Shared device: le soluzioni per i firstline worker

Davide SalsiEnterprise Mobility, Microsoft Intune

Uno studio condotto da Microsoft ha determinato che, sulla totalità della forza lavoro globale, sono circa 2 miliardi i firstline worker; queste persone sono coinvolte nelle operazioni quotidiane dell’azienda e devono essere l’elemento fondante su cui basare la trasformazione digitale di ogni realtà aziendale.

Purtroppo, stando a quanto riportato dal sondaggio condotto dal colosso di Redmond, solamente il 20% dei firstline worker risulta essere coinvolto in processi di digital transformation e questo potrebbe avere forti impatti sul business delle aziende; a tal proposito, è necessario fornire a questi lavoratori tutti gli strumenti necessari per lavorare nel migliore dei modi e rendere così i processi produttivi maggiormente flessibili.

In questo articolo andremo a trattare le varie modalità di gestione condivisa dei dispositivi messe in campo dalle 3 più importanti società tecnologiche: Microsoft, Google e Apple.

Benefici e casi d’uso

La capacità di lavorare con sistemi di intelligenza artificiale (AI) e con strumenti di automazione è la chiave per lo sviluppo di una forza lavoro moderna e di successo.

Attraverso l’adozione di dispositivi condivisi, è possibile munire i lavoratori in prima linea di un PC o di un device mobile fornendo un’esperienza multiutenza gestita e, nel contempo, mantenendo la sicurezza delle informazioni aziendali presenti.

I benefici che l’utilizzo di device condivisi può portare all’azienda sono molteplici, riportiamo qui sotto alcuni di questi:

  • Efficienza nella comunicazione: attraverso l’integrazione con Azure AD, è possibile consentire ad ogni lavoratore di accedere con le proprie credenziali aziendali a Microsoft Teams; con l’utilizzo di questa piattaforma, è possibile comunicare in modo semplice e veloce.
  • Protezione e gestione centralizzata dei device: con Microsoft Endpoint Manager, è possibile gestire in modo centralizzato i device condivisi e proteggere le informazioni in essi contenuti.
  • Aumentare la mobilità: attraverso l’adozione di device condivisi, i lavoratori in prima linea sono in grado di accedere alle applicazioni e alle informazioni aziendali ovunque si trovino riuscendo a gestire allo stesso tempo le molteplici turnazioni.

Microsoft Windows Shared PC

A partire da Windows 10 versione 1607, Microsoft ha introdotto una nuova funzionalità denominata Shared PC; attraverso questa funzionalità, è possibile fornire ai firstline worker un dispositivo Windows 10 condiviso dove poter accedere in modo semplice alle risorse aziendali.

Riportiamo qui sotto gli step necessari per eseguire il provisioning dei sistemi Windows 10 nella modalità Shared.

Creazione Autopilot Deployment Profile

Per gestire i propri dispositivi attraverso la metodologia Shared PC, come prima cosa, è necessario creare un nuovo deployment profile relativo ad Autopilot in modalità Self-deploying (tale funzionalità richiede la presenza del TPM 2.0):

  • Accedere alla console Microsoft Endpoint Manager con credenziali amministrative;
  • Selezionare Devices – Windows – Windows Enrollment – Deployment Profile;
  • Premere sul pulsante Create e selezionare dal menu a tendina l’opzione Windows PC;
  • Inserire il nome del profilo di registrazione ed una eventuale descrizione;
  • Impostare lo slider a Yes per l’opzione Convert all targeted devices to Autopilot.
  • Procedere con il wizard attraverso il pulsante Next;
  • Selezionare la modalità di deployment Self-Deploying (preview);
  • Impostare, se necessario, il linguaggio dell’OS, la configurazione automatica della tastiera e l’applicazione di un template per il nome da assegnare al dispositivo;
  • Procedere con il wizard attraverso il pulsante Next;
  • Concludere il processo di creazione del deployment profile con l’assegnazione ad un gruppo Azure AD;

NOTA: si presuppone che i device risultino essere già registrati sul servizio Windows Autopilot.

Creazione Configuration Profile

Al termine della creazione del profilo di deployment, risulta necessario procedere con la creazione di un nuovo Configuration Profile per definire la modalità di registrazione dei dispostivi sul portale Microsoft Endpoint Manager.

  • Selezionare Devices – Windows – Configuration Profile;
  • Premere sul pulsante Create profile;
  • Selezionare dal menu a tendina Platform l’opzione Windows 10 and later e dal menu Profile Type selezionare Templates e successivamente Shared multi-user device;
  • Premere sul pulsante Create per avviare la procedura di creazione del profilo;
  • Inserire il nome del profilo di configurazione ed una eventuale descrizione;
  • Impostare lo slider a Enable per l’opzione Shared PC mode.
  • Selezionare dal menu a tendina Guest account l’opzione Guest;
  • Successivamente, dal menu Account management, selezionare l’opzione Enable e configurare le successive opzioni come segue:
    • Account Deletion: At storage space threshold
    • Start delete threshold(%): 10
    • Stop delete threshold(%): 20
  • Nel caso in cui si voglia inibire l’accesso alle risorse locali, impostare l’opzione Local Storage a Disabled;
  • Procedere con la configurazione dei restanti campi sulla base delle proprie necessità;
  • Procedere con il wizard attraverso il pulsante Next;
  • Concludere il processo di creazione del Configuration Profile con l’assegnazione ad un gruppo Azure AD;

Una volta completato tale processo, sarà possibile registrare i device Windows 10 nella modalità Shared fornendo la seguente user-experience ai propri utenti:

Figura 1 – Schermata di logon
Figura 2 – Blocco accesso a storage locale

Android Enterprise Dedicated con Azure AD shared

La modalità Android Enterprise Dedicated device con Azure AD shared permette di configurare i propri dispositivi Android in modalità condivisa con la possibilità di autenticarsi con le credenziali Azure AD fornendo così un’esperienza utente personalizzata. Per poter procedere con la registrazione dei propri dispositivi Android in questa modalità, è necessario disporre dei seguenti prerequisiti:

  • Android 6.0 o versioni successive;
  • I dispositivi dovranno eseguire una distribuzione di Android che include i Google Mobile Services (GMS) e la possibilità di connettersi ad essi;
  • Impostare l’autority MDM su Microsoft Intune (vedi dettagli);
  • Configurazione account Managed Google Play su Microsoft Intune (vedi dettagli);

Per permettere di distribuire i propri device nella modalità Dedicated, è necessario creare un profilo di registrazione; questo profilo fornirà un token di registrazione (stringa) oppure un QR code che dovrà essere utilizzato per consentire la registrazione dei device in questa modalità.

Riportiamo qui sotto gli step necessari per creare un nuovo Enrollment Profile:

  • Accedere alla console Microsoft Endpoint Manager con credenziali amministrative;
  • Selezionare Devices – Android – Android Enrollment – Corporate-owned dedicated devices;
  • Premere sul pulsante Create Profile;
  • Inserire il nome del profilo di registrazione ed una eventuale descrizione;
  • Impostare la scadenza del token di registrazione (non è possibile impostare una scadenza oltre i 90 giorni dalla data di creazione);
  • Proseguire con il wizard di creazione attraverso il pulsante Next e confermare la creazione attraverso il pulsante Create.

Per gestire al meglio la distribuzione delle configurazioni/applicazioni sul sottoinsieme di device registrati con il profilo sopra citato, risulta necessario procedere con la creazione di un gruppo dinamico lato Azure AD; nelle configurazioni del gruppo Azure AD sarà solamente necessario impostare i seguenti parametri all’interno della membership rule:

  • Property: enrollmentProfileName
  • Operator: Equals
  • Value: <nome_enrollment_profile >

Sui dispositivi sarà inoltre possibile aggiungere applicazioni pubbliche, private oppure applicazioni web attraverso il Managed Google Play Store; tali app saranno poi installate automaticamente una volta eseguita la registrazione del device. Una delle applicazioni che risulta necessario distribuire in modalità Required risulta essere Microsoft Managed Home Screen; per maggiori dettagli su come aggiungere app attraverso il Managed Google Play Store, fare riferimento al seguente link.

A questo punto, possiamo procedere con l’effettiva creazione della policy di configurazione che andrà a predisporre i device nella modalità di gestione Dedicated:

  • Accedere alla console Microsoft Endpoint Manager con credenziali amministrative;
  • Selezionare Devices – Configuration Profiles – Create profile;
  • Dal menu a tendina Platform selezionare la voce Android Enterprise;
  • Dal menu a tendina Profile, all’interno della sezione Fully Managed, Dedicated, and Corporate-Owned Work Profile, selezionare la voce Device restrictions;
  • Proseguire con la creazione del profilo attraverso il pulsante Create;
  • Inserire il nome ed una eventuale descrizione del profilo di configurazione;
  • Premere sul pulsante Next;
  • All’interno della sezione Device experience, dal menu a tendina Enrollment profile type, selezionare la voce Dedicated device;
  • Successivamente selezionare la voce Multi-app dal menu Kiosk mode;
Figura 3 – Configurazione Android Dedicated device
  • Impostare lo slider a Enable per l’opzione Custom app layout;
  • Impostare la dimensione della griglia che sarà impostata come home screen;
  • Attraverso i vari pulsanti di aggiunta, in base alla posizione che si vuole assegnare, selezionare le varie applicazioni che dovranno essere visualizzate dagli utenti;
Figura 4 – Configurazione Home Screen
  • Una volta definite le applicazioni, sarà inoltre possibile configurare alcuni settings lato device sulla base delle proprie esigenze, come ad esempio:
    • Orientamento dello schermo;
    • Possibilità di uscire dalla modalità kiosk attraverso l’utilizzo di un PIN;
    • Impostazione di uno sfondo predefinito;
    • Impostazione delle connessioni Wi-Fi alle quali è possibile collegarsi;
  • Premere sul pulsante Next;
  • Premere sulla voce Select groups to include e selezionare il gruppo dinamico creato in precedenza;
  • Premere nuovamente sul pulsante Next;
  • Verificare nella schermata di riepilogo le impostazioni configurate e premere sul pulsante Create per confermare la creazione della nuova policy.

A questo punto, è possibile procedere con la registrazione del dispositivo attraverso una delle metodologie riportate nel paragrafo Riferimenti sottostante.

Figura 5 – User-experience Android Enterprise Dedicated

Apple Shared iPad

Anche il colosso di Cupertino ha messo a disponibile una funzionalità di gestione condivisa dei device; la funzionalità Shared iPad, disponibile a partire dalla versione 13.4, permette a più utenti di collegarsi al medesimo dispositivo utilizzando un Managed Apple ID oppure un utente guest. Per poter procedere con la registrazione dei propri dispositivi Android in questa modalità, è necessario disporre dei seguenti prerequisiti:

Requisiti Hardware:

  • iPad Pro, iPad (5° generazione o edizioni successive), iPad Air 2 (o edizioni successive), iPad mini (4° generazione o edizioni successive);
  • iPadOS 13.4 o versioni successive;
  • Almeno 32GB di spazio;

Requisiti Infrastruttura:

  • Configurazione di un Apple Device Enrollment token lato Intune (per maggiori dettagli, vedi link);
  • Federation attiva su Apple Business Manager (per maggiori dettagli, vedi link);
  • Provisioning automatico degli utenti Azure AD su Apple Business Manager (per maggiori dettagli, vedi link);

La configurazione dei device Apple in questa modalità, come per i device Android, viene ottenuta attraverso la predisposizione di un nuovo profilo di registrazione; riportiamo qui sotto gli step necessari:

  • Accedere alla console Microsoft Endpoint Manager con credenziali amministrative;
  • Selezionare Devices – iOS/iPadOS – iOS/iPadOS Enrollment – Enrollment program tokens;
  • Selezionare l’Enrollment token registrato;
  • All’interno della sezione Profiles, premere sul pulsante Create profile e dal menu a tendina selezionare l’opzione iOS/iPadOS;
  • Inserire il nome del profilo ed una eventuale descrizione;
  • All’interno della sezione Management Settings, dal menu a tendina User Affinity, selezionare la voce Enroll without User Affinity;
  • Configurare le seguenti opzioni come segue:
    • Supervised: Yes
    • Locked enrollment: Yes
    • Shared iPad: Yes
  • Una volta definita la metodologia di registrazione condivisa, sarà inoltre possibile configurare alcuni settings lato device sulla base delle proprie esigenze, come ad esempio:
    • Numero massimo di utenti che possono utilizzare Shared iPad;
    • Tempo massimo oltre il quale verrà richiesto l’inserimento del PIN;
    • Tempo massimo di inattività oltre il quale verrà eseguito il logoff della sessione;
    • Possibilità di accedere con soli utenti Guest;
Figura 6 – Configurazione Shared iPad
  • All’interno della sezione Setup Assistant, è possibile definire il dipartimento, il contatto telefonico e le finestre di configurazione che potranno essere visualizzate dagli utenti durante la procedura di registrazione;
  • Proseguire con il wizard di creazione attraverso il pulsante Next e confermare la creazione attraverso il pulsante Create.

È inoltre possibile impostare tale profilo come profilo di default da applicare ai nuovi device iPad; per fare questo, premere sul pulsante Set default profile (presente all’interno della sezione Devices > iOS/iPadOS > iOS/iPadOS enrollment > Enrollment program tokens > <Token> > Profiles) e dal menu a tendina iOS/iPadOS Enrollment Profile selezionare il profilo interessato.

Figura 7 – Configurazione default profile

Al termine di tale processo, sarà possibile registrare i device iPad nella modalità Shared; una volta avviato il device e dopo aver selezionato il linguaggio e la rispettiva location, l’utente dovrà solamente collegarsi ad una rete Wi-Fi per avviare la configurazione del dispositivo. Terminata la procedura di configurazione, verrà visualizzata la schermata di sign-in dove l’utente dovrà inserire le proprie credenziali aziendali.

A questo punto, verrà richiesto all’utente l’inserimento di un passcode che verrà richiesto ad ogni successivo accesso al dispositivo.

Figura 8 – Schermata primo accesso Shared iPad
Figura 9 – Schermata inserimento passcode Shared iPad

Riferimenti

Si riportano alcuni utili riferimenti alle documentazioni ufficiali:

Conclusioni

In questo articolo sono state fornite le informazioni necessarie per poter completare il processo di registrazione su Microsoft Intune dei vari device nella modalità Shared. Attraverso l’utilizzo di questa metodologia di gestione, è possibile dotare i propri firstline worker di un dispositivo totalmente integrato nella propria infrastruttura rendendo i processi aziendali più efficienti e coinvolgendo così tutto il personale nel percorso di digital transformation.