panoramica completa - ist · enterprise mobility suite enterprise mobility suite (ems) fornisce una...

Microsoft Partner Network – For Partner internal use

Panoramica Completa

Enterprise Mobility Suite


• Introduzione ad Enterpise Mibility Suite

• Gestione identità e accessi tramite Azure AD Premium e AD RMS

• Microsoft Intune per la gestione dei dispositivi mobili

Agenda

Una delle sfide di oggi è mantenere gli utenti produttivi

tenendo protette le informazioniaziendali


La Mobilità è la nuova normalità

52% dei lavoratori in 17 Paesi

diversi riportano di usare tre o

più device per lavorare*

52%

90% delle aziende avranno

due o più sistemi operativi

mobili come supporto nel

2017**

90%

>80% dei dipendenti

ammettono di usare

applicazioni software-as-a-

service (SaaS) non approvate

nel loro lavoro***

>80%

* Forrester Research: “BT Futures Report: Info workers will erase boundary between enterprise & consumer technologies,” Feb. 21, 2013** Gartner Source: Press Release, Oct. 25, 2012, http://www.gartner.com/newsroom/id/2213115*** http://www.computing.co.uk/ctg/news/2321750/more-than-80-per-cent-of-employees-use-non-approved-saas-apps-report


Cosa guida il cambiamento?

Dispositivi Apps Dati


Fornisce Single Sign On tra le Applicazioni Cloud

Abilita la gestione basata sul Cloud dei Device tra diversi SO (iOS, Android)

Opportunità estese di Protezione dei Dati

Licensing semplificato

Enterprise Mobility Suite

Enterprise Mobility Suite (EMS) fornisce una visione IT People-Centric (PCIT) basata sul cloud Microsoft con una

combinazione di prodotti che integrano la gestione di identità ibride, la gestione di dispositivi mobili,

un’autenticazione rafforzata e la protezione dei dati, tutto in una semplice licenza

Microsoft Azure Active Directory Premium

EMSMicrosoft Azure Rights Management Service

Microsoft Intune

Diverse Opportunità di acquisto con EMS

Office 365 Microsoft Devices Cloud & Mobile Apps System Center


Windows Intune

Gestione impostazioni

dispositivi mobili

Gestione applicazioni

Mobile

Wipe selettivo

Microsoft Azure Active Directory Premium

Report sicurezza, report

audit, multi-factor

authentication

Reset password in

modalità Self-service e

gestione gruppi

Connessione tra Active

Directory e Azure Active

Directory

Cos’è Enterprise Mobility Suite?

Microsoft Azure Rights Management service

Protezione informazioni Connessione ai template

on-premises

Bring Your Own Key

http://www.surface.com/




Azure AD Premium e AD RMS

Gestione delle identità e degli accessi


Active Directory e Azure Active Directory


Scenari gestione identità


Opzioni per l’integrazione


Prodotti per la sincronizzazione gratuiti

Azure Active Directory Synchronization Tool

DirSync

Azure Active Directory Synchronization Services

AAD Sync


• Verifiche Active Directory

• Utilizzare IdFix

• Verificare i domini DNS in Office 365

• Aggiungere prima della sync per preservare gli UPN

• Preparare server sincronizzazione

• Domain controller supportato, ma non consigliato in produzione

• Server AADSync deve dialogare con tutti i DC di tutti i domini

• Valutare Azure IAAS

• Migrare da DirSync o FIM 2010

• Disinstallazione / Reinstallazione

• Installazione Side-by-side

• Foresta

• Forest Functional Level Windows Server 2003

Prima di installare AAD Sync

http://aka.ms/aadsync

http://aka.ms/aadsync


• Ogni utente con indirizzo di posta elettronica valido e univoco nell'attributo proxyAddresses

• Valore univoco e valido per l'attributo userPrincipalNamenell'oggetto user dell'utente

• Per l’utilizzo ottimale della GAL verificare la correttezza dei seguenti attributi:

• givenName, surname, displayName, Job Title, Department, Office, Office Phone, Mobile Phone, Fax Number, Street Address, City, State or Province, Zip or Postal Code, Country or Region

Preparazione Active Directory


IdFix


IdFix – quali errori verifica

proxyAddresses duplicati

Caratteri non validi

Attributi troppo lunghi

Errori formato attributi

Verifica utilizzo di domini « non-routable»

Attributi obbligatori non vuoti

mailNickName

proxyAddresses

sAMAccountName

targetAddress

userPrincipalName

Microsoft Partner Network – For Partner internal usehttp://msdn.microsoft.com/en-us/library/azure/dn757602.aspx#BKMK_ConfigureSynchronizationOptions

Installazione e configurazione AAD Sync

http://msdn.microsoft.com/en-us/library/azure/dn757602.aspx#BKMK_ConfigureSynchronizationOptions


• Possibilità di scegliere un’istanza SQL Server differente

• Possibilità di configurare il servizio usando un utente di servizio personalizzato

• Dopo l’estrazione dei file, interrompere il wizard di configurazione ed eseguire il seguente comando:

DirectorySyncTool.exe

/sqlserver localhost

/sqlserverinstance nomeIstanza

/serviceAccountDomain nomeDominio

/serviceAccountName nomeUtente

/serviceAccountPassword passwordUtente

Installazione personalizzata


Feature di Azure AD in Office 365

Features Office 365

Common features

Directory as a service No object limit

User and group management using UI or Windows PowerShell cmdlets

Access Panel portal for SSO-based user access to SaaS and custom applicationsUp to 10 apps per

user

User-based application access management and provisioning

Self-service password change for cloud users

Directory synchronization tool–For syncing between on-premises Active Directory and Azure AD

Standard security reports 3 standard reports

Premium and Basic

features

High availability SLA uptime (99.9%)

Group-based application access management and provisioning

Customization of company logo and colors to the Sign in and Access Panel pages

Self-service password reset for cloud users

Application proxy

Premium-only feature

Self-service group management for cloud users

Self-service password reset with on-premises write-back

Microsoft Identity Manager (MIM) server licenses–For syncing between on-premises databases

and/or directories and Azure Active Directory

Advanced anomaly security reports (machine learning-based)

Advanced application usage reporting

Multi-Factor Authentication service for cloud users Limited features

Multi-Factor Authentication server for on-premises users


Reset Password in O365 ed Azure AD

Subscription User type Password reset Change password

Office 365 Cloud userSelf-service password

resetPassword changed once signed in

Office 365Synchronized on-premises

user

User must contact the

tenant administratorPassword changed once signed in

Azure AD

Premium or

Enterprise

Mobility Suite

Cloud user or synchronized

on-premises user

Self-service password


Office 365 and

Azure AD

Premium or

Enterprise

Mobility Suite

Cloud user or synchronized

on-premises user

Self-service password


NoneCloud user or synchronized

on-premises userContact administrator Password changed once signed in


Rights Management Services


• Azure Azure Rights Management proteggere i vostri dati sensibilida accessi non autorizzati e controlla come utilizzare le informazioni in essi contenuto

Cos’è e a cosa serve


Come funziona


• Ci sono 3 versioni di RMS

• Active Directory RMS

• Office 365 RMS

• Azure Active Directory RMS

• Active Directory RMS è la versione on-premise di RMS (disponibilecome ruolo di Windows). Non ha le stesse caratteristiche di AAD RMS

• Office 365 RMS è una versione gratuita di AAD RMS (limitata a 3 template di default)

• AAD RMS è la versione più completa, flessibile e maggiormentecompatibile

AD RMS, O365 RMS e AAD RMS


La piattaforma di gestione dei device aziendali

Microsoft Intune


Agenda

• Nuovi scenari, nuovi dispositivi

• Le funzionalità di Microsoft Intune

• Requisiti

• Modalità di utilizzo

• Gestione dispositivi mobili


Nuovi scenari, nuovi dispositivi


Sfide nella gestione dei PC e dei device


I trend relativi alla gestione dei dispositivi


Utenti e Dispositivi

• Scelta dispositivi differenti

• Accesso self-service alle applicazioni

• Accesso personalizzato alle applicazioni

• Gestione dei dispositivi non invasiva

• Gestione dei dispositivi da una unica console

• Distribuire le applicazioni agli utenti (e ai dispositivi)

• Strumenti integrati per la gestione della sicurezza

• Ridurre le complessità di gestione

Accesso alle risorse e

applicazioni aziendali

Console

unificata


Microsoft Intune


La soluzione offerta da Microsoft Intune

Fornire una gestionesemplificata, di livelloenterprise con costiminori e maggiore

produttività

Semplificare la gestionee indirizzare nuove

esigenze senza costiaggiuntivi, eliminando

costi inutili

Dare agli utenti

strumenti moderni e agli

amministratori le ultime

funzionalità disponibili

Consentire agli utenti di lavorare ovunque e in qualsiasi momento con

gli strumenti di cui hanno bisogno


Microsoft Intune è…


Una piattaforma in continuo rinnovamento


Le funzionalità di Microsoft Intune


Funzionalità di Microsoft Intune

Dispositivi Mobili


Funzionalità Microsoft Intune

• Microsoft Intune Endpoint Protection

• Stesso motore di Security Essentials e System Center Endpoint Protection

• Funzionalità antimalware e protezione da attacchi di rete

• Gestione degli aggiornamenti e delle configurazioni di sicurezza centralizzati


Tipologie di Policy (o «Criteri») distribuibili

• Criteri di protezione del dispositivo mobile• Policy cifratura, PIN, Exchange Active Sync

• Impostazioni agente di Microsoft Intune• Antivirus, Aggiornamenti, utilizzo banda rete

• Impostazioni di Windows Firewall• Eccezioni servizi, gestione profili Dominio, Rete privata, Rete Pubblica

• Impostazioni di Microsoft Intune Center• Contatti di riferimento del dipartimento IT

• https://technet.microsoft.com/en-us/library/dn646955.aspx

https://technet.microsoft.com/en-us/library/dn646955.aspx



• Distribuzione software Microsoft e terze parti

• Distribuzione «forzata» da parte dell’amministratore, oppure on-demand dal Company Portal

• Distribuzione aggiornamenti Microsoft

• Integrato con Microsoft Update, gestione dinamica regole di approvazione

• Aggiornamenti software terze parti


Distribuzione applicazioni

• Applicazioni Windows “classiche” per il desktop

• Applicazioni per il Windows Store • Windows 10, Windows 8.1 e Windows RT

• Applicazioni per Windows Phone 8.x

• Applicazioni iOS

• Applicazioni Android

• Link esterni ad applicazioni web

• Link ad applicazioni ospitate store/marketplace esterni• Windows 10, Windows 8, Windows RT, Windows Phone 8, iOS e Android


Distribuzione applicazioni Windows «classiche»

• Installer in formato .msi o .exe con installazione «silent»• Non deve essere necessaria l’interazione dell’utente

• Il caricamento avviene tramite una procedura guidata

• Possibile stabilire i requisiti dell’applicazione• Piattaforma 32 o 64 bit, sistemi operativi

• È possibile passare parametri personalizzati ad installer .exe


Distribuzione applicazioni Windows «classiche»

• I file vengono caricati sullo storage di Windows Azure• 20 GB inclusi con il servizio, storage aggiuntivo acquistabile separatamente

• Una volta eseguito il caricamento è possibile configurare la distribuzione• Utenti: «Installazione disponibile»

• Computer: «Installazione richiesta»• Scadenza per l’installazione obbligatoria

• http://technet.microsoft.com/library/jj662647.aspx

http://technet.microsoft.com/library/jj662647.aspx


Microsoft Intune e il sidelaoding delle App

• Supporto per distribuzione applicazioni aziendali su dispositivi Windows 10, Windows 8.1, Windows RT

• Microsoft Intune consente di distribuire a dispositivi Windows RT• Sideloading Product Key

• Certificato firma delle applicazioni

• Applicazioni



• Raccolta eventi dai sistemi gestiti

• Alcuni impostati in modo automatico, altri attivabili e personalizzabili

• Definizione regole di notifica personalizzabili

• Creazione ed esportazione report (html, csv)



• Inventario Hardware

• Inventario Software

• Integrato anche con le funzionalità di deployment

• Possibilità di gestire licenze Microsoft e terze parti


Report

• Report aggiornamenti

• Report software rilevato

• Report inventario computer

• Report acquisto licenza

• Report installazione licenza

• È possibile salvare report personalizzati

• Dati esportabili in formato CSV, HTML



• Supporto gestione diretta per dispositivi Windows RT, Windows Phone 8.x, iOS (4.0+), Android (inclusi Samsung con KNOX)

• Supporto attraverso EAS dei device Windows Phone 7 e Android (2.1+)

• Definizione regole di accesso al device (password)

• Distribuzione criteri di protezione per proteggere i dati conservati sul dispositivo

• Limitazione delle funzionalità del device (es. browser, fotocamera, iCloud,…)



• Self Service Portal per la distribuzione delle applicazioni e altri task (Windows 10, 8.1, 8 e Windows RT)

• Distribuzione applicazioni su dispositivi Android e iOS (via browser)

• Acesso alla raccolta di applicazioni LOB app e collegamento alle app pubbliche selezionate dall’IT

• Gestione autonoma dei device associati all’utente (cancellazione dei dati, aggiunta di un nuovo dispositivo)

• Invio richiesta di supporto



• Nuovo approccio incentrato sull’utente

• Integrazione con Active Directory e possibilità di sincronizzazione con i servizi online, che consente di riutilizzare gli account utente e i gruppi di sicurezza esistenti

• Connector per System Center Configuration Manager

• SCCM 2012 SP1 e successivi


Requisiti


Sistemi Operativi supportati

• Windows 10 Pro, Enterprise

• Windows 8.1 Pro, Enterprise

• Windows 8 Pro, Enterprise

• Windows 7 Enterprise, Ultimate, Professional

• Windows Vista Enterprise, Ultimate, Business

• Windows XP Professional, Service Pack 3

• Windows RT e Windows RT 8.1• Gestione tramite “direct management”


Requisiti minimi per l’accesso al Portale Mobile

• Microsoft Windows Phone 7

• Google Android 2.3.4

• Apple iOS 5.0


Requisiti minimi gestione applicazioni mobili

• Windows RT• .appx

• Windows Phone 8• .xap

• Google Android 2.1• .apx

• Apple iOS 5.0• .ipa; manifest .plist


Altri requisiti

• Windows Installer 3.1

• Windows Filtering Platform Update• http://go.microsoft.com/fwlink/?LinkID=223778

• Non devono essere presenti gli Agent di• System Center Configuration Manager

• System Management Server

• Pianificare se utilizzare Microsoft Intune Endpoint Protection e rimuovere eventuali altri antivirus

http://go.microsoft.com/fwlink/?LinkID=223778


Modalità di utilizzo di Intune


Differenti modalità di utilizzo

• Microsoft Intune in modalità “solo cloud”• Gestione dalla console web di dispositivi Windows Client (Pro, Enterprise), Windows RT,

Windows Phone 8.x, Apple iOS, Android

• Microsoft Intune in modalità mista “cloud & on premise”• Integrazione con Active Directory ed Exchange

• Sincronizzazione di gruppi ed account con Active Directory

• Discovery e gestione dei dispositivi che supportano Exchange ActiveSync - EAS

• Microsoft Intune & System Center Configuration Manager• Gestione integrata di client e dispositivi mobili da un’unica console

• Utilizza il Microsoft Intune Connector

• Sono disponibili tutte le funzionalità di System Center Configuration Manager


Intune ed Exchange Active Sync


Configurazione dell’Exchange Connector

• È necessario aver configurato la sincronizzazione di Active Directory• Microsoft Directory Syncronization Tool

• Windows Azure Active Directory

• Va eseguita la verifica del dominio

• Si attivano gli utenti che sono stati sincronizzati nella console di Microsoft Intune

• Va impostata la «Mobile Device Management Authority»

• Va installato l’Exchange Connector

• Vanno configurati i permessi sulle cmdlet PowerShell


Requisiti Exchange Connector

• Windows Server 2012, Windows Server 2008 R2, Windows Server 2008 SP2 (64-bit)• Server Core non supportato

• Microsoft .NET Framework 4

• Windows PowerShell 2.0

• Il computer deve appartenere al dominio in cui è presente Exchange, o ad un dominio in trust

• Non può essere installato in una macchina che ha attivo un ruolo Exchange

• Richiede l’esistenza di un Service Account dedicato, che possa eseguire le cmdlet di gestione• Vanno configurati i permessi


Microsoft Intune e Active Directory


Microsoft Intune e Active Directory

• È possibile sincronizzare l’infrastruttura Active Directory locale con l’infrastruttura nel cloud• Microsoft Intune, Office 365, Windows Azure

• Vanno gestite le sovrapposizioni di policy tra Microsoft Intune e le Group Policy di AD

• Con Windows 10 è anche possibile utilizzare Azure Active Directory• Enrollment mediante Azure AD Join


Active Directory Syncronization - Requisiti

• Computer Domain Joined• non può essere un Domain Controller

• non può essere la macchina che ha Active Directory Federation Services (ADFS) 2.0

• Utilizza un service account dedicato

• Microsoft .NET Framework 3.x

• Windows PowerShell

• Installa SQL Server 2008 R2 Express• Se ci sono più di 50.000 oggetti in AD serve un’istanza SQL Server dedicata

• Verifica infrastruttura con Microsoft Deployment Readiness Tool• http://go.microsoft.com/fwlink/p/?linkid=235650

http://go.microsoft.com/fwlink/p/?linkid=235650


Group Policy e Policy di Microsoft Intune

• È necessario evitare la sovrapposizione delle stesse policy• Isolare i computer gestiti da Microsoft Intune in una Organizational Unit separata

• Bloccare la Group Policy Inheritance

• Filtrare le GPO per evitare la loro applicazione sui client• Tramite filtri WMI

• Ad esempio: Namespace:root\WindowsIntune Query: SELECT WindowsIntunePolicyEnabled FROM WindowsIntune_ManagedNode WHERE WindowsIntunePolicyEnabled=0

• Creando un Security Group dedicato

• Eliminando le impostazioni che sono in sovrapposizione/conflitto


Auzure AD Join


Azure AD Join


Integrazione con System Center Configuration Manager 2012 R2


Gestione semplificata di piattaforme differenti

Dispositivi e Piattaforme

IT

Microsoft Intune

Console

unificata


Microsoft Intune Connector

• Da integrare con System Center Configuration Manager 2012 R2

• Consente di gestire i dispositivi mobili tramite Microsoft Intune utilizzando direttamente la console di Configuration Manager

• Requisiti, funzionalità e configurazione:• http://technet.microsoft.com/library/jj884158.aspx



Gestione dei dispositivi mobili


Modalità di gestione dei dispositivi mobili 1/2

• Gestione tramite Exchange Active Sync• Compatibile con i dispositivi che supportano EAS, incluso Windows Phone 7.x, Android,

Windows RT, Windows Phone 8, iOS

• Consente di:• Gestire policy di sicurezza: PIN, cifratura, ...

• Gestire quali dispositivi possono accedere tramite EAS

• Aggiungere, rinominare ed eliminare dispositivi

• Eseguire la cancellazione (wipe) da remoto dei dispositvi


Modalità di gestione dei dispositivi mobili 2/2

• Gestione diretta• Compatibile con dispositivi Windows RT, Windows Phone 8, iOS

• Stesse funzionalità della gestione tramite EAS, in più:• Distribuzione (sideloading) di applicazioni aziendali

• Link ad applicazioni pubblicate negli store/marketplace proprietari

• Impostazioni di sicurezza più granulari


«Mobile Device Management Authority»

• Due opzioni:• Solo Microsoft Intune

• System Center Configuration Manager 2012 R2 e Microsoft Intune• Successivamente è necessario configurare il Microsoft Intune Connector

• Al momento, una volta fatta la scelta, non è possibile cambiarla

• Documentazione• https://technet.microsoft.com/en-us/library/dn957912.aspx

• http://technet.microsoft.com/library/jj884158.aspx

https://technet.microsoft.com/en-us/library/dn957912.aspx



Gestione diretta di dispositivi iOS

• Scelta della «Mobile Device Management Authority»

• Abilitazione e provisioning degli utenti in Microsoft Intune

• Inserimento dell’Apple Push Notification (APN) Certificate

• Documentazione di approfondimento• https://technet.microsoft.com/it-it/library/dn408185.aspx

• https://technet.microsoft.com/it-IT/library/dn818906.aspx

• https://technet.microsoft.com/it-IT/library/dn878025.aspx

https://technet.microsoft.com/it-it/library/dn408185.aspx

https://technet.microsoft.com/it-IT/library/dn818906.aspx

https://technet.microsoft.com/it-IT/library/dn878025.aspx


Gestione diretta di dispositivi Windows RT



• Rilevamento automatico del Microsoft Intune Enrollment server• Configurato come CNAME nel DNS pubblico dell’azienda

• Impostato manualmente nei dispositivi: enterpriseenrollment-s.manage.microsoft.com

• Richiesta delle Sideloading Product Keys• Necessarie per il deployment delle applicazioni LOB

• Certificato per il code-Signing • Necessario per firmare digitalmente le applicazioni LOB da distribuire


Gestione diretta di dispositivi Windows Phone 8



• Rilevamento automatico del Microsoft Intune Enrollment server• Configurato come CNAME nel DNS pubblico dell’azienda

• Impostato manualmente nei dispositivi: enterpriseenrollment-s.manage.microsoft.com

• Creazione di un un account Aziendale nel Windows Phone Dev Center

• Richiesta di un «Enterprise Mobile Code-signing Certificate», Symantec• Caricamento del certificato nel Microsoft Intune Portal

• Distribuzione sui dispositivi del «Company Portal»• L’applicazione base va firmata con il certificato e deve essere effettuato il suo upload su

Microsoft Intune, per poter essere distribuita sui dispositivi


Windows Developer Center – Company Accounts

• Registrazione• http://msdn.microsoft.com/library/windowsphone/help/jj206719.aspx

• Validazione• http://msdn.microsoft.com/library/windowsphone/help/jj244361.aspx

• Creazione del «Tax Profile»• http://msdn.microsoft.com/library/windowsphone/help/jj206722.aspx

http://msdn.microsoft.com/library/windowsphone/help/jj206719.aspx



© 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for

informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentations. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on

the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN

THIS PRESENTATION.

Grazie!

Contatti:

E-mail: [email protected]

Telefono: 02 3859 1433 – Opzione 5

panoramica completa - ist · enterprise mobility suite enterprise mobility suite (ems) fornisce una...

Documents