Skip to main content

Tecnologie Microsoft per l'informatica di consumo

Data di pubblicazione: 19 aprile 2011

L'ambiente di lavoro sta cambiando. I confini tra la vita professionale e privata degli utenti non sono più netti. Il lavoro non è confinato più all'ufficio. I dipendenti controllano la posta aziendale da casa durante la notte e aggiornano i social media in ufficio durante il giorno. Oltre ai computer desktop, utilizzano computer portatili, tablet e smartphone.

A questa tendenza, contribuisce l'aumento della capacità di elaborazione disponibile in una vasta gamma di dispositivi. I dispositivi per l'elettronica di consumo, tra cui smartphone e i tablet multimediali, stanno diventando sufficientemente potenti per eseguire applicazioni che in precedenza erano limitate ai computer desktop e portatili. Per molti utenti, tali dispositivi rappresentano il futuro dell'informatica e consentono loro di svolgere il proprio lavoro in modo più efficiente.

In un mondo in cui le infrastrutture IT altamente gestite possono sembrare inflessibili, gli utenti preferiscono utilizzare i diversi dispositivi per l'elettronica di consumo disponibili. Per l'IT, la sfida consiste nell'accogliere l'informatica di consumo in modo adeguato riducendo al minimo i rischi per l'azienda e i suoi dati. Molti dispositivi per l'elettronica di consumo non sono stati inizialmente progettati per l'utilizzo aziendale, pertanto i reparti IT devono effettuare un'attenta pianificazione per attivare il livello di gestione e controllo richiesti.

In qualità di azienda leader in tecnologie aziendali e per l'elettronica di consumo, Microsoft si trova in una posizione esclusiva per comprendere e fornire indicazioni su come accogliere in modo responsabile l'informatica di consumo all'interno delle aziende. In un precedente white paper intitolato Strategie per accogliere l'informatica di consumo, sono riportate specifiche strategie per accogliere le più recenti tendenze nell'ambito dell'informatica di consumo. In questo articolo vengono illustrate tecnologie specifiche consigliate nel white paper sopra menzionato nei vari scenari.

In questo articolo:


Windows Optimized Desktop

La soluzione Windows Optimized Desktop offre opzioni per l'elaborazione dei client finalizzate ad aumentare la produttività degli utenti, soddisfacendo contemporaneamente le esigenze aziendali e IT. Basata sul sistema operativo Windows 7, gestita da Microsoft System Center e protetta da Microsoft Forefront Endpoint Protection, la soluzione Windows Optimized Desktop comprende tecnologie di virtualizzazione con gestione integrata tra macchine fisiche e virtuali, tra cui infrastrutture VDI (Virtual Desktop Infrastructure). Aggiungendo poi Microsoft Office 2010, Windows Internet Explorer 9 e il Microsoft Desktop Optimization Pack (MDOP), garantiremo una maggiore produttività, gestibilità e protezione dei dipendenti.

In questa sezione verranno illustrate tecnologie specifiche incluse in Windows Optimized Desktop che consentono all'IT di accogliere dispositivi per l'elettronica di consumo su cui è in esecuzione Windows 7. Tali tecnologie consentono di risolvere problematiche, quali la gestione di applicazioni e dati utente, la salvaguardia di dati, la difesa della rete e la protezione della proprietà intellettuale nei relativi scenari.

Gestione delle applicazioni

Negli scenari dell'informatica di consumo, la gestione delle applicazioni consiste nel provisioning delle applicazioni e nel controllo delle applicazioni che possono essere eseguite dagli utenti nei propri computer. System Center Configuration Manager 2007 e Microsoft Application Virtualization (App-V) sono tecnologie di distribuzione chiave. Inoltre, AppLocker è una funzionalità di Windows 7 Enterprise che è possibile utilizzare per controllare l'accesso alle applicazioni.

Configuration Manager offre un insieme di strumenti e risorse avanzati che è possibile utilizzare per gestire la complessa attività di creazione, modifica e distribuzione dei pacchetti applicativi sui computer presenti nell'azienda. La distribuzione di applicazioni mediante un'infrastruttura di Configuration Manager esistente è straordinariamente semplice. Nell'articolo Administrator Workflows for Software Distribution (in inglese) disponibile su TechNet viene descritto il processo in dettaglio:

  1. Creare un pacchetto di distribuzione software contenente i file di installazione dell'applicazione.
  2. Creare un programma da includere nel pacchetto. Tra le altre opzioni, nel programma viene definito il comando necessario per installare il pacchetto applicativo.
  3. Distribuire il pacchetto ai punti di distribuzione.
  4. Annunciare il pacchetto ai computer dell'organizzazione.

Le organizzazioni che utilizzano System Center Essentials possono inoltre utilizzarlo per distribuire le applicazioni. Per ulteriori informazioni su Essentials, vedere System Center Essentials. Indicazioni tecniche per la distribuzione delle applicazioni è disponibile nella Guida operativa di System Center Essentials 2010.

Per controllare l'accesso alle applicazioni fisiche o virtuali, Windows 7 Enterprise offre AppLocker. AppLocker è una nuova funzionalità che sostituisce Criteri restrizione software delle precedenti versioni di Windows. Aggiunge capacità che consentono di ridurre il carico amministrativo e di controllare l'accesso degli utenti ai file di programma, agli script e ai file di Windows Installer. Utilizzando AppLocker per controllare l'accesso alle applicazioni fisiche, è possibile impedire l'esecuzione di applicazioni prive di licenza, dannose e non autorizzate.

Per utilizzare AppLocker, è necessario creare un oggetto Criteri di gruppo e definire le regole di AppLocker al suo interno. All'interno di una regola, è possibile consentire o negare l'accesso a un file di programma, script o file di Windows Installer relativo a un utente o gruppo specifico. Il file viene identificato in base agli attributi, tra cui l'autore, il nome del prodotto, il nome e la versione del file, inclusi nella firma digitale. Ad esempio, è possibile creare regole basate sugli attributi nome prodotto e versione file che vengono mantenuti attraverso gli aggiornamenti oppure è possibile creare regole destinate a una versione specifica di un file. Oltre a consentire o negare l'accesso a un file, è possibile definire eccezioni. Ad esempio, è possibile creare una regola che consenta l'esecuzione di tutti i programmi inclusi in Windows 7 fatta eccezione per l'Editor del Registro di sistema (regedit.exe).

AppLocker è sorprendentemente semplice da configurare e distribuire e offre procedure guidate che rendono la definizione delle regole per i file di programma, gli script e i file di Windows Installer immediata. Tuttavia, poiché AppLocker impedisce agli utenti di aprire o eseguire i file non definiti in modo esplicito in una regola, è necessario pianificare la distribuzione di AppLocker dopo aver esaminato un inventario delle applicazioni utilizzate nel proprio ambiente. Ulteriori informazioni sono disponibili nel documento intitolato AppLocker su TechNet.

Virtualizzazione dello stato utente

Un problema specifico dell'informatica di consumo deriva dal fatto che gli utenti lavorano su più di un computer. Lo scenario può rivelarsi problematico sia per gli utenti finali che per i professionisti IT. I file e le impostazioni degli utenti non vengono trasferiti durante lo spostamento da computer a computer. Se un utente crea un documento nel proprio computer, ad esempio, tale documento non sarà immediatamente disponibili quando accederà a un tablet o tramite una macchina virtuale a cui ha accesso un computer non Windows. Per l'IT, l'archiviazione decentralizzata dei file e delle impostazioni comporta ulteriori problemi. È difficile eseguire il backup e proteggere i file. Inoltre, poiché sono distribuiti tra più computer, la disponibilità di file importanti è difficile da gestire.

La virtualizzazione dello stato utente offre la soluzione a questi problemi, poiché consente di centralizzare l'archiviazione dei file e delle impostazioni degli utenti per rendere più semplici le attività di backup e protezione. La gestione della disponibilità di file importanti è possibile. Inoltre, la virtualizzazione dello stato utente consente lo spostamento dei file e delle impostazioni degli utenti da computer a computer e anche verso macchine virtuali. In Windows 7, tre tecnologie supportano la virtualizzazione dello stato utente:

  • I profili utente mobili offrono la capacità di archiviare i profili utente (ad esempio, file archiviati nella cartella C:\Users\Nomeutente, tra cui il file di hive del Registro di sistema) in una condivisione di rete. In Windows 7 i profili utente locali e remoti vengono sincronizzati quando gli utenti accedono e si disconnettono dal computer. Per ulteriori informazioni, vedere What's New in Folder Redirection and User Profiles (in inglese).
  • Il reindirizzamento cartelle consente di reindirizzare cartelle, quali Documenti, Immagini e Video da un profilo utente verso una condivisione di rete. Il reindirizzamento cartelle riduce la dimensione dei profili utente mobili e consente di migliorare le prestazioni di accesso e disconnessione. È possibile configurare il reindirizzamento cartelle mediante Criteri di gruppo. L'importante distinzione tra i profili utente mobili e il reindirizzamento cartelle consiste nel fatto che i profili utente mobili vengono utilizzati principalmente per le impostazioni mentre il reindirizzamento cartelle per i documenti. Per ulteriori informazioni, vedere What's New in Folder Redirection and User Profiles (in inglese).
  • File offline è una funzionalità attivata per impostazione predefinita in Windows 7 che consente di utilizzare le cartelle reindirizzate e altro contenuto di rete condiviso in modalità offline mediante la memorizzazione nella cache di copie locali. La funzionalità File offline consente di sincronizzare le modifiche la volta successiva in cui sarà disponibile una connessione. Per ulteriori informazioni, vedere What's New in Offline Files (in inglese).

La guida Infrastructure Planning and Design: Windows User State Virtualization (in inglese) consente di implementare la virtualizzazione dello stato utente.

Sicurezza dei dati locali

Crittografia unità BitLocker è una funzionalità di sicurezza completamente nuova in Windows 7 Enterprise che consente di proteggere i dati archiviati su unità fisse e sull'unità del sistema operativo. BitLocker consente di proteggersi contro gli attacchi offline, ovvero quegli attacchi effettuati disattivando o aggirando il sistema operativo installato oppure rimuovendo fisicamente l'unità disco per attaccare i dati separatamente. BitLocker consente di garantire che gli utenti possano leggere e scriver i dati sul disco solo quando dispongono della password richiesta, delle credenziali smart card o quando utilizzano l'unità dati in un computer protetto da BitLocker con le chiavi corrette.

La protezione BitLocker sulle unità di sistema supporta l'autenticazione a due fattori mediante un modulo TPM (Trusted Platform Module) e un codice PIN (Personal Identification Number) o chiave di avvio nonché come autenticazione a fattore singolo mediante l'archiviazione di una chiave in un'unità flash USB o utilizzando solo il modulo TPM. L'utilizzo di BitLocker con un TPM offre una maggiore protezione dei dati e garantisce l'integrità dei componenti avviati prima del sistema operativo. Per tale opzione è necessario che il computer disponga un microchip TPM e relativo BIOS compatibili:

  • Per TPM compatibile si definisce un modulo TPM versione 1.2.
  • Un BIOS compatibile deve supportare il modulo TPM e il meccanismo SRTM (Static Root of Trust Measurement) secondo quanto definito dal TCG (Trusted Computing Group). Per ulteriori informazioni sulle specifiche TPM, visitare la relativa sezione del sito Web del Trusted Computing Group.

Il TPM interagisce con la funzionalità di protezione dell'unità di sistema BitLocker per fornire una protezione trasparente all'avvio del sistema, processo invisibile all'utente e l'esperienza di accesso dell'utente non cambia. Tuttavia, se le informazioni di avvio sono state modificate, BitLocker entrerà in modalità di ripristino e l'utente avrà bisogno di una password o una chiave di ripristino per accedere nuovamente ai dati.

Nel documento BitLocker Drive Encryption Deployment Guide for Windows 7 (in inglese) vengono fornite indicazioni dettagliate per la distribuzione di BitLocker. Inoltre, sono disponibili diverse impostazioni di Criteri di gruppo per la gestione di BitLocker. Per ulteriori informazioni, vedere BitLocker Group Policy Reference (in inglese). È possibile effettuare il provisioning di BitLocker durante la distribuzione mediante il Microsoft Deployment Toolkit (MDT) 2010 o Configuration Manager. Per ulteriori informazioni, vedere la documentazione relativa a MDT 2010.

Windows 7 Home Premium e Windows 7 Professional non includono BitLocker. Se ai dipendenti è consentito l'utilizzo di dispositivo su cui sono in esecuzione tali sistemi operativi, è possibile utilizzare il file system EFS (Encrypting File System) per proteggere i dati aziendali presenti in questi computer. However, EFS non fornisce una crittografia completa dei volumi come BitLocker. Al contrario, gli utenti scelgono le cartelle e i file da crittografare. Per ulteriori informazioni sul file system EFS in Windows 7, vedere The Encrypting File System (in inglese).

Nota: gli utenti di Windows 7 Home Premium o Windows 7 Professional possono utilizzare Windows Anytime Upgrade per effettuare l'aggiornamento a pagamento a Windows 7 Ultimate. In tal modo, verrà attivata la funzionalità BitLocker. Per ulteriori informazioni su Windows Anytime Upgrade, vedere Windows Anytime Upgrade.

Archivi rimovibili

In Windows 7 Enterprise, BitLocker To Go estende la funzionalità BitLocker alle unità portatili, ad esempio unità flash USB. Gli utenti possono crittografare le unità portatili mediante una password o una smart card. Gli utenti autorizzati possono visualizzare le informazioni presenti in qualsiasi computer su cui sia in esecuzione Windows 7, Windows Vista o Windows XP utilizzando il lettore di BitLocker To Go. Inoltre, mediante Criteri di gruppo, è possibile richiedere la protezione dei dati per la scrittura su una qualsiasi unità di archiviazione rimovibile ma è possibile anche utilizzare unità di archiviazione non protette in modalità di sola lettura.

Nel documento BitLocker Drive Encryption Deployment Guide for Windows 7 (in inglese) vengono fornite indicazioni dettagliate per l'utilizzo di BitLocker To Go. Inoltre, sono disponibili diverse impostazioni di Criteri di gruppo per la gestione di BitLocker To Go, descritte nel documento BitLocker Group Policy Reference.

Backup

Con la funzionalità Backup e ripristino di Windows 7 vengono create copie di sicurezza dei file personali degli utenti più importanti. È possibile impostare il backup automatizzato o scegliere singole cartelle, librerie e unità di cui effettuare il backup, in base alla pianificazione più adatta. Windows supporta il backup su un'altra unità o DVD. Windows 7 Professional, Windows 7 Ultimate e Windows 7 Enterprise supportano inoltre il backup dei file in una posizione di rete.

Benché Windows 7 fornisca una funzionalità di backup integrata che gli utenti possono utilizzare nei propri dispositivi, System Center Data Protection Manager (DPM) 2010 consente a un'organizzazione di creare una soluzione di backup a due livelli che combina la convenienza e l'affidabilità del del disco per i backup a breve termine, in cui la maggior parte delle richieste di ripristino con la sicurezza del nastro o altri supporti rimovibili per l'archiviazione a lungo termine. Questo sistema a due livelli consente di limitare i problemi legati alle soluzioni di backup su nastro, consentendo comunque il mantenimento di archivi a lungo termine in altro luogo.

Fondamentale per gli scenari di informatica di consumo, DPM 2010 aggiunge il supporto per la protezione dei computer client, quali computer portatili e tablet non sempre connessi alla rete. Inoltre, gli utenti possono ripristinare i propri dati senza attendere l'amministratore di backup. Per ulteriori informazioni su DPM 2010, visitare il sito Web System Center Data Protection Manager 2010.

Accesso di rete

Forefront Unified Access Gateway (UAG) 2010 sostituisce Intelligent Access Gateway 2007 e fornisce agli endpoint client remoti l'accesso protetto ad applicazioni, reti e risorse interne aziendali tramite un sito Web. Tra gli endpoint client non sono inclusi solo i computer su cui è in esecuzione Windows, ma anche altri dispositivi non Windows. Sono supportati i seguenti scenari:

  • Forefront UAG come server di pubblicazione. È possibile configurare Forefront UAG per la pubblicazione di applicazioni e risorse aziendali, nonché consentire agli utenti remoti di accedere a tali applicazioni in modo controllato da una vasta gamma di endpoint e posizioni.
  • Forefront UAG come server DirectAccess. È possibile configurare Forefront UAG come server DirectAccess, estendendo i vantaggi di DirectAccess all'intera infrastruttura per aumentare la scalabilità, nonché per semplificare la distribuzione e la gestione continua. Forefront UAG DirectAccess offre un'esperienza di connessione costante alla rete interna per gli utenti con accesso a Internet. Le richieste per le risorse interne vengono indirizzate in modo protetto alla rete interna senza richiedere una connessione VPN.
  • Distribuzione di un singolo o più server. È possibile configurare un singolo server come server di pubblicazione e come server Forefront UAG DirectAccess server oppure distribuire un array di più server per garantire scalabilità e disponibilità elevata.

Nel documento Infrastructure Planning and Design: Forefront Unified Access Gateway (in inglese) disponibile su TechNet vengono fornite indicazioni per la progettazione di una distribuzione di Forefront UAG. Altre indicazioni tecniche dettagliate sono disponibili nel documento Forefront Unified Access Gateway (UAG) su TechNet.

Sicurezza di rete

La funzionalità Protezione accesso alla rete comprende componenti client e server che consentono di creare e applicare criteri relativi ai requisiti di integrità per definire le configurazioni software e di sistema richieste per i computer che si connettono alla rete. Protezione accesso alla rete applica i requisiti di integrità esaminando e valutando l'integrità dei computer client, limitando l'accesso alla rete nel caso in cui i computer client non fossero conformi nonché monitorando e aggiornando i computer client non conformi per un accesso illimitato alla rete. Grazie a Protezione accesso alla rete, i requisiti di integrità vengono applicati ai computer client che tentano di connettersi a una rete. Protezione accesso alla rete garantisce inoltre la conformità in termini di integrità di un computer client conforme connesso alla rete.

La modalità di applicazione di Protezione accesso alla rete si verifica nel momento in cui i computer client tentano di accedere alla rete tramite i server di accesso alla rete, quali un server VPN (Virtual Private Network) su cui sia in esecuzione il servizio RRAS (Routing and Remote Access Service) o quando i client tentano di comunicare con altre risorse di rete. Il modo in cui viene applicata Protezione accesso alla rete dipende dal metodo di applicazione prescelto. La funzionalità consente di applicare i requisiti di integrità per i seguenti elementi:

  • Comunicazioni protette da protocollo IPsec (Internet Protocol security)
  • Connessioni autenticate tramite protocollo IEEE (Institute of Electrical and Electronics Engineers) 802.1X
  • Connessioni VPN
  • Configurazione DHCP (Dynamic Host Configuration Protocol)
  • Connessioni di Gateway di Servizi terminal

Il documento Network Access Protection Design Guide (in inglese) consente di progettare una distribuzione di Protezione accesso alla rete. Il documento Network Access Protection Deployment Guide (in inglese) fornisce indicazioni tecniche dettagliate per gli scenari precedenti.

In Configuration Manager, Protezione accesso alla rete consente di includere gli aggiornamenti software nei requisiti relativi all'integrità di sistema. Mediante i criteri di Protezione accesso alla rete di Configuration Manager si definiscono gli aggiornamenti software da includere, mentre un punto di Convalida integrità sistema di Configuration Manager trasmette lo stato di integrità conforme o non conforme del client al Server dei criteri di rete. Il Server dei criteri di rete a questo punto stabilisce se il client dispone di un accesso completo o limitato alla rete e se i client non conformi verranno resi conformi mediante il monitoraggio e l'aggiornamento. Per ulteriori informazioni su Protezione accesso alla rete in Configuration Manager, vedere Network Access Protection in Configuration Manager (in inglese).

Protezione delle informazioni

Oltre alla protezione dell'accesso ai dati locali e di rete, la protezione dell'accesso alle informazioni aziendali, ad esempio la proprietà intellettuale, rappresenta un aspetto importante da considerare quando si decide di utilizzare l'informatica di consumo. Sono disponibili due tecnologie per la protezione di tali informazioni:

  • Servizi Rights Management Services Mediante Active Directory Rights Management Services (AD RMS) e il relativo client, è possibile migliorare la strategia di sicurezza della propria organizzazione mediante la protezione delle informazioni tramite criteri di utilizzo permanenti che rimangono associati alle informazioni a prescindere dalla posizione. È possibile utilizzare i servizi AD RMS per impedire che le informazioni sensibili, quali rendiconti finanziari, specifiche di prodotti, dati relativi ai clienti e messaggi di posta elettronica riservati, giungano intenzionalmente o accidentalmente nelle mani sbagliate. Microsoft Exchange Server 2010 e Microsoft Office SharePoint Server 2010 sono esempi di applicazioni che si integrano con i servizi AD RMS. Per ulteriori informazioni su AD RMS, vedere Active Directory Rights Management Services (in inglese).
  • Panoramica dell'infrastruttura di classificazione dei file Per ridurre i costi e i rischi associati a questo tipo di gestione dei dati, l'infrastruttura di classificazione dei file in Windows Server 2008 R2 offre una piattaforma che consente di classificare i file e applicare criteri in base alla stessa classificazione. Il layout di archiviazione non è interessato dai requisiti di gestione dei dati ed è, pertanto, più semplice adattarsi a un ambiente aziendale e normativo in costante mutamento. I file possono essere classificati in diversi modi. Inoltre, è possibile specificare criteri di gestione dei file, in base alla classificazione dei file, e applicare i requisiti aziendali per la gestione dei dati, in base alle esigenze aziendali. È possibile modificare facilmente i criteri e utilizzare strumenti che supportino la classificazione per la gestione degli stessi file. Ad esempio, è possibile gestire automaticamente i diritti dei file che contengono la parola riservato. Per ulteriori informazioni sull'infrastruttura di classificazione dei file, vedere Utilizzare la classificazione dei file.

Windows Cloud Services

Per le organizzazioni che non dispongono delle risorse o dell'infrastruttura per supportare Windows Optimized Desktop, Windows Intune offre gli elementi essenziali per la gestione e la sicurezza. Le organizzazioni che hanno distribuito Windows Optimized Desktop possono gestire gruppi di computer non gestiti (computer di lavoro e per uso privato e dispositivi per l'elettronica di consumo su cui è in esecuzione Windows che gli utenti portano al lavoro) mediante Windows Intune (Figura 1).

Interfaccia di Windows Intune

Figura 1. Windows Intune

Windows Intune consente di gestire e proteggere i computer nel proprio ambiente tramite una combinazione di servizi cloud basati su Windows e licenze di aggiornamento. Windows Intune offre funzionalità di gestione e sicurezza basati su cloud tramite un'unica console di gestione basata su Web. Con Windows Intune, è possibile gestire computer praticamente ovunque: è sufficiente disporre di un accesso a Internet e installare il client Windows Intune in ciascun computer gestito. Inoltre, con un abbonamento Windows Intune attivo, si avrà diritto all'aggiornamento a future versioni di Windows, con gli stessi vantaggi del programma Microsoft Software Assurance per Windows.

Il console di gestione di Windows Intune consente di organizzare le attività di gestione nelle seguenti aree di lavoro che è possibile gestire quasi in tutti i browser che supportino Microsoft Silverlight:

  • Anteprima di sistema L'area di lavoro Anteprima di sistema offre un punto di partenza per valutare l'integrità complessiva dei computer all'interno dell'organizzazione, per identificare i problemi e per eseguire attività di gestione di base, quali la creazione di gruppi di computer e la visualizzazione di report.
  • Computer L'area di lavoro Computer viene utilizzata per creare e gestire gruppi di computer per semplicità e flessibilità di gestione. È possibile organizzare gruppi in modo che soddisfino le proprie esigenze aziendali (ad esempio, in base alla posizione geografica, il reparto o le caratteristiche hardware) e spostare i computer tra gruppi.
  • Aggiornamenti L'area di lavoro Aggiornamenti viene utilizzata per gestire il processo di aggiornamento software in modo efficiente per tutti i computer gestiti presenti nell'organizzazione. La console di gestione di Windows Intune supporta e promuove le procedure consigliate per la gestione degli aggiornamenti e consente di concentrarsi sul proprio ambiente e sulle attività da eseguire.
  • Endpoint Protection Windows Intune Endpoint Protection consente di migliorare la sicurezza dei computer gestiti presenti nell'organizzazione offrendo una protezione in tempo reale contro minacce potenziali, mantenendo aggiornate le definizioni contro il software dannoso ed eseguendo automaticamente analisi. La console di gestione di Windows Intune offre riepiloghi dello stato della funzionalità Endpoint Protection in modo tale che, se viene rilevato un software dannoso in un computer gestito e se un computer non è protetto, è possibile identificare rapidamente il computer interessato e prendere le contromisure appropriate.
  • Avvisi L'area di lavoro Avvisi viene utilizzata per valutare rapidamente l'integrità complessiva dei computer gestiti presenti nell'organizzazione. Gli avvisi consentono di identificare i problemi potenziali o attuali e di intervenire di conseguenza per impedire o ridurre al minimo gli effetti negativi sulle attività aziendali. Ad esempio, è possibile visualizzare tutti gli avvisi recenti per ottenere un quadro generale sull'integrità dei computer. In alternativa, è possibile esaminare problemi specifici che si verificano in membri di gruppi di computer specifici o per aree di lavoro specifiche, quali Endpoint Protection. Utilizzando dei filtri, è possibile visualizzare tutti gli avvisi relativi a un livello di gravità specifico nonché gli avvisi attivi o chiusi.
  • Software L'area di lavoro Software consente di elencare i programmi installati in tutti i computer client in cui viene utilizzato Windows Intune per la gestione e consente di ordinare l'inventario per autore del software, nome, numero di installazioni o categoria. A ciascun titolo univoco di software corrisponde una voce nell'elenco. È inoltre possibile cercare software specifico.
  • Licenze L'area di lavoro Licenze consente di caricare le informazioni relative alle Condizioni di licenza software in Microsoft Volume Licensing Services (MVLS) e consente di stabilire i dati sulle licenze che corrispondono a un insieme di contratti Microsoft Volume Licensing.
  • Criteri L'area di lavoro Policy viene viene utilizzata per configurare i criteri di Windows Intune per la gestione delle impostazioni degli aggiornamenti, di Endpoint Protection, di Windows Firewall e di Windows Intune Center nei computer. È possibile creare criteri basati su modelli, configurare le impostazioni dei criteri e successivamente distribuire i criteri ai gruppi di computer. I modelli di criteri includono descrizioni delle impostazioni e valori consigliati. Inoltre, è possibile cercare i criteri per nome o descrizione.
  • Report Benché anche altre aree di lavoro nella console di gestione di Windows Intune forniscano funzionalità di ricerca e filtro, è possibile utilizzare l'area di lavoro Report per ottenere report più dettagliati e stampare o esportare le informazioni. L'area di lavoro Report fornisce report per gli aggiornamenti, il software e le licenze. Ad esempio, il report di riconciliazione delle licenze offre un elenco dettagliato del software rispetto alle licenze.
  • Amministrazione L'area di lavoro Amministrazione consente di scaricare la versione più aggiornata del software client, di visualizzare i dettagli relativi all'account Windows Intune (quale il nome, lo stato e il numero di utenti attivi relativi all'account) e di aggiungere amministratori all'account. È possibile inoltre utilizzare strumenti nell'area di lavoro Amministrazione per configurare il tipo di aggiornamenti da distribuire ai computer gestiti nell'organizzazione e per inviare notifiche tramite posta elettronica ad altri utenti all'interno dell'organizzazione quando vengono generati specifici avvisi. Inoltre, è possibile attivare o disattivare gli avvisi di un tipo specifico in modo da potersi dedicare agli avvisi più importanti generati nell'ambiente.

Gli avvisi di assistenza remota offrono uno strumento chiave per la risoluzione di problemi che si verificano nei computer gestiti. Un utente in un computer gestito può avviare una richiesta di assistenza remota che genera un avviso. Quando si visualizza l'avviso nella console di gestione di Windows Intune, è possibile accettare la richiesta. Accettando la richiesta, viene aperta una sessione di Microsoft Easy Assist per poter eseguire la risoluzione dei problemi in remoto nel computer dell'utente.

Windows Intune fornisce inoltre i diritti di aggiornamento a Windows 7 Enterprise con Software Assurance. Con i diritti di aggiornamento forniti da Windows Intune, è possibile aggiornare qualsiasi computer gestito da Windows Intune e che soddisfi i requisiti di sistema minimi di Windows 7 per il passaggio a Windows 7 Enterprise. Windows Intune offre inoltre tutti i vantaggi del programma Microsoft Software Assurance per Windows, tra cui:

  • Diritto di ricezione delle nuove versioni
  • Vantaggi TechNet tramite Software Assurance
  • Supporto hotfix esteso
  • Supporto tecnico per la risoluzione dei problemi disponibile 24 ore su 24, 7 giorni su 7
  • Employee Purchase Program
  • Microsoft E-Learning
  • Voucher per la formazione

Per ulteriori informazioni su Windows Intune, visitare il sito Web di Windows Intune. Informazioni tecniche su Windows Intune sono inoltre disponibili nel Windows Intune TechCenter.


Application Virtualization

Le applicazioni virtuali vengono trasmesse ai computer come servizi di rete che non occupano spazio nei sistemi e sono semplici da aggiornare. Sono inoltre indipendenti e consentono di impedire conflitti tra applicazioni personali e aziendali che potrebbero causare tempi di inattività e richiedere l'intervento del team di supporto tecnico.

App-V fa parte di MDOP che supporta la creazione di pacchetti, la distribuzione e la gestione di applicazioni virtuali. App-V consente di rendere le applicazioni disponibili per i computer degli utenti finali senza dover installare le applicazioni direttamente nei computer stessi, grazie a un processo noto come organizzazione in sequenza dell'applicazione, il quale consente a ciascuna applicazione di essere eseguita nel proprio ambiente virtuale indipendente nel computer client. Le applicazioni organizzate in sequenza vengono isolate l'una dall'alta. In questo modo, si eliminano i conflitti applicativi ma le applicazioni possono comunque interagire con il computer client.

Il client App-V è la funzionalità che consente agli utenti finali di interagire con le applicazioni dopo che queste ultime sono state pubblicate sul computer. Il client consente di gestire l'ambiente virtuale in cui le applicazioni virtualizzate vengono eseguite in ciascun computer. Dopo aver installato il client in un un computer, le applicazioni devono essere rese disponibili per il computer tramite un processo noto come pubblicazione, che consente all'utente finale di eseguire le applicazioni virtuali. Il processo di pubblicazione consente di copiare le icone e i collegamenti dell'applicazione virtuale nel computer, solitamente sul desktop di Windows o nel menu Start, insieme alle informazioni di definizione del pacchetto e di associazione di tipo di file. La pubblicazione inoltre rende il contenuto del pacchetto di applicazioni disponibile per i computer degli utenti finali.

Il contenuto dei pacchetti di applicazioni virtuali possono essere replicati su uno o più server App-V per essere trasmessi ai client su richiesta e memorizzati nella cache locale. È possibile inoltre utilizzare i file server e i server Web come server di trasmissione oppure è possibile copiare il contenuto direttamente nei computer degli utenti finali. In un'implementazione con più server, la manutenzione e l'aggiornamento del contenuto del pacchetto in tutti i server di trasmissione richiede una soluzione di gestione dei pacchetti completa. A seconda delle dimensioni dell'organizzazione, potrebbe essere necessario rendere disponibili più applicazioni virtuali per gli utenti finali dislocati in diverse parti del mondo. La gestione dei pacchetti per garantire che le applicazioni appropriate siano disponibili per tutti gli utenti ovunque e quando hanno necessità di accedervi è pertanto un requisito importante.

Componenti

Come mostrato nella Figura 2, i componenti principali di App-V sono:

  • Client. Il client fornisce e gestisce l'ambiente virtuale nei computer client, nonché gestisce la cache, che pubblica gli aggiornamenti, i trasporti e tutte le interazioni con i server App-V.
  • Archivio dati. L'archivio dati è un database Microsoft SQL Server responsabile per l'archiviazione di tutte le informazioni correlate all'infrastruttura App-V. Tali informazioni comprendono tutti i record e le assegnazioni delle applicazioni, nonché i gruppi responsabili per la gestione dell'ambiente App-V.
  • Console di gestione. La console di gestione è uno snap-in Microsoft Management Console (MMC) 3.0 utilizzato per amministrare l'infrastruttura App-V. È possibile installare tale strumento nel server App-V o in un computer separato.
  • Server di gestione. Il server di gestione è responsabile per la trasmissione del contenuto dei pacchetti e la pubblicazione dei collegamenti e delle associazioni dei tipi di file sul client. Supporta l'aggiornamento attivo, la gestione delle licenze e un database che può essere utilizzato per la creazione di report.
  • Servizio Web di gestione. Il servizio Web di gestione comunica le richieste di lettura e scrittura all'archivio dati. È possibile installare il servizio Web di gestione nel server di gestione o in un computer separato su cui è installato Microsoft Internet Information Services (IIS).
  • Sequencer. Il sequencer viene utilizzato per monitorare e acquisire i dati relativi all'installazione delle applicazioni per creare pacchetti di applicazioni virtuali. L'output contiene le icone dell'applicazione, un file OSD che contiene le informazioni relative alle definizioni del pacchetto, un file manifesto del pacchetto e il file SFT che contiene i file di contenuto del programma applicativo.
  • Streaming Server. Lo Streaming Server è responsabile dell'hosting dei pacchetti App-V da trasmettere ai client nelle succursali, in cui la connessione al server di gestione è lenta. Questo server contiene solo la funzionalità di trasmissione e non fornisce né la console di gestione, né il servizio Web di gestione.
  • Cartella del contenuto. La cartella del contenuto è la posizione dei pacchetti App-V disponibili per la trasmissione e si trova in una condivisione o all'esterno del server di gestione.

Diagramma di Application Virtualization

Figura 2. Application Virtualization

App-V 4.6 è la versione più recente del prodotto. Con App-V 4.6, è possibile organizzare in sequenza ed eseguire applicazioni a 32 bit e a 64 bit nella versione a 64 bit di Windows 7. Supporta le nuove funzionalità di Windows 7, quali la barra delle applicazioni, le Jump List, AppLocker, BranchCache e BitLocker To Go. In App-V 4.6 è stato aggiunto il supporto per altre 12 lingue. Per supportare Microsoft Virtual Desktop Infrastructure (VDI), App-V 4.6 offre la funzionalità di cache condivisa di sola lettura per consentire l'ottimizzazione delle risorse di archiviazione su disco del server. Infine, App-V 4.6 migliora l'esperienza di ordinamento in sequenza e offre supporto per le applicazioni a 32 bit e a 64 bit. Per ulteriori informazioni su App-V, visitare il sito Web relativo a Microsoft Desktop Optimization Pack. Ulteriori informazioni tecniche dettagliate sono disponibili su TechNet nel documento intitolato Application Virtualization.

Nota: Citrix XenApp è una soluzione di un partner Microsoft che estende il supporto per le applicazioni tradizionali e App-V virtuali a una vasta gamma di dispositivi, tra cui smartphone e altri dispositivi non basati su Windows. Offre una funzionalità di distribuzione delle applicazioni su richiesta che consente di virtualizzare, centralizzare e gestire quasi tutte le applicazioni presenti nel datacenter. Mediante XenApp, è possibile centralizzare le applicazioni nel datacenter, controllare e crittografare l'accesso ai dati e alle applicazioni e distribuire queste ultime istantaneamente agli utenti quasi ovunque. Per ulteriori informazioni, visitare il sito Web di Citrix XenApp. Inoltre, nell'articolo intitolato " Come pubblicare un'applicazione abilitata in App V in Citrix XenApp" viene descritto come utilizzare XenApp per pubblicare applicazioni App-V.

System Center Configuration Manager 2007

Configuration Manager offre ai professionisti IT la capacità di distribuire, aggiornare e monitorare l'utilizzo delle applicazioni fisiche e virtuali in un'unica soluzione di gestione. Grazie alla perfetta integrazione dei formati delle applicazioni virtuali nella funzionalità di distribuzione software di Configuration Manager, i professionisti IT possono seguire i processi conosciuti e il flusso di lavoro per la distribuzione di applicazioni virtuali agli utenti finali. Ciò consente all'IT di distribuire le applicazioni più rapidamente e di isolare contemporaneamente applicazioni potenzialmente in conflitto in modo che non interferiscano reciprocamente. L'integrazione di Configuration Manager con App-V fornisce ulteriore scalabilità e consente contemporaneamente all'IT di attivare i punti di distribuzione esistenti per la trasmissione di applicazioni virtuali, eliminando la necessità di un'infrastruttura App-V separata. Con Configuration Manager, le applicazioni virtuali possono essere distribuite ai computer o agli utenti. Gli amministratori possono creare un inventario delle applicazioni virtuali e distribuirle nell'ambito delle sequenze dell'attività di distribuzione del sistema operativo.

Configuration Manager si sostituisce ai componenti di pubblicazione e di trasmissione in una tipica infrastruttura App-V completa integrandosi con un'infrastruttura di Configuration Manager esistente che già provvede alla distribuzione di applicazioni tradizionali, aggiornamenti e altro. Nella Figura 3 sono riportati i processi e i componenti minimi di Configuration Manager e App-V richiesti per gestire le applicazioni virtuali con Configuration Manager. App-V Sequencer produce pacchetti che possono essere distribuiti tramite un'infrastruttura di Configuration Manager ai relativi client. In tal modo, si elimina la necessità di avere due infrastrutture separate per il supporto della distribuzione delle applicazioni, consentendo di fatto la distribuzione sia delle applicazioni fisiche che virtuali dalla stessa console.

Diagramma dell'infrastruttura di Configuration Manager e App-V

Figura 3. Infrastruttura di Configuration Manager e App-V

Per l'utilizzo di Configuration Manager per la pubblicazione di applicazioni virtuali è necessario attenersi a un semplice processo. Ad alto livello, per la gestione di applicazioni virtuali con Configuration Manager è necessario ordinarle in sequenza, pubblicarle mediante gli annunci di Configuration Manager e distribuirle ai client finali. Per il supporto di App-V in un'infrastruttura di Configuration Manager, è necessario attenersi alla seguente procedura minima:

  1. Ordinamento in sequenza. Simile al tradizionale App-V, la gestione delle applicazioni virtuali Configuration Manager inizia con lo spostamento dell'applicazione nel formato di ordinamento in sequenza. In Configuration Manager, è necessario utilizzare applicazioni di ordinamento in sequenza con App-V versione 4.5 o versione successiva per la creazione dei file necessari (Manifest.xml file) per la pubblicazione e la distribuzione.
  2. Pubblicazione. Per pubblicazione si intende il processo di provisioning di applicazioni virtuali a utenti o computer all'interno di Configuration Manager. In Configuration Manager vengono utilizzati punti di distribuzione per il trasporto di applicazioni in formato per la trasmissione o per il download e l'esecuzione.
  3. Distribuzione. Per distribuzione si intende il processo di spostamento delle risorse delle applicazioni virtuali nei computer client, normalmente definito come trasmissione (o streaming) in un'infrastruttura App-V completa. Configuration Manager offre due modalità per la distribuzione delle applicazioni virtuali (trasmissione e download ed esecuzione). Il formato di distribuzione predefinito è la modalità di download ed esecuzione per evitare dipendenze di connettività.

Per la gestione di applicazioni virtuali con Configuration Manger sarà necessario un App-V Sequencer per la creazione dei pacchetti, un server del sito di Configuration Manager, punti di distribuzione di Configuration Manager per la distribuzione dei pacchetti e computer client di Configuration Manager con il client App-V installato. I seguenti componenti minimi sono richiesti per il supporto di App-V in un'infrastruttura di Configuration Manager:

  • Microsoft App-V Sequencer. Simile a un'infrastruttura App-V, App-V Sequencer viene utilizzato per creare pacchetti di applicazioni virtuali da distribuire con Configuration Manager.
  • Server del sito di Configuration Manager. In quanto parte della gerarchia del sito di Configuration Manager, il server del sito di Configuration Manager gestisce la distribuzione delle applicazioni virtuali tramite i punti di distribuzione di Configuration Manager sui sistemi di destinazione, come servizio di trasmissione o come pacchetto distribuito in locale.
  • Punto di distribuzione di Configuration Manager. I ruoli del sito dei punti di distribuzione di Configuration Manager forniscono i servizi di gestione, quali l'inventario dell'hardware e del software, la distribuzione del sistema operativo e gli aggiornamenti software, nonché la distribuzione del software delle applicazioni fisiche e virtuali sui sistemi di destinazione di Configuration Manager.
  • Client di Configuration Manager/App-V. I dispositivi client includono computer desktop e portatili nonché Terminal Server e client VDI. Nei client di Configuration Manager che ricevono le applicazioni virtuali da un'infrastruttura di Configuration Manager, è necessario che siano installati sia il client Configuration Manager che App-V. Il software del client Configuration Manager e App-V funzionano in sinergia per distribuire, interpretare e avviare pacchetti di applicazioni virtuali. Il client Configuration Manager gestisce la distribuzione dei pacchetti di applicazioni virtuali al client App-V, mentre quest'ultimo esegue l'applicazione virtuale nel computer client.
System Center Configuration Manager 2012

Configuration Manager 2012, attualmente in versione beta 2, consente all'IT di fornire ai propri utenti i dispositivi e le applicazioni necessarie per essere produttivi e di mantenere contemporaneamente il controllo necessario per proteggere le risorse aziendali. Offre un'infrastruttura unificata per la gestione di ambienti mobili, fisici e virtuali che consente all'IT di distribuire e controllare le esperienze utente in base all'identità dell'utente, alla connettività e alle specifiche del dispositivo. Oltre alle funzionalità di creazione inventari, distribuzione di sistemi operativi, gestione aggiornamenti, valutazione e applicazione di impostazioni di prim'ordine che ci si aspetta da Configuration Manager, la nuova versione includerà:

  • Gestione integrata di dispositivi mobili, fisici e virtuali. Fornisce un unico strumento unificato per la gestione di tutti i desktop client, i thin client, i dispositivi mobili e i desktop virtuali.
  • Esperienza applicativa personalizzata. Valuta l'identità aziendale, il tipo di dispositivo e le funzionalità di rete per distribuire le applicazioni nel modo più ottimale possibile per l'utente, sia che si tratti di un'installazione locale, una trasmissione tramite App-V o di un server di presentazione. Si integra con Citrix XenApp per offrire agli utenti l'accesso a qualsiasi applicazione aziendale da una vasta gamma di piattaforme mobili.
  • Self-service di applicazioni. Consente agli utenti di effettuare in modo protetto il provisioning automatico delle applicazioni ovunque si trovino con un catalogo Web facile da utilizzare.
  • Sicurezza e conformità integrate. Si integra con Forefront Endpoint Protection per offrire una singola soluzione per la protezione contro i malware, identificando, monitorando e aggiornando il sistema contro le vulnerabilità, nonché ottenendo visibilità nei sistemi non conformi.
  • Applicazione continua delle impostazioni. Consente di identificare automaticamente, di monitorare e aggiornare i desktop personali fisici o privati.

Per ulteriori informazioni sulle nuove funzionalità relative alla distribuzione di applicazioni virtuali introdotte nella versione beta 2 di System Center Configuration Manager 2012, vedere Introduction to Application Management in Configuration Manager 2012 (in inglese).


Virtual Desktop Infrastructure

A causa del progressivo passaggio all'informatica di consumo, gli utenti portano al lavoro non solo computer su cui è in esecuzione Windows, bensì tablet non basati su Windows su cui è in esecuzione una vasta gamma di sistemi operativi, quali Apple iOS, Google Android, Linux e così via. Tali dispositivi offrono diverse interfacce utente, diversi livelli di sicurezza e diverse capacità di gestione. Nei dispositivi destinati all'informatica di consumo vengono utilizzati più sistemi operativi, pertanto l'adozione di un approccio sistematico alla gestione e alla sicurezza è essenziale.

Microsoft offre tecnologie con cui attivare la gestione e la sicurezza in questi tipi di dispositivi eterogenei. Nei dispositivi che non possono offrire l'esperienza e la sicurezza completa di Windows 7, è possibile utilizzare una strategia basata su VDI per attivare un accesso protetto a un desktop basato su Windows ospitato su server. Questo approccio è il più efficace per computer e tablet portatili non basati su Windows. Tuttavia, anche una strategia basata su VDI può rivelarsi utile quando i dipendenti portano i propri computer portatili non basati su Windows al lavoro. In tal caso, l'infrastruttura VDI viene utilizzata per fornire un desktop aziendale protetto mantenendo tutti i dati e il software personali all'esterno della rete aziendale.

L'infrastruttura VDI è una soluzione di distribuzione desktop centralizzata. Come illustrato nella Figura 4, il concetto alla base dell'infrastruttura VDI è l'archiviazione e l'esecuzione di carichi di lavoro desktop, tra cui sistema operativo, applicazioni e dati di un client Windows, in una macchina virtuale basata su server all'interno di un data center in cui all'utente viene consentito di interagire con il desktop visualizzato sul proprio dispositivo tramite protocollo RDP (Remote Desktop Protocol) e RemoteFX. L'infrastruttura VDI fa parte di una strategia aziendale di virtualizzazione unificata e olistica all'interno dell'infrastruttura IT a supporto della visione di Microsoft di un IT dinamico. L'infrastruttura VDI non è un'architettura isolata, piuttosto una delle tante tecnologie disponibile per l'ottimizzazione dei desktop aziendali.

Nei dispositivi che non possono offrire un ambiente Windows 7 completo, l'infrastruttura VDI consente di attivare un accesso protetto a un desktop basato su Windows 7 ospitato su server. Per i computer e i tablet su cui non è in esecuzione Windows (ad esempio, Apple Mac, Apple iPad e netbook basati su Linux), la tecnologia VDI può rappresentare la soluzione più efficiente. Tuttavia, l'infrastruttura VDI può rivelarsi anche utile quando i dipendenti portano i propri computer portatili basati su Windows al lavoro per fornire un desktop aziendale protetto mantenendo tutti i dati e il software personali all'esterno della rete aziendale.

Diagramma di Virtual Desktop Infrastructure

Figura 4. Virtual Desktop Infrastructure

Per ulteriori informazioni su VDI, vedere la pagina relativa ai prodotti e alle tecnologie di virtualizzazione.

Esperienza

Inclusa in Windows Server 2008 R2, la funzionalità Servizi Desktop remoto fornisce il Gestore connessione Desktop remoto, il quale è un gestore di connessioni VDI nativo che offre un'esperienza unificata per l'accesso all'infrastruttura VDI nonché a desktop remoti tradizionali basati su sessione. Il Gestore connessione Desktop remoto fornisce desktop virtuali in modo simile a RemoteApp. Ad esempio, accedendo all'indirizzo http://rds-all.contoso.corp/rdweb viene visualizzata una pagina Web in cui vengono elencati applicazioni e desktop autorizzati, una volta completata l'autenticazione.

Nella Figura 5 vengono mostrate tre applicazioni Office 2007 pubblicate mediante RemoteApp. In Windows Server 2008 R2, i programmi RemoteApp visualizzati in un URL possono essere raccolti da più origini. Non devono essere installati nello stesso Host sessione Desktop remoto o server Servizi terminal, bensì possono provenire da più Host sessione Desktop remoto e server Servizi terminal ed essere raccolti e visualizzati con lo stesso URL. Inoltre, la presenza di un programma RemoteApp è basata sull'elenco di controllo di accesso di un'applicazione pubblicata in un Host sessione Desktop remoto. Per impostazione predefinita, tutti gli utenti autenticati avranno accesso ai programmi RemoteApp pubblicati.

Schermata di Connessione Desktop remoto

Figura 5. Gestore connessione Desktop remoto

L'icona del desktop appare solo agli utenti a cui viene assegnato un desktop virtuale personale. L'assegnazione può essere effettuata in Gestore connessione Desktop remoto o nell'oggetto utente in Servizi di dominio Active Directory. Quando l'utente fa clic sull'icona del desktop, un desktop virtuale verrà distribuito sul dispositivo dell'utente dopo che quest'ultimo avrà completato l'autenticazione.

L'icona Contoso Desktop viene utilizzata per accedere a un desktop virtuale in esecuzione in una macchina virtuale selezionata dinamicamente da un pool di macchine virtuali definito in Gestore connessione Desktop remoto. Una volta definito il pool di macchine virtuali, verrà visualizzata l'icona per accedere a una macchina virtuale nel pool sulla pagina Web di Servizi Desktop remoto per tutti gli utenti autenticati, a prescindere se questi ultimi hanno accesso al pool. In Gestore connessione Desktop remoto è possibile facilmente personalizzare il nome visualizzato della pagina e dell'icona per accedere a un pool di macchine virtuali; in questo esempio, "Contoso Wonder LAN (Rete LAN di Contoso)" e "Contoso Desktop (Desktop di Contoso)" sono nomi visualizzati personalizzati. Ulteriori informazioni sull'architettura di Servizi Desktop remoto e su come Gestore connessione Desktop remoto svolga un ruolo centrale in una soluzione VDI sono disponibili nel post di blog intitolato Remote Desktop Services (RDS) Architecture Explained (in inglese).

Una nuova funzionalità di Windows Server 2008 R2 è Connessione RemoteApp e desktop, che consente di accedere ai programmi RemoteApp, ai desktop remoti e ai desktop virtuali dal menu Start di un computer su cui è in esecuzione Windows 7. Per configurare Connessione RemoteApp e desktop, procedere come segue:

  • Manualmente nel Pannello di controllo. Per completare la procedura, è necessario l'URL di una pagina Web di Servizi Desktop remoto e le relative credenziali utente. Quando si accede a una pagina Web di Servizi Desktop remoto per conto dell'utente mediante Connessione RemoteApp e desktop, verranno richieste le credenziali dell'utente stesso.
  • Manualmente mediante un file di configurazione client (con estensione WCX). È possibile creare e distribuire agli utenti un file di configurazione client (con estensione WCX) in cui viene configurata la funzionalità Connessione RemoteApp e desktop.
  • Automaticamente mediante uno script. È possibile distribuire uno script per l'esecuzione automatizzata del file di configurazione client e consentire l'impostazione automatica di Connessione RemoteApp e desktop quando gli utenti accedono ai propri computer su cui è in esecuzione Windows 7. L'automazione è semplice, riduce al minimo l'intervento di un operatore e offre un'esperienza utente eccezionale.

Con Connessione RemoteApp e desktop, gli utenti possono accedere ai programmi RemoteApp e ai desktop virtuali direttamente dal menu Start senza specificare l'URL di Servizi Desktop remoto. Questa funzionalità consente di ridurre al minimo la formazione degli utenti e offre un'esperienza utente coerente nelle applicazioni Windows.

Componenti

Con un'infrastruttura VDI, un desktop virtuale viene isolato dal dispositivo del client e viene eseguito in una macchina virtuale gestita in un data center. Il dispositivo può essere un desktop, un computer portatile, un tablet o un computer thin client, su cui è in esecuzione Windows o un altro sistema operativo. Gli utenti interagiscono con i propri desktop virtuali tramite protocollo RDP e RemoteFX, il quale fornisce un'esperienza desktop avanzata. Simile a desktop remoti basati su sessione (ad esempio, Servizi terminal), VDI fornisce una sessione server con un ambiente desktop totalmente realistico e virtualizzato all'interno di un hypervisor basato su server. La prerogativa di VDI è il fatto che tutti gli utenti eseguono desktop virtuali in macchine virtuali. Tra i componenti tecnici fondamentali che costituiscono l'infrastruttura VDI sono inclusi:

  • Windows Server 2008 R2 con Hyper-V. Si tratta di un host di virtualizzazione su cui sono in esecuzione macchine virtuali ed è essenzialmente una griglia nell'ambito dell'infrastruttura della soluzione di virtualizzazione; funge da archivio delle risorse di virtualizzazione, quali macchine virtuali, dischi rigidi virtuali, profili hardware e software e così via.
  • Microsoft App-V. App-V è un mezzo dinamico per la distribuzione delle applicazioni basato su profili utente e trasparente per il sistema operativo locale. Per ulteriori informazioni su App-V, vedere la sezione intitolata "Application Virtualization" in questo white paper.
  • Servizi Desktop remoto. Servizi Desktop remoto fornisce un singolo URL coerente per l'accesso alle risorse pubblicate in più Host sessione Desktop remoto e Terminal Server.
  • Microsoft RemoteFX. Inclusa in Windows 7 e Windows Server 2008 R2 con Service Pack 1, la funzionalità RemoteFX consente di fornire un'esperienza utente di Windows completa a una vasta gamma di dispositivi client, tra cui dispositivi per l'informatica di consumo. RemoteFX offre un'esperienza utente avanzata per l'infrastruttura VDI grazie a una scheda 3D virtuale, codec intelligenti e la capacità di reindirizzare i dispositivi USB nelle macchine virtuali. È integrata con il protocollo RDP, che consente una crittografia, un'autenticazione, una gestione e un supporto ai dispositivi condiviso.
  • System Center Management Suite. La suite offre una soluzione completa per la gestione del ciclo di vita IT aziendale e consente di semplificare la distribuzione, il provisioning e la gestione degli host di virtualizzazione e delle macchine virtuali. Tra le funzionalità incluse:
    • Gestione dei desktop virtuali e delle applicazioni. Configuration Manager offre una gestione delle risorse, delle applicazioni, dell'utilizzo e della configurazione desiderata dei desktop personali fisici e virtuali.
    • Gestione end-to-end dell'infrastruttura VDI. System Center Operations Manager consente di monitorare lo stato, l'integrità e le prestazioni per garantire il funzionamento dei sistemi e la riduzione dei costi complessivi di gestione.
    • Gestione di un'infrastruttura VDI di terze parti. Per le organizzazioni che dispongono di soluzioni VDI Citrix, System Center Virtual Machine Manager consente di gestire le macchine virtuali e l'utilizzo dei server nel datacenter. Virtual Machine Manager si integra con Operations Manager per offrire una gestione migliorata degli scenari basati su VDI, consentendo un'allocazione delle macchine virtuali basata sulle prestazioni e sulle risorse.
    • Informazioni sulla conformità. System Center Service Manager e il relativo IT GRC Process Management Pack utilizzano le informazioni raccolte da Configuration Manager, Operations Manager e Active Directory per offrire un reporting unificato e una visibilità del livello di conformità negli ambienti VDI.
Modelli

Esistono due modelli di distribuzione VDI:

  • Desktop virtuale statico o permanente. In un'architettura statica, viene effettuato un mapping uno-a-uno delle macchine virtuali agli utenti, ovvero a ciascun utente viene assegnata una macchina virtuale designata. Poiché le macchine virtuali sono comunemente archiviate in una rete SAN (Storage Area Network) ed eseguite in un server, la presenza di un elevato numero di utenti comporterà requisiti SAN sostanziali.
  • Desktop virtuale dinamico o non permanente. In un'architettura dinamica, esiste una sola immagine master del desktop archiviato. Tutte le personalizzazioni, i profili e le applicazioni dell'utente e altro sono archiviati separatamente dal desktop. Quando un utente richiede un desktop, una macchina virtuale clonata dall'immagine master viene combinata con i dati e le applicazioni personali dell'utente, quindi distribuita dinamicamente al dispositivo dell'utente in base ai profili mobili e App-V. In questo modo, viene garantita un'esperienza desktop personalizzata mediante il provisioning dinamico di un'immagine di base e viene semplificata la gestione complessiva delle macchine virtuali grazie alla riduzione del numero di immagine desktop gestite.
Licenze

L'architettura VDI fornisce essenzialmente un desktop su richiesta a un dispositivo dell'utente tramite una connessione di rete. Si tratta di una situazione diversa rispetto all'esecuzione di un computer desktop convenzionale, dove una licenza OEM è legata all'hardware e non può essere dinamicamente assegnata come con la tecnologia VDI. Le modalità di concessione in licenza tradizionali sono diventate insufficienti per riflettere correttamente il numero di licenze utilizzate in una distribuzione desktop distribuita con l'infrastruttura VDI.

Per soddisfare le esigenze di nuovi scenari di distribuzione, Microsoft ha introdotto due nuove offerte per l'infrastruttura VDI:

  • Microsoft Virtual Desktop Infrastructure Standard Suite (VDI Standard Suite)
  • Microsoft Virtual Desktop Infrastructure Premium Suite (VDI Premium Suite)

Sia VDI Standard Suite che VDI Premium Suite vengono concesse in licenza per singolo dispositivo client che accede all'ambiente VDI e pertanto offrono la flessibilità di progettazione e crescita dell'infrastruttura server. Per ulteriori informazioni sulle licenze relative alle suite VDI, visitare il sito Web di Servizi Desktop remoto. Ulteriori informazioni sulle licenze di Servizi Desktop remoto sono disponibili Licensing Remote Desktop Services in Windows Server 2008 R2 (in inglese).

Considerazioni

Sia Servizi Desktop remoto che VDI sono componenti principali della virtualizzazione desktop e soddisfano requisiti di elaborazione e gli scenari con preparazione e flessibilità . Per un dipendente remoto che deve accedere a un'applicazione specifica per completare un'attività specifica, quale la digitazione di dati o la segnalazione di uno stato per la creazione di report temporali, l'aggiornamento di inventari o la segnalazione di problemi, RemoteApp dovrebbe essere sufficiente. Tuttavia, un knowledge worker, che esegue routine complesse o non strutturate quali l'analisi di dati, la progettazione di una soluzione o di un prodotto, la scrittura di codice o la risoluzione di problemi relativi ai sistemi, probabilmente avrà bisogno dell'accesso a un desktop per garantire la produttività; pertanto la distribuzione di un desktop virtuale rappresenterà una soluzione.

Benché l'infrastruttura VDI sia flessibile, richiede più risorse hardware server dell'approccio tradizionale basato su desktop remoto e sulla sessione. Nella Tabella 1 viene paragonata la virtualizzazione basata sulla sessione con l'infrastruttura VDI. In generale, l'infrastruttura VDI richiede un investimento iniziale in hardware per i server e le risorse di archiviazione per la memorizzazione e l'esecuzione di tutte le macchine virtuali necessarie. Per garantire che gli utenti possano accedere ai desktop virtuali, la rete che supporta l'infrastruttura VDI deve essere altamente disponibile. In generale, i requisiti in termini di ampiezza di banda di rete sono superiori per VDI rispetto a Servizi terminal. È inoltre essenziale il software di gestione delle macchine virtuali per gestire i desktop virtuali aziendali.

Tabella in cui viene paragonata la virtualizzazione basata sulla sessione con l'infrastruttura VDI

Tabella 1. Virtualizzazione basata sulla sessione rispetto all'infrastruttura VDI

Inoltre, gli utenti non dovrebbero aspettarsi che un desktop remoto o virtuale abbia le stesse prestazioni di un desktop installato in locale. È possibile che le prestazioni audio, video e USB in un desktop remoto non siano dello stesso livello rispetto a un'esecuzione diretta in un dispositivo dell'utente. Un client avanzato offrirà sempre un'esperienza utente superiore rispetto a quanto fornito con l'infrastruttura VDI. Complessivamente, le considerazioni su una soluzione VDI, dovrebbero includere, in via esemplificativa:

  • Provisioning delle applicazioni
  • Gestione delle connessioni
  • Capacità dei data center
  • Gestione delle immagini
  • Infrastruttura con host hypervisor
  • Licenze
  • Gestione delle macchine virtuali

Nota: Citrix XenDesktop è una soluzione di un partner Microsoft che consente di fornire su richiesta desktop virtuali e applicazioni agli utenti in qualsiasi dispositivo utilizzato e ovunque si trovino. Per ulteriori informazioni, visitare il sito Web di Citrix XenDesktop. Inoltre, nell'intervento nel blog intitolato Microsoft Virtual Desktop Infrastructure (VDI) utilising Citrix Xendesktop as the Broker viene descritto dettagliatamente come XenDesktop si integra con e migliora le architetture VDI.


Come scegliere le tecnologie più adatte

In questo articolo sono state descritte quattro tecnologie che consentono all'organizzazione di accogliere l'informatica di consumo, ovvero Windows Optimized Desktop, Windows Intune, Application Virtualization e VDI. Nell'elenco seguente viene descritto come tali tecnologie si integrino in scenari specifici:

  • Computer Windows gestiti. Windows Optimized Desktop offre ai professionisti IT il controllo necessario sulle configurazione dei computer e offre agli utenti la flessibilità di cui hanno bisogno per svolgere il proprio lavoro. Per ulteriori informazioni, vedere la sezione intitolata "Windows Optimized Desktop" riportata in precedenza in questo articolo.
  • Computer Windows non gestiti. Windows Intune è semplice da distribuire ed è possibile utilizzarlo per gestire computer Windows non gestiti che gli utenti portano al lavoro. Per ulteriori informazioni su Windows Intune, vedere la sezione intitolata "Windows Cloud Services" riportata in precedenza in questo articolo.
  • Dispositivi non Windows. Per i dispositivi su cui non sia in esecuzione Windows, è possibile fornire agli utenti un ambiente Windows completo mediante l'infrastruttura VDI. Per ulteriori informazioni, vedere la sezione intitolata "Virtual Desktop Infrastructure" riportata in precedenza in questo articolo.

In tutti i casi, la virtualizzazione delle applicazioni consente di fornire agli utenti l'accesso alle applicazioni di cui hanno bisogno. Per ulteriori informazioni, vedere la sezione intitolata "Application Virtualization" riportata in precedenza in questo articolo.


Supporto per smartphone e sistemi operativi mobili

Sono disponibili strumenti per la gestione di smartphone nell'azienda. Ad esempio, è possibile utilizzare Exchange ActiveSync per gestire molti smartphone Microsoft e non Microsoft. Exchange ActiveSync è un protocollo di sincronizzazione di Microsoft Exchange Server ottimizzato per funzionare su reti a elevata latenza e con ampiezza di banda ridotta. Il protocollo, basato su HTTP e XML, consente ai dispositivi di accedere a informazioni, quali posta elettronica, calendari e contatti in un sistema Exchange Server.

Exchange ActiveSync offre inoltre strumenti di gestione tramite i criteri cassetta postale di Exchange ActiveSync e strumenti correlati. Ad esempio, Windows Phone 7 supporta criteri di gestione come la richiesta di password e l'applicazione di password complesse. Offre inoltre la possibilità di cancellare in remoto il contenuto del dispositivo e ripristinare le impostazioni originali di un telefono cellulare dopo numerosi tentativi non riusciti di sbloccarlo.

La gestione basata su Exchange ActiveSync è uno standard di settore per gli smartphone e altri dispositivi SFF (Small Form Factor). Piattaforme quali Apple iPhone e iPad, Google Android, Nokia Symbian e Palm supportano Exchange ActiveSync e i criteri cassetta postale a vari livelli. Nel post di blog Updated - Comparison of Exchange ActiveSync Clients ( Windows phone, Windows Mobile, Android, Nokia, Apple, Palm ) (in inglese) viene paragonato il supporto per Exchange ActiveSync in diverse piattaforme.

In questa sezione vengono descritti alcuni dei criteri e degli strumenti cassetta postale di Exchange ActiveSync che è possibile utilizzare per gestire gli smartphone. Per ulteriori informazioni su Exchange ActiveSync, vedere Gestione dei dispositivi Exchange ActiveSync su TechNet.

Cancellazione in remoto del contenuto di un dispositivo

I telefoni cellulari consentono di archiviare dati aziendali sensibili e forniscono l'accesso a diverse risorse aziendali. Se un dispositivo viene smarrito o sottratto, i datti potrebbero venire compromessi. Tramite i criteri di Exchange ActiveSync, è possibile aggiungere ai telefoni cellulari la richiesta di una password, che impone agli utenti di digitare una password per accedere ai cellulari . Microsoft consiglia, oltre a richiedere la password di un dispositivo, di configurare i telefoni cellulari in modo che venga richiesta automaticamente una password dopo un periodo di inattività. La combinazione di una password di dispositivo e il blocco in caso di inattività offre una maggiore sicurezza per i dati aziendali. Per ulteriori informazioni, vedere la sezione intitolata "Gestione dei dispositivi" più avanti in questo articolo.

Oltre a queste funzioni, Microsoft Exchange Server 2010 offre una funzionalità di cancellazione remota del contenuto di un dispositivo. È possibile immettere un comando di cancellazione in remoto del contenuto di un dispositivo nella console EMC (Exchange Management Console). Gli utenti possono immettere il comando di cancellazione in remoto dall'interfaccia utente di Microsoft Office Outlook Web App. Questa funzionalità comprende anche una funzione di conferma che consente di creare un indicatore data e ora nei dati relativi allo stato di sincronizzazione della cassetta postale dell'utente, visualizzato in Outlook Web App e nella finestra di dialogo delle proprietà del telefono cellulare dell'utente nella console EMC. Oltre al ripristino delle impostazioni originali del telefono cellulare, la funzionalità di cancellazione in remoto del contenuto di un dispositivo comporta inoltre la cancellazione di tutti i dati presenti nell'eventuale scheda di memoria inserita nel telefono cellulare.

Importante: dopo aver completato una cancellazione in remoto del contenuto di un dispositivo, un ripristino dei dati è alquanto difficile. Tuttavia, nessuna procedura di rimozione dati cancella il contenuto di un dispositivo come se fosse nuovo. Il ripristino dei dati di un dispositivo potrebbe essere ancora possibile utilizzando strumenti sofisticati.

È possibile cancellare in remoto il contenuto di un dispositivo utilizzando uno dei seguenti tre metodi:

  • Utilizzare la console EMC.
  • Utilizzare Outlook Web App.
  • Utilizzare Exchange Management Shell.

Per ulteriori informazioni sulla cancellazione in remoto del contenuto di un dispositivo in Exchange Server 2010, vedere Esecuzione di una cancellazione remota su un telefono cellulare su TechNet.

Gestione dispositivi

È possibile creare un criterio cassetta postale di Exchange ActiveSync per configurare una vasta gamma di opzioni di sicurezza per gli utenti e i loro dispositivi. Oltre ai requisiti e alle impostazioni in termini di password, è possibile utilizzare la scheda Generale relativa al criterio per specificare i tipi di telefoni cellulari che possono connettersi al sistema Exchange Server e se gli allegati possono essere sincronizzati. Di seguito vengono riepilogati i criteri disponibili:

  • I criteri generali consentono di specificare i tipi di telefoni cellulari che possono connettersi al sistema Exchange Server e se gli allegati possono essere sincronizzati:
    • Consenti dispositivi senza provisioning. Consente la sincronizzazione dei telefoni cellulari di cui non è possibile effettuare automaticamente il provisioning. È possibile che tali telefoni cellulari non consentano di applicare tutte le impostazioni dei criteri di Exchange ActiveSync. Attivando questo criterio, si consente a tali telefoni cellulari di essere sincronizzati anche non è possibile applicare alcune impostazioni dei criteri.
    • Intervallo di aggiornamento. Impone al server di inviare nuovamente il criterio ai client a intervalli fissi definiti nel numero di ore che intercorrono tra gli eventi di aggiornamento dei criteri.
  • Requisiti password per i client di Exchange ActiveSync:
    • Richiedi password. Viene richiesta una password per il telefono cellulare. Se sono richieste le password, diventano disponibili i seguenti criteri.
    • Richiedi password alfanumerica. Consente di specificare che la password del telefono cellulare inclusa caratteri non numerici. L'utilizzo di caratteri non numerici nelle password aumenta la complessità della sicurezza delle password stesse.
    • Numero minimo di set di caratteri. Consente di specificare la complessità della password alfanumerica e impone agli utenti di utilizzare un numero di set di caratteri diversi tra i seguenti: lettere minuscole, lettere maiuscole, simboli e numeri.
    • Abilita ripristino password. Attiva il ripristino della password del telefono cellulare. Gli utenti possono utilizzare Outlook Web App per cercare la propria password di ripristino e sbloccare il telefono cellulare. Gli amministratori possono utilizzare la console EMC per cercare la password di ripristino di un utente.
    • Richiedi crittografia del dispositivo. Viene richiesta la crittografia sul telefono cellulare. In questo modo, aumenta la sicurezza grazie alla crittografia di tutte le informazioni presenti nel telefono cellulare.
    • Richiedi crittografia sulle schede di memoria. Viene richiesta la crittografia sulla scheda di memoria rimovibile del telefono cellulare. In questo modo, aumenta la sicurezza grazie alla crittografia di tutte le informazioni presenti sulle schede di memoria del telefono cellulare.
    • Consenti password semplice. Consente agli utenti di bloccare i propri telefoni cellulari con password semplici, ad esempio 1111 o 1234. Se viene deselezionata questa casella di controllo, agli utenti verrà richiesto di utilizzare sequenze di password più complesse.
    • Numero di tentativi non riusciti consentiti. Consente di limitare il numero di tentativi di digitazione password non riusciti accettati da un telefono cellulare prima che tutte le informazioni presenti vengano eliminate e vengano automaticamente ripristinate le impostazioni predefinite del telefono cellulare. In questo modo, si riducono le possibilità che un utente non autorizzato acceda alle informazioni presenti in un telefono cellulare smarrito o sottratto per cui è richiesta la digitazione di una password.
    • Lunghezza minima password. Consente di specificare una lunghezza minima per la password del telefono cellulare. Le password lunghe offrono maggiore sicurezza, ma possono ridurre l'usabilità del telefono cellulare. Si consiglia di utilizzare una password con una lunghezza moderata compresa tra quattro e sei caratteri.
    • Intervallo di tempo senza input dell'utente prima che sia necessario reimmettere la password (in minuti). Quando è necessaria una password per il telefono cellulare, all'utente viene richiesta la password dopo un periodo di inattività del telefono cellulare per un periodo di tempo specificato. Ad esempio, se l'opzione è impostata su 15 minuti, l'utente deve immettere la password del telefono cellulare dopo un periodo di inattività del telefono pari a 15 minuti. Nel caso in cui il telefono cellulare rimanga inattivo per 10 minuti, l'utente non dovrà reimmettere la password.
    • Scadenza password (giorni). Agli utenti viene imposto di reimpostare la password del proprio telefono cellulare dopo un intervallo prestabilito, definito in numero di giorni.
    • Applicare la cronologia delle password. Al telefono cellulare viene imposto di impedire all'utente di riutilizzare password precedenti. Il numero impostato stabilisce il numero di password precedenti che l'utente non potrà riutilizzare.
  • Con i criteri delle impostazioni di sincronizzazione, vengono specificate una vasta gamma di impostazioni specifiche per la sincronizzazione:
    • Includi elementi di calendario passati. Consente di selezionare l'intervallo di date tra gli elementi di calendario da sincronizzare sul telefono cellulare. Opzioni disponibili: Tutte, Due settimane, Un mese, Tre mesi e Sei mesi. Per specificare altre opzioni, utilizzare la shell.
    • Includi elementi di posta elettronica passati. Consente di selezionare l'intervallo di date tra gli elementi di posta elettronica da sincronizzare sul telefono cellulare. Opzioni disponibili: Tutte, Un giorno, Tre giorni, Una settimana, Due settimane e Un mese. Per specificare altre opzioni, utilizzare la shell.
    • Limitare la dimensione di posta a (KB). Consente di limitare la dimensione massima dei messaggi che è possibile scaricare sul telefono cellulare. Dopo aver attivato questo criterio, è necessario specificare la dimensione massima dei messaggi in kilobyte (KB).
    • Consenti il Direct Push durante il roaming. Consente la sincronizzazione del telefono cellulare mentre arrivano nuovi elementi durante il roaming, ovvero quando ci si trova al di fuori della normale area di copertura del servizio di telefonia. Rivolgersi all'operatore di telefonica per conoscere la normale area di copertura del servizio. Disattivando questo criterio, all'utente viene imposto di avviare la sincronizzazione manualmente durante il roaming quando le tariffe dati sono normalmente più alte.
    • Consenti posta elettronica in formato HTML. Consente la sincronizzazione dei messaggi di posta elettronica in formato HTML sul telefono cellulare. Se il criterio non è attivato, tutti i messaggi di posta elettronica verranno convertiti in testo normale prima della sincronizzazione. Il criterio non ha alcun effetto sui messaggi ricevuti nel telefono cellulare.
    • Consenti download degli allegati nel dispositivo. Consente il download degli allegati sul telefono cellulare. Se questo criterio è disattivato, il nome dell'allegato è visibile all'interno del messaggio di posta elettronica ma non potrà essere scaricato sul telefono cellulare.
    • Dimensione massima allegato (KB). Consente di specificare una dimensione massima per gli allegati scaricati sul telefono cellulare. Dopo aver attivato questo criterio, è necessario immettere una dimensione massima degli allegati in KB. Se questo criterio è attivato, gli allegati con dimensioni maggiori della dimensione specificata non possono essere scaricati sul dispositivo.
  • Con i criteri per i dispositivi vengono specificate una vasta gamma di impostazioni specifiche dei dispositivi:
    • Consenti archivi rimovibili. Consente l'accesso alle schede di memoria da un telefono cellulare. Se questo criterio non è attivato, non sarà possibile accedere alle schede di memoria da un telefono cellulare.
    • Consenti dispositivo foto/video. Consente l'utilizzo della fotocamera del telefono cellulare.
    • Consenti Wi-Fi. Consente di utilizzare nel telefono cellulare una connessione Wi-Fi per l'accesso a Internet. La funzionalità Direct Push non è supportata in modalità Wi-Fi.
    • Consenti infrarossi. Consente al telefono cellulare di stabilire una connessione a infrarossi con altri dispositivi o computer.
    • Consenti condivisione internet dal dispositivo. Consente a un altro dispositivo di condividere la connessione Internet del telefono cellulare. La condivisione Internet viene frequentemente utilizzata quando il dispositivo funge da modem per un computer portatile o desktop.
    • Consenti desktop remoto dal dispositivo. Consente al telefono cellulare di stabilire una connessione desktop remoto con un altro computer.
    • Consenti sincronizzazione del desktop. Consente al telefono cellulare di essere sincronizzato con un computer desktop tramite ActiveSync o tramite il Centro gestione dispositivi Windows Mobile.
    • Consenti Bluetooth. Consente di controllare la funzionalità Bluetooth del telefono cellulare. È possibile scegliere le impostazioni Consenti, Disattiva o attivare l'opzione Bluetooth Solo mani libere.
  • Con i criteri delle applicazioni dei dispositivi si attivano o disattivano funzionalità specifiche di un telefono cellulare:
    • Consenti browser. Consente di utilizzare Pocket Internet Explorer nei telefoni cellulari. Con questo criterio non viene controllato l'accesso a browser per telefoni cellulari di terze parti.
    • Consenti posta consumer. Consente di accedere dal telefono cellulare ad account di posta elettronica diversi dagli account Exchange Server. Negli account di posta elettronica consumer sono inclusi gli account a cui si accede tramite protocollo POP3 e IMAP4. Con questo criterio non viene controllato l'accesso ad applicazioni di posta elettronica per telefoni cellulari di terze parti.
    • Consenti applicazioni non firmate. Consente di installare applicazioni non firmate nel telefono cellulare.
    • Consenti pacchetti di installazione non firmati. Consente di eseguire pacchetti di installazioni non firmati sul telefono cellulare.
  • Con altri criteri si specificano le applicazioni consentite e bloccate:
    • Applicazioni consentite. È possibile aggiungere a o rimuovere applicazioni dall'elenco delle Applicazioni consentite, ovvero le applicazioni che è possibile installare ed eseguire sul telefono cellulare. Fare clic su Aggiungi per aggiungere un'applicazione e su Elimina per rimuoverla.
    • Applicazioni bloccate. È possibile aggiungere a o rimuovere applicazioni dall'elenco delle Applicazioni bloccate, ovvero le applicazioni che non è possibile eseguire sul telefono cellulare. Fare clic su Aggiungi per aggiungere un'applicazione e su Elimina per rimuoverla.

Nell'articolo pubblicato su TechNet intitolato Gestione di Exchange ActiveSync con i criteri viene fornito un elenco completo di criteri cassetta postale e viene descritto come configurarli mediante la console EMC e la shell. Anche la capacità di gestire dispositivi tramite Exchange Active Synch sarà una funzionalità fondamentale dell'imminente System Center Configuration Manager 2012, attualmente in versione beta 2.

Valore di timeout di inattività

La tecnologia Direct Push Technology consente di utilizzare Exchange ActiveSync per mantenere i dati presenti in uno smartphone sincronizzati con i dati presenti in un Exchange Server. Nei firewall, il valore di time-out di inattività della connessione di rete indica l'intervallo di tempo massimo di attività di una connessione senza traffico dopo aver stabilito una connessione TCP (Transmission Control Protocol) completa. È necessario impostare correttamente questo valore di time-out per consentire una comunicazione efficiente tra l'intervallo di heartbeat di Exchange ActiveSync e l'intervallo di sessione aziendale. Se il firewall chiude la sessione, la posta non viene consegnata fino alla successiva riconnessione del client ed è possibile che all'utente non sia consentita la sincronizzazione per lunghi periodi di tempo. È consigliabile che le organizzazioni impostino valori di time-out nei firewall in entrata pari a 30 minuti. Per ulteriori informazioni, vedere Understanding Direct Push and Exchange Server 2010 (in inglese).

Impostazioni di individuazione automatica

Exchange Server include un servizio di individuazione automatica che semplifica il provisioning dei telefoni cellulari mediante la restituzione delle impostazioni di sistema richieste dopo l'immissione dell'indirizzo di posta elettronica e della password da parte dell'utente. Il servizio di individuazione automatica è attivato per impostazione predefinita in Exchange Server 2010 (Figura 6).

Diagramma del servizio di individuazione automatica di Exchange ActiveSync

Figura 6. Individuazione automatica con Exchange ActiveSync

Il processo descritto nella Figura 6 è il seguente:

  1. L'utente immette il proprio indirizzo di posta elettronica e la password nel telefono cellulare.
  2. Il telefono cellulare si connette a un server DNS principale per richiamare l'URL del servizio di individuazione automatica e l'indirizzo IP del dominio dell'utente.
  3. Il telefono cellulare utilizza una connessione SSL (Secure Sockets Layer) per connettersi tramite il firewall alla directory virtuale del servizio di individuazione automatica, il quale assembla la risposta XML in base alle impostazioni di sincronizzazione del server.
  4. Il servizio di individuazione automatica invia la risposta XML tramite il firewall su protocollo SSL. Tale risposta viene interpretata dal telefono cellulare e le impostazioni di sincronizzazione vengono configurate automaticamente sul telefono cellulare.

La capacità di utilizzare la funzionalità di individuazione automatica dipende dal sistema operativo del telefono cellulare utilizzato. Non tutti i sistemi operativi per telefoni cellulari che supportano la sincronizzazione con Exchange Server supportano l'individuazione automatica. Per ulteriori informazioni sui sistemi operativi che supportano la funzionalità di individuazione automatica, leggere l'intervento sul blog intitolato Updated - Comparison of Exchange ActiveSync Clients (Windows phone, Windows Mobile, Android, Nokia, Apple, Palm ) (in inglese).

Per istruzioni sulla configurazione della funzionalità di individuazione automatica in Exchange Server, vedere Configurazione delle impostazioni di individuazione automatica di Exchange ActiveSync.


Conclusioni

L'IT deve essere in grado di accogliere l'informatica di consumo secondo necessità, riducendo contemporaneamente al minimo i rischi per l'azienda e i suoi dati. Grazie alla valutazione e alla comprensione delle esigenze degli utenti, oltre ai dispositivi che desiderano utilizzare, è possibile fare in modo che l'informatica di consumo apporti dei vantaggi quantificabili e valutabili all'azienda.

L'adozione dell'informatica di consumo consente alle aziende di aumentare la produttività e il vantaggio sulla concorrenza. L'informatica di consumo diventa un'opportunità importante quando vengono attuate le strategie descritte in questo documento, garantendo la protezione delle risorse aziendali e stabilendo nuovi ruoli di collaborazione tra i dipendenti e l'IT. Microsoft dispone di una vasta gamma di soluzioni pronte per l'aziende che consentono di soddisfare le esigenze degli utenti in merito all'informatica di consumo, a partire dalla distribuzione di Window Optimized Desktop, passando per la gestione basata su cloud mediante Windows Intune, fino ad arrivare a smartphone basati e non basati su Windows.

Risorse correlate

Microsoft sta conducendo un sondaggio in linea per comprendere l'opinione degli utenti in merito al sito Web di. Se si sceglie di partecipare, quando si lascia il sito Web di verrà visualizzato il sondaggio in linea.

Si desidera partecipare?