AirWatch - Ridefinire la gestione di Windows 10 (IT) · 2017-05-15 · AirWatch – Ridefinire la...

Ridefinire la gestione di Windows 10Ottieni la vera Business Mobility

AirWatch – Ridefinire la gestione di Windows 10 / 2

Sommario

Introduzione....................................................................................................................3

La soluzione di VMware................................................................................................4

Riduzione dei costi e della complessità di gestione...............................................5

Semplificazione della gestione....................................................................................8

Protezione e controllo dei dispositivi Windows 10................................................17

Riduzione del rischio di perdita dei dati..................................................................23

Riepilogo........................................................................................................................26


La consumerizzazione dell’IT (con BYOx) e le iniziative del cloud mobile stanno diventando un requisito essenziale per poter rimanere competitivi negli ambienti professionali. Di conseguenza le organizzazioni sentono il bisogno di andare oltre al loro standard di produttività e collaborazione degli utenti finali e perseguire invece moderne iniziative di business mobility che richiedono una ristrutturazione dei processi core del business impostando il modello di mobility sul cloud. Grazie a Windows 10, Microsoft introduce sul mercato un sistema operativo mobile e pronto per il cloud che avrà un impatto rilevante sulla strategia di End User Computing (EUC) delle aziende. Il nuovo sistema operativo offre un’unica piattaforma per creare app ed estendere i processi core dell’organizzazione ovunque e a qualsiasi utente finale che utilizza un dispositivo basato su Windows 10. Tuttavia, l’applicazione di questa concezione di mobility in tutta l’azienda presenta delle difficoltà del tutto specifiche. Una ricerca condotta da VMware nel 2015 su più di 1000 responsabili IT ha identificato le seguenti sfide principali relative all’implementazione di iniziative di mobility1:

Con l’obbiettivo di una gestione unificata degli endpoint, VMware si posiziona strategicamente per affrontare queste sfide. La soluzione EUC di VMware consente alle organizzazioni di capitalizzare al massimo le loro iniziative di mobility e ai dipartimenti IT di ridefinirsi come veri e propri promotori di business. Questo documento è rivolto a decision maker in ambito IT ed esperti IT ed evidenzia come VMware ridefinisce la distribuzione e la gestione di Windows 10 in tutta l’azienda.

1) Ridurre il costo e la complessità di gestione

2) Assicurare la sicurezza ed il controllo dei dispositivi in qualsiasi momento

3) Ridurre al minimo il rischio di perdita dei dati aziendali

IntroduzioneMolte organizzazioni IT vengono ancora reputate centri di costo a causa del modo ordinario in cui conducono il loro ruolo, che si limita al supporto per gli utenti, i dispositivi, le app e i sistemi operativi.

1 VMware State of Business Mobility Report. Rep. VMware, nov. 2015. Web <http://www.air-watch.com/lp/vmware-state-of-business-mobility-report-2015/>.


VMware AirWatch® offre supporto per la gestione di Windows 10 ed introduce modi più intuitivi per distribuire, controllare e gestire l’intera serie di PC di un’organizzazione. Riduce il costo totale e la complessità di gestione consentendo all’IT di consolidare gli strumenti e le finestre di gestione necessari ad eliminare vari punti deboli delle tradizionali attività PCLM (PC Lifecycle Management), ad esempio, la necessità di gestione temporanea e creazione dell’immagine, la complessità di manutenzione dei driver, la gestione degli aggiornamenti del sistema operativo, i firewall, gli antivirus e i criteri di crittografia. Inoltre, AirWatch consente ad IT di controllare e proteggere i dispositivi per gli utenti finali tramite profili di sicurezza, impostazioni di conformità e restrizioni di dispositivo dettagliati. La soluzione riduce al minimo il rischio di perdita dei dati assicurando che solo i dispositivi gestiti rispondenti ai criteri di conformità definiti dall’azienda abbiano accesso ad app, contenuti ed email.

Il resto di questo documento spiega in dettaglio come la soluzione EUC di VMware può aiutare un’organizzazione a risolvere i dubbi sull’adozione di un’iniziativa di mobility, in particolare in relazione alla distribuzione di Windows 10.

La soluzione di VMwareLa soluzione di Enterprise Mobility Management (EMM) di AirWatch è l’epicentro dell’obbiettivo di VMware di una gestione unificata degli endpoint.


Windows 10 consente agli amministratori IT di sfruttare al massimo le nuove funzionalità EMM. AirWatch utilizza le migliori funzioni della gestione clienti tradizionale e riunisce le funzionalità EMM leader nel settore per semplificare la gestione dei dispositivi mobili e dei desktop Windows 10.

Semplificazione della distribuzione

Tramite AirWatch, gli amministratori IT possono semplificare notevolmente il processo di registrazione e provisioning del dispositivo. AirWatch fornisce un’esperienza onboarding di Windows 10 intuitiva su qualsiasi rete, pubblica (aggiunta nel dominio cloud) o privata (aggiunta nel dominio non cloud), in scenari diversi, ovvero di tipo aziendale, BYOD e CYOD. AirWatch si integra con Microsoft Active Directory (AD) on-premise e Microsoft Azure AD nel cloud pubblico per supportare entrambi i modelli di registrazione, ibrido o interamente cloud, per l’aggiunta dei dispositivi al dominio.

Riduzione dei costi e della complessità di gestione

Figura 1: use case del provisioning di AirWatch Windows 10

Impostazioni > Account

Impostazioni > Account

Registrazione tramite Microsoft App

Registrazione semplificata

durante l’avvio

Registrazione al Workplace

Impostazioni del dispositivo

Livello dell’ applicazione

Onboarding semplificato per l’utente finale

Onboarding semplificato dell’IT Installazione

pacchetto

Provisioning in massa


Onboarding semplificato per l’utente finale

Onboarding semplificato dell’IT

Registrazione autonoma dell’utente finale senza alcun coinvolgimento da parte dell’IT

Registrazione in massa con un solo clic tramite i criteri senza necessità di ricreare l’immagine

OpEx/Produttività IT:


L’integrazione con Azure Active Directory consente alle organizzazioni di supportare la registrazione autonoma degli utenti finali senza alcun coinvolgimento da parte dell’IT e con una minima interazione dell’utente stesso. Gli utenti finali possono registrarsi tramite:

• Una registrazione semplificata durante l’avvio

• Indicando le loro credenziali aziendali

• Accedendo ad applicazioni aziendali (ad esempio, Microsoft Office)

I metodi di registrazione autonomi con le credenziali aziendali consentono di aggiungere i dispositivi al dominio cloud, configurare correttamente profili, impostazioni, app, criteri di conformità e contenuti e impostare il dispositivo in modo che sia gestito da AirWatch, il tutto in un unico e semplice workflow.

La tradizionale registrazione dei dispositivi tramite creazione dell’immagine e aggiunta al dominio è sempre stata una soluzione complicata e dispendiosa in termini di tempo. Il provisioning di runtime di Windows 10 e le funzionalità di provisioning di AirWatch consentono agli amministratori IT un approccio più granulare e basato su criteri per registrare dispositivi in massa senza la necessità di ricreare l’immagine per l’utilizzo individuale.

Tramite AirWatch, gli amministratori IT possono importare in massa numeri di serie di dispositivi specifici e mapparli agli account utente dei destinatari del dispositivo. AirWatch fornisce gli URL dei servizi di gestione temporanea e provisioning necessari (individuazione, registrazione e criteri), il che supporta Progettazione immagine e configurazione di Windows.


Applicazioni Configurazione

• Elimina Bloatware• Installa i file MSI• Installa i file EXE• Installa i file DLL• Installa i Driver• Installa app dello Store/Installa

aggiornamenti di Windows• Distribuisci le chiavi di licenza

Windows• Distribuisci gli script

personalizzati

• Certificati• Email• VPN• Wi-Fi• Firewall• Antivirus• Crittografie• Client di Windows Update• Restrizioni

dell’applicazione• Aggiungi account

• Configura il menu di avvio• Configura lo sfondo• Configura la stampante

Figura 2: Il pacchetto di provisioning può includere elenchi di app e impostazioni di configurazione

Abbinato alle funzionalità di provisioning di AirWatch (vedere la sezione Gestione dell’applicazione), AirWatch consente all’IT di creare un singolo pacchetto di registrazione pre-configurato dove le impostazioni di configurazione, le app (tra cui EXE ed MSI), gli aggiornamenti software, i driver, i file e i comandi sono forniti da remoto agli utenti finali tramite email o un supporto disco e vengono installati con un solo clic. In alternativa, il pacchetto può essere importato direttamente dall’amministratore o dall’utente finale all’interno delle impostazioni di Windows Work Access.


La console dell’amministratore AirWatch include il dashboard del dispositivo che fornisce agli amministratori IT una visualizzazione veloce, generale e in tempo reale dell’intera gamma degli endpoint dell’organizzazione, tra cui i dispositivi basati su Windows 10. Il dashboard del dispositivo è personalizzabile, consente ricerche e include funzionalità di filtraggio in modo che gli amministratori possano trovare dispositivi specifici in base a vari criteri, ad esempio la piattaforma del dispositivo, la versione del sistema operativo, lo stato di conformità, il tipo di proprietà, ecc. Le funzionalità di drill-down rendono le azioni MDM e le funzioni amministrative più semplici e veloci da compiere su un particolare set di dispositivi.

Dispositivi

Semplificazione della gestione

Dashboard unificato per gestione e reporting di tutti i dispositivi, app e piattaforme del sistema operativo


La console dell’amministratore AirWatch consente anche una valutazione più approfondita di ogni dispositivo specifico. Gli amministratori possono ottenere informazioni dettagliate sullo stato di sicurezza del dispositivo, per esempio se il dispositivo Windows 10 è registrato per la gestione se è conforme ai criteri di codice d’accesso e crittografia e se il comportamento del dispositivo è integro in base alle impostazioni di attestazione dell’integrità configurate (vedere la sezione Comportamento del dispositivo).

AirWatch offre anche varie opzioni di report preconfigurati e funzionalità di registrazione eventi che forniscono agli amministratori statistiche fruibili e basate sui risultati relative alle distribuzioni di Windows 10. Gli amministratori IT possono anche creare report personalizzati, definire le liste di distribuzione e automatizzare la distribuzione e la pianificazione dei report direttamente da una console di amministrazione centrale.


Figura 3: Dashboard del dispositivo AirWatch

Inventario dei dispositivi

Applicazioni

AirWatch offre funzionalità di asset intelligence integrate nella console. Agli amministratori IT vengono presentati vari dettagli di inventario dei dispositivi, come ad esempio dispositivi in gruppi specifici dell’organizzazione, stato di connessione alla rete dei dispositivi, dispositivi con specifiche applicazioni installate, se il dispositivo è compromesso e molti altri report preconfigurati e dettagliati.

Una sfida che gli amministratori IT devono affrontare per quanto riguarda la gestione del PC è l’ecosistema frammentato delle app. Con Windows 10, le organizzazioni non hanno più bisogno di molteplici strumenti di distribuzione per ciascun tipo di app e gli amministratori possono consentire agli utenti finali di accedere a tutte le app da un unico app store unificato, a prescindere che si tratti di un pacchetto EXE o MSI, di un’app web o di un’app universale. Il nuovo app store supporta applicazioni che mantengono un’unica base di codice su piattaforme mobili e desktop di Windows. Questa funzione aiuta gli sviluppatori a risparmiare tempo e consente agli amministratori di concentrarsi per ottenere una gestione unificata degli endpoint.


AirWatch consente agli amministratori di distribuire un catalogo app unificato in modo che gli utenti finali possano accedere alle app approvate dall’azienda da un’unica area. I criteri di configurazione applicazioni di AirWatch garantiscono che solo le app affidabili siano accessibili dai dispositivi degli utenti finali (vedere la sezione Gruppi di applicazioni). L’integrazione con VMware Identity Manager, una soluzione IaaS di “Identità come servizio” (Identity as a Service) consente all’IT di controllare e rendere sicuro l’accesso alle app aziendali e fornisce un pratico accesso con un solo tocco agli utenti finali che utilizzano queste app ovunque e su qualsiasi dispositivo (vedere la sezione Single Sign On).

VMware AirWatch® App Catalog™ è completamente integrato con il Microsoft Store e consente l’installazione autonoma di app che vengono assegnate all’utente in base a piattaforma, gruppo di utenti, ruolo, ecc. Consente agli sviluppatori e agli amministratori di visualizzare le statistiche di installazione, ottenere feedback e commenti, eseguire il push di notifiche di aggiornamento, installare in modo invisibile all’utente app sui dispositivi degli utenti finali e creare branding e categorie personalizzate per il catalogo.

È possibile eseguire il push di AirWatch App Catalog su dispositivi automaticamente durante il workflow della registrazione di Windows 10 o su richiesta come un web clip. Con lo sviluppo di Microsoft Windows Store for Business, Microsoft fornisce agli sviluppatori, ai decision maker IT e agli amministratori uno spazio per inviare, trovare, acquisire, gestire e distribuire le app di Windows 10 per le organizzazioni. AirWatch è entusiasta di poter collaborare con Microsoft per integrarsi con Windows Store for Business in modo che gli amministratori finali possano accedere, distribuire e utilizzare le app Windows 10 nella loro organizzazione.

Installazione autonoma delle app degli utenti finali



Provisioning del prodotto

Inventario applicazioni

AirWatch consente la distribuzione remota di app, file e comandi tramite “profili di prodotto”. Le funzionalità di provisioning del prodotto consentono agli amministratori IT di eseguire il push di app, driver, aggiornamenti firmware, script o pacchetti complessi per mantenere i desktop Windows dell’organizzazione aggiornati e sempre pronti per l’uso. Gli amministratori possono semplificare ulteriormente le attività di provisioning del prodotto e distribuzione del software creando piani e workflow automatici per l’installazione che possono anche essere configurati in modo che l’installazione venga eseguita a determinate condizioni, come ad esempio la rete, la pianificazione o l’utilizzo di energia. AirWatch supporta pienamente l’installazione di base di MSI e va oltre includendo un motore di script per l’automazione delle attività tradizionali che offre funzionalità che solitamente richiedono l’uso di uno strumento PCLM. Questo consente agli amministratori IT di sfruttare le migliori funzionalità PCLM tradizionali durante la loro transizione al nuovo flusso di gestione basato su EMM.

AirWatch supporta il controllo, la raccolta e il reporting dell’intero inventario per le app di Windows desktop (legacy) e Metro (moderne). Gli amministratori IT possono visualizzare i report su versioni e stato di distribuzione delle applicazioni, presenza di app su specifici dispositivi, elenco di applicazioni e relativi costi, nonché accedere a molte altre funzionalità dell’inventario delle applicazioni.

Figura 4: Provisioning del prodotto AirWatch

App

Files

Comandi


Supporto per Office 365

E-mail

Per le organizzazioni che utilizzano Microsoft Office 365, AirWatch e VMware Identity Manager rendono il processo di provisioning dell’accesso alle varie app di Office 365 semplice e automatico tramite la sincronizzazione con gruppi di utenti di servizi di directory esistenti (LDAP). L’integrazione assicura un’identità comune per l’autenticazione e l’accesso condizionale alle app in modo che solo gli utenti autorizzati, su dispositivi gestiti e con licenze acquistate, possano accedere ai vari servizi di Office 365.

AirWatch offre funzionalità complete di gestione email per Windows 10 per supportare e proteggere l’infrastruttura di posta elettronica aziendale di un’organizzazione concedendo solo agli utenti e dispositivi conformi accesso alle email.

AirWatch supporta l’accesso email sul client di posta nativo (Microsoft Outlook) o l’utilizzo dell’applicazione AirWatch Inbox e la distribuzione di più configurazioni di gestione di email2 all’interno della stessa organizzazione, tra cui Exchange Online e Office 365. Questo consente agli amministratori IT di centralizzare la gestione di diversi ambienti email in filiali o gruppi di utenti e di supportare scenari di aggiornamento o migrazione in cui una parte degli endpoint potrebbe essere in un altro ambiente.

Supporta e centralizza la gestione di varie infrastrutture email


2 Windows Desktop: Exchange Server, Exchange Online, Office 365; Windows Phone: Exchange Server, Exchange Online, Office 365, Lotus Traveler, Novell GroupWise, Google Apps for Work.


Funzioni client tradizionali

I metodi di gestione tradizionale di PC Windows dipendono in gran parte dai GPO (Group Policy Object). Con i GPO, è necessario che i dispositivi siano connessi alla rete aziendale ed eseguano il riavvio per ottenere i criteri. Inoltre, le organizzazioni richiederebbero spesso un’infrastruttura di gestione a sé basata su EMM per proteggere e gestire i loro endpoint mobili e non Windows.

Tuttavia, Windows 10 supporta una transizione fondamentale da una gestione della piattaforma basata sui GPO ad una basata su EMM. Dotati di tecnologia AirWatch, i dispositivi Windows 10 possono adesso essere configurati con aggiornamenti in tempo reale via etere su qualsiasi rete pubblica o privata. AirWatch supporta anche impostazioni native del sistema operativo per crittografia, antivirus, malware e firewall eliminando così il bisogno di acquistare e supportare agenti e software di terze parti. AirWatch consente la coesistenza della gestione tradizionale basata sui GPO con il nuovo approccio basato su EMM in modo che gli amministratori non siano obbligati a scegliere uno dei due approcci. Riunendo il meglio del tradizionale PCLM e di EMM, l’approccio di AirWatch mira ad aumentare la produttività di IT, ridurre costi e migliorare la sicurezza degli endpoint.

Consolida o elimina le licenze per gli strumenti di gestione PC tradizionali

CapEx/Infrastruttura:

Contenuti

La soluzione di AirWatch per la gestione dei contenuti aiuta le organizzazioni a distribuire e accedere a contenuti in modo sicuro da dispositivi mobili e desktop Windows. Gli amministratori IT possono configurare e caricare contenuti gestiti nella console dell’amministratore, sincronizzare i server di file aziendali (ad esempio, Microsoft SharePoint, Microsoft OneDrive, condivisioni di rete, ecc.) e attivare spazio dei contenuti personali per gli utenti finali. Gli utenti finali possono avere accesso e condividere i dati in modo sicuro tramite VMware AirWatch® Content Locker™.


Semplifica la gestione di aggiornamenti, patch, driver e altre tradizionali attività del ciclo di vita del PC

OpEx/Produttività IT:AirWatch fornisce un controllo granulare sulla modalità di gestione e distribuzione degli aggiornamenti di Windows in tutta l’organizzazione. L’amministratore IT può scegliere se gli utenti possono controllare gli aggiornamenti del sistema operativo da soli o se rendere gli aggiornamenti del dispositivo obbligatori tramite l’iscrizione alle fonti di aggiornamento di Windows. AirWatch è integrato con il nuovo servizio di aggiornamento Microsoft e supporta anche i Windows Server Update Services (WSUS) già presenti all’interno dell’azienda.

Gli amministratori possono impostare criteri su come gli aggiornamenti vengono distribuiti al dispositivo, ad esempio automaticamente o solo se autorizzati dagli utenti, e definiscono le finestre di manutenzione, come il giorno e orario preferito per l’installazione, in modo che gli aggiornamenti non interferiscano con la produttività dell’utente. AirWatch offre anche opzioni per scegliere se gli aggiornamenti per altri prodotti di Microsoft e terze parti possono essere installati contemporaneamente agli aggiornamenti di Windows e se eseguire o meno il push delle build di Windows Insider agli utenti finali. AirWatch supporta anche la funzione di ottimizzazione della distribuzione degli aggiornamenti Windows 10 per la distribuzione peer-to-peer, in modo che gli utenti ricevano aggiornamenti e app più velocemente.

Aggiornamenti

Windows 10 presenta un nuovo servizio di aggiornamento creato con la mobility e il cloud in mente. Rivoluziona il concetto di aggiornamento del sistema operativo passando da un modello “cancella e sostituisci” a uno dove gli aggiornamenti periodici del sistema operativo e delle funzioni vengono eseguiti tramite push wireless. Il nuovo aggiornamento di Windows come servizio include anche dei piani di servizio o “rami di aggiornamento” che consentono agli amministratori di controllare il piano della distribuzione in base all’approccio preferito dall’organizzazione o alla sensibilità aziendale di aggiornamenti di funzioni e sicurezza. Queste modifiche implicano che le organizzazioni adesso necessitano di uno strumento di gestione basato sul cloud per rimanere sempre al passo con le nuove funzionalità di aggiornamento.


Firewall

I criteri del firewall su reti private e pubbliche sono ulteriori funzioni tradizionali di gestione del client che adesso può essere gestito in modo più efficace tramite la console dell’amministratore AirWatch.

AirWatch consente la configurazione di criteri di crittografia BitLocker in modo che le organizzazioni possano crittografare un intero disco o solo la partizione del sistema operativo in modo invisibile all’utente. Gli amministratori possono depositare la chiave di ripristino BitLocker nella console dell’amministratore AirWatch e anche nel portale self-service dell’utente finale (SSP) in modo da abilitare un nuovo modello self-service che riduce il carico di lavoro dell’IT.

Crittografia

Attivazione self-service dell’utente finale

AirWatch consente all’utente finale di eseguire varie attività autonome, il che riduce ulteriormente il carico di lavoro dell’IT nel supportare gli utenti finali e i clienti, consentendo al team di concentrarsi su attività che apportano valore.

Gli amministratori possono anche gestire criteri per l’antivirus nativo di Windows Defender e creare criteri di conformità in AirWatch. Gli amministratori IT possono attivare il monitoraggio in tempo reale, impostare l’aggiornamento delle definizioni e finestre di scansione, aggiungere esclusioni, scegliere azioni automatiche per i diversi livelli di rischio e impostare altri vari criteri avanzati di monitoraggio e scansione. Oltre ai criteri nativi di Windows Defender, gli amministratori possono configurare regole di conformità per soluzioni antivirus di terze parti per assicurarsi che il monitoraggio sia attivato e le definizioni dei virus e i file delle firme siano aggiornati.

Antivirus e malware


Elim

inaz

ion

e d

isp

osi

tivo

Qu

ery

del

dis

po

siti

vo

Can

cella

zio

ne

dat

i d

isp

osi

tivo

Can

cella

zio

ne

di d

ati

azie

nd

ali

Blo

cco

dis

po

siti

vo/s

cher

mo

Loca

lizza

zio

ne

dis

po

siti

vo

Invi

o d

i mes

sag

gi

Do

wn

load

di a

gen

ti

Rec

up

ero

ch

iave

di

Bit

Lock

er

Can

cella

zio

ne

reg

istr

azio

ne

Vis

ual

izza

zio

ne

mes

sag

gio

d

i reg

istr

azio

ne

Rin

vio

mes

sag

gio

di

reg

istr

azio

ne

Gen

eraz

ion

e to

ken

del

l’ap

p

Rev

oca

to

ken

del

l’ap

p

Ges

tio

ne

emai

l

Co

nsu

ltaz

ion

e co

nd

izio

ni

per

l’u

tiliz

zo

Car

icam

ento

cer

tifi

cato

S/

MIM

E

Azioni

Windows Desktop

Windows Mobile

X X

X

X

X XX

X

X

X

X

X X X X X X X X X

X X X X X X X

Tabella 1: Funzionalità del portale self-service di AirWatch per dispositivi Windows 10

Oltre alla registrazione autonoma del dispositivo dell’utente finale e all’installazione di app e aggiornamenti, AirWatch consente agli amministratori di configurare il portale self-service (SSP) che riduce le richieste di assistenza IT permettendo agli utenti finali di monitorare e gestire da remoto i propri dispositivi. Gli utenti finali possono rimuovere i dati aziendali dai loro dispositivi, visualizzare la chiave di recupero personale BitLocker, inviare messaggi ed eseguire molte altre attività di gestione dispositivo in modo autonomo tramite il portale self-service. Un elenco di operazioni supportate da SSP per i desktop Windows è disponibile nella seguente tabella:

Portale self-service (SSP)

La gestione autonoma dell’utente finale riduce le chiamate all’help desk e il carico di lavoro dell’IT



I profili dei dispositivi sono gli strumenti principali per gestire e controllare dispositivi tramite AirWatch e contengono i payload (ad esempio, impostazioni, configurazioni e restrizioni) che le organizzazioni vogliono applicare sui dispositivi Windows 10. I payload aiutano gli amministratori a impostare criteri che mitigano i problemi principali associati a identità/accesso (ad esempio, codice d’accesso, credenziali, Passport for Work), dati (ad esempio, protezione dati, crittografia) e protezione contro le minacce (ad esempio, antivirus, firewall) per gli utenti e i dispositivi Windows 10. Con AirWatch gli amministratori possono creare profili per desktop e dispositivi mobili Windows 10 e assegnarli a specifici gruppi smart, ovvero gruppi personalizzabili definiti dall’amministratore che determinano quali piattaforme, dispositivi e utenti finali ricevono un’applicazione, un criterio di conformità e un profilo di dispositivo. La tabella 2 identifica i payload del profilo del dispositivo Windows supportati su AirWatch.

La protezione dei desktop e dei dispositivi mobili Windows 10 inizia con la registrazione degli endpoint gestiti da EMM. Questo assicura che solo gli endpoint gestiti abbiano accesso ad app, risorse e archivi aziendali. Una volta avvenuta la registrazione, AirWatch consente la configurazione di profili di sicurezza, criteri di conformità e restrizioni del dispositivo che assicurano un miglior controllo e una maggiore sicurezza facendo in modo che i dispositivi non vengano manomessi.

Profili dei dispositivi

Protezione e controllo dei dispositivi Windows 10


I profili desktop e mobili di Windows 10 includono anche opzioni per abilitare varie restrizioni a livello del dispositivo per un maggior controllo MDM. Gli amministratori IT adesso possono impostare restrizioni su:

Restrizioni dei dispositivi

Controlli granulari per restrizioni a livello del dispositivo e delle app

Sicurezza/Controllo:

• Amministrazione del dispositivo: ad esempio, consentire agli utenti di annullare la registrazione del loro dispositivo o reimpostarlo

• Sicurezza e privacy: ad esempio, consentire l’uso dei servizi di localizzazione o dei dati di telemetria

• Impostazioni del dispositivo: ad esempio, consentire agli utenti di modificare le impostazioni relative a data/ora o lingua

• Funzionalità del dispositivo: ad esempio, consentire l’utilizzo della fotocamera, del Bluetooth o di Cortana

• Applicazioni: ad esempio, consentire solo l’uso di app affidabili e aggiornamenti automatici

• Rete: ad esempio, consentire la rete dati in roaming o la connessione automatica alle configurazioni Wi-Fi.

• Browser: ad esempio, consentire la compilazione automatica dei moduli del browser, cookie e pop-up

Payload:

Windows Desktop

Windows Mobile

X X X X X X X X X X X X X X X X X X X

X X X X X X X X X X X X X X

X

X

Co

dic

e d

’acc

esso

Wi-

Fi

VPN

Cre

den

zial

i

Res

triz

ion

i

Pro

tezi

on

e d

ati

Pass

po

rt f

or

Wo

rk

Fire

wal

l

Mo

dal

ità

app

sin

go

la

An

tivi

rus

Cri

tto

gra

fia

Agg

iorn

amen

ti W

indo

ws

Web

clip

Exch

ang

e A

ctiv

e Sy

nc

SCEP

Co

ntr

ollo

ap

plic

azio

ni

Serv

izi W

eb E

xch

ang

e

E-m

ail

Acc

esso

ass

egn

ato

Impo

staz

ioni

pe

rson

aliz

zate

Tabella 2: I payload del dispositivo AirWatch per dispositivi Windows 10


AirWatch supporta i profili di controllo applicazione3 per Windows 10 consentendo agli amministratori di creare regole per l’inserimento delle applicazioni in liste bianche e nere e impedire agli utenti di scaricare e installare app non approvate dall’app store pubblico. È possibile eseguire il provisioning dei criteri AppLocker per bloccare l’uso di altre app installate in precedenza non consentite in base alla configurazione del controllo applicazione.

AirWatch include un motore di conformità in tempo reale che assicura che tutti i dispositivi rispettino i criteri di gestione e controllo definiti dall’amministratore IT. Questi criteri di sicurezza sono specifici della piattaforma e possono comprendere vari criteri di conformità, ad esempio profili dei dispositivi (codice d’accesso, antivirus, crittografia), elenco delle applicazioni (lista bianca, nera, applicazioni obbligatorie), stato di compromissione (attestazione di integrità) e altri identificati nella tabella sottostante.

Gli amministratori possono anche configurare regole di escalation automatica che per azioni specifiche (ad esempio, invio di notifiche all’utente, blocco dell’accesso alle app) e consentire periodi di tolleranza quando un dispositivo viene giudicato non conforme. Le regole di escalation automatica alleggeriscono il carico di lavoro dell’IT riguardante il monitoraggio periodico della conformità dell’intera gamma di computer e inoltre migliorano il generale comportamento di sicurezza facendo sì che solo i dispositivi conformi abbiano accesso ad app e dati aziendali.

Gruppi di applicazioni

Motore di conformità

Motore di conformità in tempo reale con criteri di escalation automatica


3 Il profilo di controllo applicazione richiede l’uso degli SKU Windows 10 Enterprise o Education.


L’attestazione di integrità di Windows 10 controlla lo stato di avvio (es. avvio protetto, versione di Boot Manager) e di sicurezza (es. BitLocker, Controllo dispositivo) per stabilire se il dispositivo è compromesso. La console dell’amministratore AirWatch consente agli amministratori di scegliere specifici attributi di attestazione di integrità per segnalare il dispositivo come compromesso.

Il motore di conformità controlla se qualsiasi attributo ha avuto esito negativo ed esegue le azioni necessarie definite dall’amministratore. Poiché AirWatch esegue il pull delle informazioni sull’attestazione di integrità direttamente da Trusted Platform Module (TPM), un componente hardware crittografato integrato nel dispositivo, anziché dal sistema operativo, il rilevamento di un dispositivo compromesso funziona anche se il kernel del sistema operativo è compromesso.

Comportamento del dispositivo

Combinazione di controlli software e hardware per controllare il comportamento del dispositivo


Stat

o a

nti

viru

s

Stat

o c

om

pro

mes

so

Ult

ima

visu

aliz

zazi

on

e

del

dis

po

siti

vo

Cri

tto

gra

fia

Stat

o fi

rew

all

Acc

etta

zio

ne

del

le

cond

izio

ni p

er l’

utili

zzo

Mo

del

lo

Ver

sio

ne

del

sis

tem

a o

per

ativ

o

Co

dic

e d

’acc

esso

Ro

amin

g

Sost

itu

zio

ne

sch

eda

SIM

Stat

o d

egli

agg

iorn

amen

ti

auto

mat

ici W

ind

ow

s

Criteri di conformità:

Windows Desktop

Windows Mobile

X X X X X X X X X X

X X X X X X X

Tabella 3: Criteri di conformità AirWatch per dispositivi Windows 10


Figura 5: Attestazione di integrità per Windows 10

Nomi utente e password possono essere facilmente dimenticati, condivisi e sfruttati (ad esempio, attacchi “pass-the-hash”) rendendo i dati aziendali vulnerabili. Windows 10 combina autenticatori avanzati e hardware con sicurezza basata sulla virtualizzazione (Controllo credenziali). Grazie ad AirWatch, gli amministratori possono stabilire criteri di autenticazione ben definiti per Windows 10 che riducono lo sfruttamento delle credenziali e bloccano gli attacchi “pass-the-hash”.

Autenticazione

Richiesta

Approvata

Prova

Avvio sicuro

Crittografia BitLocker

Antivirus

Integrità del codice

Versione di Windows

TPM 2.0 o versione successiva

Verifica dell’integrità dispositivo

Richiesta di accesso


Windows 10 presenta Microsoft Passport, un’autenticazione MFA integrata nel sistema operativo nonché alternativa alle password di livello enterprise e più sicura. AirWatch si integra con le nuove funzionalità di sicurezza di Windows 10: Windows Hello (autenticazione biometrica) e Passport PIN. Tramite AirWatch è possibile impostare criteri per gesti di verifica dell’utente, configurare i requisiti di complessità e la sicurezza del PIN, le condizioni di complessità ed eseguire il provisioning di certificati per identificare gli utenti.

SSO consente agli utenti di eseguire il sign in ai loro dispositivi una sola volta per accedere a tutte le app disponibili consigliate senza dover rieseguire l’operazione ogni volta. VMware Identity Manager, una soluzione basata sul cloud, offre integrazione dei servizi di directory per i servizi di directory locali on-premise (LDAP) e utilizza asserzioni SAML per la federazione dell’identità nel cloud. L’identità federata consente l’uso di SSO su tutte le app di Windows 10, tra cui SaaS, Office 365, Outlook e app mobili. Non solo l’opzione SSO riduce il numero di chiamate all’help desk per risolvere problemi di password dimenticate, ma aumenta la sicurezza in quanto non è più necessario per gli utenti conservare/annotare le password correndo il rischio che siano intercettate. Inoltre l’accesso a tutte le app può essere facilmente disabilitato per prevenire la perdita di dati nel caso che il dipendente lasci l’azienda.

Autenticazione a più fattori (Multi-Factor Authentication,MFA)

Single Sign On (SSO)

Supporto per MFA e SSO per una maggior sicurezza di autenticazione



La sicurezza è un aspetto importante della gestione mobility e della strategia di prevenzione perdita dati di AirWatch. La protezione dei dati nell’endpoint Windows 10 inizia col rendere sicuro l’accesso ai server dell’applicazione stessi in modo che solo le app gestite e gli utenti autorizzati possano accedere a questi server. Tramite AirWatch gli amministratori IT possono definire criteri avanzati per la prevenzione della perdita di dati su dispositivi Windows 10 e proteggere così i dati aziendali mentre affrontano le questioni legate alla privacy dei dati personali dei dipendenti. VMware Identity Manager si integra con la gestione di mobility aziendale di AirWatch per fornire ulteriore valore all’azienda. La soluzione integrata riduce al minimo il rischio di perdita dei dati assicurando che solo i dispositivi gestiti conformi ai criteri definiti dall’azienda abbiano accesso ad app, contenuti ed email.

Le organizzazioni possono utilizzare i gateway VPN per assicurare connessioni sicure dagli endpoint. Tuttavia le VPN a livello del dispositivo non possono distinguere tra app di lavoro, personali e non autorizzate su un endpoint e consentiranno il traffico tra il dispositivo e il datacenter finché la connessione VPN è attiva.

Riduzione del rischio di perdita dei dati

VPN per-app

Eliminazione della necessità di servizi e licenze VPN di terze parti

CapEx/Infrastruttura:

La funzionalità VPN per-app di AirWatch abilita la sicurezza a livello di app con microsegmentazione lato clienti in modo che solo gli utenti autorizzati, con dispositivi convalidati, che utilizzano app approvate abbiano accesso alla connessione del data center in qualsiasi momento. Tramite il profilo VPN di Windows 10, gli amministratori possono scegliere app specifiche che sono autorizzate ad accedere a risorse aziendali, tra cui indirizzi IP, porte o siti intranet come SharePoint. Le funzionalità VPN per-app impediscono l’accesso a dati aziendali tramite qualsiasi altra app non sicura o inaffidabile. Il servizio VPN integrato, AirWatch Tunnel, elimina la necessità di un servizio di terze parti e un ulteriore costo per la licenza, garantendo così che il servizio VPN venga fornito a un costo totale di proprietà (TCO) più basso. Oltre a supportare un servizio VPN nativo, AirWatch si integra anche con servizi VPN dell’organizzazione


L’integrazione con VMware Identity Manager consente agli amministratori IT di fornire un accesso condizionale alle risorse aziendali, ovvero il dispositivo deve essere gestito e i requisiti di conformità devono essere rispettati. Il motore di conformità di AirWatch valuta continuamente la conformità del dispositivo, in base a solidi criteri di assegnazione del profilo di conformità (identificati nella tabella 3) per controllare l’accesso a ogni app (es. mobile, desktop, SaaS, universale), vari archivi di dati (tramite AirWatch Content Locker), distribuzioni email multiple e qualsiasi tipo di dispositivo.

Quando l’utente finale richiede l’accesso a risorse aziendali, VMware Identity Manager controlla se il dispositivo è gestito e conforme come indicato dal motore di conformità. L’accesso adattivo controlla l’autenticazione basata su richieste di supporto che possono dipendere da utenti o gruppi, tipo di dispositivo, tipo di app, gestione dispositivo e rete (dominio). I criteri di accesso condizionale sono applicabili anche alle configurazioni Exchange Online o EAS, dove gli amministratori possono creare criteri di liste bianche o nere per limitare l’accesso e la distribuzione di email su dispositivi non gestiti e non conformi.

Accesso condizionale

Figura 6: AirWatch App Tunneling e VPN per-app

VPN al livello dell’app


Gli amministratori IT possono applicare funzionalità avanzate di prevenzione della perdita dei dati che impediscono all’utente azioni di copia e incolla e l’apertura di allegati aziendali o file esterni al contenitore sicuro (AirWatch Content Locker). La soluzione di gestione contenuti di AirWatch abilita la crittografia di documenti, consente l’inserimento in lista bianca o nera in base al tipo di file e protegge i dati in transito e inattivi tramite l’uso della crittografia AES 256-bit. Inoltre le funzionalità di gestione email di AirWatch impediscono la perdita di dati dalle email aziendali assicurandosi che gli allegati alle email e i collegamenti ipertestuali si aprano solo all’interno di un contenitore sicuro oppure una mailbox o un browser gestito.

Oltre alle funzioni native di prevenzione della perdita dei dati, AirWatch è entusiasta di cooperare con Microsoft per supportare le funzionalità di Enterprise Data Protection (EDP) per le organizzazioni che partecipano al programma Microsoft TAP e alcune build di Windows Insiders. Le funzionalità di AirWatch EDP per le build di Windows Insiders consentono agli amministratori di permettere a desktop affidabili o app moderne di aprire o decrittografare dati di lavoro. Gli amministratori possono configurare confini protetti dall’azienda, intervalli IP, nomi di domini o server proxy, che sono le aree protette per i dati aziendali. Qualsiasi informazione ricavata dalle app affidabili all’interno dei confini aziendali protetti verrà crittografata. I livelli flessibili di imposizione di AirWatch possono consentire o vietare a certi gruppi di utenti di spostare dati e condividere azioni come copia e incolla, trascina e rilascia, ecc.

Prevenzione della perdita dei dati

Protezione dei dati aziendali (EDP)

Miglior comportamento di sicurezza end-to-end con una microsegmentazione lato client, accesso condizionale e prevenzione della perdita dei dati


4 Sfrutta AirWatch Mobile Access Gateway (MAG) per inviare dati tramite SSL.


La business mobility si sta sviluppando velocemente in un workspace digitale che fornisce ai lavoratori gli strumenti di dispositivi adatti ai quali sono abituati, processi di un business in trasformazione e accessi a dati e risorse per eseguire il loro lavoro in modo corretto. Passando dal tradizionale approccio basato sul PC a un sistema operativo moderno indipendente dal dispositivo, Windows 10 presenta opportunità per le organizzazioni di aderire a scenari di vera business mobility che supportano gli amministratori IT, gli sviluppatori e gli utenti finali:

Quando le aziende esplorano il futuro della business mobility, è necessario che i loro leader adottino una soluzione coerente creata con il proposito di fornire un’esperienza “semplice per il consumatore e sicura per l’azienda” per ogni stakeholder coinvolto. Le soluzioni di computing VMware per l’utente finale sono realizzate con l’obbiettivo di affrontare le sfide più comuni delle iniziative di mobility. Grazie ad AirWatch Enterprise Mobility Management e VMware Identity Manager, la soluzione di gestione unificata degli endpoint riduce i costi e le complessità di gestione della gamma di PC dell’organizzazione di Windows 10, fornisce un controllo granulare per assicurare la sicurezza e la gestione degli endpoint e abilita funzionalità avanzate di prevenzione della perdita dei dati.

• Adottando EMM come strumento di fatto di gestione, Windows 10 consente agli amministratori IT di supportare efficacemente vari tipi di dispositivi e use case di proprietà.

• La piattaforma dell’app universale abilita gli sviluppatori a creare o ridefinire i processi di business core di un’organizzazione utilizzando una singola base di codice e distribuire dispositivi agli utenti finali tramite un’interfaccia unificata.

• Il sistema operativo è creato per lavorare in modo lineare su un’unica piattaforma per il desktop e i dispositivi mobili, fornendo un’esperienza di produttività coerente agli utenti finali dappertutto e fuori ufficio.

Riepilogo


Per ulteriori informazioni, visitare il sito: www.air-watch.com/it

Per iniziare con una prova gratuita di AirWatch, visitare il sito www.air-watch.com/lp/it/free-trial

1155 Perimeter Center WestSuite 100 Atlanta, GA 30338Stati Uniti T: +1 404 478 7500E: [email protected]

A proposito di AirWatch

AirWatch è leader nelle soluzioni di gestione della mobility aziendale, con una piattaforma che include soluzioni leader del settore nella gestione dei dispositivi, delle email, delle applicazioni, dei contenuti e del browser. Acquisita da VMware nel febbraio 2014, AirWatch ha sede ad Atlanta e può essere raggiunta online sul sito www.air-watch.com/it.

Sede centrale di AirWatch

Risorse aggiuntive

http://www.air-watch.com/it

AirWatch - Ridefinire la gestione di Windows 10 (IT) · 2017-05-15 · AirWatch – Ridefinire la...

Documents

Transcript of AirWatch - Ridefinire la gestione di Windows 10 (IT) · 2017-05-15 · AirWatch – Ridefinire la...