Gestire i dispositivi Windows nell'organizzazione: transizione alla gestione moderna

L'uso dei dispositivi personali per lavoro e dei dipendenti che lavorano all'esterno dell'ufficio potrebbe cambiare il modo in cui l'organizzazione gestisce i dispositivi. In alcune parti dell'organizzazione potrebbe essere necessario un controllo più granulare e approfondito dei dispositivi, mentre in altre parti potrebbe essere più appropriata una gestione più snella, basata su scenari, in grado di supportare le potenzialità della forza di lavoro moderna. Windows offre la flessibilità necessaria per rispondere a questi requisiti mutevoli e può essere distribuito facilmente in un ambiente misto. È possibile spostare gradualmente la percentuale di dispositivi Windows seguendo le normali pianificazioni di aggiornamento usate nell'organizzazione.

L'organizzazione può supportare diversi sistemi operativi in un'ampia gamma di tipi di dispositivi e gestirli tramite un set comune di strumenti, ad esempio Microsoft Configuration Manager, Microsoft Intune o altri prodotti di terze parti. Questa "diversità gestita" consente agli utenti di trarre vantaggio dai miglioramenti della produttività disponibili nei nuovi dispositivi Windows (incluso il supporto di tocco e input penna avanzati), mantenendo al tempo stesso gli standard per la sicurezza e la gestibilità. Può aiutare te e la tua organizzazione a trarre vantaggio da Windows più velocemente.

Questo articolo offre indicazioni sulle strategie per la distribuzione e la gestione dei dispositivi Windows, inclusa la distribuzione di Windows in un ambiente misto. Vengono illustrate le opzioni di gestione e le quattro fasi del ciclo di vita del dispositivo:

Revisione delle opzioni di gestione per Windows

Windows offre una gamma di opzioni di gestione, come illustrato nel diagramma seguente:

Diagramma del percorso dell'IT moderno.

Come indicato nel diagramma, Microsoft continua a fornire supporto per la gestibilità avanzata e la sicurezza tramite tecnologie come Criteri di gruppo, Active Directory e Configuration Manager. Offre anche un approccio "mobile-first, cloud-first" di gestione semplificata e moderna usando soluzioni di gestione dei dispositivi basate sul cloud, ad esempio Microsoft Enterprise Mobility + Security (EMS). Le future innovazioni di Windows, fornite tramite Windows as a Service, sono integrate da servizi cloud come Microsoft Intune, Microsoft Entra ID, Azure Information Protection e Microsoft 365.

Distribuzione e provisioning

Con Windows è possibile continuare a usare la distribuzione tradizionale del sistema operativo, ma è anche possibile "gestire all'esterno". Per trasformare i nuovi dispositivi in dispositivi completamente configurati e completamente gestiti, è possibile:

  • Evitare la reimaging usando il provisioning dinamico, abilitato da un servizio di gestione dei dispositivi basato sul cloud, ad esempio Windows Autopilot o Microsoft Intune.

  • Creare pacchetti di provisioning completi con Progettazione configurazione di Windows. Per altre informazioni, vedere Provisioning di pacchetti per Windows.

  • Usare tecniche di imaging tradizionali, ad esempio la distribuzione di immagini personalizzate usando Configuration Manager.

Sono disponibili più opzioni per l'aggiornamento a Windows 10 e Windows 11. Per i dispositivi esistenti che eseguono Windows 10, è possibile usare il solido processo di aggiornamento sul posto per un passaggio rapido e affidabile alla Windows 11 mantenendo automaticamente tutte le app, i dati e le impostazioni esistenti. L'utilizzo di questo processo può comportare costi di distribuzione inferiori e una maggiore produttività perché gli utenti finali possono essere immediatamente produttivi. Tutto è giusto dove l'hanno lasciato. È anche possibile usare un approccio tradizionale di cancellazione e caricamento, se si preferisce, usando gli stessi strumenti usati oggi.

Identità e autenticazione

È possibile usare Windows e servizi come Microsoft Entra ID in nuovi modi per l'identità, l'autenticazione e la gestione basate sul cloud. È possibile offrire agli utenti la possibilità di "portare il proprio dispositivo" (BYOD) o di "scegliere il proprio dispositivo" (CYOD) da una selezione che si rende disponibile. Allo stesso tempo, potresti avere la necessità di gestire PC e tablet che devono essere aggiunti a un dominio, a causa di applicazioni o risorse specifiche usate al loro interno.

Puoi pensare alla gestione degli utenti e dei dispositivi come rientrante in queste due categorie:

  • Dispositivi aziendali (CYOD) o personali (BYOD) usati da utenti mobili per app SaaS come Office 365. Con Windows, i dipendenti possono effettuare il provisioning automatico dei propri dispositivi:

    • Per i dispositivi aziendali, possono configurare l'accesso aziendale con Microsoft Entra join. Quando si offre loro Microsoft Entra partecipare con la registrazione automatica Intune MDM, possono portare i dispositivi in uno stato gestito dall'azienda in un unico passaggio, tutto dal cloud.

      Microsoft Entra join è anche un'ottima soluzione per personale temporaneo, partner o altri dipendenti part-time. Questi account possono essere mantenuti separati dal dominio di Active Directory locale, mantenendo però l'accesso alle risorse aziendali necessarie.

    • Analogamente, per i dispositivi personali, i dipendenti possono usare una nuova esperienza BYOD semplificata per aggiungere l'account aziendale a Windows e quindi accedere alle risorse aziendali nel dispositivo.

  • PC e tablet aggiunti a un dominio usati per applicazioni tradizionali e per l'accesso a risorse importanti. Queste applicazioni e risorse possono essere tradizionali che richiedono l'autenticazione o l'accesso a risorse altamente sensibili o classificate in locale.

    Con Windows, se si dispone di un dominio active directory locale integrato con Microsoft Entra ID, quando i dispositivi dei dipendenti vengono aggiunti, si registrano automaticamente con Microsoft Entra ID. Questa registrazione fornisce:

    I PC e i tablet aggiunti a un dominio possono continuare a essere gestiti con Configuration Manager client o criteri di gruppo.

Durante l'analisi dei ruoli nella tua organizzazione puoi usare l'albero delle decisioni generalizzato seguente per iniziare a identificare gli utenti o i dispositivi che richiedono l'aggiunta al dominio. Prendere in considerazione il passaggio degli utenti rimanenti a Microsoft Entra ID.

Diagramma dell'albero delle decisioni per le opzioni di autenticazione del dispositivo.

Impostazioni e configurazione

I requisiti di configurazione dipendono da molti fattori, inclusi il livello di gestione necessario, i dispositivi e i dati gestiti, nonché i requisiti del settore. I dipendenti sono inoltre spesso preoccupati del fatto che il reparto IT possa applicare criteri troppo restrittivi ai dispositivi personali, pur avendo la necessità di accedere all'e-mail e ai documenti aziendali. È possibile creare un set coerente di configurazioni tra PC, tablet e telefoni tramite il livello MDM comune.

  • MDM: MDM offre un modo per configurare le impostazioni che ti consente di soddisfare gli scopi amministrativi senza esporre ogni possibile impostazione. Al contrario, i criteri di gruppo espongono impostazioni con granularità fine che vengono controllate singolarmente. Uno dei vantaggi di MDM è che consente di applicare impostazioni più ampie di privacy, sicurezza e gestione delle applicazioni tramite strumenti più leggeri ed efficienti. MDM consente anche di indirizzare i dispositivi connessi a Internet per gestire i criteri senza usare criteri di gruppo che richiedono dispositivi aggiunti a un dominio locale. Questo provisioning rende MDM la scelta migliore per i dispositivi che sono costantemente in movimento.

  • Criteri di gruppo e Configuration Manager: l'organizzazione potrebbe comunque dover gestire i computer aggiunti a un dominio a un livello granulare usando le impostazioni di Criteri di gruppo. In tal caso, i criteri di gruppo e Configuration Manager continuano a essere scelte di gestione eccellenti:

    • Criteri di gruppo è il modo migliore per configurare in modo granulare PC e tablet Windows aggiunti a un dominio connessi alla rete aziendale usando strumenti basati su Windows. Microsoft continua ad aggiungere impostazioni di Criteri di gruppo con ogni nuova versione di Windows.

    • Configuration Manager rimane la soluzione consigliata per la configurazione granulare con distribuzione software affidabile, aggiornamenti di Windows e distribuzione del sistema operativo.

Aggiornamento e manutenzione

Con il modello Windows as a Service, il tuo reparto IT non ha più la necessità di eseguire processi complessi di creazione delle immagini (cancellazione e caricamento) per ogni nuova versione di Windows. Sia nel canale di disponibilità generale che nel canale di manutenzione Long-Term, i dispositivi ricevono gli aggiornamenti qualitativi e delle funzionalità più recenti tramite semplici processi di applicazione di patch, spesso automatici. Per altre informazioni, vedere Scenari di distribuzione di Windows.

Le soluzioni MDM con Intune offrono strumenti per l'applicazione degli aggiornamenti di Windows ai computer client nella tua organizzazione. Configuration Manager offre funzionalità avanzate per la gestione e il monitoraggio degli aggiornamenti, tra cui le finestre di manutenzione e le regole di distribuzione automatica.

Passaggi successivi

Per avviare il processo di modernizzazione della gestione dei dispositivi nell'organizzazione, è possibile eseguire diversi passaggi:

Valutare le procedure di gestione esistenti e selezionare gli investimenti che potresti già fare. Quali tra le procedure già in essere devono rimanere uguali e quali possono essere modificate? In particolare, quali elementi della gestione tradizionale devi conservare e dove c'è spazio per la modernizzazione? Se si prendono misure per ridurre al minimo l'immagine personalizzata, rivalutare la gestione delle impostazioni o rivalutare l'autenticazione e la conformità, i vantaggi possono essere immediati. È possibile usare l'analisi dei criteri di gruppo in Microsoft Intune per determinare quali criteri di gruppo supportati dai provider MDM basati sul cloud, tra cui Microsoft Intune.

Valuta i vari casi d'uso e le esigenze di gestione esistenti nel tuo ambiente. Ci sono gruppi di dispositivi che possono trarre vantaggio da una gestione più snella e semplificata? I dispositivi BYOD, ad esempio, sono candidati naturali per la gestione basata sul cloud. Per gli utenti o i dispositivi che gestiscono dati molto regolamentati potrebbe essere necessario un dominio di Active Directory locale per l'autenticazione. Configuration Manager e EMS offrono la flessibilità necessaria per implementare in fasi gli scenari di gestione moderni, indirizzando al contempo dispositivi diversi nel modo più adatto alle esigenze aziendali.

Esamina gli alberi delle decisioni in questo articolo. Con le diverse opzioni in Windows, oltre a Configuration Manager e Enterprise Mobility + Security, hai la flessibilità di gestire la creazione di immagini, l'autenticazione, le impostazioni e gli strumenti di gestione per qualsiasi scenario.

Procedi gradualmente. Passare alla gestione moderna dei dispositivi non deve essere una trasformazione durante la notte. Puoi introdurre nuovi sistemi operativi e dispositivi mentre sono ancora in uso quelli meno recenti. Con questa "diversità gestita", gli utenti possono trarre vantaggio dai miglioramenti della produttività nei dispositivi Windows moderni, mentre si continua a mantenere i dispositivi meno recenti in base agli standard per la sicurezza e la gestibilità. Il criterio CSP MDMWinsOverGP consente ai criteri MDM di avere la precedenza sui criteri di gruppo quando i criteri di gruppo e i relativi criteri MDM equivalenti vengono impostati nel dispositivo. È possibile iniziare a implementare i criteri MDM mantenendo l'ambiente dei criteri di gruppo. Per altre informazioni, incluso l'elenco dei criteri MDM con criteri di gruppo equivalenti, vedere Criteri supportati dai criteri di gruppo.

Ottimizzare gli investimenti esistenti. Lungo per il precorso dalla gestione tradizionale locale alla gestione moderna basata sul cloud, puoi sfruttare l'architettura flessibile e ibrida di Configuration Manager e Intune. La co-gestione consente di gestire contemporaneamente i dispositivi Windows usando sia Configuration Manager che Intune. Per ulteriori informazioni, vedere gli articoli seguenti: