Guida: Come configurare i cloud PC di Windows 365

Windows 365 è un servizio, introdotto da Microsoft nell’agosto scorso, che permette di avere a disposizione un PC nel cloud a cui l’utente può accedere direttamente tramite dispositivi Windows, macOS, Linux, Android oppure iOS. Gli amministratori possono gestire facilmente Windows 365 tramite Microsoft Endpoint Manager (Intune) direttamente in cloud. 

In questo articolo illustreremo i passaggi necessari per configurare Windows 365, in particolare la versione Enterprise.

Business vs. Enterprise

Al momento esistono due diverse versioni di Windows 365, Business ed Enterprise:

  • La Business SKU è per le organizzazioni più piccole che desiderano distribuire e gestire fino a 300 Cloud PC utilizzando Microsoft Endpoint Manager (Intune). Con la variante Business, le organizzazioni più piccole non hanno bisogno di un abbonamento Azure o di un controller di dominio in locale poiché tutto viene semplicemente eseguito all’interno del cloud Microsoft. 
  • La SKU Enterprise è rivolta alle organizzazioni più grandi. Con la Enterprise le organizzazioni possono creare le proprie immagini personalizzate (contenenti ad esempio app aziendali), utilizzare una vasta quantità di integrazioni, strumenti e funzionalità di sicurezza.

Esiste anche una differenza di prezzo tra la SKU Business e quella Enterprise. Quando si utilizza la SKU aziendale, agli utenti finali viene assegnata una quota di rete mensile (basata sulla quantità di CPU virtuali), mentre la SKU Enterprise invia il traffico tramite la connessione locale. Da documentazione Microsoft, ai clienti Enterprise verrà addebitato tutto il traffico tra Windows 365 e ambiente locale in base ai prezzi della larghezza di banda di Azure

Da un lato abbiamo la semplicità della versione Business, configurabile in pochi passaggi senza aver bisogno di alcun collegamento con l’ambiente locale, dall’altra parte abbiamo la complessità ma anche una gestione più completa fornita dalla versione Entreprise.

 In questa pagina troverete elencati gli aggiornamenti e le funzionalità di Windows 365 ancora in fase di sviluppo e non ancora rilasciati.

Configurazione Windows 365 Enterprise

Requisiti

  • Licenze di Microsoft 365: Microsoft Endpoint Manager e Azure Active Directory P1 *.
  • Licenze Windows 365 – Per il Cloud PC stesso.**
  • Sottoscrizione di Azure.
  • Diritti di amministratore di Intune.
  • Configurazione di Work Endpoint Manager (Intune).
  • AD locale e Azure AD sincronizzate tramite AD Connect – Anche Hybrid Azure AD Join deve essere configurato per la sincronizzazione dei dispositivi.
  • Connettività tra Azure e ambiente locale (Azure VPN site to site, Azure Express Route o altro).

* Le licenze Microsoft per Intune e Azure AD Premium 1 sono comprese nei pacchetti: Microsoft 365 F3, Microsoft 365 E3, Microsoft 365 E5, Microsoft 365 A3, Microsoft 365 A5, Microsoft 365 Business Premium e Microsoft 365 Education Student. Sebbene il pacchetto sia consigliato, queste licenze possono essere acquistate singolarmente.
**Le licenze di Windows 365 invece possono essere acquisite direttamente da Microsoft oppure tramite un Partner Microsoft.

Importante: questa guida non tratterà la configurazione ibrida di Azure AD Connect. Se non sai come si fa puoi seguire i relativi passaggi in un precedente articolo relativo ad exchange, ma ricorda che in questa situazione non è necessario abilitare la funzionalità ibrida di Exchange.

1. Microsoft 365

Accedere al portale di Amministratore di Microsoft 365.
Fare clic su Utenti Attivi e assegnare le licenze agli utenti che utilizzeranno i cloud PC.

  1. Cliccare sull’utente
  2. Selezionare Licenze e App
  3. Aggiungere la licenza e salvare le modifiche.

N.B.: solo gli utenti che hanno le directory sincronizzate potranno utilizzare i Cloud PC

Creare un nuovo gruppo di Azure AD che verrà usato per assegnare criteri in seguito.

  1. Nell’interfaccia di amministrazione di Microsoft 365, fare clic su Gruppi attivi in Gruppi nel menu di spostamento.
  2. Fare clic su Aggiungi un gruppo
  3. Scegli Sicurezza come tipo di gruppo
  4. Fornisci un nome come Utenti di Windows 365
  5. Fare clic su Crea gruppo
  6. Aggiungere al gruppo gli utenti che si intende predisporre per i Cloud PC.

2. Azure

Creazione di una Azure virtual Network
  1. Nel portale di Azure , cerca Reti virtuali nella barra di ricerca in alto, quindi premi Crea.
  2. Specifica la sottoscrizione di Azure da usare e ricorda di scegliere un’ area tra quelle supportate.
  3. Scegli uno spazio di indirizzi IPv4 nella scheda Indirizzi IP. L’intervallo scelto non deve essere già utilizzato né in Azure né in locale, per non avere intervalli sovrapposti. Per il nostro esempio è stato scelto un intervallo di 172.16.0.0/16 ed è stata creata un unica sottorete per tutti i pc di Windows 365 con un intervallo di 172.16.0.0/24.
  4. Completa la procedura guidata e attendi la creazione della rete virtuale.
  5. Affinché i dispositivi Windows 365 risolvano il nostro dominio DNS locale e possano correttamente fare il join, è necessario modificare anche i server DNS nella rete virtuale di Azure. Nella scheda DNS Server seleziona Personalizzato e specifica l’indirizzo IP del DC locale (o più di uno se sono presenti più DC).
  1. Affinché i dispositivi Windows 365 si uniscano al dominio Active Directory locale, è necessario disporre della connettività tra la nostra rete virtuale di Azure appena creata e l’infrastruttura locale (controller di dominio). A tal fine, puoi seguire la nostra precedente guida su come configurare un tunnel VPN site-to site da Azure.

3.Microsoft Endpoint Manager (Intune)

Assicurarsi che in Dispositivi> Registra Dispositivo> Restrizioni sui limiti di registrazione di dispositivi le Restrizioni sul limite di dispositivi di Intune siano impostate su Consenti piattaforma Windows (MDM) per la registrazione aziendale.

Impostazioni utente

C’è solo una singola impostazione utente da configurare al momento ed è l’accesso amministratore locale. Altre opzioni potrebbero diventare disponibili in futuro.

  1. Nel pannello di Windows 365 selezionare la scheda Impostazioni utente , quindi fare clic su Crea
  2. Assegna un nome.
  3. Attiva o disattiva Abilita amministratore locale a seconda delle tue esigenze. Nel nostro caso l’abbiamo abilitato.
  4. Assegna l’impostazione allo stesso gruppo di sicurezza creato in precedenza.

Definire la connessione di rete in loco
  1. Nell’interfaccia di amministrazione di Endpoint Manager, seleziona Dispositivi dal menu a sinistra, quindi individua Windows 365 in Provisioning.
  2. Seleziona la scheda Connessione di rete locale e infine fai clic su Crea .
  3. Nella scheda Dettagli rete assegna un nome alla connessione e specifica lo stesso abbonamento e la stessa rete virtuale che abbiamo creato in precedenza. Poiché in precedenza abbiamo creato sia una subnet Client che una Server, la subnet Client verrà utilizzata per Windows 365.
  4. Per la scheda Dominio AD , è necessario specificare le informazioni sul dominio locale.

    Nome dominio AD DNS: il nome del tuo dominio locale.
    Unità organizzativa: possibilità di specificare un’unità organizzativa che contenga client (o crearne uno nuovo per Windows 365) anche se non è necessario. Se viene specificata un’unità organizzativa, assicurarsi che esista e che sia configurata per la sincronizzazione con AD Connect. Nel nostro esempio abbiamo in precedenza creato la OU Cloud PC.
    Nome utente AD UPN: specificare un utente Azure Active Directory che dispone delle autorizzazioni sufficienti per unire i dispositivi al dominio.
    Password dominio AD : password per l’account di servizio sopra.
  1. Una volta definita la connessione di rete locale, Endpoint Manager inizierà a verificare la connettività (richiede alcuni minuti). Una volta completata, possiamo verificare la nostra configurazione ed esaminare eventuali problemi. 

Al mio primo tentativo, la “sincronizzazione del dispositivo Azure AD” ha fornito un warning, ma riprovando l’operazione di controllo non ho riscontrato errori e la distribuzione è andata a buon fine. Se dovesse fallire il punto riguardante la “connettività dell’endpoint” controllate che il vostro tunnel VPN funzioni correttamente. I controlli non forniscono sempre informazioni adeguate per la risoluzione dei problemi. Per verificare la connettività di rete, consiglio di distribuire una macchina virtuale nella subnet e provare a raggiungere l’ambiente locale, se necessario provare anche a unire manualmente la macchina al dominio.

Creare un criterio di provisioning

  1. Nel pannello di Windows 365 selezionare la scheda Criteri di provisioning, quindi fare clic su Crea .
  2. Nella scheda Generale , assegna un Nome al criterio e seleziona la connessione di rete locale appena creata. 
    N.B.: La connessione di rete locale sarà disponibile solo dopo il superamento di tutti i controlli di connettività.
  3. Quindi nella scheda Immagine specificare l’immagine di Windows da utilizzare. Per questo esempio è stata selezionata l’ immagine Windows 11 Enterprise + Microsoft 365 Apps 21H2 .
  4. Nella scheda Assegnazioni, assegna la policy di provisioning al gruppo di sicurezza creato in precedenza. Solo gli utenti con licenze Windows 365 riceveranno i PC Cloud. Il provisioning dei PC Cloud verrà eseguito con le configurazioni specificate in questo criterio.

Se eseguito correttamente, il criterio di provisioning dovrebbe ora iniziare a far girare i dispositivi Windows 365 per gli utenti nel nostro gruppo di sicurezza. Tieni presente che il completamento del provisioning può richiedere fino a 60 minuti.

Quando lo stato dell’operazione diventerà “Provisioning eseguito” i nostri PC saranno pronti, Ovviamente se proviamo a collegarci al nostro Domain Controller locale vediamo che il PC è stato aggiunto correttamente al nostro dominio nella OU indicata.

Deprovisioning

Per effettuare il deprovisioning dei pc, ad esempio nel caso in cui sia stato aggiunto un Cloud PC per errore, è sufficiente annullare l’assegnazione del criterio di provisioning oppure semplicemente rimuovere la licenza dall’utente. Per questa istanza di Cloud PC inizierà un periodo di tolleranza, che consentirà all’utente di accedere alla propria macchina per un massimo di 7 giorni prima che venga eseguito il deprovisioning. Potrebbero verificarsi situazioni in cui non si desidera attendere sette giorni per la fine normale del periodo di tolleranza; in questo caso, è possibile utilizzare l’opzione Fine periodo di tolleranza per terminare immediatamente il periodo di tolleranza ed eliminare definitivamente il Cloud PC. Se invece si desidera ripristinare il funzionamento precedente dell’istanza di Cloud PC, sarà possibile riassegnare la licenza mancante o il criterio di provisioning.

4.Connessione degli utenti a Windows 365

Una volta eseguito il provisioning del Cloud PC di Windows 365, gli utenti potranno accedere dal proprio dispositivo seguendo i seguenti passaggi:

  1. Accedere al portale di Windows 365.

2. In Azioni rapide , fare clic su Scarica Desktop remoto e selezionare la piattaforma appropriata in base al dispositivo che si sta utilizzando.

  1.  Una volta installata, avviare l’ applicazione Desktop remoto. Fare clic sul pulsante Abbonati e accedere utilizzando le credenziali dell’utente. Il dispositivo Windows 365 impiegherà alcuni minuti per prepararsi all’accesso iniziale .
  2. Una volta sul desktop, l’utente finale sarà in grado di accedere sia alle risorse cloud che on-premise.

Conclusioni

Windows 365 è un’idea che può risultare particolarmente allettante nel mondo aziendale per una serie di ragioni:

  • Niente costi di manutenzione e gestione
  • Sempre accessibile 24/7 senza limiti di località
  • Nessun limite di banda
  • Massima sicurezza
  • Ampie possibilità di personalizzazione della configurazione hardware e software

La perplessità resta l’obbligo di dover connettere l’AD locale per poter sfruttare i maggiori vantaggi offerti dalla versione Enterprise. E’ evidente che si tratti di una limitazione, oltre che un controsenso: al giorno d’oggi dove la tendenza è quella di avere sempre più prodotti in Cloud, Microsoft rilascia un prodotto che ci vincola all’uso di un sistema On-Premises nella sua versione più completa.

Questo scetticismo trova conferme anche nella stessa Microsoft, dato che ha già fatto sapere che stanno lavorando per migliorare la versione di Windows 365 Enterprise: i Cloud PC verranno eseguiti in una rete ospitata da Microsoft, facendo in modo che non sia necessaria la propria infrastruttura di Azure né tanto meno creare una connessione alla rete locale. Non ci resta che attendere e seguire gli aggiornamenti ufficiali.

Se hai bisogno di una consulenza per capire quale soluzione è più adatta al tuo ambiente mandaci una mail ask@cloudsurfers.it, saremo felici di supportarti.