Articolo originale pubblicato giovedì 13 ottobre 2011

Benvenuti nella seconda parte della serie sulla gestione delle risorse di Office in un ambiente di elaborazione tablet PC. Nella prima parte ho presentato fondamentalmente i modi principali per utilizzare Office con rich client, rich client remoti, Office per Mac, Web Apps e Office sul telefono. Ora vorrei dedicare un po' di tempo alle tecnologie necessarie per consentire l'utilizzo di posta elettronica, calendari e altri contenuti di Office su diversi tipi di dispositivi. Quando parlo di "Office", intendo sia i carichi di lavoro di comunicazione, posta elettronica e collaborazione, sia le applicazioni stesse, quindi questi carichi di lavoro costituiscono parte integrante dell'argomento. Prima di entrare nel vivo di temi come la personalizzazione dell'interfaccia utente di Office per i dispositivi touchscreen o l'accesso remoto ai desktop, inizierò dall'ambiente di generazione che utilizzo per poi presentare i principi di base della connettività dei dispositivi mobili ai carichi di lavoro di Office.

Il mio ambiente di generazione

Sono sempre puntiglioso e mi assicuro che tutto sia in esecuzione e funzionante prima di provare a descriverlo. In questo modo conosco le difficoltà insite nella creazione e nel collegamento di tutto. Anche se non posso contare su qualcosa di simile all'ambiente completo Windows Server System Reference Architecture (WSSRA), che internamente chiamavamo affettuosamente "Minicore", per testare tutto questo, ho un ambiente abbastanza robusto (e portatile). Minicore in WSSRA eseguiva 32 macchine virtuali, mentre io eseguo sei macchine virtuali e utilizzo l'host, iPad e Samsung Galaxy Tab come client.

  • Portatile HP8540W con Quad Core i7, 16 GB di RAM e unità SSD in RAID 0 da 1 TB . Scheda NIC incorporata e PCIE NIC
  • Windows Server 2008 R2 Enterprise con ruolo Hyper-V installato
  • Sei macchine virtuali che eseguono Windows Server 2008 R2 Standard
    • Controller di dominio
    • SharePoint 2010
    • Exchange Server 2010
    • RDS RemoteApp
    • Citrix XenApp
    • Forefront Unified Access Gateway 2010 (UAG)
  • iPad 2 (con iOS 4)
  • Samsung Galaxy Tab (con Android 2.2)
  • MacBook Air con Office per Mac 2011
  • Router wireless Cisco collegato alla scheda PCIE NIC

Questa è la dotazione che avevo con me al TechEd e alla conferenza su SharePoint di quest'anno... meglio non stare in coda TSA dietro di me all'aeroporto. Questo è l'ambiente di cui acquisirò catture di schermata per tutto il resto della serie. Ora, iniziamo dalle nozioni fondamentali.

Exchange ActiveSync

Nel 2002 abbiamo creato qualcosa chiamato AirSync nell'ambito di Microsoft Information Server (MIS) 2002 e circa un anno dopo questa funzionalità è stata ampliata e spostata in Exchange Server 2003 ed è stata rinominata Exchange ActiveSync. Ricordo ancora la prima possibilità di ottenere posta elettronica e calendario sul telefono i primi tempi della mia collaborazione con Microsoft e quanto mi sia stata utile. Nel corso degli anni Exchange ActiveSync (EAS) si è evoluto e grazie alla sua disponibilità sulle piattaforme non Windows è diventato un valore fondamentale e un pilastro della sicurezza per molti tipi di dispositivi, tra cui Windows Mobile e Windows Phone, iPad e iPhone di Apple e i dispositivi basati su Android. Dal mio punto di vista, per quanto riguarda questa serie di blog, rappresenta anche il minimo comune denominatore per ottenere l'accesso a Office su una serie di dispositivi.

Exchange ActiveSync fornisce una vasta gamma di importanti funzionalità amministrative IT, quali la possibilità di richiede e applicare un PIN per sbloccare un dispositivo. In questo modo si aggiunge un ulteriore fattore di autenticazione per cui, in caso di smarrimento del telefono, è necessario conoscere il PIN per accedere al dispositivo, nel caso di dispositivi con supporto Exchange ActiveSync nativo, o all'ambiente software che si collega a EAS, ad esempio TouchDown di NitroDesk o RoadSync di DataViz.


Qui sopra è raffigurata la finestra delle proprietà di Exchange Server 2010 e, oltre ai criteri relativi alle password, è possibile impostare criteri per le impostazioni di sincronizzazione e altri attributi dei dispositivi, quali la possibilità di disabilitare fotocamere e browser del dispositivo. In ambienti a sicurezza elevata, questi controlli forniscono una protezione aggiuntiva contro la perdita di dati e una protezione contro l'ingresso di codice dannoso tramite i Web browser. Apple fornisce anche la Utility Configurazione iPhone da utilizzare con un'infrastruttura di gestione dei dispositivi mobili (MDM) di terze parti per eseguire il push dei criteri nei dispositivi iPhone e iPad.

Una parte sostanziale della sicurezza aziendale per questi dispositivi deriva dalle funzionalità di Exchange ActiveSync e dal lavoro necessario per fare in modo che tali dispositivi le supportino. Questo vale anche per Android 2.0 e i dispositivi più recenti con supporto EAS nativo.

La configurabilità dei dispositivi mediante i controlli in Exchange ActiveSync è un passo nella giusta direzione per la maggior parte dei dispositivi e limitando il numero di giorni di memorizzazione della posta elettronica si riducono i rischi associati alla sicurezza dei dati, ma l'implementazione di EAS sui dispositivi, inclusi iOS, Android, Symbian e Windows Phone, varia in modo significativo da piattaforma a piattaforma. Questo è particolarmente vero nel caso di Information Rights Management (IRM) con Exchange ActiveSync e, al momento, IRM con EAS è limitato alle piattaforme Windows Phone e Windows Mobile. Per le organizzazioni che richiedono maggiore sicurezza per il traffico specifico di posta elettronica, IRM fornisce una protezione persistente per i contenuti di messaggistica. Dato che i client EAS vengono utilizzati sempre di più per accedere alla posta elettronica, è importante che gli utenti di dispositivi mobili siano in grado di creare e utilizzare contenuti protetti da IRM in modo sicuro. Quando dico che il supporto EAS sui dispositivi è un passo avanti nella direzione giusta, in realtà intendo che non è paragonabile ai controlli di Criteri di gruppo di Active Directory a cui è abituata la maggior parte dei reparti IT. Questo è un fatto su cui riflettere quando si considera l'idea di spostare gli utenti su piattaforme meno sviluppate.

Gestione della configurazione di Criteri di gruppo con Office

Office ha una ricca tradizione di gestione della configurazione granulare sulla piattaforma Windows. Fin dalle funzionalità di gestione dei criteri in Office 97, le funzionalità si sono ampliate notevolmente negli ultimi 15 anni circa. A quei tempi, esistevano solo poco più di 50 impostazioni applicabili, mentre con Office 2010 sono arrivate a 2000. So che molti se lo stanno chiedendo, quindi accennerò al fatto che Office per Mac 2011 (come le versioni precedenti per Mac) non contiene impostazioni di cui è possibile imporre l'applicazione e utilizza solo preferenze opzionali in fase di installazione che, come ho detto nella prima parte, possono essere cambiate dagli utenti a piacere. A proposito di preferenze in fase di installazione… questo mi porta a parlare di possibili configurazioni di Office in fase di installazione in ambiente Windows. Sono estremamente importanti per la sicurezza e la gestibilità di Office perché è possibile determinare non solo il modo in cui Office è configurato, ma anche configurare aspetti come le impostazioni di riservatezza (crittografia e regole di IRM), le impostazioni di integrità (autore e posizione attendibile + regole di firma digitale) e impostazioni di disponibilità (macro VBA, componenti aggiuntivi, ActiveX, Internet Explorer e regole per il blocco di file). Questi controlli sono specifici di un ambiente Windows che esegue Office.

Esistono tre meccanismi di controllo principali per impostare Office in modo personalizzato in un computer Windows:

  1. Impostazioni predefinite di Criteri di gruppo
  2. Config.xml
  3. File MSP personalizzato generato mediante lo Strumento di personalizzazione di Office

L'ordine in cui sono elencati corrisponde anche alla priorità in caso di conflitti. Come prevedibile, le impostazioni di Criteri di gruppo offrono il massimo controllo e prevalgono su tutte le impostazioni configurate in config.xml, che prevale sul contenuto di un file MSP personalizzato generato con lo Strumento di personalizzazione di Office. Sono disponibili migliaia di impostazioni di Criteri di gruppo quando si configura Office 2010. Il problema, in effetti, diventa la definizione del passo iniziale e abbiamo lo strumento Security Compliance Manager per aiutarvi a definire le linee base, in quanto è più semplice partire con una configurazione fruibile nota e modificarla piuttosto che iniziare da zero.

Al secondo posto in ordine di priorità si colloca il file config.xml utilizzato insieme a Office. Trattandosi di un file XML e data l'assenza di molto materiale predefinito, può essere preferibile non utilizzarlo per un lungo elenco di impostazioni, ma per la configurazione di aspetti come semplici chiamate a un servizio di attivazione o la personalizzazione degli strumenti di correzione della lingua, il file config.xml è la scelta migliore e talvolta l'unica. Qui di seguito è illustrato un file config.xml relativamente standard:

L'ultima opzione consiste nell'utilizzo dello Strumento di personalizzazione di Office. Questo strumento determina essenzialmente il modo in cui Office viene installato e configurato. Queste impostazioni, come per il file config.xml, vengono definite solo in fase di installazione e non ne viene imposta l'applicazione. Se in seguito non si utilizza l'imposizione di Criteri di gruppo, la gestibilità e la sicurezza di ciò di cui è necessario imporre l'applicazione tramite criteri nell'ambiente risultano gravemente compromesse, analogamente a quanto accade con Office per Mac. Lo Strumento di personalizzazione di Office espone le stesse impostazioni di Criteri di gruppo e consente di eseguire scritture nel Registro di sistema ed eseguire comandi personalizzati durante il processo di configurazione di Office. Il controllo più comune utilizzato in una distribuzione gestita di Office 2010 potrebbe essere l'impostazione Non visualizzare finestra di dialogo impostazioni consigliate, dato che determina essenzialmente la visualizzazione di un messaggio che richiede agli utenti di aderire a Windows Update, un'operazione che gli amministratori IT della maggior parte degli ambienti gestiti eseguono al posto degli utenti con strumenti come Windows Server Update Services (WSUS) o System Center Configuration Manager.

Questi sono i modi principali per personalizzare un'installazione di Office in ambiente Windows. Mi premeva affrontare questo argomento perché, anche se leggete questo blog per avere suggerimenti sulla fornitura di Office su un iPad, queste informazioni torneranno utili quando inizieremo a parlare dei modi per ospitare Office su un server o desktop remoto e accedervi tramite il dispositivo iPad, Android o Windows. Anche se eseguo il provisioning di un sistema Windows Server 2008 R2 con il ruolo Servizi Desktop remoto installato o una macchina virtuale Windows 7 remota, è comunque auspicabile poter personalizzare tale installazione in modo immediato, soprattutto se il servizio viene fornito a migliaia di utenti.

Con questa sorpresa si conclude la parte 2 della serie. Leggete la prima parte, se non l'avete ancora fatto. Spero di pubblicare la terza parte entro qualche giorno.

Grazie per l'attenzione.

Jeremy Chapman

Senior Product Manager

Team di Office IT Pro

Questo è un post di blog localizzato. L'articolo originale è disponibile in Windows, iPad and Android - Managing and Using Your Office Assets in a Tablet World (Part 2)