsoft Endpoint Configuration Manager e Microsoft Intune.
Come eseguire azioni sui dispositivi
Attraverso il portale Microsoft Intune, è possibile forzare alcune azioni sui dispositivi sincronizzati. Allo stato attuale, il numero di azioni risulta essere limitato ma Microsoft ha più volte sottolineato che sta lavorando per aggiungere progressivamente sempre più azioni:
- Accedere al portale Intune utilizzando un account con diritti amministrativi;
- Dalla pagina Home, selezionare l’opzione Devices;
- Dal ribbon presente sulla sinistra, selezionare la voce All devices per visualizzare tutti i device presenti sul portale;
- Dall’elenco visualizzato, selezionare il dispositivo interessato (tutti gli oggetti sincronizzati risulteranno avere il campo Managed by valorizzato a ConfigMgr);
- A questo punto, sarà possibile eseguire le seguenti azioni sul dispositivo:
- Forzare un aggiornamento delle Machine Policy;
- Forzare un aggiornamento delle User Policy;
- Forzare un ciclo di valutazione delle applicazioni;
- All’interno della sezione Client details (attualmente ancora in preview) sarà possibile visualizzare alcune informazioni dettagliate riguardanti il device e lo stato di comunicazione con il server Configuration Manager come:
- Ultima volta che è stata eseguita una richiesta di aggiornamento policy;
- Ultima volta che il dispositivo ha comunicato con l’infrastruttura CM;
- Management Point di riferimento;
- Boundary Group associati;
- All’interno della sezione Collections (anche in questo caso, attualmente in preview) sarà possibile visualizzare tutte le collection di cui fa parte il dispositivo.
Riferimenti
Si riportano alcuni utili riferimenti alla documentazione ufficiale Microsoft:
- Configure discovery methods for Configuration Manager (Azure AD Discovery)
- Troubleshooting tenant attach and device actions
- In development for Microsoft Endpoint Manager (Device Management)
Conclusioni
In questo articolo è stata riportata una delle nuove funzionalità disponibili su Configuration Manager Current Branch versione 2002 che da il via ad una gestione sempre più centralizzata dei device aziendali.
La vision e la strategia di Microsoft riguardo il Modern Management è quella di consentire ai dipendenti di poter lavorare come, quando e dove vogliono, garantendo al tempo stesso la sicurezza e la protezione dei dati aziendali.