Introduzione a Configuration Manager
Si applica a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Un membro della famiglia di prodotti Microsoft System Center di soluzioni di gestione, System Center 2012 Configuration Manager aumenta l'efficienza e la produttività IT riducendo le attività manuali e consentendo di concentrarsi sui progetti di alto valore, massimizzare gli investimenti hardware e software e ottimizzare la produttività degli utenti finali offrendo il software corretto al momento giusto.Configuration Manager consente di offrire servizi IT più efficaci attraverso una distribuzione software protetta e scalabile, una gestione delle impostazioni di conformità e una completa gestione delle risorse di server, desktop, computer portatili e dispositivi mobili.
Configuration Manager estende le soluzioni e tecnologie Microsoft esistenti e si integra con esse. Ad esempio:
Configuration Manager usa Servizi di dominio Active Directory per la sicurezza, il percorso dei servizi, la configurazione e l'individuazione degli utenti e dei dispositivi che si desidera gestire.
Configuration Manager usa Microsoft SQL Server come database di gestione delle modifiche distribuito e si integra con SQL Server Reporting Services (SSRS) per generare report per monitorare le attività di gestione e tenerne traccia.
Molti ruoli del sistema del sito di Configuration Manager che forniscono funzionalità di gestione usano i servizi Web di Internet Information Services (IIS).
Il Servizio trasferimento intelligente in background (BITS) e BranchCache possono essere usati per semplificare la gestione della larghezza di banda di rete disponibile.
Configuration Manager è inoltre in grado di integrarsi con Windows Server Update Services (WSUS), Protezione accesso alla rete (NAP), Servizi certificati, Exchange Server ed Exchange Online, Criteri di gruppo, il ruolo del server DNS, Windows Automated Installation Kit (Windows AIK), Utilità di migrazione stato utente (USMT), Servizi di distribuzione Windows (WDS), Desktop remoto e Assistenza remota.
Per il corretto funzionamento di Configuration Manager, è innanzitutto necessario pianificare attentamente e testare le funzionalità di gestione prima di usare Configuration Manager in un ambiente di produzione. Essendo un'applicazione di gestione avanzata, Configuration Manager potrebbe influire su ogni computer dell'organizzazione. Quando si distribuisce e si gestisce Configuration Manager con un'attenta pianificazione e tenendo in considerazione i requisiti aziendali, Configuration Manager consente di ridurre il carico amministrativo e il costo totale di proprietà.
Nelle sezioni seguenti sono disponibili ulteriori informazioni su Configuration Manager:
Funzionalità di gestione di Configuration Manager
Console di Configuration Manager
Catalogo applicazioni, Software Center e portale aziendale
- Proprietà di Configuration Manager (client)
Scenari di esempio per Configuration Manager
Scenario di esempio: consentire agli utenti di ottenere l'accesso alle applicazioni da qualsiasi dispositivo
Scenario di esempio: unificare la gestione della conformità per i dispositivi
Scenario di esempio: semplificare la gestione client per dispositivi
Passaggi successivi
Funzionalità di gestione di Configuration Manager
Nella tabella seguente vengono fornite informazioni dettagliate sulle funzionalità di gestione primarie di Configuration Manager. Poiché ogni funzionalità ha requisiti diversi, le funzionalità che si desidera usare potrebbero influire sulla struttura e sull'implementazione della gerarchia di Configuration Manager. Se, ad esempio, si desidera distribuire il software nei dispositivi della gerarchia, è necessario installare il ruolo del sistema del sito del punto di distribuzione.
Funzionalità di gestione |
Descrizione |
Altre informazioni |
|---|---|---|
Gestione delle applicazioni |
Offre un set di strumenti e risorse che consentono di creare, gestire, distribuire e monitorare le applicazioni nell'azienda. |
Introduzione alla gestione delle applicazioni in Configuration Manager |
Accesso alle risorse aziendali |
Per System Center 2012 R2 Configuration Manager e versioni successive: Offre un insieme di strumenti e risorse che consentono di dare agli utenti dell'organizzazione accesso in remoto ai dati e alle applicazioni. Questi strumenti comprendono quanto segue:
|
|
Impostazioni di conformità |
Offre un set di strumenti e risorse che consentono di valutare, tenere traccia e correggere la conformità della configurazione dei dispositivi client nell'azienda. |
Introduzione alle impostazioni di conformità in Configuration Manager |
Endpoint Protection |
Offre sicurezza, antimalware e gestione di Windows Firewall per i computer dell'azienda. |
|
Inventario |
Offre un set di strumenti per identificare e monitorare gli asset:
|
Vedere la documentazione seguente: |
Distribuzione del sistema operativo |
Offre uno strumento per creare immagini del sistema operativo. È quindi possibile usare queste immagini per distribuirle nei computer gestiti da Configuration Manager e nei computer non gestiti, usando l'avvio PXE o supporti di avvio, ad esempio un set di CD, un DVD o unità flash USB. |
Introduzione alla distribuzione del sistema operativo in Configuration Manager |
Gestione fuori banda |
Si integra con la tecnologia Intel AMT, che consente di gestire i computer desktop e portatili indipendentemente dal client di Configuration Manager o dal sistema operativo del computer. |
Introduzione alla gestione fuori banda in Configuration Manager |
Risparmio energia |
Offre un set di strumenti e risorse utilizzabili per gestire e monitorare il consumo di energia dei computer client nell'azienda. |
Introduzione al risparmio di energia in Configuration Manager |
Query |
Offre uno strumento per recuperare informazioni sulle risorse nella gerarchia e informazioni sui dati di inventario e sui messaggi di stato. È quindi possibile usare queste informazioni per creare report o definire le raccolte di dispositivi o utenti per le impostazioni di distribuzione e configurazione software. |
|
Profili di connessione remota |
Per System Center 2012 R2 Configuration Manager e versioni successive: Offre un set di strumenti e risorse che consentono di creare, distribuire e monitorare le impostazioni di connessione remota nei dispositivi dell'organizzazione. Distribuendo queste impostazioni, viene ridotto al minimo lo sforzo dell'utente finale necessario per connettersi al computer nella rete aziendale. |
Introduzione ai profili di connessione remota in Configuration Manager |
Controllo remoto |
Offre strumenti per amministrare in remoto i computer client dalla console di Configuration Manager. |
|
Reporting |
Offre un set di strumenti e risorse che consentono di usare le funzionalità di reporting avanzate di SQL Server Reporting Services dalla console di Configuration Manager. |
Introduzione alla creazione di report in Configuration Manager |
Controllo del software |
Offre strumenti per monitorare e raccogliere i dati di utilizzo del software dai client di Configuration Manager. |
Introduzione al controllo del Software in Configuration Manager |
Aggiornamenti software |
Offre un set di strumenti e risorse che consentono di gestire, distribuire e monitorare gli aggiornamenti software nell'azienda. |
Introduzione agli aggiornamenti software in Configuration Manager |
Gestione di Microsoft Intune |
È possibile usare Configuration Manager per gestire i dispositivi iOS, Android (incluso Samsung KNOX), Windows Phone e Windows con il servizio Microsoft Intune in Internet. Anche se si usa il servizio Microsoft Intune, le attività di gestione vengono completate usando il ruolo del sistema del sito del connettore Microsoft Intune disponibile tramite la console Configuration Manager. System Center 2012 R2 Configuration Manager inoltre offre la possibilità di gestire i dispositivi Windows 8.1 come i dispositivi mobili che non dispongono del client Configuration Manager installato. |
Per altre informazioni sulla pianificazione e l'installazione di Configuration Manager per supportare queste funzionalità di gestione nell'ambiente, vedere Introduzione all'amministrazione del sito in Configuration Manager.
Console di Configuration Manager
Dopo aver installato Configuration Manager, usare la console di Configuration Manager per configurare siti e client e per eseguire e monitorare le attività di gestione. Questa console è il principale punto di amministrazione e consente di gestire più siti. È possibile usare la console per eseguire console secondarie per supportare le attività di gestione client specifiche, ad esempio:
Esplora inventario risorse, per visualizzare le informazioni sull'inventario hardware e software.
Controllo remoto, per connettersi in modalità remota a un computer client per eseguire attività di risoluzione dei problemi.
Gestione fuori banda, per connettersi al controller di gestione AMT nei computer basati su Intel AMT ed eseguire operazioni di gestione del risparmio di energia o attività di risoluzione dei problemi.
È possibile installare la console di Configuration Manager in altri computer server e workstation e limitare l'accesso e specificare quali utenti amministratori possono accedere alla console usando l'amministrazione basata sui ruoli di Configuration Manager.
Per altre informazioni, vedere la sezione Installazione di una console di Configuration Manager nell'argomento Installare siti e creare una gerarchia per Configuration Manager.
Catalogo applicazioni, Software Center e portale aziendale
Il Catalogo applicazioni di Configuration Manager è un sito Web dove gli utenti possono cercare e richiedere il software per i PC Windows. Per utilizzare il Catalogo applicazioni, è necessario installare il punto per servizi Web del Catalogo applicazioni e il punto per siti Web del Catalogo applicazioni per il sito.
Software Center è un'applicazione installata quando il client di Configuration Manager viene installato in computer basati su Windows. Gli utenti eseguono questa applicazione per richiedere il software e gestire il software distribuito usando Configuration Manager. Software Center consente agli utenti di eseguire le operazioni seguenti:
Cercare e installare il software dal Catalogo applicazioni.
Visualizzare la cronologia delle richieste di software.
Specificare quando Configuration Manager è in grado di installare il software nei dispositivi.
Configurare le impostazioni di accesso per il controllo remoto, se un utente amministratore ha abilitato il controllo remoto.
Il portale aziendale è un'app o un sito Web che offre funzioni simili al Catalogo applicazioni per dispositivi mobili registrati da Microsoft Intune.
Per altre informazioni, vedere l'argomento Introduzione alla gestione delle applicazioni in Configuration Manager.
Proprietà di Configuration Manager (client)
Quando il client di Configuration Manager viene installato in computer Windows, Configuration Manager viene installato nel Pannello di controllo. Non è in genere necessario configurare questa applicazione perché la configurazione client viene eseguita nella console di Configuration Manager. Questa applicazione consente agli utenti amministratori e al supporto tecnico di risolvere i problemi relativi ai singoli client.
Per altre informazioni sulla distribuzione client, vedere Introduzione alla distribuzione client in Configuration Manager
Scenari di esempio per Configuration Manager
Negli scenari di esempio seguenti viene illustrato come una società denominata Trey Research usa System Center 2012 Configuration Manager per consentire agli utenti di aumentare la produttività, unificare la gestione della conformità per i dispositivi in modo da semplificare l'amministrazione e agevolare la gestione dei dispositivi per ridurre i costi operativi IT. In tutti gli scenari, Davide è l'amministratore principale di Configuration Manager.
Scenario di esempio: consentire agli utenti di ottenere l'accesso alle applicazioni da qualsiasi dispositivo
Trey Research desidera che i dipendenti abbiano accesso alle applicazioni necessarie nel modo più efficiente possibile. Davide esegue il mapping di questi requisiti aziendali agli scenari seguenti:
Requisito |
Stato corrente della gestione client |
Stato futuro della gestione client |
|---|---|---|
I nuovi dipendenti possono lavorare in modo efficiente dal primo giorno. |
Quando i dipendenti entrano nella società, devono attendere che le applicazioni vengano installate dopo il primo accesso. |
Quando i dipendenti entrano nella società, effettuano l'accesso e le applicazioni vengono installate e sono pronte per l'utilizzo. |
I dipendenti possono richiedere rapidamente e facilmente il software aggiuntivo necessario. |
Quando i dipendenti richiedono applicazioni aggiuntive, inviano un ticket al supporto tecnico e quindi attendono in genere due giorni prima che il ticket venga elaborato e le applicazioni installate. |
Quando i dipendenti hanno bisogno di applicazioni aggiuntive, possono richiederle a un sito Web. Le applicazioni vengono installate immediatamente se non sono previste restrizioni di licenza. Se esistono restrizioni di licenza, gli utenti devono richiedere l'approvazione prima di installare l'applicazione. Il sito Web mostra agli utenti solo le applicazioni che sono autorizzati a installare. |
I dipendenti possono usare i propri dispositivi portatili sul lavoro, se i dispositivi sono conformi ai criteri di sicurezza monitorati e applicati. Questi criteri sono indicati di seguito:
|
I dipendenti connettono i propri dispositivi mobili a Exchange Server per il servizio di posta elettronica, ma non è possibile sapere con assoluta certezza se siano conformi ai criteri di sicurezza predefiniti specificati in Criteri cassetta postale di Exchange ActiveSync. È possibile che l'utilizzo personale di dispositivi mobili venga vietato a meno che l'IT non sia in grado di confermare l'adesione ai criteri. |
L'organizzazione IT può segnalare la conformità di protezione dei dispositivi mobili con le impostazioni necessarie. Questa conferma consente agli utenti di continuare a usare il dispositivo mobile sul lavoro. Gli utenti possono cancellare il dispositivo mobile in modalità remota se viene smarrito o rubato e il supporto tecnico può cancellare il dispositivo mobile di qualsiasi utente segnalato come smarrito o rubato. Prevedere la registrazione dei dispositivi mobili in un ambiente PKI per una maggiore sicurezza e un maggior controllo. |
I dipendenti possono essere produttivi anche se non si trovano alla propria scrivania. |
Quando i dipendenti non sono alla scrivania e non dispongono di computer portatili, non possono accedere alle applicazioni usando i computer pubblici disponibili nella società. |
I dipendenti possono usare i computer pubblici per accedere ai dati e alle applicazioni. |
In genere, la continuità aziendale ha la precedenza sull'installazione delle applicazioni e degli aggiornamenti software necessari. |
Le applicazioni e gli aggiornamenti software necessari vengono installati durante il giorno interrompendo spesso il lavoro degli utenti perché i computer rallentano o vengono riavviati durante l'installazione. |
Gli utenti possono configurare l'orario lavorativo per evitare che il software necessario venga installato mentre usano il computer. |
Per soddisfare i requisiti, Davide usa le seguenti funzionalità di gestione e opzioni di configurazione di Configuration Manager:
Gestione delle applicazioni
Gestione dispositivi mobili
L'implementazione viene eseguita tramite la procedura di configurazione illustrata nella tabella seguente.
Procedura di configurazione |
Risultato |
|---|---|
Davide verifica che i nuovi utenti dispongano di account utente in Active Directory e crea una nuova raccolta basata su query in Configuration Manager per questi utenti. Quindi definisce l'affinità utente dispositivo per questi utenti creando un file che associa gli account utente ai computer primari che utilizzeranno e importa il file in Configuration Manager. Le applicazioni che i nuovi utenti devono avere già creato in Configuration Manager. Distribuisce quindi queste applicazioni con lo scopo di Richiesto nella raccolta che contiene i nuovi utenti. |
Per le informazioni di affinità utente dispositivo, le applicazioni vengono installate per i computer primari di ogni utente prima che l'utente esegua l'accesso. Le applicazioni sono pronte all'uso non appena l'utente esegue l'accesso. |
Davide installa e configura i ruoli del sistema del sito Catalogo applicazioni in modo che gli utenti possano cercare applicazioni da installare. Crea le distribuzioni delle applicazioni che hanno lo scopo di Disponibile e quindi distribuisce le applicazioni nella raccolta che contiene i nuovi utenti. Per le applicazioni che dispongono di un numero limitato di licenze, Davide configura le applicazioni per richiedere l'approvazione. |
Configurando le applicazioni come disponibili agli utenti e usando il Catalogo applicazioni, gli utenti ora possono cercare le applicazioni che possono installare. Gli utenti possono installare le applicazioni subito o richiedere l'approvazione e tornare al Catalogo applicazioni per installarle dopo aver ricevuto l'approvazione del supporto tecnico. |
Davide crea un connettore Exchange Server in Configuration Manager per gestire i dispositivi mobili che si collegano a Exchange Server in locale della società. Configura il connettore con le impostazioni di protezione che includono i requisiti per una password complessa e bloccano il dispositivo mobile dopo un periodo di inattività. Davide dispone di Configuration Manager SP1, pertanto per la gestione aggiuntiva per i dispositivi che eseguono Windows Phone 8, Windows RT e iOS, ottiene una sottoscrizione di Microsoft Intune e quindi installa il ruolo del sistema del sito connettore di Microsoft Intune. Questa soluzione di gestione dei dispositivi mobile offre alla società un maggiore supporto di gestione per questi dispositivi. Ad esempio, la possibilità data agli utenti di installare le applicazioni su questi dispositivi e la gestione completa delle impostazioni. Inoltre, le connessioni ai dispositivi mobili sono protette mediante i certificati PKI creati automaticamente e distribuiti da Intune. Dopo aver configurato il connettore Microsoft Intune, Davide invia un messaggio di posta elettronica agli utenti proprietari dei dispositivi mobili in modo che possano fare clic su un collegamento per avviare il processo di registrazione. Affinché i dispositivi mobili possano essere registrati da Intune, Davide usa le impostazioni di conformità per configurare le impostazioni di protezione per i dispositivi mobili. Queste impostazioni includono la necessità di configurare una password complessa e bloccare il dispositivo mobile dopo un periodo di inattività. |
Con queste due soluzioni per la gestione dei dispositivi mobili, l'organizzazione IT ora può fornire informazioni sulla creazione di report dei dispositivi mobili usati nella rete aziendale e la relativa conformità alle impostazioni di protezione configurate. Agli utenti viene ora mostrato come cancellare da remoto il dispositivo mobile usando il Catalogo applicazioni o il portale società in caso di perdita o furto del dispositivo mobile. Al supporto tecnico viene inoltre indicato come cancellare da remoto un dispositivo mobile per gli utenti usando la console di Configuration Manager. Inoltre, per i dispositivi mobili registrati da Intune, Davide ora può distribuire le applicazioni mobili in modo che possano essere installate dagli utenti, raccogliere più dati inventario dai dispositivi e disporre di maggiore controllo della gestione di questi dispositivi poiché può accedere a più impostazioni. |
Trey Research dispone di diversi computer pubblici usati dai dipendenti in visita in ufficio. I dipendenti avere le loro applicazioni disponibili ovunque eseguono l'accesso. Tuttavia, Davide non desidera installare localmente tutte le applicazioni su ogni computer. A tale scopo, Davide crea le applicazioni richieste con due tipi di distribuzione:
|
Gli utenti in visita accedono a un computer pubblico e visualizzano le applicazioni necessarie come icone sul desktop del computer pubblico. L'applicazione viene eseguita in streaming come un'applicazione virtuale. In questo modo, possono essere produttivi come se fossero seduti alla propria scrivania. |
Davide fa sapere agli utenti che possono configurare le loro ore di lavoro in Software Center e selezionare le opzioni per evitare le attività di distribuzione software durante questo periodo di tempo e quando il computer è in modalità presentazione. |
Poiché gli utenti possono controllare quando Configuration Manager distribuisce software nei loro computer, gli utenti rimangono più produttivi durante le ore lavorative. |
Questi passaggi di configurazione e i relativi risultati consentono a Trey Research di aumentare la produttività dei dipendenti garantendo l'accesso alle applicazioni da qualsiasi dispositivo.
Scenario di esempio: unificare la gestione della conformità per i dispositivi
Trey Research vuole una soluzione di gestione client unificata che assicuri che nei computer sia in esecuzione un software antivirus che viene aggiornato automaticamente. Questo significa che Windows Firewall è abilitato, gli aggiornamenti software critici sono installati, le chiavi del Registro di sistema sono impostate e i dispositivi mobili gestiti non possono installare o eseguire applicazioni non firmate. Inoltre, la società desidera estendere la protezione a Internet per i computer portatili che si spostano dalla rete Intranet a Internet.
Davide esegue il mapping di questi requisiti aziendali agli scenari seguenti:
Requisito |
Stato corrente della gestione client |
Stato futuro della gestione client |
|---|---|---|
Tutti i computer eseguono software antimalware che dispone di file di definizione aggiornati e abilita Windows Firewall. |
Computer diversi eseguono soluzioni antimalware diverse che non sono sempre aggiornate e, benché Windows Firewall sia abilitato per impostazione predefinita, a volte gli utenti lo disabilitano. Agli utenti viene richiesto di contattare il supporto tecnico se viene rilevato software dannoso nel computer. |
Tutti i computer eseguono la stessa soluzione antimalware che scarica automaticamente i file più recenti di aggiornamento della definizione e automaticamente riabilita Windows Firewall, se gli utenti lo disabilitano. Il supporto tecnico riceve automaticamente una notifica tramite posta elettronica se viene rilevato software dannoso. |
Tutti i computer installano gli aggiornamenti software critici entro un mese dalla data di rilascio. |
Anche se gli aggiornamenti software sono installati nei computer, molti computer non installano automaticamente gli aggiornamenti software critici fino a due o tre mesi dopo il rilascio. In questo modo rimangono vulnerabili agli attacchi durante questo periodo di tempo. Per i computer che non installano gli aggiornamenti software critici, il supporto tecnico invia prima un messaggio di posta elettronica chiedendo agli utenti di installare gli aggiornamenti. Per i computer che rimangono non conformi, i tecnici si connettono in remoto ai computer e installano manualmente gli aggiornamenti software mancanti. |
Miglioramento del tasso di conformità corrente entro il mese specificato fino a più del 95% senza inviare messaggi di posta elettronica o chiedere al supporto tecnico di installare gli aggiornamenti manualmente. |
Le impostazioni di protezione per applicazioni specifiche vengono controllare regolarmente e aggiornate, se necessario. |
I computer eseguono script di avvio complessi che si basano sull'appartenenza a gruppi di computer per reimpostare i valori del Registro di sistema per applicazioni specifiche. Poiché questi script vengono eseguiti solo all'avvio e alcuni computer vengono lasciati accesi per giorni, il supporto tecnico non può controllare la deviazione della configurazione su base temporale. |
I valori del Registro di sistema vengono controllati e aggiornati automaticamente senza basarsi sull'appartenenza al gruppo di computer o riavviare il computer. |
I dispositivi mobili non possono installare o eseguire applicazioni non sicure. |
Agli utenti viene richiesto di non scaricare da Internet ed eseguire applicazioni potenzialmente non sicure, ma non ci sono controlli per monitorare o forzare questo comportamento. |
I dispositivi mobili gestiti usando il connettore Microsoft Intune o Configuration Manager impediscono automaticamente l'installazione e l'esecuzione delle applicazioni non firmate. |
I computer portatili che si spostano dalla rete Intranet a Internet devono essere protetti. |
Gli utenti in viaggio spesso non riescono a connettersi tramite la connessione VPN quotidianamente e i portatili non sono più conformi ai requisiti di protezione. |
È sufficiente una connessione Internet per mantenere i portatili conformi ai requisiti di protezione. Gli utenti non devono accedere o usare la connessione VPN. |
Per soddisfare i requisiti, Davide usa le seguenti funzionalità di gestione e opzioni di configurazione di Configuration Manager:
Endpoint Protection
Aggiornamenti software
Impostazioni di conformità
Gestione dispositivi mobili
Gestione client basata su Internet
L'implementazione viene eseguita tramite la procedura di configurazione illustrata nella tabella seguente.
Procedura di configurazione |
Risultato |
|---|---|
Davide configura Endpoint Protection, abilita l'impostazione client per disinstallare altre soluzioni antimalware e abilita Windows Firewall. Configura le regole di distribuzione automatica in modo che i computer controllino e installino regolarmente gli aggiornamenti più recenti delle definizioni. |
La soluzione antimalware unica consente di proteggere tutti i computer riducendo al minimo il carico amministrativo. Poiché il supporto tecnico riceve automaticamente una notifica tramite posta elettronica se viene rilevato antimalware, i problemi possono essere risolti rapidamente. In questo modo è possibile impedire attacchi in altri computer. |
Per aumentare i tassi di conformità, Davide usa le regole di distribuzione automatica, definisce la finestra di manutenzione per i server e verifica i vantaggi e gli svantaggi di usare Riattivazione LAN per i computer in stato di ibernazione. |
La conformità per gli aggiornamenti software critici aumenta e si riduce la necessità per gli utenti o il supporto tecnico di installare manualmente gli aggiornamenti software. |
Davide usa le impostazioni di conformità per verificare la presenza di applicazioni specifiche. Quando vengono rilevate le applicazioni, gli elementi di configurazione verificano i valori del Registro di sistema e li aggiornano automaticamente se non sono conformi. |
Usando gli elementi e le linee base di configurazione che sono distribuiti in tutti i computer e che controllano quotidianamente la conformità, non sono più necessari script distinti basati sull'appartenenza del computer e sul riavvio del computer. |
Davide usa le impostazioni di conformità per i dispositivi mobili registrati e configura il connettore di Exchange Server in modo da proibire l'installazione e l'esecuzione di applicazioni non firmate nei dispositivi mobili. |
Vietando le applicazioni non firmate, i dispositivi mobili vengono protetti automaticamente dalle applicazioni potenzialmente dannose. |
Davide verifica che i server e i computer del sistema del sito dispongano dei certificati PKI che Configuration Manager richiede per le connessioni HTTPS e quindi installa i ruoli aggiuntivi del sistema del sito nella rete perimetrale che accetta le connessioni client da Internet. |
I computer che si spostano automaticamente dalla rete Intranet a Internet continueranno a essere gestiti da Configuration Manager quando dispongono di una connessione a Internet. Tali computer non si basano sull'accesso degli utenti al computer o sulla connessione alla VPN. Questi computer continueranno a essere gestiti per antimalware e Windows Firewall, aggiornamenti software ed elementi di configurazione. Di conseguenza, i livelli di conformità aumentano automaticamente. |
Questa procedura di configurazione e i relativi risultati consentono a Trey Research di semplificare la gestione dei client per dispositivi.
Scenario di esempio: semplificare la gestione client per dispositivi
Trey Research desidera che tutti i nuovi computer installino automaticamente l'immagine del computer di base dell'azienda che esegue Windows 7. Dopo che l'immagine del sistema operativo viene installata, i computer devono essere gestiti e monitorati per il software aggiuntivo installato dagli utenti. I computer che archiviano informazioni altamente riservate richiedono criteri di gestione più restrittivi rispetto ad altri computer. Ad esempio, i tecnici del supporto tecnico non devono connettersi da remoto, è necessario usare l'immissione PIN di BitLocker per il riavvio e solo gli amministratori locali possono installare software.
Davide esegue il mapping di questi requisiti aziendali agli scenari seguenti:
Requisito |
Stato corrente della gestione client |
Stato futuro della gestione client |
|---|---|---|
Nei nuovi computer viene installato Windows 7. |
Il supporto tecnico installa e configura Windows 7 per gli utenti e quindi invia il computer alla relativa posizione. |
I nuovi computer vanno direttamente alla destinazione finale, sono collegati alla rete e installano e configurano Windows 7 automaticamente. |
I computer devono essere gestiti e monitorati. Ciò include l'inventario hardware e software per determinare i requisiti di licenza. |
Il client di Configuration Manager viene distribuito usando l'installazione push client automatica e il supporto tecnico controlla gli errori di installazione e i client che non inviano i dati di inventario quando previsto. Gli errori sono frequenti a causa di dipendenze di installazione non soddisfatte ed errori WMI nel client. |
I dati di inventario e installazione client raccolti nei computer sono più affidabili e richiedono meno interventi di assistenza. I report mostrano l'utilizzo software per le informazioni sulla licenza. |
Alcuni computer devono disporre di criteri di gestione più rigorosi. |
A causa dei criteri di gestione più rigorosi, questi computer non sono attualmente gestiti da Configuration Manager. |
Gestire i computer usando Configuration Manager senza ulteriore carico amministrativo per gestire le eccezioni. |
Per soddisfare i requisiti, Davide usa le seguenti funzionalità di gestione e opzioni di configurazione di Configuration Manager:
Distribuzione del sistema operativo
Distribuzione client e stato del client
Impostazioni di conformità
Impostazioni client
Inventario e Asset Intelligence
Amministrazione basata su ruoli
L'implementazione viene eseguita tramite la procedura di configurazione illustrata nella tabella seguente.
Procedura di configurazione |
Risultato |
|---|---|
Davide acquisisce un'immagine del sistema operativo da un computer con Windows 7 installato e configurato in base alle specifiche della società. Distribuisce quindi il sistema operativo nei nuovi computer, usando il supporto di computer sconosciuti e PXE. Installa anche il client di Configuration Manager come parte della distribuzione del sistema operativo. |
I nuovi computer risultano operativi più rapidamente senza interventi da parte del supporto tecnico. |
Davide configura l'installazione push client a livello di sito per installare il client di Configuration Manager in qualsiasi computer rilevato. Ciò assicura che il client verrà installato anche in eventuali computer non inclusi nell'immagine del client, in modo che tali computer vengano gestiti da Configuration Manager. Davide configura lo stato del client in modo che vengano risolti automaticamente eventuali problemi rilevati relativi al client. Configura inoltre le impostazioni del client che consentono la raccolta dei dati di inventario necessari e infine configura Asset Intelligence. |
L'installazione del client insieme al sistema operativo risulta più rapida e più affidabile rispetto all'attesa del rilevamento del computer da parte di Configuration Manager e del successivo tentativo di installare i file di origine del client nel computer. Se tuttavia si lascia abilitata l'opzione di push automatico del client, si disporrà di un'alternativa per consentire a un computer in cui è già installato il sistema operativo di installare il client quando il computer si connette alla rete. Le impostazioni del client assicurano che le informazioni di inventario vengano inviate regolarmente al sito dai client. Oltre ai test dello stato del client, ciò aiuta a mantenere in esecuzione il client con un intervento minimo da parte del supporto tecnico. Ad esempio, gli errori WMI vengono rilevati e risolti automaticamente. I report di Asset Intelligence agevolano il monitoraggio dell'utilizzo del software e delle licenze. |
Davide crea una raccolta per i computer per cui sono necessarie impostazioni più restrittive per i criteri, quindi crea un'impostazione personalizzata del dispositivo client per questa raccolta, che include la disabilitazione del controllo remoto, abilita l'immissione del PIN di BitLocker e consente solo agli amministratori locali di installare software. Davide configura l'amministrazione basata su ruoli, in modo che i responsabili del supporto tecnico non possano visualizzare questa raccolta di computer, per evitare che vengano accidentalmente gestiti come computer standard. |
Questi computer vengono ora gestiti da Configuration Manager, ma con impostazioni specifiche che non necessitano di un nuovo sito. La raccolta per questi computer non risulta visibile ai responsabili del supporto tecnico, in modo da ridurre il rischio di invio accidentale di distribuzioni e script per computer standard. |
Questa procedura di configurazione e i relativi risultati consentono a Trey Research di ottenere una semplificazione della gestione dei client per dispositivi.
Passaggi successivi
Prima di installare Configuration Manager, è possibile approfondire alcuni concetti e termini di base specifici per Configuration Manager.
Se si è esperti di Configuration Manager 2007, vedere Novità di System Center 2012 Configuration Manager, poiché sono state apportate alcune modifiche importanti ai concetti e alla funzionalità di base rispetto alle versioni precedenti del software.
Se si esegue l'aggiornamento da System Center 2012 Configuration Manager senza Service Pack a Configuration Manager SP1 o da Configuration Manager SP1 a System Center 2012 R2 Configuration Manager, vedere Novità in System Center 2012 Configuration Manager SP1 e Novità in System Center 2012 R2 Configuration Manager per informazioni su modifiche e aggiornamenti inclusi nella versione più recente.
Per una panoramica tecnica di alto livello di System Center 2012 Configuration Manager, vedere Nozioni fondamentali di Configuration Manager.
Dopo avere approfondito i concetti di base, usare la documentazione di System Center 2012 Configuration Manager per agevolare una distribuzione e un utilizzo corretto di Configuration Manager. Per altre informazioni sulla documentazione disponibile, vedere Novità della documentazione relativa a Configuration Manager.