VMware Workspace ONE UEM Mobile Application Management. VMware Workspace ONE UEM 1811

Transcript

1 VMware Workspace ONE UEM Mobile Application Management VMware Workspace ONE UEM 1811

2 È possibile trovare la documentazione tecnica più aggiornata sul sito Web di VMware all'indirizzo: Il sito Web di VMware fornisce, inoltre, gli ultimi aggiornamenti di prodotto. In caso di commenti sulla presente documentazione, inviare un messaggio all'indirizzo: VMware, Inc Hillview Ave. Palo Alto, CA VMware, Inc. Centro Leoni Palazzo A Via Spadolini 5 Ground Floor Milan, MI tel: fax: Copyright 2019 VMware, Inc. Tutti i diritti riservati. Informazioni sul copyright e sul marchio commerciale. VMware, Inc. 2

3 Sommario 1 Introduzione a Mobile Application Management 8 Tipi di applicazione Workspace ONE UEM e piattaforme supportate 8 Applicazioni gestite e relativi vantaggi 9 Informazioni sulla configurazione dell'applicazione 10 Monitor app e profilo 11 Stati di Monitor app e profilo 11 Tenere traccia di una distribuzione con Monitora app e profilo 13 2 Guida introduttiva di Mobile Application Management 14 Creare notifiche personalizzate per le applicazioni 15 Configurare categorie di applicazioni 16 Configurare l'integrazione con Google Play per i clienti in locale 17 Windows Desktop e autorità di certificazione radice dell'azienda 18 Abilitare Workspace ONE UEM alla distribuzione di applicazioni interne Windows Desktop 18 Registrare applicazioni con Windows Phone Dev Center 19 Abilitare Workspace ONE UEM alla distribuzione di applicazioni Windows Phone 20 3 Applicazioni interne 21 Tipi di file supportati per le applicazioni interne 23 Aggiungere e distribuire le applicazioni interne come File locale 25 Aggiungere e distribuire le applicazioni interne come collegamento 31 Componenti supportati per archivi di app esterne 32 Aggiungere credenziali per l'archivio di app esterne 33 Aggiungere applicazioni interne da archivi esterni 34 Utilizzare la distribuzione flessibile per assegnare le applicazioni 34 Aggiungere assegnazioni ed esclusioni alle applicazioni 35 Distribuzione flessibile per le descrizioni di impostazione delle applicazioni 37 Distribuzione flessibile Conflitti e priorità 38 Controllare le opzioni batch per le distribuzioni flessibili 39 Vantaggi del monitoraggio delle distribuzioni di applicazioni interne 40 Monitorare le applicazioni interne con Visualizzazione dettagli 40 Descrizioni dei codici motivo dello stato di installazione 42 Visualizzazione dei motivi in ordine di avanzamento dell'installazione 43 Profili di provisioning per la distribuzione aziendale 44 Profili di provisioning e aggiornamenti 45 Rinnovare i profili di provisioning Apple ios 45 Distribuzione delle applicazioni Win32 46 Requisiti per la distribuzione di applicazioni Win32 per la distribuzione software 47 VMware, Inc. 3

4 Ciclo di vita delle applicazioni per la distribuzione software 51 Aggiornare i file Win32 52 Configurare, assegnare e distribuire file Win32 52 Creare un inventario delle applicazioni Win32 con le funzionalità di monitoraggio 65 Eliminare i file Win32 65 Patch nella distribuzione software 66 Distribuzione peer-to-peer per applicazioni Win32 66 Requisiti per la distribuzione peer-to-peer 68 Considerazioni per la distribuzione peer-to-peer 70 Porte utilizzate per la distribuzione peer-to-peer 71 Comportamenti di trasporto dati per le reti peer-to-peer 75 Pianificare l'ottimizzazione della distribuzione con una gerarchia di rete 77 Configurare il software per la distribuzione peer-to-peer 78 Installazione del server peer-to-peer 81 Protezione rimozione app 83 Comportamenti di sistema di Protezione rimozione app 84 Modificare i valori di soglia per la Protezione rimozione app 85 Azioni sui comandi di rimozione delle app sospesi 86 Strumenti di salvaguardia per applicazioni Workspace ONE UEM proprietarie, non-store 87 Anteprima tecnica: approvazioni app 88 Anteprima tecnica: requisiti per le approvazioni app 89 Anteprima tecnica: configurare le approvazioni app 89 Anteprima tecnica: stati di approvazione app per i dispositivi 90 Anteprima tecnica: stati di approvazione app per Console 91 4 Applicazioni pubbliche 92 Aggiungere applicazioni pubbliche da un App Store 93 Workspace ONE UEM e URL Google Play Store validi 95 Migrare le eccezioni del gruppo utenti alla funzionalità di distribuzione flessibile 95 App ios pubbliche a pagamento e Workspace ONE UEM 96 Gruppi e applicazioni pubbliche a pagamento 97 Attivare e caricare le app ios pubbliche a pagamento sulla console 98 Controllo dell'installazione di applicazioni pubbliche sui dispositivi ios 99 delle restrizioni per l'app Store Apple ios 99 Configurare la restrizione dell'apple App Store 100 Abilitare la modalità limitata per applicazioni pubbliche gratuite precedenti alla versione ios Microsoft Store per le aziende e Workspace ONE UEM 101 Requisiti per l'integrazione di Microsoft Store per le aziende 101 Confrontare le funzioni dei modelli online e offline di Microsoft Store for Business 102 Configurare l integrazione dei servizi di identità Azure AD 103 Registrare e acquisire applicazioni da Microsoft Store per le aziende per licenze offline e online 108 Importare applicazioni Microsoft Store per le aziende 108 VMware, Inc. 4

5 Distribuire app Microsoft Store per le aziende 109 Sincronizzare e recuperare licenze per applicazioni Microsoft Store fper le aziende Applicazioni acquistate - Volume Purchase Program (VPP) 112 Volume Purchase Program (VPP) in Workspace ONE UEM 113 Contenuti supportati per le applicazioni acquistate 114 Distribuire il Volume Purchase Program 114 Metodo del codice di riscatto 114 Completare tutte le attività per distribuire i codici di riscatto 115 Caricare un foglio di calcolo con i codici di riscatto 115 Assegnare contenuti agli utenti 116 Informazioni sui codici di riscatto 119 Gestione distribuita in base agli Apple ID 120 Completare tutte le attività di distribuzione gestita mediante ID Apple 120 Caricare stoken VPP per recuperare contenuti e licenze di distribuzione gestita 121 Rinnovare gli stoken prima della scadenza 123 Cancellare stoken 124 Sincronizzare contenuti della distribuzione gestita 124 Configurare e assegnare licenze con la distribuzione flessibile 125 Metodi per la revoca dei codici della distribuzione gestita 127 Informazioni sulla distribuzione gestita 127 Eseguire lo staging degli utenti e della distribuzione gestita per VPP di Apple 129 Applicazioni B2B personalizzate e VPP di Apple 132 VPP, applicazioni B2B personalizzate e modalità push 132 Attivare la gestione delle applicazioni B2B personalizzate 133 Gestione distribuita in base al numero di serie dei dispositivi 133 Processo di distribuzione VPP basato sui dispositivi 135 Aggiornare manualmente o automaticamente le applicazioni VPP basate sui dispositivi 136 Difficoltà di aggiornamento delle applicazioni VPP basate sui dispositivi Applicazioni SaaS in Workspace ONE UEM 139 Requisiti per il supporto delle applicazioni SaaS 141 Metodi per aggiungere applicazioni SaaS 142 Aggiungere applicazioni SaaS dalla console Workspace ONE UEM Console 142 Copiare applicazioni SaaS in Workspace ONE UEM 149 Esporta le applicazioni SaaS da Workspace ONE UEM 150 del criterio di accesso client 150 Aggiungere applicazioni di Office 365 con un criterio di accesso client 151 Assegna applicazioni SaaS 153 Adattatori di provisioning 154 Configurazione dell'adattatore di provisioning per Office VMware, Inc. 5

6 Impostazioni per le applicazioni SaaS 156 Configurare le approvazioni 158 Metadati SAML per il Single Sign-On con applicazioni SaaS 158 Configurazione di provider di identità di terze parti come origine dell'applicazione 160 SSO tra Workspace ONE UEM e VMware Identity Manager per le app SaaS e i criteri di accesso Applicazioni Web 166 Funzioni delle applicazioni Web Links e piattaforme supportate 167 Scheda Web Links o Profili dispositivo 168 Comportamenti delle applicazioni Web Links in App e libri e Dispositivi 168 Amministratori delle app Web ed eccezioni del ruolo 169 Aggiungere applicazioni Web Links 169 Configurare la pagina Visualizza dispositivi per le applicazioni Web Links Gestire applicazioni 173 Utilizzare i criteri di accesso con le applicazioni SaaS 175 Aggiungere intervalli di rete da utilizzare nei criteri di accesso 176 Configurare criteri di accesso specifici delle applicazioni 177 Descrizioni dell'opzione di Visualizzazione elenco nativa per le applicazioni 178 delle impostazioni di Visualizzazione dettagli 180 Rendi gestita l'app MDM se installata dall'utente 182 Configurare Gestisci dispositivi 183 Accedere alla pagina Gestire il feedback 184 Configurare la gestione del feedback 184 Configurare le valutazioni degli utenti 185 Stato Attivo e Inattivo 185 Azione Elimina e alternative 185 Opzione Disattiva e relazione con altre versioni attive 186 Opzione Ritira - e relazione con i componenti del ciclo di vita dell'applicazione 186 Versioni delle app interne in Workspace ONE UEM 188 Valori della versione per le app interne 189 Diverse versioni delle app interne 190 Rollback dei risultati, applicazioni Apple ios interne 191 Aggiungere versioni per le applicazioni interne 191 Configurare Visualizza registri per le applicazioni interne 192 Tipi dei registri SDK 193 Livelli dei registri SDK 193 Accedere alle analisi SDK per le app che utilizzano la funzionalità SDK 194 Associazioni VPN per-app e applicazioni native 194 Modificare il profilo VPN per-app di un'applicazione interna 195 Modificare un profilo VPN per-app modificando la priorità di assegnazione 196 Rimuovere il profilo VPN per-app 196 VMware, Inc. 6

7 Modificare, eliminare e annullare l'assegnazione di un gruppo smart Gruppi di applicazioni e conformità 199 Gruppi di applicazioni e criteri di conformità che funzionano insieme per l'applicazione degli standard ai dispositivi 200 Configurare un gruppo di applicazioni 201 Creare elenchi obbligatori per AirWatch Catalog 203 Abilitare applicazioni MDM personalizzate per gruppi di applicazioni Conformità per Mobile Application Management 204 Creare un criterio di conformità per le applicazioni VMware AirWatch Catalog 207 Impostazioni di Workspace ONE ed AirWatch Catalog 208 Migrazione di VMware AirWatch Catalog al catalogo Workspace ONE 210 Funzionalità di AirWatch Catalog e metodi di distribuzione 211 Piattaforme supportate da AirWatch Catalog 212 Distribuire AirWatch Catalog con le opzioni di Gruppi e impostazioni 212 Distribuire AirWatch Catalog con un profilo 214 Configurare applicazioni consigliate 214 Installazione dell'applicazione e cataloghi di AirWatch 215 Catalogo autonomo per distribuzioni solo MAM 221 Funzionalità del catalogo autonomo 222 Passaggi per la distribuzione di un catalogo autonomo 223 Abilitare il catalogo autonomo 223 Configurare la comunicazione tra SDK e il catalogo autonomo Applicazioni Workspace ONE UEM e Workspace ONE 225 Applicazioni Workspace ONE UEM e funzione di accesso gestito di Workspace ONE 226 Piattaforme supportate per l'accesso aperto e gestito 227 Visualizzare lo stato di installazione delle applicazioni Windows 10 nel catalogo Workspace ONE 227 VMware, Inc. 7

8 Introduzione a Mobile 1 Application Management Le aziende utilizzano le applicazioni mobili per distribuire punti vendita, configurare chioschi di vendita, creare business intelligence ed eseguire le attività lavorative quotidiane. VMware Workspace ONE UEM Mobile Application Management (MAM) è in grado di gestire le applicazioni mobili, distribuirle sui dispositivi e proteggerle con criteri di conformità. Workspace ONE UEM offre funzionalità di gestione avanzata per le applicazioni interne mediante VMware Workspace ONE SDK e app wrapping. Questo capitolo include i seguenti argomenti: Tipi di applicazione Workspace ONE UEM e piattaforme supportate Applicazioni gestite e relativi vantaggi Informazioni sulla configurazione dell'applicazione Monitor app e profilo Tipi di applicazione Workspace ONE UEM e piattaforme supportate Workspace ONE UEM classifica le applicazioni come interne, pubbliche, acquistate e Web. Il caricamento delle applicazioni dipende dal tipo. Workspace ONE UEM supporta numerosi sistemi operativi e piattaforme per la maggior parte dei tipi di applicazione. Consultare le informazioni sulle piattaforme e le versioni dei sistemi operativi supportate da Workspace ONE UEM per ogni tipo di applicazione. VMware, Inc. 8

9 Tabella 1 1. Tipi di applicazione e versioni di sistemi operativi supportati Tipo di applicazione Modelli del settore Qualsiasi tipo di app supportata Piattaforme supportate Apple ios v7.0 o versione successiva con limitazioni per criteri di conformità Interne Android v4.0 o versione successiva Apple ios v7.0 o versione successiva Apple macos v10.9 o versione successiva Apple tvos v10.2+ Windows Phone Windows Desktop Nota Assicurarsi che i nomi dei file ausiliari forniti con applicazioni Apple ios o MacOS non includano spazi. Gli spazi possono causare problemi al momento del caricamento dell'applicazione nella console. Pubbliche (gratuite e a pagamento) Android v4.0 o versione successiva Apple ios v7.0 o versione successiva Chrome OS Workspace ONE UEM può gestire applicazioni gratuite e pubbliche sui dispositivi che eseguono Windows 10 o versione successiva, se integrato con Microsoft Store per le aziende. Windows Desktop Workspace ONE UEM può gestire applicazioni gratuite e pubbliche sui dispositivi che eseguono Windows 10 o versione successiva, se integrato con Microsoft Store per le aziende. Acquistate B2B personalizzate Apple ios v7.0 o versione successiva Acquistate - VPP Apple ios v7.0 o versione successiva Apple macos v10.9 o versione successiva Web Links Android v4.0 o versione successiva Apple ios v7.0 o versione successiva Apple macos v10.9 o versione successiva Windows Desktop SaaS Android v4.0 o versione successiva Apple ios v7.0 o versione successiva Apple macos v10.9 o versione successiva Windows Desktop Applicazioni gestite e relativi vantaggi Workspace ONE UEM può distribuire le applicazioni come gestite e non gestite. La console Workspace ONE UEM Console può eseguire per i documenti gestiti compiti particolari che non può eseguire per i contenuti non gestiti. VMware, Inc. 9

10 Spiegazione di App gestite Utilizzare la funzionalità delle applicazioni pubbliche Workspace ONE UEM per cercare e caricare le applicazioni pubbliche dagli App Store. Se si utilizza un altro modo per aggiungere le applicazioni pubbliche ai dispositivi, Workspace ONE UEM non gestirà tali applicazioni. La gestione delle funzionalità include quanto segue: Distribuzione automatica delle applicazioni sui dispositivi mediante un catalogo per l'installazione. Distribuzione delle versioni di applicazioni. Presentazione delle applicazioni nei cataloghi in modo che gli utenti dei dispositivi possano accedervi e installarle senza difficoltà. Monitoraggio delle installazioni delle applicazioni e push dell'installazione dalla console. Per rimuovere l'applicazione dai dispositivi, conservandola però in Workspace ONE UEM, è possibile disattivare le applicazioni pubbliche. Eliminazione delle applicazioni e di tutte le relative versioni da Workspace ONE UEM e dai dispositivi. Vantaggi della gestione Workspace ONE UEM può gestire la maggior parte delle applicazioni, a meno che non esista un motivo specifico della piattaforma che lo impedisce oppure se si caricano contenuti pubblici senza prima cercarli in un App Store. Contenuti gestiti Distribuzione - Workspace ONE UEM esegue il push dei contenuti gestiti ai dispositivi utilizzando un catalogo. Il catalogo installa i contenuti automaticamente o li rende disponibili per il download in base alla modalità push configurata. Rimozione - Workspace ONE UEM può rimuovere i contenuti gestiti dai dispositivi. Contenuti non gestiti Distribuzione - Workspace ONE UEM deve indirizzare gli utenti finali verso un App Store tramite il catalogo per scaricare i documenti. Rimozione - Workspace ONE UEM non può rimuovere i contenuti non gestiti dai dispositivi. Informazioni sulla configurazione dell'applicazione Le configurazioni dell'applicazione sono coppie chiave-valore che è possibile distribuire con un'applicazione per eseguire la preconfigurazione di funzioni per gli utenti. È possibile inserire le coppie supportate al caricamento delle applicazioni nella console Workspace ONE UEM Console. È inoltre possibile codificarle nelle proprie applicazioni. Attualmente, le configurazioni dell'applicazione sono disponibili per Android e ios. È necessario conoscere le coppie chiave-valore supportate per la propria applicazione per distribuirle e codificarle. Per individuare le configurazioni dell'applicazione supportate, esaminare le risorse indicate. VMware, Inc. 10

11 Individuare le configurazioni supportate Le configurazioni supportate per l'applicazione vengono impostate dal fornitore; è quindi possibile contattarlo, o visitare altri siti con informazioni sulle configurazioni dell'applicazione. Per trovare le configurazioni supportate per l'applicazione, contattare il fornitore dell'applicazione. Consultare queste risorse con informazioni sulle configurazioni dell'applicazione. Community configurazione app su Sviluppatori VMware Workspace ONE UEM su Articoli su come aggiungere le configurazioni dell'applicazione per Workspace ONE UEM La knowledge base di Workspace ONE UEM include articoli su come utilizzare le configurazioni dell'applicazione quando si sviluppano applicazioni. Vedere Configurazione delle app gestite da Workspace ONE UEM all'indirizzo Monitor app e profilo Monitor app e profilo offre un metodo rapido per tracciare la distribuzione recente di app e profili ai dispositivi. Il monitor visualizza dati cronologici sul processo di distribuzione e lo stato di installazione dell'app o del profilo sui dispositivi. Monitor app e profilo tiene traccia dello stato delle distribuzioni di app e profili ai dispositivi degli utenti finali. Il monitor tiene traccia solo di app e profili distribuiti negli ultimi 15 giorni. Questi dati ti consentono di visualizzare lo stato delle distribuzioni e diagnosticare eventuali problemi. Quando cerchi un'app o profilo, viene aggiunta una scheda con i dati di distribuzione alla vista Monitor app e profilo. Puoi visualizzare solo cinque schede alla volta. Queste schede rimangono aggiunte fino a quando non ti disconnetti. Quando accedi nuovamente, dovrai aggiungere nuovamente le schede. La sezione Cronologia mostra solo i dati degli ultimi sette giorni. Mostra il numero di dispositivi che riportano lo stato di distribuzione completata. La sezione Distribuzione corrente mostra lo stato della distribuzione del dispositivo. Per ulteriori informazioni sui metodi di distribuzione, consulta Stati di Monitor app e profilo. Se viene visualizzato uno stato incompleto, seleziona il numero accanto allo stato per visualizzare un elenco di tutti i dispositivi con tale stato. Questa funzionalità consente di esaminare i dispositivi con problemi in modo da poter risolvere gli errori di distribuzione. Monitor app e profilo tiene traccia solo delle distribuzioni avviate dopo l'aggiornamento a Workspace ONE UEM v9.2.1 o versione successiva. Se l'app o il profilo sono stati distribuiti prima dell'aggiornamento, il monitor non terrà traccia di alcuni dati sulla distribuzione. Stati di Monitor app e profilo Monitor app e profilo visualizza lo stato di distribuzione corrente per i dispositivi durante una distribuzione. Lo stato combina vari stati di installazione di app e profili diversi in Fine, In sospeso o Non completato. VMware, Inc. 11

12 Tabella 1 2. Descrizioni degli stati di distribuzione nel monitor app e profilo Stato Fine In sospeso I dispositivi segnalano lo stato Fine quando l'app o il profilo sono stati installati correttamente. I dispositivi segnalano lo stato In sospeso quando un'app o un profilo segnala uno degli stati seguenti: Profili In attesa di installazione. Rimozione in corso. Rimozione non confermata. Rimozione confermata. App deve essere riscattato. Riscatto in corso. Richiesta in corso. Installazione in corso. Rimozione MDM. MDM rimosso. Sconosciuto. Installa il comando Pronto per il dispositivo. In attesa di "Installa sul dispositivo". Richiesta di login. Aggiornamento in corso. Versione in attesa. Richiesta per la gestione. Invia il comando Installa. Download in corso. Comando confermato. Non completato I dispositivi segnalano lo stato Non completato quando un'app o un profilo segnala uno degli stati seguenti: Profili Informazioni in sospeso. App Utente rimosso. Installazione rifiutata. Installazione non riuscita. Licenza non disponibile. Rifiutata. Gestione rifiutata. Download non riuscito. Criteri mancanti. Comando non riuscito. Se viene visualizzato uno stato incompleto, seleziona il numero accanto allo stato per visualizzare un elenco di tutti i dispositivi con tale stato. Questa funzionalità consente di esaminare i dispositivi con problemi in modo da poter risolvere gli errori di distribuzione. VMware, Inc. 12

13 Tenere traccia di una distribuzione con Monitora app e profilo È possibile tenere traccia di un'applicazione o un profilo ai dispositivi degli utenti finali con Monitor app e profilo. Questo monitor fornisce informazioni rapide e chiare sullo stato delle distribuzioni. Per tenere traccia di una distribuzione: 1 Passare a Monitor > Monitor app e profilo. 2 Nel campo di ricerca, immettere il nome dell'applicazione o profilo. È necessario premere INVIO sulla tastiera per avviare la ricerca. 3 Selezionare il profilo o app dal menu a discesa e selezionare Aggiungi. I dati dell'app o del profilo vengono visualizzati su una scheda. Si possono aggiungere solo cinque schede alla volta. VMware, Inc. 13

14 Guida introduttiva di Mobile 2 Application Management Per muovere i primi passi con Mobile Application Management, esaminare i concetti di base, imparare a segnalare agli utenti le proprie applicazioni, organizzarle con un catalogo di app e per ulteriori informazioni sui diversi requisiti di configurazione per determinate piattaforme. Nozioni di base di Mobile Application Management Workspace ONE UEM classifica le applicazioni come interne, pubbliche, acquistate e web. Per individuare piattaforme e sistemi operativi supportati in Workspace ONE UEM, vedere Tipi di applicazione Workspace ONE UEM e piattaforme supportate. Workspace ONE UEM può distribuire le applicazioni gestite e non gestite. La console Workspace ONE UEM Console può eseguire per i documenti gestiti compiti particolari che non può eseguire per i contenuti non gestiti. Consultare Applicazioni gestite e relativi vantaggi per una descrizione dei due argomenti. Notifiche Aggiornare gli utenti finali sulle modifiche alle applicazioni e ai libri attraverso notifiche personalizzate. È possibile inviare messaggi tramite , SMS o notifiche push. Consultare Creare notifiche personalizzate per le applicazioni per informazioni sulla configurazione delle notifiche per la gestione delle applicazioni. Categorie di applicazioni per l'airwatch Catalog Le categorie di applicazioni aiutano a organizzare le applicazioni e consentono agli utenti dei dispositivi di trovarle in modo più facile. Per istruzioni su come configurare categorie di applicazioni per l'uso nell'airwatch Catalog, vedere Configurare categorie di applicazioni. Configurazioni dell'applicazione Le configurazioni dell'applicazione sono coppie chiave-valore che è possibile distribuire con un'applicazione per eseguire la preconfigurazione di funzioni per gli utenti. È possibile inserire le coppie supportate al caricamento delle applicazioni nella console UEM. È inoltre possibile aggiungerle nelle proprie applicazioni. Per trovare le opzioni supportate e trovare informazioni su come aggiungerle all'applicazione durante lo sviluppo delle applicazioni, vedere Informazioni sulla configurazione dell'applicazione. VMware, Inc. 14

15 Configurazioni di Android Per distribuire le applicazioni Android pubbliche per una distribuzione in locale, configurare la rete mobile per comunicare con il Google Play Store. L'integrazione di Google Play richiede porte specifiche per la comunicazione. Per i numeri porta e altre informazioni sull'architettura, vedere Requisiti di rete dell'architettura in locale. sul sito web di VMWare Docshttps://docs.vmware.com/it/VMware-Workspace- ONE-UEM/index.html. Configurazioni Windows Desktop 8.1 e precedenti Impostare la console UEM per la distribuzione automatica di applicazioni interne per Windows Desktop con una chiave di trasferimento locale. Per le configurazioni, vedere Abilitare Workspace ONE UEM alla distribuzione di applicazioni interne Windows Desktop. Configurazioni di Windows Phone Prima di poter distribuire le applicazioni interne ai dispositivi Windows Phone, è necessario creare, registrare e ottenere l'approvazione da Windows Phone Dev Center. Visitare Windows Dev Center per informazioni su come sviluppare applicazioni per Windows Phone e sulle tariffe di adesione al centro di sviluppo. Per un profilo generale di questo processo, vedere Registrare applicazioni con Windows Phone Dev Center. App Catalog non è supportato per i dispositivi Windows Phone. È tuttavia possibile distribuire le applicazioni ai dispositivi utilizzando Workspace ONE Intelligent Hub. Impostare la console UEM in modo che distribuisca automaticamente le applicazioni aziendali interne approvate per Windows Phone tramite l'aet ricevuto al momento della registrazione a Windows Phone Dev Center. Rivedere Abilitare Workspace ONE UEM alla distribuzione di applicazioni Windows Phone per le configurazioni da impostare. Questo capitolo include i seguenti argomenti: Creare notifiche personalizzate per le applicazioni Configurare categorie di applicazioni Configurare l'integrazione con Google Play per i clienti in locale Windows Desktop e autorità di certificazione radice dell'azienda Abilitare Workspace ONE UEM alla distribuzione di applicazioni interne Windows Desktop Registrare applicazioni con Windows Phone Dev Center Abilitare Workspace ONE UEM alla distribuzione di applicazioni Windows Phone Creare notifiche personalizzate per le applicazioni Aggiornare gli utenti finali sulle modifiche alle applicazioni e ai libri attraverso notifiche personalizzate. È possibile inviare messaggi tramite , SMS o notifiche push. VMware, Inc. 15

16 Utilizzi delle notifiche personalizzate Personalizzare un modello di messaggio in modo da includere nome, descrizioni, immagini e informazioni sulla versione dell'applicazione o del libro. I modelli possono anche includere link al catalogo delle app e dei libri e possono richiedere agli utenti finali di scaricare i contenuti direttamente dalla notifica. Workspace ONE UEM invia questo messaggio quando si utilizza l'opzione Invia notifica ai dispositivi dal menu azioni o dalla funzionalità Gestisci dispositivi. Configurare notifiche personalizzate Utilizzare un modello di messaggio per creare un messaggio di notifica personalizzato. 1 Passa a Gruppi e impostazioni > Tutte le impostazioni > Dispositivi e utenti > Generale > Modelli dei messaggi. 2 Selezionare Aggiungi, completare le informazioni necessarie e salvare le impostazioni. Impostazione Nome Categoria Tipo Seleziona lingua Predefinito Tipo di messaggio Corpo del messaggio Inserire il nome del nuovo modello. È possibile inserire libro in questa casella di testo, per distinguere la notifica di messaggio dalla notifica di un'applicazione. Inserire una descrizione del messaggio che verrà utilizzata internamente da Workspace ONE UEM per illustrare questo modello. Selezionare Applicazione come categoria del modello di messaggio. Selezionare Notifica dell'applicazione come tipo del modello di messaggio. Inserire un parametro per limitare la consegna dei messaggi solo ai dispositivi appartenenti a utenti finali che capiscono le lingue specificate. Selezionare se la console Workspace ONE UEM Console utilizza questo modello di messaggio predefinito per la Categoria Applicazione e il Tipo - Notifica dell'applicazione. Questa opzione abilita , SMS e notifiche push per il modello. Se non si desidera utilizzare tutti i tipi, disattivare questa opzione e scegliere quelli da utilizzare nell'opzione Tipo di messaggio. Se non si desidera utilizzare tutti e tre i tipi di messaggio, selezionare quelli ( , SMS o push) che Workspace ONE UEM utilizzerà per questo modello. Inserire l avviso che Workspace ONE UEM mostrerà sui dispositivi degli utenti finali per ogni tipo di messaggio. Utilizzare il valore di ricerca {ApplicationName} per compilare automaticamente il nome dell'applicazione in ogni messaggio. Configurare categorie di applicazioni Le categorie di applicazioni aiutano a organizzare le applicazioni e consentono agli utenti dei dispositivi di trovarle in modo più facile. Utilizzarle per organizzare le applicazioni nella console e in un catalogo di risorse. VMware, Inc. 16

17 Le app dispongono di categorie precodificate Non è necessario creare categorie personalizzate. Workspace ONE UEM installa applicazioni e libri con le relative categorie native e precodificate, così che sia possibile utilizzarle per organizzare i contenuti immediatamente e applicarvi i filtri. Usi delle categorie personalizzate Se tuttavia si desidera personalizzare le categorie, è possibile raggruppare le applicazioni in diversi modi. Ad esempio, è possibile creare categorie in base ai nomi effettivi delle unità aziendali oppure creare categorie basate sulle esigenze di tali unità. Unità organizzative - Creare categorie che corrispondono a unità aziendali come IT, contabilità, vendite, servizi professionali e risorse umane. Ad esempio, è possibile associare le categorie alle applicazioni e ai libri e filtrarle in modo che nell'app o nel libro vengano visualizzati solo i contenuti relativi alle vendite. Necessità organizzative - Creare categorie che corrispondono alle necessità organizzative come la sicurezza, la comunicazione, i viaggi, le cure mediche e la formazione. È possibile filtrare le app e i libri per mostrare i contenuti di sicurezza e garantire che venga distribuita la versione più recente. Aggiungere categorie di applicazioni personalizzate Quando si aggiunge una nuova applicazione o un libro, interni o pubblici, il sistema associa la migliore categoria corrispondente in base ai metadati dello sviluppatore o dell'app Store. È possibile sostituire questa assegnazione iniziale e applicare le proprie categorie personalizzate. Per aggiungere le categorie, seguire la procedura indicata. 1 Naviga su App e libri > Applicazioni > Impostazioni applicazioni > Categorie app. 2 Selezionare Aggiungi categoria. 3 Specificare Nome categoria e categoria, quindi salvare le impostazioni. Configurare l'integrazione con Google Play per i clienti in locale Per i clienti on-premise, Workspace ONE UEM ha aggiornato la logica per la ricerca di applicazioni Android pubbliche da Google Play Store per la distribuzione delle applicazioni. Immettere le informazioni segnaposto per consentire la ricerca di sistema per le applicazioni pubbliche di Android. 1 Vai su Gruppi e impostazioni > Tutte le impostazioni > Dispositivi e utenti > Android > Integrazione Google Play. VMware, Inc. 17

18 2 Completare il modulo per un telefono, un tablet o entrambi con le informazioni applicabili. Impostazione Nome utente account Google Password account Google ID del dispositivo Android Inserire il nome utente di un account Google come segnaposto. Inserire la password di un account Google come segnaposto. Inserire come placeholder un ID di dispositivo Android. Se si utilizzano placeholder, il test sulla connessione potrebbe non riuscire a verificare l integrazione corretta; si tratta di un comportamento normale. Questo potrebbe non influenzare la possibilità di effettuare ricerche di applicazioni Android pubbliche. Windows Desktop e autorità di certificazione radice dell'azienda È possibile eseguire il push delle applicazioni interne destinate alla versione più recente di Windows Desktop da Workspace ONE UEM utilizzando l'autorità di certificazione (CA) radice dell'azienda invece di una CA di terze parti. Autorità di certificazione radice attendibile Assicurarsi che l'autorità di certificazione radice dell'azienda sia inclusa nell'elenco delle autorità di certificazione radice attendibili del dispositivo. Se non è attendibile, il sistema Workspace ONE UEM non potrà distribuire l'applicazione ai dispositivi Windows. La pagina impostazione del Certificato di autorità (CA) viene utilizzata per configurare l integrazione con varie autorità di certificazione che puoi trovare su Gruppi e impostazioni > Tutte le impostazioni > Sistema > Integrazione aziendale > Certificato di autorità. Abilitare Workspace ONE UEM alla distribuzione di applicazioni interne Windows Desktop Impostare la console Workspace ONE UEM Console per la distribuzione automatica di applicazioni interne per Windows Desktop con una chiave di trasferimento locale. Il processo non è richiesto per le versioni successive a Windows 10. Prerequisiti Prima di poter distribuire le applicazioni interne ai dispositivi Windows Desktop, è necessario ottenere due elementi da Microsoft: La chiave di trasferimento locale (non necessaria per Windows 10 e versioni successive) Workspace ONE UEM imposta una proprietà per consentire il trasferimento locale delle applicazioni nei dispositivi Windows 10. Questa operazione viene eseguita una volta che il dispositivo si è registrato nel sistema Workspace ONE UEM. VMware, Inc. 18

19 Il certificato di firma del codice Visitare Windows Dev Center per informazioni sulle chiavi di trasferimento locale e sui certificati di firma del codice per le applicazioni Windows Desktop. Inserire in Workspace ONE UEM la chiave di trasferimento locale Consentire a Workspace ONE UEM di caricare la chiave di trasferimento locale in uso e distribuire le applicazioni interne sui dispositivi Windows Desktop diversi da Windows 10 e versioni successive. Importante La chiave fornita da un portale di Volume Licensing, come potrebbe essere limitata a un numero specifico di attivazioni del dispositivo. Verificare di avere una chiave a disposizione. Per ulteriori informazioni sugli account Microsoft, visitare il sito Microsoft Developer Network. 1 Passare a Gruppi e impostazioni > Tutte le impostazioni > Dispositivi e utenti > Windows > Windows Desktop > App aziendali. 2 Completare le seguenti opzioni. Impostazione Abilita Manager app aziendale Chiave di trasferimento locale Permette a Workspace ONE UEM di eseguire il push di applicazioni interne approvate nei dispositivi Windows Desktop. Inserire la chiave fornita da Windows Dev Center. Ad esempio: ADQ2Z-6TP3W-4QGHK-PSDAW-8WKYR 3 Seleziona Salva. Questo processo carica la chiave di trasferimento locale nella console UEM e consente automaticamente ai dispositivi aziendali di installare l'applicazione aziendale interna. Importante Queste impostazioni influenzano i dispositivi registrati dopo aver preparato la console UEM per la distribuzione delle applicazioni. Se si modifica la chiave di trasferimento locale dopo la registrazione dei dispositivi, tutti i dispositivi devono ripetere la registrazione per accedere alle applicazioni aziendali interne. Registrare applicazioni con Windows Phone Dev Center Prima di poter distribuire le applicazioni interne ai dispositivi Windows Phone, è necessario creare, registrare e ottenere l'approvazione da Windows Phone Dev Center. VMware, Inc. 19

20 Visitare Windows Dev Center per informazioni su come sviluppare applicazioni per Windows Phone e sulle tariffe di adesione al centro di sviluppo. 1 Registrare un account Microsoft per l'azienda con Windows Phone Dev Center. La registrazione prevede una piccola quota di adesione e l'abbonamento consente alle aziende di aggiungere applicazioni al Windows Phone Store. La registrazione crea un ID dell'account di Windows che sarà necessario utilizzare per ottenere un certificato di autenticazione di Symantec. Per ulteriori informazioni sugli account Microsoft, visitare il sito Microsoft Developer Network. 2 Ottenere un Certificato di firma del codice mobile aziendale di Symantec per l'applicazione interna. Ottenere un Certificato di firma del codice mobile aziendale da Symantec con l'id dell'account di Windows. Utilizzare il certificato per firmare digitalmente e confermare che l'azienda ha creato l'applicazione. Inoltre, utilizzare il certificato per generare l'aet utilizzato da ciascun dispositivo per ottenere una copia dell'applicazione. 3 Creare e firmare digitalmente l'applicazione interna. Sviluppare e testare l'applicazione aziendale. Quando l'applicazione è pronta per la distribuzione, firmarla digitalmente seguendo la procedura di precompilazione e firma indicata nelle istruzioni di Windows Phone Dev Center. 4 Generare un AET per l'applicazione interna. Generare un AET che i dispositivi utilizzeranno per l'autenticazione prima di installare l'applicazione interna. Puoi caricare l AET sulla console dell amministratore di Workspace ONE UEM Console. Questa azione consente automaticamente ai dispositivi aziendali di installare l'applicazione interna. Generare un AET seguendo la procedura dettagliata per la generazione dell'aet disponibile in Windows Phone Dev Center. Abilitare Workspace ONE UEM alla distribuzione di applicazioni Windows Phone AirWatch Catalog non è supportato per i dispositivi Windows Phone. È tuttavia possibile distribuire le applicazioni ai dispositivi utilizzando Workspace ONE Intelligent Hub. Impostare la console Workspace ONE UEM Console in modo che distribuisca automaticamente le applicazioni aziendali interne approvate per Windows Phone tramite l'aet ricevuto al momento della registrazione a Windows Phone Dev Center. 1 Passare a Gruppi e impostazioni > Tutte le impostazioni > Dispositivi e utenti > Windows > Windows Phone 8 > Impostazioni hub. 2 Selezionare l'opzione Attiva gestione applicazioni aziendali nella sezione Gestione applicazioni aziendali. 3 Selezionare Carica nella casella di testo Carica token aziendale per cercare il file AET e salvare le impostazioni. VMware, Inc. 20

21 Applicazioni interne 3 Utilizzare Workspace ONE UEM per gestire la distribuzione e la manutenzione delle applicazioni mobili sviluppate internamente dall'azienda. La gestione delle app interne varia leggermente a seconda della piattaforma; vedere gli argomenti di questa sezione per comprendere meglio queste differenze e distribuire le app interne alle piattaforme supportate. Nozioni di base sulle applicazioni interne Utilizzare Workspace ONE UEM per distribuire, monitorare e gestire le applicazioni interne. Vedere Tipi di file supportati per le applicazioni interne per un elenco di tipi di file supportati che è possibile caricare nella console. È possibile utilizzare Workspace ONE UEM per gestire le applicazioni sviluppate internamente dall'organizzazione in due modi: Aggiungere e distribuire le applicazioni interne come File locale Aggiungere e distribuire le applicazioni interne come collegamento Caricare e distribuire le applicazioni interne come File locale Caricare il pacchetto dell'applicazione come File locale per Workspace ONE UEM per analizzare i metadati dell'applicazione e distribuirla ai dispositivi degli utenti finali. Per istruzioni sull'aggiunta delle applicazioni interne a Workspace ONE UEM, vedere Aggiungere e distribuire le applicazioni interne come File locale. Una volta caricate le app interne, utilizzare la funzione di distribuzione flessibile per pianificare la distribuzione di una o più applicazioni interne. Per ulteriori informazioni, vedere Utilizzare la distribuzione flessibile per assegnare le applicazioni. VMware, Inc. 21

22 Caricare e distribuire le applicazioni interne come collegamento Aggiungere un collegamento pubblicamente accessibile o un collegamento a un archivio nella rete interna che indirizza al percorso del pacchetto dell'applicazione. In questo caso, Workspace ONE UEM non dispone dell'accesso al pacchetto dell'applicazione. Pertanto, ii metadati non verranno analizzati e lo stesso collegamento verrà distribuito ai dispositivi degli utenti finali per avviare il download. Nota se si passa un collegamento pubblicamente accessibile all'applicazione, assicurarsi che il collegamento non richieda un'autenticazione aggiuntiva. I collegamenti all'archivio nella rete interna devono essere indirizzati tramite il "Content Gateway" per i dispositivi degli utenti finali per il download e l'installazione corretti. Per ulteriori dettagli, vedere Aggiungere e distribuire le applicazioni interne come collegamento. Monitorare le installazioni Utilizzare la console per monitorare l'installazione delle applicazioni interne. Uno dei vantaggi offerti è che possibile installare le applicazioni nei dispositivi che devono ancora installare l'applicazione. Vantaggi del monitoraggio delle distribuzioni di applicazioni interne fornisce altri motivi per tenere traccia delle installazioni di applicazioni interne. Dalla visualizzazione dettagli delle applicazioni è possibile installare o rimuovere applicazioni dai dispositivi. Informazioni sulle funzionalità di questa pagina sono disponibili in Monitorare le applicazioni interne con Visualizzazione dettagli. Consultare le descrizioni dei codici motivo per sapere quali operazioni sono in esecuzione nel sistema in ogni fase dell'installazione, nell'argomento Descrizioni dei codici motivo dello stato di installazione. Protezione rimozione app e relativi strumenti di sicurezza Utilizzare la funzione Protezione rimozione app per sospendere i comandi di rimozione delle app e la rimozione delle applicazioni interne, fino all'approvazione da parte dell'amministratore. Questa funzione previene la rimozione accidentale delle applicazioni critiche interne. Vedere Protezione rimozione app per maggiori informazioni. Se si testano le app Workspace ONE UEM con seeding prima di implementarle in produzione, attenersi a una procedura specifica, nell'ordine indicato, per impedire la rimozione accidentale della versione di produzione dell'applicazione di test. Vedere Strumenti di salvaguardia per applicazioni Workspace ONE UEM proprietarie, non-store per maggiori informazioni. Profili di provisioning ios Le applicazioni ios interne richiedono un profilo di provisioning per un uso e una distribuzione corretti. Vedere Profili di provisioning per la distribuzione aziendale per una breve descrizione dei profili di provisioning e informazioni su dove trovarli. VMware, Inc. 22

23 Mantenere aggiornati questi file rinnovandoli mediante la procedura descritta in Rinnovare i profili di provisioning Apple ios. Per ridurre i problemi in Workspace ONE UEM causati dalla differenza oraria tra il momento in cui diventano validi i profili di provisioning e i certificati di sviluppo, i profili di provisioning possono essere rinnovati. Per ulteriori informazioni, leggi Profili di provisioning e aggiornamenti. Distribuire i pacchetti Win32 come Applicazioni interne Utilizzare l'area delle applicazioni interne per caricare, configurare e distribuire pacchetti di applicazioni Win32 nei dispositivi Windows 10 e versioni successive da un archivio file locale. Per ulteriori informazioni, fare riferimento a Distribuzione delle applicazioni Win32. È inoltre possibile utilizzare il sistema di distribuzione peer per fornire pacchetti Win32 da peer a peer. Questo metodo riduce il traffico sui singoli canali di comunicazione verso un sistema di archiviazione file o una Content Delivery Network (CDN). Per verificare se questo metodo è adatto all'ambiente in uso, vedere Distribuzione peer-to-peer per applicazioni Win32. Questo capitolo include i seguenti argomenti: Tipi di file supportati per le applicazioni interne Aggiungere e distribuire le applicazioni interne come File locale Aggiungere e distribuire le applicazioni interne come collegamento Utilizzare la distribuzione flessibile per assegnare le applicazioni Vantaggi del monitoraggio delle distribuzioni di applicazioni interne Profili di provisioning per la distribuzione aziendale Distribuzione delle applicazioni Win32 Distribuzione peer-to-peer per applicazioni Win32 Protezione rimozione app Strumenti di salvaguardia per applicazioni Workspace ONE UEM proprietarie, non-store Anteprima tecnica: approvazioni app Tipi di file supportati per le applicazioni interne Workspace ONE UEM supporta specifici tipi di file per le applicazioni interne. Per alcuni tipi di file, è necessario caricare più di un file per far sì che l'applicazione funzioni su più dispositivi. Consultare informazioni sui tipi di file supportati dal sistema e sui tipi di file che richiedono il caricamento di più file. Nota Assicurarsi che i nomi dei file ausiliari forniti con applicazioni Apple ios o MacOS non includano spazi. Gli spazi possono causare problemi al momento del caricamento dell'applicazione nella console. VMware, Inc. 23

24 Tabella 3 1. Tipi di file supportati per le applicazioni interne Piattaforma Android Apple ios macos Symbian tvos Windows Desktop Tipo di file APK IPA Pacchetti APP Utilizzare la funzione di provisioning dei prodotti per distribuire le applicazioni macos interne, come i file DMG, PKG e APP. SIS SISX IPA APPX Caricare un file neutrale che funzioni con tutti e tre i processori. Caricare i file per tutti e tre i processori. Sulle piattaforme Windows meno recenti, è necessario generare i file del processore per i tipi di dispositivi sui quali verrà eseguita l'app. Ad esempio, compilare tre file di processore per un dispositivo Windows Desktop. Creare e compilare i file del processore per i dispositivi Windows Phone. È quindi necessario caricare i file per ogni tipo di dispositivo. Caricare un'applicazione universale che includa tutti e tre i processori. Le applicazioni universali Windows sono costituite da un'unica versione di un'applicazione a cui può accedere qualsiasi dispositivo Windows, inclusi desktop, tablet e telefoni. Workspace ONE UEM supporta il caricamento delle applicazioni universali nei dispositivi ed è possibile caricare i tre file APPX (desktop, tablet e telefoni) per tutte le architetture. Nota Caricare lo stesso file APPX per Windows Phone e Windows Desktop nella console Workspace ONE UEM Console se si desidera che l'app universale sia eseguita su entrambi i tipi di dispositivi. EXE Caricare un pacchetto EXE delle applicazioni Win32 per Windows 10. MSI Il file MSI, anche noto come Windows Installer, è un pacchetto contenente tutto il necessario per installare, mantenere e rimuovere il software. ZIP Caricare un pacchetto ZIP delle applicazioni Win32 per Windows 10. Per informazioni sulla distribuzione di file EXE, MSI o ZIP, vedere Distribuzione delle applicazioni Win32. Windows Phone APPX Caricare un file neutrale. Caricare il file del processore ARM creato per i dispositivi Windows Phone. Caricare il file del processore ARM dell'app universale. Le applicazioni universali Windows sono costituite da un'unica versione di un'applicazione a cui può accedere qualsiasi dispositivo Windows, inclusi desktop, tablet e telefoni. Workspace ONE UEM supporta il caricamento delle applicazioni universali nei dispositivi ed è possibile caricare i tre file APPX (desktop, tablet e telefoni) per tutte le architetture. Nota Caricare lo stesso file APPX per Windows Phone e Windows Desktop nella console UEM se si desidera che l'app universale sia eseguita su entrambi i tipi di dispositivi. XAP VMware, Inc. 24

25 Consigli sullo sviluppo di applicazioni interne Seguire i requisiti per lo sviluppo delle applicazioni sui siti per gli sviluppatori Android, ios e Microsoft. La console UEM accetta la maggior parte delle applicazioni sviluppate secondo le specifiche della piattaforma. Aggiungere e distribuire le applicazioni interne come File locale Scaricare applicazioni interne con file locali per distribuirle alla rete mobile e utilizzare le funzionalità di gestione delle applicazioni mobili di Workspace ONE UEM. Rivedere le istruzioni dei siti delle piattaforme relative a come sviluppare e creare pacchetti di applicazioni. Importante Per le applicazioni ios interne dovrai fornire un profilo di provisioning in modo che l'applicazione interna funzioni quando è gestita nell archivio delle applicazioni AirWatch. Ottieni questo file dai tuoi sviluppatori di applicazioni per Apple ios. 1 Passare a App e libri > Applicazioni > Native > Interne e selezionare Aggiungi applicazione. 2 SelezionareCarica > File locale per cercare il file di applicazione nel sistema. 3 Selezionare Continua e configurare le opzioni della scheda Dettagli. Non tutte le opzioni sono supportate da ogni piattaforma. Tabella 3 2. delle impostazioni dettagli Impostazione Nome Gestito da ID dell'applicazione Versione file corrente Versione build Versione È una versione beta Modifica registro Inserire un nome per l'applicazione. Visualizzare il gruppo a cui appartiene l'applicazione nella gerarchia di gruppi di Workspace ONE UEM. Rappresenta l'applicazione con una stringa univoca. Questa opzione è precompilata ed è stata creata con l'applicazione. Workspace ONE UEM usa questa stringa per identificare l'applicazione nei sistemi come appartenenti a liste bianche o nere. Mostra la versione codificata dell'applicazione impostata dagli sviluppatori dell'applicazione. Mostra una "versione del file" alternativa per alcune applicazioni. Questa opzione assicura che Workspace ONE UEM registri tutti i numeri di versione codificati per le applicazioni perché, in alcune applicazioni, gli sviluppatori hanno a disposizione due aree in cui codificare un numero di versione. Mostra la versione interna dell applicazione impostata dalla console Workspace ONE UEM. Etichetta l'applicazione come ancora in fase di sviluppo e testing (versione BETA). Inserire note in questa casella di testo per fornire commenti e note sull'applicazione per gli altri amministratori. VMware, Inc. 25

26 Tabella 3 2. delle impostazioni dettagli (Continua) Impostazione Categorie Versione minima SO Modelli supportati App limitata all'installazione silenziosa Android Schema predefinito Fornire un tipo di categoria nella casella di testo per aiutare a identificare come l'applicazione può aiutare gli utenti. È possibile configurare categorie di applicazioni personalizzate o mantenere la categoria percodificata dell'app. Selezionare il sistema operativo meno recente che potrà eseguire questa applicazione. Selezionare tutti i modelli che eseguiranno questa applicazione. Assegna questa applicazione ai dispositivi Android che supportano la funzionalità di disinstallazione silenziosa di Android. L'utente finale non deve confermare l'installazione se si abilita questa opzione. Questa funzionalità rende più semplice la disinstallazione simultanea di più applicazioni. Questa opzione ha effetto solo per i dispositivi Android nel gruppo smart che supporta la disinstallazione silenziosa. Questi dispositivi Android vengono anche chiamati dispositivi Android aziendali. Indica lo schema dell'url per le applicazioni supportate. L'applicazione è fornita con lo schema, in modo che Workspace ONE UEM lo analizzi e mostri il valore in questo campo. Uno schema predefinito offre molte funzionalità di integrazione per le applicazioni interne, tra cui le seguenti opzioni: Utilizzare lo schema per l'integrazione con altre piattaforme e applicazioni Web. Utilizzare lo schema per ricevere messaggi da altre applicazioni e per avviare richieste specifiche. Utilizzare lo schema per avviare le applicazioni Apple ios in AirWatch Container. Descrivere lo scopo dell'applicazione. Nota Non utilizzare "<" + Stringa nella per evitare di andare incontro a un errore del contenuto HTML. Parole chiave URL Indirizzo dell'assistenza Numero di telefono all'assistenza ID interno Copyright Inserire parole per descrivere le caratteristiche o gli utilizzi dell'applicazione. Queste voci sono simili a etichette e sono specifiche dell'organizzazione. Inserire l'url da cui è possibile scaricare l'applicazione e ottenere informazioni su di essa. Inserire un indirizzo per ricevere suggerimenti, commenti o problemi riguardanti l'applicazione. Inserire un numero per ricevere suggerimenti, commenti o problemi riguardanti l'applicazione. Immettere un'eventuale stringa di identificazione utilizzata dall'organizzazione per catalogare e gestire l'applicazione. Inserire la data di pubblicazione dell'applicazione. VMware, Inc. 26

27 Completare le opzioni nell'area Informazioni sviluppatore: Tabella 3 3. delle impostazioni per informazioni sviluppatore Impostazione Sviluppatore Indirizzo dello sviluppatore Numero di telefono dello sviluppatore Inserire il nome dello sviluppatore. Inserire l' dello sviluppatore in modo da avere un contatto a cui inviare suggerimenti e commenti. Immettere un numero in modo che sia possibile contattare lo sviluppatore. (Solo ios Apple) Completare le opzioni nell'area Notifica di registro per SDK app: Tabella 3 4. delle impostazioni per le notifiche di registro Impostazione Invia registri all'indirizzo dello sviluppatore Modello di registrazione Abilitare l'invio dei registri agli sviluppatori a scopo di risoluzione dei problemi e indagini per migliorare le applicazioni create utilizzando un SDK. Selezionare un modello da utilizzare per inviare registri agli sviluppatori. (Solo file MSI di Windows Desktop) Completare le opzioni nell'area Distribuzione del pacchetto software: Tabella 3 5. delle impostazioni per la distribuzione del pacchetto Impostazione Argomenti di riga di comando Timeout Conteggio nuovi tentativi Intervallo di tentativi Inserire le opzioni della riga di comando che il sistema in esecuzione utilizza per installare l'applicazione MSI. Inserire il tempo, in minuti, che il programma di installazione deve attendere senza indicare il completamento dell'installazione e prima di identificare un errore di installazione. Quando il sistema raggiunge il valore indicato, arresta il monitoraggio dell'operazione di installazione. Inserire il numero di tentativi effettuati dal programma di installazione per l'installazione dell'applicazione prima di identificare il processo come non riuscito. Inserire il tempo di attesa, in minuti, tra i tentativi di installazione. L'intervallo massimo di attesa è di 10 minuti. Completare le opzioni nell'area Informazioni costo applicazioni: Tabella 3 6. Impostazione descrizioni per informazioni sui costi dell'applicazione Impostazione Centro di costo Costo Valuta Inserire la business unit a cui sarà addebitato lo sviluppo dell'applicazione. Immettere le informazioni sui costi per l'applicazione per la creazione di report sulle metriche relative ai sistemi di sviluppo delle applicazioni interne dell'organizzazione. Selezionare il tipo di valuta utilizzata per il pagamento dello sviluppo, la valuta utilizzata per l'acquisto dell'applicazione o altre informazioni che si desidera registrare circa l'applicazione. VMware, Inc. 27

28 4 Completare le opzioni della scheda File. Rivedere il file caricato inizialmente e caricare i file ausiliari per distribuire le applicazioni interne. È necessario caricare un profilo di provisioning per le applicazioni Apple ios, oltre ai file di applicazione dell'architettura per le applicazioni Windows Desktop. Se non si caricano i file di applicazione dell'architettura, l'applicazione Windows Desktop non funziona. Tabella 3 7. File da caricare sulla scheda file dalla piattaforma Piattaforma File ausiliario Tutte File dell'applicazione Contiene il software applicativo per installare ed eseguire l'applicazione. È l'applicazione che è stata caricata all'inizio della procedura. Android Token Google Cloud Messaging (GCM) È una funzionalità dell'sdk di AirWatch e non è applicabile a tutte le applicazioni Android. Alcune applicazioni Android interne supportano le notifiche push dall'applicazione ai dispositivi o utenti. 1 Selezionare Sì per l'opzione L'applicazione supporta le notifiche push. 2 Immettere la chiave Server API nell'opzione Token GCM ((chiave API)). Può essere richiesta sul sito per gli sviluppatori di Google. Uno sviluppatore codifica un SenderID corrispondente nell'applicazione interna. Per utilizzare questa funzionalità, eseguire il push della notifica dal record del dispositivo applicabile nella console, utilizzando la funzione amministrativa Invia. nella scheda Dispositivi. Apple ios Profilo di provisioning Autorizza sviluppatori e dispositivi a creare ed eseguire applicazioni Apple ios. Vedere Profili di provisioning di Apple ios per informazioni sull'integrazione di AirWatch con questo file ausiliario. Assicurarsi che il file comprenda la distribuzione aziendale e non la distribuzione dell'app Store e che sia uguale al file IPA (file di applicazione Apple ios). Apple ios File APN per lo sviluppo o la produzione Se l'applicazione supporta i servizi di notifiche push di Apple (APNs), questo file abilita la funzionalità di messaggistica. È necessario caricare il certificato APNs di sviluppo o produzione. VMware, Inc. 28

29 Tabella 3 7. File da caricare sulla scheda file dalla piattaforma (Continua) Piattaforma File ausiliario Windows Desktop File di app di architettura neutrale File X64, X86 e ARM sviluppati per Windows Desktop Contiene il software applicativo per installare ed eseguire l'applicazione per l'architettura specifica di Windows Desktop. File universali X64, X86 e ARM File MSI Windows Phone File di dipendenze File dell'applicazione Architettura ARM neutrale Contiene il software applicativo per installare ed eseguire l'applicazione per l'architettura specifica di Windows Phone. File ARM sviluppato per dispositivi Windows Phone File ARM universale File di dipendenze 5 Completare le opzioni nella scheda Immagini. Impostazione Immagini mobile Immagini tablet Icona Caricare o trascinare e rilasciare le immagini dell'applicazione da visualizzare nell'app Catalog per i dispositivi mobili. Caricare o trascinare e rilasciare le immagini dell'applicazione da visualizzare per i tablet. Caricare o trascinare e rilasciare le immagini da visualizzare nell App Catalog come icone. Nota per ottenere migliori risultati per le immagini del dispositivo mobile e del tablet, fare riferimento a per ios e per Android. 6 Completare la scheda Condizioni per l'utilizzo. Le condizioni per l'utilizzo dichiarano specificamente come gli utenti devono utilizzare l'applicazione. Chiariscono inoltre all'utente cosa può aspettarsi dall'applicazione. Quando l'applicazione invia un push ai dispositivi, gli utenti visualizzano una pagina con le condizioni per l'utilizzo che devono accettare per poter utilizzare l'applicazione. Se gli utenti non accettano, non possono accedere all'applicazione. VMware, Inc. 29

30 7 Completare la scheda Altro > SDK. Tabella 3 8. delle impostazioni SDK Impostazione Profilo SDK Profilo dell applicazione Selezionare il profilo dal menu a discesa per applicare le funzionalità configurate in Impostazioni e criteri (Predefinito) o le funzionalità configurate in singoli profili tramite Profili. Selezionare il profilo del certificato dal menu a discesa in modo che l'applicazione e AirWatch comunichino in modo sicuro. 8 Completare la scheda Altro > App Wrapping. Non è possibile eseguire il wrapping di un'applicazione precedentemente salvata nella console di AirWatch. Sono disponibili due opzioni: Cancellare la versione senza wrapping dell'applicazione, caricarla in AirWatch ed eseguirne il wrapping nella scheda App Wrapping. Caricare una versione dell'applicazione con wrapping, se disponibile, senza dover eliminare la versione senza wrapping. Tabella 3 9. delle impostazioni App Wrapping Impostazione Attiva app wrapping Profilo app wrapping Profilo di provisioning mobile (Apple ios) Certificato di firma codice (Apple ios) Richiedi crittografia (Android) Fa in modo che AirWatch possa eseguire il wrapping delle applicazioni interne. Assegnare un profilo di app wrapping all'applicazione interna. Caricare un profilo di provisioning per Apple ios che autorizza gli sviluppatori e i dispositivi a creare ed eseguire le applicazioni create per i dispositivi Apple ios. Caricare un certificato di firma del codice per firmare l'applicazione a cui è stato imposto l'app wrapping. Abilitare questa opzione per utilizzare la crittografia dei dati memorizzati (Data At Rest - DAR) sui dispositivi Android. AirWatch utilizza lo standard di crittografia avanzata, AES-256, e usa chiavi crittografate per la crittografia e la decrittografia. Quando si abilita DAR in App Wrapping, il motore di App Wrapping inserisce un file system alternativo nell'applicazione che archivia in modo sicuro tutti i dati nell'applicazione. L'applicazione utilizza il file system alternativo per archiviare tutti i file in una sezione di archivio crittografata invece di archiviare i file nel disco. La crittografia DAR aiuta a proteggere i dati nel caso il dispositivo sia compromesso perché i file crittografati creati durante l'intera durata dell'applicazione sono difficili da attaccare. Questa protezione si applica a ogni database locale SQLite, perché tutti i dati locali sono crittografati in un sistema di archiviazione separato. 9 Selezionare Salva e assegna per configurare le opzioni di distribuzione flessibile per l'applicazione. Assegnare l'applicazione ai gruppi Per assegnare e distribuire applicazioni interne, configurare le opzioni di distribuzione flessibili illustrate in Aggiungere assegnazioni ed esclusioni alle applicazioni. VMware, Inc. 30

31 Aggiungere e distribuire le applicazioni interne come collegamento Se si dispone di pacchetti di applicazioni archiviati in un repository interno alla rete o in un cloud, è possibile utilizzare i collegamenti a questi repository per aggiungere l'applicazione a Workspace ONE UEM Console. Per distribuire le applicazioni agli utenti finali, utilizzare questi collegamenti in combinazione con le seguenti configurazioni: Hosting e distribuzione delle applicazioni da un sistema di archiviazione cloud Hosting delle applicazioni in repository su rete interna e distribuzione con Content Gateway Hosting di un'applicazione in un archivio cloud o in un repository su rete interna e distribuzione con Workspace ONE UEM. Ospitare e distribuire applicazioni da un archivio cloud Se si utilizza un archivio cloud per l'hosting di un'applicazione interna, Workspace ONE UEM semplifica la connessione affinché il dispositivo riceva il pacchetto dell'applicazione dal sistema di archiviazione cloud quando viene avviata la distribuzione. Workspace ONE UEM attualmente non supporta i collegamenti al sistema di archiviazione cloud che richiedono l'autenticazione. È importante che il pacchetto dell'applicazione interna ospitato in un sistema di archiviazione cloud sia un collegamento diretto. Questo collegamento diretto consente agli utenti finali di accettare il pacchetto dell'applicazione tramite l'url. Ospitare l'applicazione in un repository su rete interna Se si utilizza un repository su rete interna, Content Gateway semplifica la connessione affinché il dispositivo riceva il pacchetto dell'applicazione da tale repository quando Workspace ONE UEM Console avvia la distribuzione. È possibile ospitare le applicazioni interne sulla propria rete e gestire le applicazioni con Workspace ONE UEM. Workspace ONE UEM utilizza i protocolli di condivisione file di Windows per rendere disponibili ai dispositivi degli utenti le applicazioni ospitate esternamente. Eseguire i seguenti passaggi su Content Gateway per Windows per trasferire i dati dalla rete on-premise a Workspace ONE UEM. 1 Configurare e utilizzare Content Gateway per Windows per proteggere le comunicazioni tra la rete e Workspace ONE UEM. Per informazioni su Content Gateway, consultare il sito VMware Docs all'indirizzo 2 Immettere le credenziali per l'archivio di app esterne in modo che Workspace ONE UEM possa indirizzare gli utenti verso i pacchetti delle applicazioni ospitati sulla rete nell'archivio delle app. Workspace ONE UEM supporta un solo set di credenziali per l'autenticazione ai repository. Se si dispone di più repository, utilizzare un set comune di credenziali per l'autenticazione. Vedere Aggiungere credenziali per l'archivio di app esterne. VMware, Inc. 31

32 3 Inserire il percorso delle applicazioni interne nell'archivio delle app esterne utilizzando un collegamento. Vedere Aggiungere applicazioni interne da archivi esterni. Scaricare e distribuire con Workspace ONE UEM Consentire a Workspace ONE UEM di recuperare il file del pacchetto da un collegamento e di archiviarlo anziché distribuire il collegamento direttamente agli utenti finali. Questa funzionalità è particolarmente utile per i clienti che utilizzano Workspace ONE UEM per l'integrazione continua tra i sistemi per distribuire le applicazioni. Consultare la Guida API in Console per individuare il valore API. Workspace ONE UEM esegue anche il download dei pacchetti ospitati nel repository sulla rete interna, ma è necessario abilitare l'opzione per accedere ad esse con Content Gateway. Componenti supportati per archivi di app esterne Se si utilizza il Content Gateway per Windows e si ospitano applicazioni su sistemi server esterni, impostare gli archivi esterni per varie piattaforme e tipi di applicazione. Tipi di app supportate La funzionalità di archivio delle app esterne supporta solo le applicazioni interne. Tipi di file supportati Il collegamento dell'applicazione deve contenere una delle seguenti estensioni file supportate nell'url. La console UEM supporta anche i collegamenti che contengono i parametri di query alla fine. app appx apk dmg exe ipa msi pkg xap zip Nella seguente tabella sono elencate le estensioni supportate specifiche della piattaforma per tutte le applicazioni caricate come collegamento: VMware, Inc. 32

33 Tabella Estensioni supportate dalla piattaforma Piattaforma Apple ios macos Android Symbian Windows Phone Windows Desktop che funziona per tutti e tre i tipi di processori, x64, x86 e ARM Tipi di file supportati IPA Pacchetti di applicazioni APK SIS e SISX XAP APPX, msi, zip ed.exe Distribuzioni supportate Le distribuzioni SaaS che utilizzano il Content Gateway per Windows per le comunicazioni sicure le distribuzioni on-premise che utilizzano il Content Gateway per Windows per le comunicazioni sicure Credenziali per archivi multipli Se gli archivi richiedono l'autenticazione, Workspace ONE UEM utilizza un insieme di credenziali per la comunicazione tra il Content Gateway e gli archivi. Per questa funzionalità, utilizzare un insieme comune di credenziali per la comunicazione tra Content Gateway e gli archivi. Aggiungere un insieme di credenziali per gli archivi configurati con Content Gateway. Per ulteriori informazioni, vedere Aggiungere credenziali per l'archivio di app esterne. Vedere Aggiungere applicazioni interne da archivi esterni per istruzioni sul caricamento dell'applicazione su Workspace ONE UEM. Aggiungere credenziali per l'archivio di app esterne Consentire a Workspace ONE UEM di indirizzare gli utenti alle applicazioni interne sulla rete in un archivio app esterno. Il Content Gateway per Windows utilizza queste informazioni per accedere all'archivio e aprire le comunicazioni tra il dispositivo e l'archivio. 1 Passare a Gruppi e impostazioni > Tutte le impostazioni > App > Workspace ONE > Archivio delle app esterne. 2 Completare le seguenti opzioni: Impostazione Nome utente Password Immettere il nome utente per l'archivio delle applicazioni esterne. Immettere la password per l'archivio delle applicazioni esterne. 3 Seleziona Salva. VMware, Inc. 33

34 Aggiungere applicazioni interne da archivi esterni È possibile impostare Workspace ONE UEM per distribuire un collegamento a una risorsa o per recuperare un pacchetto di file, archiviarlo e distribuirlo. È inoltre possibile configurare l'accesso a una risorsa interna tramite Content Gateway per Windows. Procedura 1 Passare a App e libri > Applicazioni > Native > Interne e selezionare Aggiungi applicazione. 2 Selezionare Carica, selezionare Collegamento, confermare che l'accesso utilizza Content Gateway e selezionare il gateway da utilizzare. Tuttavia se il collegamento all'applicazione è pubblicamente accessibile, Content Gateway non è obbligatorio. 3 Inserire il percorso dell'applicazione interna nell'archivio delle app esterne. È possibile utilizzare un percorso file del server, un percorso di condivisione file di rete, un indirizzo HTTP o un indirizzo HTTPS. La stringa deve includere il nome dell'applicazione interna e l'estensione del file. > /<InternalAppFileName.FileExtension 4 Se questa applicazione è ospitata in un repository su rete interna che si desidera distribuire, selezionare Accedi tramite Content Gateway. 5 Se si desidera che Workspace ONE UEM recuperi il pacchetto di file, lo archivi e lo distribuisca anziché passare solo il collegamento ai dispositivi, selezionare Scarica e distribuisci tramite piattaforma Workspace ONE UEM. 6 Selezionare Salva e Continua e quindi configurare le schede rimanenti. Operazioni successive Per assegnare e distribuire applicazioni interne, configurare le opzioni di distribuzione flessibili illustrate in Aggiungere assegnazioni ed esclusioni alle applicazioni. Utilizzare la distribuzione flessibile per assegnare le applicazioni Workspace ONE UEM offre una funzionalità di distribuzione flessibile per applicazioni interne e pubbliche. Sono flessibili in quanto consentono di pianificare più scenari di distribuzione delle applicazioni. È possibile configurare le implementazioni per applicazioni interne per un determinato momento e fare in modo che la console Workspace ONE UEM Console esegua le distribuzioni senza ulteriori interazioni. La funzione di distribuzione flessibile risiede nelle sezioni Assegna dell'area di applicazione e fornisce vantaggi per il processo di assegnazione. Configurare le assegnazioni di distribuzione. Assegnare più distribuzioni contemporaneamente. VMware, Inc. 34

35 Ordinare le assegnazioni in modo che le distribuzioni critiche non vengano saltate a causa della larghezza di banda limitata. Personalizzare le assegnazioni per più gruppi smart. Aggiungere assegnazioni ed esclusioni alle applicazioni Per controllare la distribuzione delle applicazioni, aggiungere una singola assegnazione o più assegnazioni. Inoltre, si possono escludere i gruppi dalla ricezione dell'assegnazione. Se aggiungi multiple assegnazioni, attribuisci priorità alle assegnazioni muovendole verso l'alto o verso il basso nell'elenco. Nota Se si utilizzano le API per assegnare le applicazioni, non utilizzare le esclusioni nella console. Le API per le esclusioni in questo momento sono in fase di sviluppo. Per utilizzare le esclusioni, assegnare le applicazioni attraverso la console, non utilizzare le API. 1 Passare a App e libri > Applicazioni > Native > Interne o Pubbliche. 2 Caricare un'applicazione e selezionare Salva e assegna oppure selezionare l'applicazione e scegliere Assegna dal menu Azioni. 3 Nella scheda Assegnazioni, selezionare Aggiungi assegnazione e completare le seguenti opzioni: Impostazione Seleziona Gruppi assegnazione Metodo di distribuzione app Digitare il nome di un gruppo smart per selezionare i gruppi di dispositivi per ricevere l'assegnazione. Su richiesta Distribuisce contenuti di un catalogo o di un altro agente delle distribuzione e permette che l'utente del dispositivo scelga se e quando installarli. Questa è l'opzione migliore per i contenuti che non sono fondamentali per l'organizzazione. Permettere agli utenti di scaricare i contenuti quando vogliono consente anche di risparmiare larghezza di banda e limita il traffico non necessario. Automatico Distribuisce contenuti di un catalogo o di un altro hub delle distribuzione su un dispositivo, al momento della registrazione. Una volta registrati i dispositivi, il sistema richiede agli utenti di installare i contenuti. Questa è la scelta migliore per i contenuti di importanza critica per l'organizzazione e i relativi utenti mobili. Gestione dello stato desiderato macos Attualmente, quando si installa un software per macos, gli amministratori hanno la possibilità di abilitare o disabilitare le impostazioni di Gestione dello stato desiderato in base alle esigenze aziendali. La gestione dello stato desiderato è abilitata per impostazione predefinita per applicare la gestione dell'applicazione durante l'installazione di un software macos. Se abilitato, e se l'utente finale elimina l'app, l'applicazione viene automaticamente reinstallata alla prossima sincronizzazione di Workspace ONE Intelligent Hub. Se disabilitato, e se l'utente finale elimina l'app, l'applicazione non viene reinstallata automaticamente, a meno che non sia stato eseguito il dala Console UEM o del Catalogo. Inoltre, come amministratore, si dispone della flessibilità di distribuire le applicazioni come configurazione monouso e fornire agli utenti finali la possibilità di disinstallare l'applicazione in locale se necessario. VMware, Inc. 35

36 Impostazione La distribuzione inizia il Applicazioni interne Criteri - DLP Android ios Windows Desktop Windows Phone Criteri - Accesso gestito Android ios Criteri - Rimuovi per annullamento della registrazione ios Criteri - Impedisci Backup delle applicazioni ios Criteri - Rendi gestita l'app MDM se installata dall'utente ios Criteri - App Tunneling Android ios Criteri - Configurazione applicazione Android ios Scegliere un giorno del mese e un orario del giorno per l'avvio della distribuzione. L'impostazione Priorità regola quale distribuzione viene inviata per prima. Workspace ONE UEM invia le distribuzioni a seconda della configurazione effettiva. Per impostare una data di inizio con una larghezza di banda sufficiente per la riuscita della distribuzione, considerare i modelli di traffico della rete. Configurare un profilo dispositivo con un profilo Limitazioni per impostare i criteri di Data Loss Prevention per l'applicazione. Selezionare Configura. Il sistema passa a Dispositivi > Profili. Selezionare Aggiungi > Aggiungi profilo e scegliere la piattaforma. Per i dispositivi Android e ios, selezionare Limitazioni e abilitare le opzioni nella sezione Data Loss Prevention (DLP). Per Windows Desktop, selezionare Profilo dispositivo > Limitazioni e abilitare le opzioni applicabili per i dati che si desidera proteggere. Per Windows Phone, selezionare Limitazioni e abilitare le opzioni applicabili per i dati che si desidera proteggere. Abilitare la gestione adattativa per impostare Workspace ONE UEM per la gestione del dispositivo, in modo da consentire al dispositivo di accedere all'applicazione. Workspace ONE controlla questa funzionalità e non è supportato da AirWatch Catalog. Impostare la rimozione dell'applicazione da un dispositivo quando il dispositivo annulla la registrazione da Workspace ONE UEM. Se si sceglie di abilitare questa opzione, i dispositivi controllati sono limitati dall'installazione silenziosa dell'app perché il dispositivo è bloccato e l'installazione del profilo di provisioning viene messo nella coda dei comandi che richiede lo sblocco del dispositivo per completare l'installazione. Se si sceglie di disabilitare questa opzione, non viene eseguito il push dei profili di provisioning insieme all'applicazione installata. Ovvero, se il profilo di provisioning viene aggiornato, il nuovo profilo di provisioning non viene distribuito automaticamente ai dispositivi. In questi casi, è necessaria una nuova versione dell'applicazione con il nuovo profilo di provisioning. Impedire il backup dei dati delle applicazioni su icloud. Ottenere la gestione delle applicazioni, controllate e non, installate precedentemente dagli utenti sui loro dispositivi. Abilitare questa funzione in modo che gli utenti non debbano eliminare la versione dell'app installata sul dispositivo. Workspace ONE UEM gestisce l'applicazione senza dover installare sul dispositivo la versione dell'applicazione di catalogo. Configurare una VPN al livello dell'applicazione e selezionare il Profilo VPN per-app. Gli utenti accedono all'applicazione usando una VPN che garantisce che l'accesso e l'uso delle applicazioni sono attendibili e sicuri. Inviare le configurazioni delle applicazioni ai dispositivi. Carica XML (Apple ios) Selezionare questa opzione per caricare un file XML per le applicazioni ios che inserisce automaticamente le coppie chiave-valore. Ottenere le configurazioni supportate da un'applicazione dallo sviluppatore in formato XML VMware, Inc. 36

37 4 Selezionare Aggiungi. 5 Utilizzare i pulsanti Sposta su e Sposta giù per ordinare le assegnazioni, se ce n'è più di una. Posizionare le assegnazioni critiche in cima all'elenco. Questa configurazione viene mostrata come Priorità. L'impostazione Priorità ha la precedenza quando non ci sono distribuzioni contrastanti assegnate a un unico dispositivo. 6 Selezionare la scheda Esclusioni e inserire gruppi smart, gruppi dell organizzazione e gruppi utente per escluderli dalla ricezione dell'applicazione. Il sistema applica le esclusioni dalle assegnazioni delle applicazioni a livello di applicazione. Tenere in considerazione la gerarchia di gruppo (OG) nell aggiungere le esclusioni. Le esclusioni a livello di OG principale non si applicano ai dispositivi dell OG secondario. Le esclusioni in un OG secondario non si applicano ai dispositivi dell OG principale. Le esclusioni si devono aggiungere per l OG desiderato. 7 Selezionare Salva e pubblica. Le configurazioni dell'applicazione sono coppie chiave-valore specifiche del fornitore che è possibile distribuire con un'applicazione per eseguirne la preconfigurazione per gli utenti. Per ulteriori informazioni sulla pagina di distribuzione flessibile, dove è possibile modificare le pianificazioni per le distribuzioni e visualizzare le impostazioni configurate al caricamento, vedere Distribuzione flessibile per le descrizioni di impostazione delle applicazioni. Distribuzione flessibile per le descrizioni di impostazione delle applicazioni La pagina di distribuzione flessibile include informazioni sulle assegnazioni delle applicazioni. Da questa pagina è possibile modificare le pianificazioni delle distribuzioni e visualizzare le impostazioni configurate al momento del caricamento. Le opzioni visualizzate in questa finestra dipendono dalla piattaforma. Impostazione Modifica Elimina Sposta sù Sposta giù Nome Priorità Modificare le configurazioni dell'assegnazione, tra cui il gruppo smart e la modalità push. Rimuovere l'assegnazione selezionata dalla distribuzione delle applicazioni. Aumentare la priorità selezionata per l'assegnazione spostandola più in alto nell'elenco delle assegnazioni. Ridurre la priorità selezionata per l'assegnazione spostandola più in basso nell'elenco delle assegnazioni. Visualizzare il gruppo smart assegnato. Visualizzare la priorità dell'assegnazione configurata quando si posiziona l'assegnazione selezionata nell'elenco delle assegnazioni. Priorità 0 è l'assegnazione più importante e ha la precedenza su tutte le altre distribuzioni. È possibile usare questa opzione insieme a Decorrenza per pianificare le distribuzioni in modo da evitare gli orari in cui la rete mobile è sovraccarica. VMware, Inc. 37

38 Impostazione Metodo di distribuzione app Decorrenza (Applicazioni interne) Accesso gestito Rimuovi quando si annulla la registrazione (Apple ios) Backup applicazione (Apple ios) Accesso VPN (Apple ios 7+) Invia configurazione Assumi gestione Visualizzare come l'applicazione esegue l invio ai dispositivi. Auto invia immediatamente mediante il Catalogo AirWatch senza alcuna interazione dell'utente. Su richiesta invia ai dispositivi quando l'utente avvia un'installazione dal Catalogo AirWatch. Controllare lo stato dell'assegnazione: se la decorrenza è effettiva adesso o lo sarà in futuro. Visualizzare se per l'applicazione è abilitata la gestione adattativa. Visualizzare se Workspace ONE UEM rimuove l'applicazione da un dispositivo quando viene annullata la registrazione del dispositivo da Workspace ONE UEM. Se si sceglie di abilitare questa opzione, i dispositivi controllati sono limitati dall'installazione silenziosa dell'app perché il dispositivo è bloccato e l'installazione del profilo di provisioning viene messo nella coda dei comandi che richiede lo sblocco del dispositivo per completare l'installazione. Se si sceglie di disabilitare questa opzione, non viene eseguito il push dei profili di provisioning insieme all'applicazione installata. Ovvero, se il profilo di provisioning viene aggiornato, il nuovo profilo di provisioning non viene distribuito automaticamente ai dispositivi. In questi casi, è necessaria una nuova versione dell'applicazione con il nuovo profilo di provisioning. Visualizzare se Workspace ONE UEM impedisce il backup dei dati dell'applicazione in icloud. In ogni caso, l'applicazione può comunque eseguire il back-up su icloud. Visualizzare se Workspace ONE UEM utilizza una connessione VPN al livello dell'applicazione. Questa opzione consente agli utenti finali di accedere all'applicazione usando una VPN, che garantisce l'accesso e l'utilizzo attendibili e sicuri delle applicazioni. Questa opzione è Disabilitata per tutte le piattaforme tranne Apple ios. Visualizzare se Workspace ONE UEM invia le configurazioni alle applicazioni gestite Android e Apple ios. Visualizzare se Workspace ONE UEM è autorizzato ad assumere la gestione delle applicazioni installate dall'utente senza richiedere la cancellazione dell'app precedentemente installata dal dispositivo. Questa opzione corrisponde all'opzione Rendi gestita l'app MDM se installata dall'utente. Le configurazioni dell'applicazione sono coppie chiave-valore specifiche del fornitore che è possibile distribuire con un'applicazione per eseguirne la preconfigurazione per gli utenti. Per informazioni sull'assunzione della gestione delle applicazioni installate dall'utente, vedere Rendi gestita l'app MDM se installata dall'utente. Distribuzione flessibile Conflitti e priorità Se un dispositivo appartiene a più di un gruppo smart e si assegnano questi gruppi smart a un'applicazione con diverse distribuzioni flessibili, il dispositivo riceve la distribuzione flessibile stabilita con la priorità più immediata. Quando si assegnano gruppi smart alle distribuzioni flessibili, tenere presente che un singolo dispositivo può appartenere a più di un gruppo smart. A sua volta, un dispositivo può essere assegnato a più di una distribuzione flessibile per la stessa applicazione. VMware, Inc. 38

39 Esempio Il dispositivo 01 appartiene al gruppo smart HR e al gruppo smart Formazione. È possibile configurare e assegnare due distribuzioni flessibili per l'applicazione X, che comprendano entrambi i gruppi smart. Il dispositivo 01 ha ora due assegnazioni per l'applicazione X. Priorità 0 = Smart Group HR, per distribuire in 10 giorni con On Demand Priorità 1 = Smart Group Training, per distribuire subito con Auto Il dispositivo 01 riceve l'assegnazione di priorità 0 e ottiene l'applicazione in 10 giorni a causa del livello di priorità delle assegnazioni. Il dispositivo 01 non riceve l'assegnazione di priorità 1. Controllare le opzioni batch per le distribuzioni flessibili Workspace ONE UEM offre all'amministratore del sistema la capacità di controllare alcune opzioni di raggruppamento per le distribuzioni flessibili. È possibile modificare le dimensioni dei batch, la frequenza con cui Workspace ONE UEM li rilascia e la frequenza con cui Workspace ONE UEM verifica le nuove assegnazioni. Apportare modifiche al batch usando la pianificazione e l'ottimizzazione delle prestazioni. Controllo della frequenza Controllare la frequenza con cui Workspace ONE UEM verifica le nuove assegnazioni di distribuzione flessibile. 1 Andare su Gruppi e Impostazioni > Tutte le impostazioni > Amministratore > Pianificatore. 2 Trovare Pubblicazione applicazione pianificata e selezionare Modifica. 3 Completare le opzioni nella sezione Tipo ricorrenza e salvare le impostazioni. Controllare la frequenza con cui Workspace ONE UEM rilascia batch di applicazioni. 1 Andare su Gruppi e Impostazioni > Tutte le impostazioni > Amministratore > Pianificatore. 2 Trovare Versione batch applicazione pianificata e selezionare Modifica. 3 Completare le opzioni nella sezione Tipo ricorrenza e salvare le impostazioni. Controllo della regolazione delle prestazioni Controllare la dimensione dei batch di applicazioni compilati e distribuiti ai dispositivi da Workspace ONE UEM. 1 Passare a Gruppi e impostazioni > Tutte le impostazioni > Installazione > Regolazione della prestazione. 2 Modificare Raggruppa dimensioni per la distribuzione interna delle applicazioni. 3 Salvare le impostazioni. VMware, Inc. 39

40 Saltare batch È possibile saltare il processo di batch e rilasciare tutti i comandi di installazione delle applicazioni. 1 Passare ad App e libri > Applicazioni > Native > Interne, e selezionare l'applicazione. 2 Dal menu azioni selezionare Altro > Gestisci > Salta batch. Vantaggi del monitoraggio delle distribuzioni di applicazioni interne È possibile utilizzare la visualizzazione dettagli, in particolare le schede Riepilogo e Dispositivi, per monitorarne la distribuzione delle applicazioni. La visualizzazione dettagli consolida le funzioni di monitoraggio delle applicazioni, agevolando molte attività di gestione. Raccolta dei dati relativi alla distribuzione e installazione o rimozione delle applicazioni da una singola posizione. Conformità con i requisiti aziendali per la distribuzione delle versioni richieste delle applicazioni. Notifica ai dispositivi della non conformità ai requisiti di installazione. Visualizzazione dei codici motivo che rappresentano le varie fasi dello stato di avanzamento dell'installazione delle applicazioni. Monitorare le applicazioni interne con Visualizzazione dettagli Monitorare le applicazioni interne con le schede Riepilogo e Dispositivi della Visualizzazione dettagli per controllare le distribuzioni di applicazioni ed eseguire funzioni di gestione. 1 Vai su App e libri > Applicazioni > Visualizzazione elenco > Interne. 2 Cercare e selezionare l'applicazione desiderata. VMware, Inc. 40

41 3 Selezionare la scheda Riepilogo ed esaminare le informazioni sull'applicazione. Analisi Istantanea dei dati Azioni disponibili Stato di installazione Progresso della distribuzione Versioni installate Dettagli dello stato di installazione Installato - Elenca il numero di dispositivi che hanno installato l'applicazione. Non installato - Elenca il numero di dispositivi che non hanno installato l'applicazione. Assegnato a - Elenca i gruppi smart assegnati alla distribuzione flessibile dell'applicazione. Stato - Indica il rilascio del comando di installazione ai dispositivi da parte di Workspace ONE UEM. Distribuzione - Mostra la modalità push, automatico o su richiesta, dell'applicazione. Mostra tutte le versioni installate nei dispositivi. Mostra i motivi degli stati Installato e Non installato. Selezionare l'area Non installato per scoprire quali dispositivi non hanno installato l'applicazione. Questa azione porta alla scheda Dispositivi. Utilizzare la tabella per controllare se Workspace ONE UEM ha rilasciato l'installazione dell'applicazione, la modalità push utilizzata per fornire l'applicazione ai dispositivi e i gruppi smart assegnati. Selezionare l'area di una versione non conforme per determinare quali dispositivi non hanno installato la versione richiesta dell'applicazione. Questa azione porta alla scheda Dispositivi. Selezionare l'etichetta Non installato per scoprire il motivo per cui i dispositivi non hanno installato la versione dell'applicazione richiesta. Questa azione porta alla scheda Dispositivi. Vedere la sezione relativa ai motivi dello stato di installazione per le descrizioni. 4 Selezionare la scheda Dispositivi e usare le funzioni di gestione seguenti per intervenire sui problemi di installazione. Impostazione Invia messaggio a tutti Installa su tutti Rimuovi da tutti Inviare una notifica a tutti i dispositivi elencati nella scheda Dispositivi. Installare l'applicazione su tutti i dispositivi elencati nella scheda Dispositivi. Rimuovere l'applicazione, se gestita, da tutti i dispositivi elencati nella scheda Dispositivi. Selezionare i singoli dispositivi e utilizzare le funzioni di gestione disponibili. Impostazione Richiesta Invia Installa Rimuovi Inviare una richiesta al dispositivo per i dati relativi allo stato dell'applicazione. Inviare al dispositivo selezionato una notifica relativa all'applicazione. Installare l'applicazione sul dispositivo selezionato. Rimuovere l'applicazione, se gestita, dal dispositivo selezionato. VMware, Inc. 41

42 Descrizioni dei codici motivo dello stato di installazione Workspace ONE UEM visualizza i motivi che descrivono l'avanzamento dell'installazione delle applicazioni interne nella Visualizzazione dettagli, scheda Dispositivi. I codici motivo consentono di identificare lo stato di un'installazione e di verificare l'esistenza di eventuali problemi, per risolvere facilmente le criticità delle distribuzioni di applicazioni. Workspace ONE UEM visualizza i motivi in App e libri > Applicazioni > Native > Interne > Visualizzazione dettagli [per l'applicazione specifica] > scheda Dispositivi. Motivo Tutte In attesa di "Installa sul dispositivo" Non riuscita Invia il comando Installa Installa il comando Pronto per il dispositivo Installazione in corso Gestita Gestione rifiutata MDM rimosso Rimozione in corso Richiesta in corso Richiesta di login Richiesta per la gestione Rifiutata Sconosciuto Aggiornamento in corso Installato dall'utente Applicazione installata dall'utente Mostra tutti i dispositivi. È il filtro predefinito nella scheda Dispositivi. Workspace ONE UEM ha inviato il comando di installazione e non ha ancora richiesto agli utenti dei dispositivi di accettare l'installazione. Workspace ONE UEM ha tentato di installare l'applicazione, ma si è verificato un errore. Il dispositivo ha comunicato di aver ricevuto il comando di installazione. Workspace ONE UEM ha accodato il comando e comunicato ai dispositivi di eseguire il checkin, ma i dispositivi non l'hanno ancora fatto. Workspace ONE UEM sta installando l'applicazione. Workspace ONE UEM ha installato l'applicazione e ora la gestisce. Gli utenti di dispositivi ios 9 o versione successiva hanno rifiutato la richiesta di installare applicazioni o di inserire le credenziali, pertanto Workspace ONE UEM non può eseguire l'installazione. Workspace ONE UEM ha rimosso l'applicazione a causa di un'azione di gestione dei dispositivi mobili effettuata utilizzando la console. Workspace ONE UEM ha inviato ai dispositivi un comando di rimozione dell'applicazione, ma l'applicazione non è ancora stata rimossa. Workspace ONE UEM sta richiedendo agli utenti di installare l'applicazione. L'App Store sta richiedendo agli utenti dei dispositivi di inserire le credenziali dell'app Store per installare l'applicazione. Workspace ONE UEM sta richiedendo agli utenti dei dispositivi ios 9 o versione successiva di accettare la configurazione Rendi gestita l'app MDM se installata dall'utente. L'accettazione della richiesta consente a Workspace ONE UEM di gestire un'applicazione che gli utenti hanno precedentemente installato sui dispositivi. L'utente del dispositivo ha rifiutato la richiesta di installare un libro. Il dispositivo e Workspace ONE UEM non comunicano circa l'installazione dell'applicazione. Workspace ONE UEM ha inviato un comando di aggiornamento dell'applicazione, ma il dispositivo non ha comunicato l'avvenuto aggiornamento. Workspace ONE UEM ha eseguito il push di un libro sui dispositivi, ma gli utenti lo avevano già installato. Workspace ONE UEM ha eseguito il push di un'applicazione sui dispositivi, ma gli utenti l'avevano già installata. VMware, Inc. 42

43 Motivo Rifiutato dall'utente Utente rimosso L'utente del dispositivo ha rifiutato la richiesta di installare l'applicazione. Workspace ONE UEM gestisce ancora l'applicazione, ma gli utenti l'hanno rimossa dal dispositivo. Visualizzazione dei motivi in ordine di avanzamento dell'installazione Workspace ONE UEM visualizza i motivi dello stato di installazione, o codici motivo, per permettere di determinare lo stato di un'applicazione nel processo di distribuzione. VMware, Inc. 43

44 Le forme chiare rappresentano i processi che attivano il codice del motivo nelle forme di blocchi colorati. Profili di provisioning per la distribuzione aziendale Quando si carica un'applicazione interna nella console Workspace ONE UEM Console, caricare anche il profilo di provisioning generato per la specifica applicazione. Per il corretto funzionamento di un'applicazione interna Apple ios, in ogni dispositivo che esegue l'applicazione deve essere installato anche il profilo di provisioning. VMware, Inc. 44

45 Il profilo di provisioning autorizza gli sviluppatori e i dispositivi a creare ed eseguire applicazioni sviluppate per i dispositivi Apple ios. Per le applicazioni interne, utilizzare i file dell'apple ios Developer Enterprise Program e non l'apple ios Developer Program. Si tratta di programmi diversi. Quando si ottiene un profilo di provisioning mobile per le applicazioni interne, verificare che sia per la distribuzione aziendale (interna). Apple ios Developer Enterprise Program Questo programma favorisce lo sviluppo di applicazioni per uso interno. Utilizzare i profili di questo programma per distribuire le applicazioni interne in Workspace ONE UEM. Apple ios Developer Program Questo programma favorisce lo sviluppo di applicazioni per l'app Store. Profili di provisioning e aggiornamenti Apple genera dei certificati di sviluppo che scadono dopo tre anni. Tuttavia, i profili di provisioning per le app creati con i certificati di sviluppo scadono dopo un anno. Questo modello può causare problemi in Workspace ONE UEM. I problemi riguardano sia gli sviluppatori che gli utenti dei dispositivi. Gli sviluppatori che creano e distribuiscono più versioni di un'applicazione hanno bisogno di un modo per rimuovere i profili di provisioning scaduti associati ad applicazioni attive. Gli utenti dei dispositivi ricevono avvisi relativi allo stato di un'applicazione 30 giorni prima della scadenza del profilo di provisioning. Se è possibile gestire i rinnovi, tuttavia, questi problemi possono essere ridotti utilizzando le date di scadenza visualizzate da Workspace ONE UEM. Workspace ONE UEM visualizza gli avvisi di scadenza nella console 60 giorni prima della data di scadenza. È possibile aggiornare i profili di provisioning e applicarli a tutte le app associate gestite in Workspace ONE UEM. Se i profili di provisioning non sono associati ad altre applicazioni, è possibile rimuoverli o sostituire quelli più vecchi. Rinnovare i profili di provisioning Apple ios È possibile rinnovare i profili di provisioning Apple ios senza richiedere agli utenti di reinstallare l'applicazione. La console Workspace ONE UEM Console invia una notifica 60 giorni prima che il profilo di provisioning scada, utilizzando i collegamenti di scadenza nella colonna Data rinnovo della scheda Interni/e. Workspace ONE UEM consente anche di rinnovare il file per tutte le app ad esso associate. VMware, Inc. 45

46 È possibile accedere ai collegamenti di scadenza per i profili di provisioning Apple ios dal gruppo corrispondente. La console UEM non consente l'accesso a meno che non si sia nel gruppo corretto. 1 Passare a App e libri > Applicazioni > Native > Interne. 2 Selezionare il collegamento di scadenza (Scade tra XX giorni) nella colonna Data rinnovo dell'applicazione per cui si vuole aggiornare il profilo di provisioning. 3 Utilizzare l'opzione Rinnova nella scheda File per caricare il file sostitutivo. 4 Selezionare l'impostazione Aggiornare il provisioning del profilo per tutte le applicazioni per associare il nuovo file a tutte le applicazioni collegate. Workspace ONE UEM mostra questa opzione solo se il profilo di provisioning è condiviso tra più applicazioni. Workspace ONE UEM elenca le applicazioni che condividono questo profilo di provisioning nella scheda del menu File. Workspace ONE UEM esegue un push silenzioso del profilo di provisioning aggiornato a tutti i dispositivi in cui è installata l'applicazione. Profili di provisioning Apple ios scaduti Quando un profilo di provisioning Apple ios scade, gli utenti del dispositivo non possono accedere alle applicazioni associate e i nuovi dispositivi non possono installare l'applicazione. Distribuzione delle applicazioni Win32 Workspace ONE UEM può distribuire le applicazioni Win32 dalla sezione App e libri, consentendo di utilizzare il flusso delle applicazioni esistente per tutte le applicazioni interne. Questa funzionalità è denominata distribuzione software. Per le esigenze relative all'uso di script, utilizzare la funzionalità di provisioning del prodotto descritta nella guida VMware AirWatch Product Provisioning for Windows Desktop Guide disponibile sul sito web VMware Docs Nota Per ulteriori informazioni sulla distribuzione del software e sulla risoluzione dei problemi del sistema, consultare il seguente articolo della Knowledge Base di Workspace ONE UEM: Prerequisiti per la distribuzione software Consultare Requisiti per la distribuzione di applicazioni Win32 per la distribuzione software per assicurarsi di avere i sistemi al posto giusto prima di distribuire le applicazioni Win32 tramite la funzione di distribuzione software. Consultare Comportamento di installazione delle applicazioni Win 32 per le diverse combinazioni tra cui è possibile scegliere durante l'impostazione del Contesto di installazione e Privilegi di amministrazione durante la distribuzione delle applicazioni Win32. Consulta l'argomento Configurare l'archiviazione di file locali sul sito documenti VMware ulteriori informazioni su come configurare un archivio file locale come posizione alternativa per le distribuzioni on-premise. VMware, Inc. 46

47 Utilizzare Ciclo di vita delle applicazioni per la distribuzione software Leggere Ciclo di vita delle applicazioni per la distribuzione software per una panoramica dei passaggi da eseguire per distribuire le applicazioni Win32 e come è possibile gestirle in Workspace ONE UEM con le funzioni del ciclo di vita dell'applicazione. Consultare Aggiornare i file Win32 in cui sono contenuti i passaggi per caricare i file Win32 su Workspace ONE UEM Console per la distribuzione del software. Consultare Configurare, assegnare e distribuire file Win32 in cui sono contenuti i passaggi per aggiungere le patch, le trasformazioni e le dipendenze, per impostare altre configurazioni di distribuzione, per assegnare i file ai gruppi e distribuirli ai dispositivi. Controllare Creare un inventario delle applicazioni Win32 con le funzionalità di monitoraggio per informazioni sull'utilizzo di Visualizzazione dettagli per monitorare le installazioni delle applicazioni. Leggere Eliminare i file Win32 per rivedere le opzioni di eliminazione file Win32 dai dispositivi. del file ausiliario Per una spiegazione riguardo a cosa possono fare i file di dipendenza una volta distribuiti tramite Workspace ONE UEM, consultare File di dipendenze nella distribuzione software. Inoltre, è possibile comprendere i problemi che si verificano quando si eliminano il file di dipendenze che sono associate a molte delle applicazioni Win32. Per comprendere il comportamento del sistema per l'assegnazione di patch cumulative alle applicazioni e le restrizioni per le patch, consultare Patch nella distribuzione software. Requisiti per la distribuzione di applicazioni Win32 per la distribuzione software Per distribuire applicazioni Win32 con la distribuzione software, utilizzare tipi di file, sistemi operativi e piattaforme supportati. Piattaforme supportate La piattaforma supportata per la distribuzione delle applicazioni Win32 è Windows Desktop. Tipi di file supportati MSI EXE ZIP VMware, Inc. 47

48 CDN e sistemi di archiviazione file È considerata una procedura consigliata utilizzare una Content Delivery Network (CDN) per distribuire le applicazioni. Questa opzione consente di inviare contenuti ai dispositivi nella rete e ai dispositivi remoti. Offre inoltre maggiori velocità di download e riduce la larghezza di banda sui server di Workspace ONE UEM. Tuttavia, in alcuni casi una CDN non è un'opzione valida. Per tali casi, utilizzare un sistema di archiviazione file. Abilitare la distribuzione del pacchetto software - Ambienti SaaS Configurare Workspace ONE UEM per il riconoscimento delle applicazioni Win32 tramite il metodo di distribuzione software. Affinché l'opzione Distribuzione del pacchetto Software venga visualizzata, Workspace ONE UEM attiva la CDN per l'ambiente. Passare a Gruppi e impostazioni > Tutte le impostazioni > Dispositivi e utenti > Windows > Windows Desktop > Distribuzioni delle app e abilitare Distribuzione del pacchetto software. Nota Se la distribuzione inserisce indirizzi IP Workspace ONE UEM nella lista bianca, la CDN non funzionerà. Abilitare la distribuzione del pacchetto Software - ambienti On-Premise La distribuzione del software è ora attivata per impostazione predefinita nella UEM Console per tutti i clienti locali. Per impostazione predefinita, i clienti ottengono fino a 5 GB di archiviazione per le applicazioni nel database. Per l'archiviazione di applicazioni Win32 di grandi dimensioni, è possibile utilizzare un sistema di archiviazione file. È considerata una procedura consigliata utilizzare una Content Delivery Network (CDN) per distribuire le applicazioni. Questa opzione offre il vantaggio di ridurre la larghezza di banda di altri server. Archivio file Alcune funzionalità Workspace ONE UEM utilizzano un servizio di archiviazione dei file dedicato per gestire processi di elaborazione e download e ridurre in questo modo il carico di lavoro complessivo sul database Workspace ONE UEM, incrementandone al tempo stesso le prestazioni. L archivio file può essere configurato manualmente solo per i clienti on-premise. Viene configurato automaticamente per i clienti SaaS. Include inoltre determinati report Workspace ONE UEM, distribuzione interna dell applicazione, e contenuto gestito da Workspace ONE UEM. Quando l'archivio file viene abilitato per una di queste funzionalità, viene automaticamente applicato anche alle altre. L'impostazione dell'archivio file comporta l'archiviazione di tutti i report, di tutte le applicazioni interne e di tutti i contenuti gestiti in questa posizione. VMware, Inc. 48

49 Workspace ONE UEM Report Nella versione della console sono stati aggiunti tre nuovi report che, pur apparendo identici a quelli esistenti, utilizzano un framework back-end completamente rinnovato. Questo nuovo framework genera report caratterizzati da una maggiore affidabilità e da tempi di download più rapidi. Per usufruire di questi vantaggi, è necessario impostare l'archivio file. Per ulteriori informazioni su questi aggiornamenti relativi ai report, consulta l'articolo della Knowledge Base all'indirizzo: Applicazioni interne Se l'archiviazione file è abilitata, tutti i pacchetti di applicazioni interne caricati tramite la console UEM vengono archiviati in una posizione di archiviazione file. L'archiviazione dei file è necessaria per distribuire applicazioni Win32 (IPA, PAK, APPX, MSI, EXE e così via) e le applicazioni MacOS (.dmg,.pkg,.mpkg e così via) dall'area App e libri della console UEM. Questa funzionalità è denominata distribuzione software. Workspace ONE UEM Contenuti gestiti È possibile separare il database Workspace ONE UEM dai contenuti gestiti memorizzandoli in una posizione di archiviazione dei file dedicata. Il caricamento di grandi quantità di contenuti gestiti può causare problemi di prestazioni del database. In questo caso, i clienti on-premise possono liberare spazio nel database spostando i contenuti gestiti in una soluzione di archiviazione dei file locale integrata. Se abilitata, anche il contenuto personale viene spostato nella soluzione di archiviazione dei file. Per impostazione predefinita, il contenuto personale viene memorizzato nel database SQL. Se è abilitato un Archivio remoto del file, il contenuto personale viene memorizzato in tale archivio e non nell'archivio file o nel database SQL. Requisiti per l'archivio file Separare dal database i contenuti gestiti da Workspace ONE UEM memorizzandoli in un archivio file dedicato. Per configurare un archivio file, è necessario determinare la posizione dei file e la capacità di archiviazione, configurare i requisiti di rete e creare un account di rappresentazione. Importante Archivio file è necessario per la distribuzione software di Windows 10. Creare la cartella condivisa su un server nella rete interna L'archivio file può risiedere su un server separato o sullo stesso server di uno degli altri server applicazioni AirWatch inclusi nella rete interna. L archivio è accessibile solo dai componenti che ne richiedono l'accesso, come il server della console e il server dei servizi del dispositivo. Se il server dei servizi del dispositivo e della console e il server che ospita la cartella condivisa non risiedono sullo stesso dominio, è necessario definire l'attendibilità a livello di dominio affinché non si verifichino errori di autenticazione tra i domini. Se il server dei servizi del dispositivo o il server della console non sono uniti ad alcun dominio, è sufficiente specificare il dominio durante la configurazione dell'account del servizio. VMware, Inc. 49

50 Configurare i requisiti della rete Se si utilizza Samba/SMB - TCP: 445, 137, 139. UDP: 137, 138 Se si utilizza NFS - TCP e UDP: 111 e 2049 Allocare capacità del disco rigido sufficiente I requisiti di archiviazione specifici possono variare a seconda di come verrà utilizzato l'archivio file. La posizione dell'archivio file deve disporre di spazio sufficiente per contenere le app interne, i contenuti gestiti o i report che verranno utilizzati. Prendi in considerazione i punti seguenti. Se abiliti la memorizzazione nella cache per i contenuti o le app interne, è consigliabile dimensionare il server Servizi dispositivo su un valore pari al 120% della dimensione cumulativa di tutte le app e di tutti i contenuti da pubblicare. Per i report, i requisiti di archiviazione dipendono dal numero di dispositivi, dalla quantità giornaliera di report e dalla frequenza con cui vengono rimossi. Come punto di partenza, è consigliabile pianificare l'allocazione di almeno 50 GB per dimensioni di distribuzione fino a dispositivi, che eseguono circa 200 report giornalieri. Modifica questi valori in base alla quantità effettivamente osservata nella distribuzione. Se abiliti la memorizzazione nella cache, applica queste dimensioni anche al server della Console. Creare un account di servizio con le autorizzazioni corrette Crea un account con autorizzazioni di lettura e scrittura per la directory dell'archivio condiviso. Crea lo stesso nome utente locale con la relativa password sui server della console, dei servizi del dispositivo e di archivio file. Assegna all'utente locale le autorizzazioni di lettura/scrittura/modifica sulla condivisione file utilizzata per il percorso dell'archivio file. Configura il nome utente della rappresentazione dell'archivio file in AirWatch utilizzando l'utente locale. Puoi anche utilizzare l'account di un servizio di dominio anziché un account utente locale. Configurare l'archivio file per il gruppo globale Configura le impostazioni dell'archivio file a livello di gruppo globale dalla console UEM. Attivare l'archivio file per le applicazioni Configurare l'archivio file per le applicazioni interne la procedura descritta di seguito. Se si distribuiscono le app Win32 mediante la distribuzione del software, questa operazione è obbligatoria, ma verrà applicata a tutte le app interne una volta configurate. 1 A livello di gruppo globale, passare a Gruppi e impostazioni > Tutte le impostazioni > Installazione > Percorso file e scorrere fino alla fine della pagina. VMware, Inc. 50

51 2 Selezionare il cursore Archiviazione file attivata e configurare le impostazioni. Una volta abilitata l'archiviazione file, è possibile configurare un repository esterno in cui archiviare i file. Se l'impostazione è disattivata, i file verranno archiviati come oggetti binari di grandi dimensioni nel database. Impostazione Percorso dell'archivio dei file Memorizzazione dell'archivio file attivata Rappresentazione dell'archivio file attivata Nome utente della rappresentazione dell'archivio file Password Inserire il percorso dei file da archiviare nel formato seguente: \\{Nome server}\{nome cartella}, dove Nome cartella è il nome della cartella condivisa creata sul server. Se questa impostazione è attivata, sul server Servizi dispositivo viene memorizzata una copia locale dei file richiesti per il download come copia cache. Per i download successivi dello stesso file, tale copia verrà recuperata dal server Servizi dispositivo anziché dall'archivio file. Se si abilita la memorizzazione nella cache, è consigliabile pensare alla quantità di spazio necessaria sul server. Se esegui l'integrazione con un CDN, le app e i file vengono distribuiti tramite il provider CDN e sul server Servizi dispositivo non viene memorizzata una copia locale. Per ulteriori informazioni, fai riferimento alla VMware Workspace ONE UEM CDN Integration Guide ( Selezionare questa opzione per aggiungere un account di servizio con le autorizzazioni corrette. Fornire un nome utente valido per l account di servizio per ottenere le autorizzazioni di lettura e scrittura per la directory dell'archivio condiviso. Fornire una password valida per l account di servizio per ottenere le autorizzazioni di lettura e scrittura per la directory dell'archivio condiviso. 3 Seleziona il pulsante Esegui test sulla connessione per eseguire il test della configurazione. Ciclo di vita delle applicazioni per la distribuzione software Workspace ONE UEM semplifica la gestione delle applicazioni Win32 grazie alle funzionalità per il ciclo di vita, che consentono di conoscere gli stati di installazione, mantenere aggiornate le applicazioni ed eliminarle. Per gestire la distribuzione delle applicazioni Win32, utilizzare il ciclo di vita dell'applicazione interna. Aggiornare i file Win32 - Aggiungere l'applicazione Win32 e specificare se è un file di dipendenza. Configurare, assegnare e distribuire file Win32 - Immettere i dettagli per l'applicazione Win32, aggiungere i file di supporto, immettere i criteri di distribuzione e assegnare ai dispositivi. Creare un inventario delle applicazioni Win32 con le funzionalità di monitoraggio - Monitorare l'avanzamento dell'installazione delle applicazioni Win32. Aggiungere versioni per le applicazioni interne - Aggiungere versioni complete delle applicazioni Win32 e delle patch. Eliminare i file Win32 - Eliminare le applicazioni con diverse opzioni. VMware, Inc. 51

52 Aggiornare i file Win32 Aggiornare le applicazioni Win32 come file principali o file di dipendenze. Utilizzare lo stesso processo per i file EXE, MSI e ZIP. 1 Passare a App e libri > Applicazioni > Native > Interne e selezionare Aggiungi applicazione. 2 Selezionare Carica, quindi selezionare File locale e scegliere l'applicazione da caricare. 3 Selezionare una risposta per È un file di dipendenza?. Selezionare Sì per etichettare un file dipendenza e associarlo alle applicazioni Win32. Alcuni esempi di file di dipendenze sono le librerie e i framework. Selezionare Continua per passare alla fase successiva del ciclo di vita. Configurare, assegnare e distribuire file Win32 Configurare i dettagli sull'applicazione Win32, ad esempio per definire quando installarla, specificare come eseguire l'installazione e identificare il completamento dell'installazione. Per completare il processo, assegnare l'applicazione ai gruppi smart con la funzionalità di distribuzione flessibile. Per gli elementi da tenere in considerazione durante la configurazione della sezione Come installare, vedere Considerazioni per le opzioni Conteggio nuovi tentativi, Intervallo di tentativi e Timeout installazione. Processo di configurazione 1 Configurare le opzioni nella scheda Dettagli. Il sistema Workspace ONE UEM non è in grado di analizzare dati da file EXE o ZIP. Immettere le informazioni relative ai file EXE e ZIP in questa scheda. Il sistema analizza le informazioni elencate per i file MSI. Nome applicazione Versione applicazione Identificatore dell'applicazione (anche denominato codice del prodotto) 2 Completare le opzioni della scheda File. VMware, Inc. 52

53 Esaminare il file caricato inizialmente e caricare dipendenze, trasformazioni, patch e processi di disinstallazione. File Configurazioni Dipendenze dell'app MSI, EXE, ZIP Trasformazioni app Tipo di file MST Patch dell'app Tipo di file MSP Processo di disinstallazione dell'app L'ambiente e i dispositivi richiedono queste applicazioni per l'esecuzione dell'applicazione Win32. Questi file controllano l'installazione dell'applicazione e possono aggiungere o rendere non disponibili componenti, configurazioni e processi nel corso del processo. Questi file aggiungono modifiche che forniscono correzioni, aggiornamenti o nuove funzionalità alle applicazioni. Le patch possono essere di tue tipi: aggiuntive e cumulative. Aggiuntiva Include solo le modifiche sviluppate dopo la versione più recente dell'applicazione o l'ultima patch aggiuntiva. Cumulativa Include l'intera applicazione, incluse le eventuali modifiche apportate dopo la versione più recente dell'applicazione o le ultime patch. Questi script comunicano al sistema di disinstallare un'applicazione in specifiche circostanze. Gli script personalizzati sono facoltativi per i file MSI. 1 Selezionare i file delle dipendenze nell'opzione Seleziona applicazioni dipendenti. 2 Consentire al sistema di applicare le dipendenze in un ordine specificato. Il sistema opera dall'alto verso il basso. Selezionare Aggiungi per cercare il file MST nella rete. 1 Selezionare Aggiungi. 2 Identificare la patch come cumulativa o aggiuntiva. 3 Selezionare File per cercare il file MSP nella rete. 1 Selezionare l'opzione Utilizza lo script personalizzato. 2 Scegliere se caricare o immettere uno script nel sistema per Tipo di script personalizzato. Selezionare Carica e cercare il file di script sulla rete. Selezionare Inserimento e immettere lo script personalizzato. 3 Completare le impostazioni nella scheda Opzioni di distribuzione. Questa scheda comunica al sistema di installare l'applicazione con criteri specifici. Il sistema può analizzare le informazioni per i file MSI. Per i file EXE e ZIP è invece necessario immettere queste informazioni. a Quando installare Configurare Workspace ONE UEM per l'installazione di applicazioni Win32 quando i dispositivi e la rete mobile sono in uno stato specifico. VMware, Inc. 53

54 La Limitazione dei dati funziona sia per Quando installare che per Al completamento dell'installazione per la chiamata. Istruzione Questa spiegazione descrive il comportamento del sistema per Quando installare. Completamento Questa spiegazione descrive il comportamento del sistema per Al completamento dell'installazione per la chiamata. Selezionare Aggiungi e completare le opzioni che dipendono dal tipo di criteri selezionati. Impostare la limitazione per questi scenari: Istruzione La limitazione comunica al sistema di installare le applicazioni quando il sistema soddisfa specifici criteri. Completamento La limitazione identifica il completamento di un'installazione. VMware, Inc. 54

55 Aggiungere più criteri e configurare il sistema per applicare tutte le limitazioni (and) o per applicarle alternativamente (or). Tabella Tipo di criteri App Impostazione L'app esiste L'app non esiste Identificatore applicazione Versione applicazione Istruzione Configurare il sistema per installare l'applicazione quando una specifica applicazione è presente o meno nei dispositivi. Completamento Configurare il sistema per identificare il completamento dell'installazione quando una specifica applicazione è presente o meno nei dispositivi. Workspace ONE UEM verifica la presenza dell'applicazione, ma non distribuisce l'applicazione nei dispositivi. Inserire l'identificatore dell'applicazione per consentire al sistema di riconoscere la presenza o meno dell'applicazione ausiliaria. Questo valore è anche denominato codice prodotto dell'applicazione. Inserire la versione specifica. Tabella Tipo di criteri File Impostazione Il file esiste Il file non esiste Percorso Modificato il Istruzione Configurare il sistema per installare l'applicazione quando uno specifico file è presente o meno nei dispositivi. Completamento Configurare il sistema per identificare il completamento dell'installazione quando uno specifico file è presente o meno nei dispositivi. Inserire il percorso nel dispositivo in cui il sistema deve cercare il file e includere il nome del file. Inserire la data dell'ultima modifica del file. Tabella Tipo di criteri Registro Impostazione Il registro esiste Il registro non esiste Percorso Istruzione Configurare il sistema per installare l'applicazione quando uno specifico registro è presente o meno nei dispositivi. Completamento Configurare il sistema per identificare il completamento dell'installazione quando uno specifico registro è presente o meno nei dispositivi. Inserire il percorso nel dispositivo in cui il sistema può trovare le chiavi e i valori. Includere l'intero percorso, che inizia con HKLM\ o HKCU\. VMware, Inc. 55

56 Tabella Tipo di criteri Registro (Continua) Impostazione Nome valore Tipo valore Dati valore Inserire il nome della chiave. Questo oggetto container memorizza il valore e lo visualizza nella struttura di file del dispositivo. Selezionare il tipo di chiave visualizzato nella struttura di file del dispositivo. Inserire il valore della chiave. Le coppie nome/dati memorizzate nella chiave sono visualizzate nella struttura di file del dispositivo. Selezionare Aggiungi per continuare a impostare le opzioni di distribuzione. Impostazione Spazio su disco necessario Alimentazione dispositivo necessaria RAM necessaria Impostare lo spazio su disco che deve essere disponibile nei dispositivi per l'installazione dell'applicazione. Impostare l'alimentazione della batteria che deve essere disponibile nei dispositivi per l'installazione dell'applicazione. Impostare la memoria RAM (Random Access Memory) che deve essere disponibile nei dispositivi per l'installazione dell'applicazione. b Come installare VMware, Inc. 56

57 Configurare Workspace ONE UEM per installare le applicazioni Win32 per definire il comportamento di installazione nei dispositivi. Durante la configurazione delle applicazioni Win32 nella console Workspace ONE UEM, è possibile scegliere tra più combinazioni durante l'impostazione di Contesto di installazione e Privilegi di amministratore nella scheda Distribuzione. Il processo di installazione può variare in base alle impostazioni. Per ulteriori informazioni sul comportamento di installazione delle applicazioni Win 32, vedere Comportamento di installazione delle applicazioni Win 32. Impostazione Contesto installazione Comando installazione Selezionare in che modo il sistema applica l'installazione. Dispositivo - Definire l'installazione in base al dispositivo e tutti gli utenti di tale dispositivo. Utente - Definire l'installazione in base a particolari account utente (registrati). Immettere un comando per controllare l'installazione dell'applicazione. MSI - Il sistema compila automaticamente i comandi di installazione, che includono patch e trasformazioni. Patch - Per aggiornare l'ordine in cui vengono aggiornate le patch nei dispositivi, aggiornare l'ordine specificato nel comando di installazione. Trasformazioni - L'ordine in cui il sistema applica le trasformazioni è impostato quando si assegna l'applicazione. Viene visualizzato un nome segnaposto per la trasformazione finché non si associa la trasformazione durante il processo di assegnazione. EXE e ZIP - Compilare il comando di installazione e specificare i nomi delle patch e il relativo ordine di applicazione nel comando. È inoltre necessario inserire il comando di installazione che attiva l'installazione dell'applicazione Win32. Se non si crea un pacchetto con le patch e le trasformazioni nel file EXE o ZIP e le si aggiunge separatamente, assicurarsi di aggiungere i nomi dei file delle patch e le caselle di testo di ricerca della trasformazione nel comando di installazione. Privilegi di amministrazione Riavvio del dispositivo Conteggio nuovi tentativi Intervallo di tentativi Timeout installazione Impostare l'installazione per ignorare i requisiti dei privilegi di amministrazione. È possibile richiedere il riavvio del dispositivo dopo l'installazione dell'applicazione, richiedere il riavvio del dispositivo solo se necessario per il funzionamento dell'applicazione o non richiedere il riavvio del dispositivo. Inserire il numero di tentativi di installazione dell'applicazione che devono essere eseguiti dal sistema dopo un tentativo non riuscito. Inserire il tempo, in minuti, per cui il sistema deve attendere prima del successivo tentativo di installazione dell'applicazione dopo un tentativo non riuscito. Inserire il tempo massimo, in minuti, per cui il sistema deve attendere il completamento dell'esecuzione del processo di installazione. VMware, Inc. 57

58 Impostazione Codice d'uscita dell'installatore Reboot Installatore di codice d'uscita riuscito Inserire il codice generato dal programma di installazione per identificare un'azione di riavvio. Esaminare la voce Riavvio del dispositivo. Se è stato selezionato Non riavviare ma si immette un codice d'uscita per il riavvio, il sistema considera l'installazione riuscita dopo il completamento del riavvio, anche se le impostazioni Riavvio del dispositivo non richiedono un riavvio. Inserire il codice generato dal programma di installazione per identificare il completamento dell'installazione. c Al completamento dell'installazione per la chiamata Configurare Workspace ONE UEM per identificare il completamento dell'installazione delle applicazioni Win32. Il sistema richiede queste informazioni per i file EXE e ZIP. Impostazione Usa criteri aggiuntivi Identifica applicazione per Configurare il sistema per l'utilizzo di criteri specifici per il riconoscimento del completamento del processo di installazione. Per identificare il completamento dell'installazione o utilizzare script personalizzati, aggiungere un criterio specifico. Definizione dei criteri - Seleziona Aggiungi per inserire i criteri per sapere se l'installazione è completa. Queste impostazioni corrispondono a quelle per la limitazione dei dati. Tabella Utilizzo dello script personalizzato Impostazione Comando per esecuzione script Tipo di script personalizzato Codice d'uscita riuscito Tipo di script Inserire il valore che attiva lo script. Selezionare Carica e cercare il file di script personalizzato nella rete. Inserire il codice generato dallo script per identificare il completamento dell'installazione. Selezionare il tipo di script. 4 Selezionare Salva e assegna per configurare le opzioni di distribuzione flessibile. VMware, Inc. 58

59 5 Selezionare Aggiungi assegnazione e completare le opzioni. Impostazione Seleziona Gruppi assegnazione Metodo di distribuzione app Digitare il nome di un gruppo smart per selezionare i gruppi di dispositivi per ricevere l'assegnazione. Su richiesta Distribuisce contenuti di un catalogo o di un altro agente delle distribuzione e permette che l'utente del dispositivo scelga se e quando installarli. Questa è l'opzione migliore per i contenuti che non sono fondamentali per l'organizzazione. Permettere agli utenti di scaricare i contenuti quando vogliono consente anche di risparmiare larghezza di banda e limita il traffico non necessario. Automatico Distribuisce contenuti di un catalogo o di un altro hub delle distribuzione su un dispositivo, al momento della registrazione. Una volta registrati i dispositivi, il sistema richiede agli utenti di installare i contenuti. Questa è la scelta migliore per i contenuti di importanza critica per l'organizzazione e i relativi utenti mobili. La distribuzione inizia il Criteri - DLP Criteri - Rendi gestita l'app MDM se installata dall'utente Criteri - trasformazioni applicazione Scegliere un giorno del mese e un orario del giorno per l'avvio della distribuzione. L'impostazione Priorità regola quale distribuzione viene inviata per prima. Workspace ONE UEM invia le distribuzioni a seconda della configurazione effettiva. Per impostare una data di inizio con una larghezza di banda sufficiente per la riuscita della distribuzione, considerare i modelli di traffico della rete. Configurare un profilo dispositivo con un profilo Limitazioni per impostare i criteri di Data Loss Prevention per l'applicazione. Selezionare Configura. Il sistema passa a Dispositivi > Profili. Selezionare Aggiungi > Aggiungi profiloe scegliere la piattaforma. Per Windows Desktop, selezionare Profilo dispositivo > Limitazionie abilitare le opzioni applicabili per i dati che si desidera proteggere. Assumere la gestione delle applicazioni Win32. Il sistema non richiede agli utenti di consentire o negare questa azione quando si abilita la funzionalità Se un dispositivo è di proprietà del dipendente, questa opzione non funziona. Associare file di trasformazione alle applicazioni Win32. Questa impostazione sostituisce il nome della trasformazione segnaposto nell'opzione Comando installazione. 6 Selezionare Aggiungi e quindi Salva e pubblica. Per informazioni sulle considerazioni e sui comportamenti del sistema per l'impostazione Rendi gestita l'app MDM se installata dall'utente, vedere Assumere la gestione delle applicazioni Win32. Consultare File di dipendenze nella distribuzione software che illustra cosa possono fare i file di dipendenza quando sono distribuiti con Workspace ONE UEM e possibili problemi che potrebbero verificarsi se si eliminano i file di dipendenza a cui sono associati troppe applicazioni Win32. Per comprendere il comportamento del sistema per l'assegnazione di patch cumulative alle applicazioni e le restrizioni per le patch, consultare Patch nella distribuzione software. Per informazioni sull'assegnazione delle priorità, vedere Distribuzione flessibile per le descrizioni di impostazione delle applicazioni. VMware, Inc. 59

60 Comportamento di installazione delle applicazioni Win 32 Durante la configurazione delle applicazioni Win32 nella console Workspace ONE UEM, è possibile selezionare tra più combinazioni durante l'impostazione di Contesto di installazione e Privilegi di amministratore nella scheda Distribuzione. Il processo di installazione può variare in base alle impostazioni. È una procedura consigliata distribuire le applicazioni Win 32 da App e libri. Tuttavia, si è tentato di distribuire l'applicazione con App e libri ma non è stato possibile soddisfare le proprie esigenze, come metodo alternativo è possibile eseguire la distribuzione nei dispositivi che utilizzano il Provisioning del prodotto. Nota gli utenti non ricevono prompt UAC (controllo account utente) per tutte le applicazioni che richiedono solo le autorizzazioni standard. Comportamento di installazione delle applicazioni Win32 tramite App e libri Fare riferimento alla tabella per comprendere il comportamento di installazione delle applicazioni Win 32 per tutte le app che richiedono privilegi di amministrazione. Tabella Comportamento di installazione delle applicazioni Win32 tramite App e libri Configurazione delle applicazioni Win32 da App e libri Installare le impostazioni di contesto nella console Workspace ONE UEM L'utente è un amministratore L'utente è un utente standard Passare a App e libri > Applicazioni > Native > Interne e selezionare Aggiungi applicazione. Passare a Opzioni di distribuzione > Come installare e impostare Contesto di installazione = Dispositivo Privilegi di amministrazione = Sì Le impostazioni indicano che l'applicazione viene configurata per tutti gli utenti su ogni dispositivo e l'account utente ha un token di accesso elevato per installare l'applicazione. Con Contesto di installazione impostato su Dispositivo e Privilegi di amministrazione impostato su Sì e se l'utente è un amministratore. L'installazione viene completata senza prompt. Con Contesto di installazione impostato su Dispositivo e Privilegi di amministrazione impostati su Sì e, se l'utente è un utente standard; l'installazione viene completata senza prompt. Passare a App e libri > Applicazioni > Native > Interne e selezionare Aggiungi applicazione. Passare a Opzioni di distribuzione > Come installare e impostare Contesto di installazione = Dispositivo Privilegi di amministrazione = No Le impostazioni indicano che l'applicazione viene configurata per tutti gli utenti su ogni dispositivo e l'account utente non deve avere un token di accesso elevato per installare l'applicazione. Con Contesto di installazione impostato su Dispositivo e Privilegi di amministratore impostato su No e l'utente un amministratore. L'installazione viene completata senza prompt. Con Contesto di installazione impostato su Dispositivo e Privilegi di amministrazione impostati su No e l'utente è un utente standard; l'installazione viene completata senza prompt. VMware, Inc. 60

61 Tabella Comportamento di installazione delle applicazioni Win32 tramite App e libri (Continua) Configurazione delle applicazioni Win32 da App e libri Installare le impostazioni di contesto nella console Workspace ONE UEM L'utente è un amministratore L'utente è un utente standard Passare a App e libri > Applicazioni > Native > Interne e selezionare Aggiungi applicazione. Passare a Opzioni di distribuzione > Come installare e impostare Contesto di installazione = utente Privilegi di amministrazione = Sì Le impostazioni indicano che l'applicazione viene configurata per tutti gli utenti su ogni dispositivo e l'account utente ha un token di accesso elevato per installare l'applicazione. Con Contesto di installazione impostato su Utente e Privilegi di amministrazione impostato su Sì e se l'utente è un amministratore. L'installazione viene completata senza prompt. Con Contesto di installazione impostato su Utente e Privilegi di amministrazione impostati su Sì e l'utente è un utente standard; l'installazione non riesce. Passare a App e libri > Applicazioni > Native > Interne e selezionare Aggiungi applicazione. Passare a Opzioni di distribuzione > Come installare e impostare Contesto di installazione = utente Privilegi di amministrazione = No Le impostazioni indicano che l'applicazione viene configurata per tutti gli utenti su ogni dispositivo e l'account utente non deve avere un token di accesso elevato per installare l'applicazione. Con Contesto di installazione impostato su Utente e Privilegi di amministratore impostato su No e l'utente un amministratore. L'installazione viene completata con prompt. Con Contesto di installazione impostato su Utente e Privilegi di amministrazione impostati su No e l'utente è un utente standard; l'installazione non riesce. Comportamento di installazione delle applicazioni Win32 tramite Provisioning del prodotto È una procedura consigliata distribuire le applicazioni Win 32 da App e libri. Tuttavia, si è tentato di distribuire l'applicazione con App e libri ma non è stato possobile soddisfare le proprie esigenze, come metodo alternativo è possibile eseguire la distribuzione nei dispositivi che utilizzano il Provisioning del prodotto. Se si configurano le applicazioni Win32 mediante il provisioning prodotto, è possibile utilizzare la seguente tabella per comprendere le combinazioni del manifesto Installazione ed Esecuzione e il contesto del comando. È possibile scegliere se eseguire l'installazione o l'esecuzione a livello di sistema, a livello di utente o a livello di account amministratore. L'installazione può variare in base alle selezioni effettuate. Fare riferimento alla tabella per comprendere il comportamento di installazione delle applicaizoni Win32 tramite il provisioning del prodotto VMware, Inc. 61

62 Tabella Comportamento di installazione delle applicazioni Win32 tramite Provisioning del prodotto Configurazione delle applicazioni Win32 Installa/esegui impostazioni in Provisioning prodotto nella console UEM L'utente è un amministratore L'utente è un utente standard Passare a Dispositivi > Provisioning > Componenti > File/azioni e selezionare Aggiungi file/azioni. Passare alla scheda Manifesto e impostare Azioni da eseguire = Installazione/Esecuzione Contesto di esecuzione = Sistema Con Azioni da eseguire per eseguire = Installazione/Esecuzione e Contesto di esecuzione = Sistema e l'utente è un amministratore. L'installazione viene completata senza prompt. Con Azioni da eseguire per eseguire = Installazione/Esecuzione Contesto di esecuzione = Sistema e l'utente è un utente standard, l'installazione viene completata senza prompt. Passare a Dispositivi > Provisioning > Componenti > File/azioni e selezionare Aggiungi file/azioni. Passare alla scheda Manifesto e si imposta Azioni da eseguire = Installazione/Esecuzione Contesto di esecuzione = Amministratore Con Azioni da eseguire per eseguire = Installazione/Esecuzione, Contesto di esecuzione = Amministratore e l'utente è un amministratore. L'installazione viene completata senza prompt. Con Azioni da eseguire per eseguire = Installazione/Esecuzione Contesto di esecuzione = Amministratore e l'utente è un utente standard, l'installazione viene completata senza prompt. Passare a Dispositivi > Provisioning > Componenti > File/azioni e selezionare Aggiungi file/azioni. Passare alla scheda Manifesto e impostare Azioni da eseguire = Installazione/Esecuzione Contesto di esecuzione = Utente Con Installare contesto Azioni da eseguire = Installazione/Esecuzione, Contesto di esecuzione = Utente e l'utente è un amministratore. L'installazione viene completata senza prompt. Con Azioni da eseguire = Installazione/Esecuzione, Contesto di esecuzione = Utente e l'utente è un utente standard, l'installazione non riesce. Considerazioni per le opzioni Conteggio nuovi tentativi, Intervallo di tentativi e Timeout installazione I valori delle opzioni Conteggio nuovi tentativi, Intervallo di tentativi e Timeout installazione per le applicazioni Win32 riguardano il tempo che il sistema impiega per segnalare un processo di installazione non riuscito. È possibile modificare i valori predefiniti per ridurre i tempi di distribuzione. Valori e tempi predefiniti per la segnalazione di un'installazione non riuscita I valori predefiniti per le opzioni Conteggio nuovi tentativi - tre volte Intervallo di tentativi - cinque minuti Timeout installazione - 60 minuti funzionano nella sequenza seguente per un singolo processo di installazione non riuscito. VMware, Inc. 62

63 Tabella Tempo di installazione e segnalazione errore 60 minuti (un'ora) 65 minuti (un'ora e cinque minuti) 125 minuti (due ore e cinque minuti) 130 minuti (due ore e 10 minuti) 190 minuti (tre ore e 10 minuti) 195 minuti (tre ore e 15 minuti) L'app Win32 non si installa e l'installazione raggiunge il timeout di 60 minuti. Il sistema tenta nuovamente l'installazione (conteggio nuovi tentativi 1) a un intervallo di cinque minuti. L'app Win32 non si installa e l'installazione raggiunge il timeout di 60 minuti. Il sistema tenta nuovamente l'installazione (conteggio nuovi tentativi 2) a un intervallo di cinque minuti. L'app Win32 non si installa e l'installazione raggiunge il timeout di 60 minuti. Il sistema tenta nuovamente l'installazione (conteggio nuovi tentativi 3) a un intervallo di cinque minuti. Dopo 3 ore e 15 minuti, il sistema segnala una singola installazione di applicazione come non riuscita. Quindi, il sistema installa l'applicazione successiva. Configurare le opzioni in base all'applicazione Configurare i valori che complementano l'applicazione. Esempio di installazione veloce Un'applicazione browser viene installata su un dispositivo in quattro minuti. È possibile impostare questi valori per l'applicazione. Conteggio nuovi tentativi - due volte Intervallo di tentativi - cinque minuti Timeout installazione - cinque minuti Il sistema segnala l'errore dell'applicazione entro 20 minuti. Quindi, installa l'applicazione successiva. Esempio di installazione lenta Un'applicazione di produttività di grandi dimensioni viene installata su un dispositivo in 30 minuti. È possibile impostare questi valori per applicazioni simili. Conteggio nuovi tentativi - tre volte Intervallo di tentativi - cinque minuti Timeout installazione - 35 minuti Il sistema potrebbe segnalare l'errore dell'applicazione entro 120 minuti. Quindi, installa l'applicazione successiva. Per informazioni sulla configurazione delle impostazioni di Come installare per l'applicazione di distribuzione software, vedere Configurare, assegnare e distribuire file Win32. File di dipendenze nella distribuzione software I file di dipendenze nella funzionalità di distribuzione software sono applicazioni necessarie per il corretto funzionamento di un'applicazione Win32. Alcuni esempi sono pacchetti framework e librerie. Benché vengano caricati come un file e sia possibile visualizzarli nella visualizzazione elenco, dispongono di funzionalità limitate. VMware, Inc. 63

64 Funzionalità dei file di dipendenze I file di dipendenze non dispongono di assegnazioni. Le applicazioni a cui sono associati forniscono ai file di dipendenze le relative assegnazioni. Ogni file di dipendenza è un file distinto e il sistema non crea versioni per tale file. Il sistema non può analizzare informazioni dai file di dipendenze, quindi è necessario immettere dettagli come i processi di disinstallazione. I file di dipendenze hanno opzioni limitate nella scheda Opzioni di distribuzione. Non è possibile associare patch o trasformazioni ai file di dipendenze. Considerazioni sull'eliminazione Prima di eliminare una dipendenza, assicurarsi che alla dipendenza non siano associate altre applicazioni. Quando si elimina il file di dipendenza, il sistema rimuove la relativa associazione da tutte le applicazioni. I nuovi dispositivi assegnati all'applicazione non ottengono la dipendenza. L'eliminazione non rimuove la dipendenza dai dispositivi in cui era presente l'applicazione prima dell'eliminazione. Assumere la gestione delle applicazioni Win32 Il sistema per assumere la gestione delle applicazioni Win32 include alcuni elementi e requisiti da tenere in considerazione per un corretto funzionamento. Dopo aver abilitato l'opzione, il sistema opera in un ordine specifico per completare il processo di acquisizione della gestione. Considerazioni Questa funzionalità è disponibile per i dispositivi che soddisfano tali requisiti. Dispositivi registrati o assegnati dopo aver abilitato l'opzione che non dispongono dell'applicazione installata.. Dispositivi registrati o assegnati dopo aver abilitato l'opzione che dispongono dell'applicazione installata dall'utente. Questa funzione non supporta il processo di acquisizione della gestione sui dispositivi che soddisfano tali requisiti. Dispositivi registrati o assegnati prima di aver abilitato l'opzione che dispongono dell'applicazione installata dall'utente. Dispositivi di proprietà dei dipendenti. Se gli utenti hanno dispositivi BYOD, non è possibile acquisire su di loro la gestione delle applicazioni Win32. Comportamento del sistema Se si abilita l'opzione Rendi gestita l'app MDM se installata dall'utente, il processo di acquisizione della gestione esegue le azioni elencate. 1 Abilitare l'opzione Rendi gestita l'app MDM se installata dall'utente e pubblicare l'applicazione. 2 VMware Workspace ONE UEM invia i comandi di installazione ai dispositivi da registrare dopo la pubblicazione. VMware, Inc. 64

65 3 Il dispositivo comunica di aver ricevuto il comando. 4 Se l'amministratore sta tentando di assumere la gestione dell'applicazione, il dispositivo elabora il comando selezionando Gestione non in acquisizione - L'applicazione si installa con il processo abituale. Gestione in acquisizione - Il sistema cerca l'applicazione sul dispositivo. Applicazione installata - Il sistema scarica nuovamente e reinstalla l'applicazione. 5 Il dispositivo segnala lo stato dell'applicazione come gestito nella console. Se si disabilita l'opzione e l'utente installa l'applicazione, il sistema contrassegna l'applicazione come installata dall'utente. Creare un inventario delle applicazioni Win32 con le funzionalità di monitoraggio Monitorare le applicazioni Win32 distribuite tramite la distribuzione software con le statistiche nella visualizzazione dettagli ed esaminando i codici di stato di installazione. Utilizzare la visualizzazione dettagli delle applicazioni interne per visualizzare l'avanzamento e lo stato delle installazioni. Vedere Monitorare le applicazioni interne con Visualizzazione dettagli. Visualizzare i motivi nella visualizzazione dettagli per tenere traccia dello stato di avanzamento di un'installazione. I codici motivo consentono di identificare lo stato di un'installazione e di verificare l'esistenza di eventuali problemi, per risolvere facilmente le criticità delle distribuzioni di applicazioni. Le descrizioni dei codici motivo più comuni sono reperibili nell'argomento Descrizioni dei codici motivo dello stato di installazione. Eliminare i file Win32 Workspace ONE UEM include diversi metodi per rimuovere le applicazioni Win32 dai dispositivi. Molte funzioni di amministrazione hanno effetto su più dispositivi, pertanto è importante comprendere le modifiche prima di eseguire azioni. Tabella Metodi di eliminazione delle applicazioni Win32 Metodo Visualizzazione dettagli Dispositivo Gruppo Gruppo di assegnazione Utente Selezionare la funzione Elimina applicazione nella visualizzazione dettagli dell'applicazione. Questa azione rimuove l'applicazione Win32 dai dispositivi nei gruppi smart assegnati all'applicazione. Eliminare il dispositivo applicabile dalla console. Eliminare il gruppo. Questa azione ha effetto su tutti gli asset e i dispositivi nel gruppo. Eliminare il gruppo utenti o smart assegnato all'applicazione Win32. Questa azione ha effetto su tutti i dispositivi nel gruppo. Eliminare l'account utente applicabile dalla console. VMware, Inc. 65

66 Patch nella distribuzione software Utilizzare le patch per aggiornare e correggere le applicazioni Win32. Workspace ONE UEM supporta patch aggiuntive e cumulative. In alcuni casi, una patch cumulativa può determinare la creazione di una versione di un'applicazione nel sistema. Patch cumulative e comportamento di distribuzione del sistema Quando si applica una patch cumulativa modificando un'applicazione, il sistema crea una versione dell'applicazione con la nuova patch applicata. La versione priva della patch viene resa inattiva, mentre la versione dell'applicazione con la patch viene creata e distribuita ai dispositivi. Restrizioni per le patch Workspace ONE UEM non supporta le patch che non eseguono l'aggiornamento della versione e il codice di aggiornamento deve corrispondere all'applicazione MSI Win32. Distribuzione peer-to-peer per applicazioni Win32 Workspace ONE UEM offre un sistema di distribuzione peer-to-peer per la distribuzione di applicazioni Win32 nelle reti aziendali. La distribuzione peer-to-peer consente di ridurre il tempo necessario per scaricare applicazioni di grandi dimensioni in più dispositivi, nelle distribuzioni che utilizzano una struttura con sedi staccate Problematiche della distribuzione di applicazioni Win32 Nel processo predefinito di distribuzione del software, la console Workspace ONE UEM Console distribuisce applicazioni Win32 da un sistema di archiviazione file protetto o da una Content Delivery Network (CDN). Le applicazioni Win32 hanno dimensioni notevoli e il download nei dispositivi richiede molto tempo. Il download delle applicazioni Win32 può inoltre incrementare il traffico sui canali di comunicazione. Il canale viene utilizzato da più dispositivi contemporaneamente per recuperare applicazioni di grandi dimensioni dalla rete CDN o dall'archivio dei file. Questo traffico continuo può limitare la disponibilità della rete, necessaria per altre applicazioni di importanza critica. Opzione per la distribuzione di applicazioni Win32 - Distribuzione peer-to-peer VMware Workspace ONE UEM collabora con Adaptiva per offrire il sistema di distribuzione peer-to-peer. Il sistema di distribuzione peer-to-peer consente di ridurre il traffico sulle reti e i tempi di installazione delle applicazioni Win32. L'installazione inizia con un dispositivo specifico nella sede o nella sottorete denominata punto di rendezvous (RVP, RendezVous Point). Questo download iniziale richiede molto tempo. Tuttavia, in seguito i tempi di installazione migliorano, perché i dispositivi non sovraccaricano il sistema di archiviazione o la linea di comunicazione del pacchetto applicativo, ma i dispositivi ricevono il pacchetto da altri dispositivi nella rete. Il sistema provvede inoltre a monitorare il traffico di rete. Se la rete è occupata, le installazioni vengono sospese finché la disponibilità della rete non aumenta. VMware, Inc. 66

67 Ambienti che possono beneficiare della distribuzione peer-topeer In ambienti con caratteristiche specifiche, la distribuzione peer-to-peer offre diversi vantaggi. Uffici in sedi remote, con larghezza di banda limitata e scarse possibilità di aumentare la larghezza di banda della rete. Aziende che utilizzano gerarchie di sedi staccate. Aziende con più filiali in cui sono presenti numerosi dispositivi. Per informazioni sui componenti necessari del sistema di distribuzione peer-to-peer, vedere Requisiti per la distribuzione peer-to-peer. Ruoli dei componenti della distribuzione peer-to-peer La distribuzione peer-to-peer utilizza due componenti principali: un server peer-to-peer e alcuni client peer-to-peer. Server peer-to-peer Questo componente gestisce i metadati delle applicazioni Win32, ma non i pacchetti di applicazioni effettivi. Gestisce inoltre le informazioni relative ai client, gli indirizzi IP dei client, il numero di client attivi e il contenuto presente in ciascun client. Tale componente risiede nella rete e deve comunicare con i componenti elencati di seguito. VMware Enterprise Systems Connector È possibile installare il server e VMware Enterprise Systems Connector nello stesso sistema. Database SQL Server o SQL Server Express Client peer-to-peer nei dispositivi Scaricare e installare il server dalla console UEM prima di configurare la distribuzione peer-topeer. Client peer-to-peer Questo componente distribuisce i pacchetti applicativi tra i peer, o dispositivi, e riceve i metadati delle applicazioni dal server. I client utilizzano le licenze acquistate con la funzionalità di distribuzione peer-to-peer. Tale componente risiede nei dispositivi e deve comunicare con i componenti elencati di seguito. Client di distribuzione software nei dispositivi Server peer-to-peer Il sistema di distribuzione peer-to-peer distribuisce automaticamente i client ai dispositivi quando si completa l'installazione del software di distribuzione peer-to-peer. Un client peer-to-peer installato utilizza una sola licenza. VMware, Inc. 67

68 Topologia di rete Questo componente rappresenta la rete aziendale come sedi nella gerarchia e permette al sistema di distribuzione peer-to-peer di implementare le applicazioni in modo più efficiente. Utilizza la gerarchia per controllare i client che ricevono i download e in quale ordine. Utilizza dispositivi denominati punti di rendezvous (o RVP) come client master in una sede. L'RVP riceve i download e distribuisce le applicazioni ai client peer. Questo componente è un foglio di lavoro caricato nella console UEM. Se non si dispone della topologia della rete, è possibile scaricare il foglio di lavoro dalla console e modificare la topologia identificata inizialmente dal sistema di distribuzione peer-to-peer. Per quanto sia facoltativo, questo componente migliora notevolmente i livelli di efficienza e velocità di download. Requisiti per la distribuzione peer-to-peer Per funzionare, la distribuzione peer-to-peer richiede i componenti e le configurazioni elencati di seguito. Controllare che la distribuzione di Workspace ONE UEM includa tali requisiti. Piattaforme e tipi di applicazioni supportati Windows Desktop (Windows 10) Applicazioni Win32 Componenti richiesti SQL - Recuperare SQL Server Express o verificare se l'azienda utilizza un database SQL. Il server peer-to-peer utilizza un database SQL per memorizzare i metadati delle applicazioni e informazioni sulla topologia della rete. Per il download di SQL Server Express, la porta in uscita 443 deve essere aperta. Assicurarsi che il server peer-to-peer possa comunicare con SQL Server Express o con il database SQL dell'azienda. VMware Enterprise Systems Connector - Controllare di aver abilitato VMware Enterprise Systems Connector. Tale componente garantisce la comunicazione sicura fra la rete e Workspace ONE UEM. Controllare che l'opzione Tutti gli altri componenti sia abilitata nella configurazione di VMware Enterprise Systems Connector, che si trova nella console in Gruppi e Impostazioni > Tutte le impostazioni > Integrazione aziendale > VMware Enterprise Systems Connector > Avanzate > Servizi UEM AirWatch > Tutti gli altri componenti. Distribuzione del pacchetto software - Configurare Workspace ONE UEM in modo da riconoscere la distribuzione dei pacchetti applicativi tramite il metodo di distribuzione software. Il client di distribuzione software risiede nei dispositivi per comunicare con il sistema peer-to-peer e la console Workspace ONE UEM Console. Passare a Gruppi e impostazioni > Tutte le impostazioni > Dispositivi e utenti > Windows > Windows Desktop > Distribuzioni delle app e abilitare Distribuzione del pacchetto software. VMware, Inc. 68

69 Archivio file (on-premise) - Workspace ONE UEM memorizza le applicazioni Win32 in un sistema di archiviazione file protetto. I client peer-to-peer ricevono i pacchetti applicativi dal sistema di archiviazione quando non trovano altri client con il pacchetto applicativo. Per ulteriori informazioni e per conoscere i requisiti del server, vedere Archivio file. Requisiti del server peer-to-peer Controllare che la macchina che ospita il server peer-to-peer soddisfi questi requisiti. Tabella Componenti necessari del server peer-to-peer Componente Sistema operativo Processore Requisito Windows Server 2008 o versione successiva Processore Xeon, quad-core singolo Allocazione memoria client MB client MB client MB client MB Oltre MB Requisiti SQL Database del servizio SQL autorizzazioni per account - Nella macchina che ospita l'istanza del database SQL o SQL Server Express, assegnare all'entità sysadmin delle autorizzazioni per account del servizio SQL i ruoli server per l'installazione iniziale del sistema di distribuzione peer-to-peer. Il ruolo non è necessario per le operazioni giornaliere del sistema di distribuzione peer-to-peer. Database necessari- Assicurarsi che SQL includa i seguenti database. db_datareader db_datawriter db_ddladmin Dimensioni necessarie del Database - Il database richiede 200 KB per client. Configurazioni necessarie per la distribuzione Per distribuire applicazioni con il sistema di distribuzione peer-to-peer, è necessario impostare le configurazioni elencate nella console UEM e nei dispositivi. Abilitare la distribuzione del pacchetto software. Vedere Requisiti per la distribuzione di applicazioni Win32 per la distribuzione software. Configurare Distribuzione peer-to-peer software. Vedere Configurare il software per la distribuzione peer-to-peer. Installare e attivare i client peer-to-peer nei dispositivi. Vedere Configurare il software per la distribuzione peer-to-peer. VMware, Inc. 69

70 Caricare e pubblicare applicazioni nel server peer-to-peer. Vedere Ciclo di vita delle applicazioni per la distribuzione software. Rete CDN per distribuzioni on-premise (facoltativa) Le distribuzioni on-premise possono utilizzare una Content Delivery Network (CDN) come sistema di fornitura del backup al posto del sistema di archiviazione file. Workspace ONE UEM collabora con un fornitore indipendente per offrire una CDN a pagamento per gli ambienti on-premise. Workspace ONE UEM integra questa soluzione CDN anche per gli ambienti SaaS. Questa opzione consente di inviare contenuti ai dispositivi nella rete e ai dispositivi remoti. Il sistema di distribuzione peer-to-peer con il backup dell'archivio file, invece, invia i contenuti solo ai dispositivi in rete. Sebbene facoltativa, una CDN aumenta le velocità di download e riduce la larghezza di banda nei server Workspace ONE UEM. Le impostazioni per questa opzione sono disponibili in Gruppi e Impostazioni > Tutte le impostazioni > Sistema > Integrazione aziendale > CDN. Considerazioni per la distribuzione peer-to-peer Esaminare il comportamento della rete, i tipi di comunicazione, i canali di comunicazione tra componenti e la gestione delle licenze. Per evitare possibili problemi, esaminare le seguenti considerazioni. Importante non inviare pacchetti riservati con la distribuzione peer-to-peer. Per ulteriori informazioni, vedere la sezione di questo argomento dedicata alla crittografia. Rete comune - Il server peer-to-peer, VMware Enterprise Systems Connector e i client peer-to-peer devono tutti comunicare sulla stessa rete. Se i componenti del sistema si trovano nella sottorete della rete e tali sottoreti sono in grado di comunicare, la funzionalità può trasferire le applicazioni. I client che non sono connessi alla stessa rete non possono ricevere applicazioni tramite la distribuzione peer-to-peer. Crittografia - La comunicazione fra il server peer-to-peer e Workspace ONE UEM è crittografata. La comunicazione fra i client peer-to-peer della rete non è crittografata. Tale comunicazione utilizza UDP, ma il pacchetto vero e proprio scambiato fra i client non è crittografato. Anche se il sistema controlla i pacchetti per determinare se sono stati manomessi, è consigliabile evitare di inviare pacchetti riservati tramite la distribuzione peer-to-peer. UDP - Il server e il client peer-to-peer utilizzano UDP per comunicare con Workspace ONE UEM. Sede centrale - Il server peer-to-peer deve risiedere in una delle sottoreti nel livello superiore della sede centrale. Assegnazione di licenze in eccesso - Il sistema peer-to-peer non interrompe l'assegnazione delle licenze quando si raggiunge il numero di licenze acquistato. Se si assegnano licenze aggiuntive, il sistema le addebita. Per misurare l'utilizzo delle licenze, il rapporto tra installazioni client e licenze utilizzate è 1:1. VMware, Inc. 70

71 Porte aperte - Il client peer-to-peer ha bisogno che determinate porte rimangano aperte per trasferire i metadati. Verificare se il team di gestione della rete ha chiuso le porte richieste o ha bloccato la trasmissione su tali porte. Se tali porte sono chiuse o non consentono la trasmissione, contattare il rappresentante VMware Workspace ONE UEM per informazioni sulle porte alternative. Per ulteriori informazioni, vedere Porte utilizzate per la distribuzione peer-to-peer. Versioni di console, client e server - È necessario distribuire e utilizzare la versione supportata del client peer-to-peer e del server peer-to-peer. Aggiornare il server peer-to-peer quando la console Workspace ONE UEM Console include un aggiornamento al client peer-to-peer. Se le versioni non sono supportate, la funzionalità non è disponibile. SQL Server Express - Scaricare e installare SQL Server Express nello stesso server in cui risiede VMware Enterprise Systems Connector. Installare questo componente prima di configurare l'installazione peer-to-peer, poiché l'installazione del componente potrebbe richiedere molto tempo. Metadati dell'applicazione - Il sistema peer-to-peer memorizza e trasmette l'id del blob (o l'id del contenuto), la dimensione dell'applicazione e l'hash dell'applicazione. Non vengono memorizzati o trasferiti altri dati. Download iniziale - Il primo download in un processo di distribuzione peer-to-peer è quello che richiede più tempo. Dopo il download iniziale, a mano a mano che i dispositivi della sottorete ricevono l'applicazione, i tempi di download si riducono. Processo di attivazione - Dopo il salvataggio delle configurazioni, il sistema attiva il server e i client peer-to-peer con una chiave di licenza. È possibile immettere la topologia o utilizzare quella generata dalla rete al momento dell'attivazione. Al momento dell'attivazione, il sistema pubblica inoltre tutto il contenuto delle applicazioni Win32 esistenti nel server peer-to-peer. Da questo momento in poi, i dispositivi appartenenti alla rete di distribuzione peer-to-peer iniziano a ricevere il download dell'applicazione. Porte utilizzate per la distribuzione peer-to-peer Le porte elencate devono rimanere aperte, per consentire al client peer-to-peer di trasferire i metadati al server peer-to-peer. Nota se non sono presenti criteri di gruppo che bloccano la creazione dei criteri del firewall, il programma di installazione del componente Distribuzione peer-to-peer crea le regole del firewall necessarie. Tabella Messaggi dal client al server Componente di origine Componente di destinazione Protocollo Porta Client peer-to-peer Server peer-to-peer UDP Dopo aver ricevuto brevi messaggi i client inviano una conferma o rispondono al server Client peer-to-peer Server peer-to-peer UDP I client inviano brevi messaggi al server VMware, Inc. 71

72 Tabella Messaggi dal client al server (Continua) Componente di origine Componente di destinazione Protocollo Porta Client peer-to-peer Server peer-to-peer UDP Vengono inviate risposte di grandi dimensioni dai client al server, utilizzando il protocollo in foreground. Client peer-to-peer Server peer-to-peer UDP I client inviano messaggi di grandi dimensioni al server utilizzando il protocollo in foreground. Client peer-to-peer Server peer-to-peer UDP Vengono inviate risposte di grandi dimensioni dai client al server, utilizzando il protocollo in background. Client peer-to-peer Server peer-to-peer UDP I client inviano messaggi di grandi dimensioni al server utilizzando il protocollo adattivo in background. Tabella Messaggi dal server al client Componente di origine Componente di destinazione Protocollo Porta Server peer-to-peer Client peer-to-peer UDP Dopo aver ricevuto brevi messaggi il server invia una conferma o risponde ai client. Server peer-to-peer Client peer-to-peer UDP Il server invia brevi messaggi ai client. Server peer-to-peer Client peer-to-peer UDP Vengono inviate risposte di grandi dimensioni dal server ai client, utilizzando il protocollo in foreground. Server peer-to-peer Client peer-to-peer UDP Il server invia messaggi di grandi dimensioni ai client utilizzando il protocollo in foreground. VMware, Inc. 72

73 Tabella Messaggi dal server al client (Continua) Componente di origine Componente di destinazione Protocollo Porta Server peer-to-peer Client peer-to-peer UDP Vengono inviate risposte di grandi dimensioni dal server ai client utilizzando il protocollo in background. Server peer-to-peer Client peer-to-peer UDP Il server invia messaggi di grandi dimensioni ai client utilizzando il protocollo in background. Tabella Messaggi da client a client Componente di origine Componente di destinazione Protocollo Porta Client peer-to-peer Client peer-to-peer Client peer-to-peer Client peer-to-peer Client peer-to-peer Stessa sede Sedi padre Sedi figlio Client peer-to-peer Stessa sede Sedi padre Sedi figlio Client peer-to-peer Stessa sede Sedi padre Sedi figlio Client peer-to-peer Stessa sede Sedi padre Sedi figlio UDP Quando i client ricevono brevi messaggi da un altro client, le conferme e le risposte vengono inviate a questa porta. UDP I client inviano brevi messaggi ad altri client. UDP Vengono inviate risposte di grandi dimensioni da client a client utilizzando il protocollo in foreground. UDP I client inviano messaggi di grandi dimensioni ad altri client utilizzando il protocollo in foreground. VMware, Inc. 73

74 Tabella Messaggi da client a client (Continua) Componente di origine Componente di destinazione Protocollo Porta Client peer-to-peer Client peer-to-peer Client peer-to-peer Stessa sede Sedi padre Sedi figlio Client peer-to-peer Stessa sede Sedi padre Sedi figlio UDP Vengono inviate risposte di grandi dimensioni da client a client utilizzando il protocollo in background. UDP I client inviano messaggi di grandi dimensioni ad altri client utilizzando il protocollo in background. Tabella Messaggi broadcast da client a client Componente di origine Componente di destinazione Protocollo Porta Client peer-to-peer Client peer-to-peer nella stessa sottorete UDP I client trasmettono le richieste agli altri client Tabella Trasferimento di dati da server a client Componente di origine Componente di destinazione Protocollo Porta Server peer-to-peer Client peer-to-peer nella sede centrale UDP Il server invia contenuti ai client utilizzando il protocollo in foreground. Tabella Trasferimento di dati da client a client Componente di origine Componente di destinazione Protocollo Porta Client peer-to-peer Client peer-to-peer Client peer-to-peer nella stessa sede Client peer-to-peer nelle sedi figlio UDP I client inviano contenuto ad altri client nella stessa sede logica utilizzando il protocollo in foreground. UDP I client inviano contenuto ai client nelle sedi figlio utilizzando il protocollo in background. VMware, Inc. 74

75 Tabella Porte di controllo per il trasferimento dati Componente di origine Componente di destinazione Protocollo Porta Client peer-to-peer Server peer-to-peer UDP I client inviano un segnale di controllo al server per qualunque trasferimento di grandi dimensioni utilizzando un protocollo adattivo. Client peer-to-peer Client peer-to-peer nella stessa sede, nelle sedi padre e nelle sedi figlio UDP I client inviano un segnale di controllo agli altri client per qualunque trasferimento di grandi dimensioni utilizzando un protocollo adattivo. Tabella Trasferimento di dati tra VESC, server e database Componente di origine VMware Enterprise Systems Connector (VESC) Componente di destinazione Protocollo Porta Server peer-to-peer UDP VESC invia messaggi per l'attivazione, controlli dell'integrità e metadati applicativi al server peer-to-peer. Server peer-to-peer VESC UDP Il server peer-to-peer risponde alle richieste di VESC. Comportamenti di trasporto dati per le reti peer-to-peer Per pianificare l'ottimizzazione della distribuzione nella distribuzione peer-to-peer, occorre considerare come avviene il trasferimento dei dati all'interno delle reti. Sedi e sottoreti Definire una sede con una o più sottoreti o intervalli di sottoreti connessi a un rete locale (LAN, Local Area Network). Le sedi recuperano il contenuto dalle sedi padre e lo distribuiscono alle sedi figlio. Tipi di ufficio - La distribuzione peer-to-peer prevede tre tipi di sedi, ciascuna delle quali condivide i dati con modalità specifiche. Predefinita - Definisce una LAN cablata standard. I client tentano di condividere i contenuti e inviano richieste di rilevamento broadcast. VPN - Definisce una sede e un intervallo di sottoreti allocato ai client che si connettono attraverso la VPN. I client all'interno di una sede VPN non tentano di condividere il contenuto, ma inviano richieste di rilevamento broadcast. VMware, Inc. 75

76 WiFi - Definisce una sede e un intervallo di sottoreti allocate ai client connessi tramite WiFi. I client all'interno di una sede WiFi condividono il contenuto ma non inviano richieste di rilevamento broadcast. Nota Se si dispone di un ufficio fisico con una sottorete cablata (predefinita) e una sottorete WiFi, creare una sede per ciascuna rete. Impostare la sede WiFi come elemento figlio di quella cablata, affinché la rete WiFi riceva i pacchetti dalla sede padre cablata. Sede centrale e server peer-to-peer - Il server peer-to-peer deve risiedere in una delle sottoreti nel livello superiore della sede centrale. In tale posizione, risulta disponibile a tutti i client della gerarchia. Trasporto dei dati negli uffici Il sistema distribuisce contenuti da una sede padre a una sede figlio una volta sola. Questo comportamento limita i dati inviati tramite i collegamenti (WAN, Wide Area Network). Protocollo adattivo - Il protocollo adattivo è un protocollo proprietario che controlla la lunghezza delle code router edge e invia dati quando le code sono quasi vuote. Con questo protocollo, implementato da un driver del kernel avanzato, non è più necessario limitare la larghezza di banda quando si distribuiscono applicazioni con la distribuzione peer-to-peer. All interno delle sedi - Il trasporto dei dati all'interno delle sedi utilizza la LAN, ovvero il protocollo di primo piano. Il sistema di distribuzione peer-to-peer non gestisce tale protocollo. Tra le sedi - Il trasporto dei dati tra sedi diverse utilizza la WAN, ovvero il protocollo di background. Questo protocollo è chiamato anche "protocollo adattivo" e protegge la disponibilità della larghezza di banda sui collegamenti WAN. Tra sottoreti - Definisce come sedi separate le sottoreti connesse tramite un collegamento WAN. Se le sedi non sono configurate correttamente, è possibile che il protocollo LAN venga utilizzato su un collegamento WAN, determinando la saturazione della WAN. I client ricevono le applicazioni in base al criterio di ordinamento Il sistema peer-to-peer invia e riceve applicazioni in base a molti fattori, incluso lo spazio disponibile nel dispositivo, il fattore di forma del dispositivo e il tipo di sistema operativo. Il download avviene nell'ordine seguente. 1 Dispositivi con il più ampio spazio disponibile effettivo 2 Dispositivi identificati come preferiti, o RVP (punti di rendezvous) 3 Tipo di chassis del dispositivo (i desktop vengono preferiti ai laptop) 4 Tipo di sistema operativo del dispositivo (i server vengono preferiti alle workstation) 5 Dispositivi con i tempi di attività più elevati 6 Dispositivi con il più ampio spazio disponibile utilizzabile VMware, Inc. 76

77 Sistemi di backup I client peer-to-peer ricevono pacchetti applicativi da una rete CDN o da un sistema di archiviazione file, quando non riescono a trovarli all'interno della gerarchia. Una rete CDN, facoltativa per le distribuzioni onpremise, offre una velocità di download superiore a quella del sistema di archiviazione file. Pianificare l'ottimizzazione della distribuzione con una gerarchia di rete La funzione di ottimizzazione della distribuzione consente di controllare le origini del pacchetto applicativo. Scaricare il foglio di lavoro dalla pagina Distribuzione peer-to-peer, quindi aggiungere sedi, sottoreti e intervalli IP per rappresentare la rete peer-to-peer in uso. Se necessario, contattare il team di gestione della rete per informazioni sulla sua topologia. Durante la pianificazione, esaminare il comportamento del sistema illustrato in Comportamenti di trasporto dati per le reti peer-to-peer. Disabilitazione della funzionalità di ottimizzazione della distribuzione Se non si utilizza la funzionalità di ottimizzazione della distribuzione, il sistema di distribuzione peer-topeer presuppone che ogni sottorete riceva un singolo download di pacchetto. Il sistema genera la topologia predefinita in base ai client che si registrano nel server. Viene creata una sede per ciascuna sottorete. Quando i client nella sede o sottorete tentano di scaricare un nuovo contenuto, il sistema avvia il download a livello di sottorete. Rappresentazione gerarchica L'ottimizzazione funziona meglio se si rappresenta la rete peer-to-peer come gerarchia. La figura mostra una semplice topologia di rete di esempio. VMware, Inc. 77

78 Nell'esempio il punto di rendezvous (RVP) nella sede centrale invia il pacchetto applicativo iniziale a Boston (sede predefinita) e Lima. Seguendo la costa del Nord America, gli RVP delle sedi di Boston (WiFi), Baltimora e Toronto ricevono il pacchetto applicativo dalla sede di Boston (predefinita). L'RVP di Miami riceve il pacchetto dalla sede di Baltimora. Se un pacchetto non è disponibile per un motivo qualsiasi, le sedi lo ricevono dal sistema di archiviazione dei file di backup o dalla Content Delivery Network. Configurare il software per la distribuzione peer-to-peer Abilitare la distribuzione peer-to-peer e scaricare il server di distribuzione peer-to-peer. Importante copiare la chiave condivisa visualizzata dal programma di installazione del server peer-topeer. Se si perde tale chiave, è necessario reinstallare il server e scegliere di rigenerare la chiave. Tale chiave condivisa deve essere immessa nella console Workspace ONE UEM Console. 1 Passare a Gruppi e Impostazioni > Tutte le impostazioni > Sistema > Integrazione aziendale > Distribuzione peer-to-peer. 2 In qualità di amministratore, scaricare e installare in rete il server peer-to-peer nello stesso server che ospita VMware Enterprise Systems Connector e il database SQL o SQL Server Express. Assicurarsi di copiare e salvare la chiave condivisa da immettere nella console UEM. Se non si installa il server nello stesso sistema degli altri componenti, installare il server nella rete protetta di modo che possa comunicare con gli altri componenti e con i client, dopo che sono stati distribuiti. VMware, Inc. 78

79 3 Dopo l'installazione del server peer-to-peer, completare le opzioni rimanenti nella pagina Distribuzione peer-to-peer. Tabella Impostazioni di configurazione per la distribuzione Peer Impostazione Nome server/ip Chiave di autenticazione condivisa Certificato pubblico Adaptiva Immettere il nome server o l'indirizzo IP del server peer-topeer. Se si installa il server nello stesso sistema di VMware Enterprise Systems Connector, utilizzare tale nome o indirizzo IP. Immettere la chiave copiata durante l'installazione del server peer-to-peer. Tale chiave attiva la comunicazione affidabile tra il server peer-to-peer, i client peer-to-peer e l'infrastruttura Workspace ONE UEM. Se non si immette l'ultima chiave generata, il sistema visualizza un errore di mancata corrispondenza delle chiavi. Abilitare questa funzione facoltativa configurare un'autenticazione reciproca sicura tra AirWatch Cloud Connector e Adaptiva Server. Per abilitare questa impostazione, è possibile caricare il certificato pubblico Adaptiva nella console Workspace ONE UEM Console. Questa configurazione offre alcuni vantaggi: viene garantita la comunicazione a un servizio legittimo per AirWatch Cloud Connector e Adaptiva Server. Raggiungere la sicurezza TLS (Transport Layer Security) tra AirWatch Cloud Connector e Adaptiva Server. VMware, Inc. 79

80 Tabella Impostazioni di configurazione per la distribuzione Peer (Continua) Impostazione Ottimizzazione distribuzione Assegnate ai gruppi Abilitare questa funzionalità facoltativa per caricare un foglio di lavoro con la topologia della rete in uso. È inoltre possibile scaricare la topologia della rete registrata dal sistema peerto-peer. Le topologie di rete possono essere intricate. Prima di abilitare questa funzionalità, contattare il team responsabile della rete per informazioni sulla topologia della rete aziendale. Se si disattiva questa opzione, il sistema crea una sede per ciascuna sottorete dei client registrati. Tali sedi sono connesse alla sede centrale come elementi figlio. Questa configurazione offre alcuni vantaggi. Consente di controllare il download iniziale nei dispositivi preferiti in una sottorete. I dispositivi preferiti sono quelli che nella cronologia risultano disponibili in rete ed eseguono correttamente il download negli altri dispositivi della stessa sottorete. Questo consente di mantenere intatti gli intervalli IP, perché la suddivisione degli intervalli di rete determina la creazione di client non di sede, che non ricevono i download dal server peer-to-peer. Ciò assicura che i download vengano avviati sulle reti configurate prima di passare per impostazione predefinita alle Content Delivery Network (CDN) o ai sistemi di archiviazione file. Specificare i gruppi che devono ricevere le applicazioni con il sistema peer-to-peer. Tabella Impostazioni di risoluzione dei problemi per la distribuzione Peer Impostazione ID del server Selezione integrità Pubblica contenuto Licenze attivate Specificare questo valore quando si segnalano a un rappresentante Workspace ONE UEM i problemi relativi al sistema di distribuzione peer-to-peer. Verifica il funzionamento della comunicazione fra il sistema peer-to-peer e l'infrastruttura Workspace ONE UEM. Verifica inoltre che il sistema corrente utilizzi le versioni supportate del client e del server peer-to-peer. Pubblica le singole applicazioni nel sistema. Questa opzione consente di ricostruire le distribuzioni delle applicazioni in caso di incidente grave. Dispositivi download attivati è un report in cui sono elencati i dispositivi che hanno installato il client peer-to-peer e utilizzano attualmente una licenza. 4 Salvare le impostazioni. Il sistema distribuisce automaticamente i client peer-to-peer nei dispositivi appartenenti ai gruppi specificati in questa pagina. VMware, Inc. 80

81 Dopo aver configurato il server-to-peer e salvato le impostazioni, il server di Workspace ONE UEM raggiunge il server di gestione delle licenze cloud Adaptiva per ottenere una chiave di licenza. La chiave di licenza viene inviata al server di distribuzione peer-to-peer per l'attivazione. Il server di distribuzione peer si connette periodicamente al server di gestione delle licenze cloud Adaptiva e invia il numero delle licenze utilizzate per ricevere un nuovo token. Per ulteriori informazioni sull'impostazione, la configurazione e l'installazione della distribuzione peer-topeer, vedere Distribuzione peer-to-peer per applicazioni Win32. Installazione del server peer-to-peer Scaricare il server peer-to-peer dalla pagina distribuzione Peer nel Workspace ONE UEM Console. Seguire le istruzioni della procedura di installazione guidata. Come riferimento, la procedura guidata include le istanze rappresentate. 1 Assicurarsi che la macchina che ospita il server peer-to-peer soddisfi i requisiti elencati in Requisiti per la distribuzione peer-to-peer. 2 Passare a Gruppi e Impostazioni > Tutte le impostazioni > Sistema > Integrazione aziendale > Distribuzione peer-to-peer e scaricare il server. 3 Aprire il file eseguibile del programma di installazione del server. 4 Selezionare un Tipo di server SQL e configurare le Impostazioni. Per scaricare e utilizzare una nuova istanza di SQL Server Express, configurare il percorso in cui la procedura guidata installa SQL Server Express. VMware, Inc. 81

82 Per utilizzare un database SQL esistente o SQL Server Express, immettere le informazioni di accesso e del server SQL. I dettagli includono il nome del server di database, il nome dell'istanza SQL, la porta di connessione e i dettagli di autenticazione. 5 Selezionare Installa. Il server di distribuzione peer si scarica e installa. Se è stata scaricata una nuova istanza di SQL Server Express, il server si scarica e installa insieme al server di distribuzione peer. 6 Copiare la Chiave di sicurezza da inserire nella console UEM. Inoltre, immettere il nome e l'indirizzo IP del nuovo server. VMware, Inc. 82

83 Eseguire nuovamente il programma di installazione per una nuova chiave di sicurezza Se si è smarrita quella originale, è possibile generarne una nuova. 1 Eseguire nuovamente il programma di installazione. 2 Selezionare l'opzione Genera una nuova chiave condivisa di VMware nell'area Impostazioni di installazione. 3 Selezionare Aggiorna. Le regole del firewall bloccano SQL Server Express Se le regole del firewall sul server bloccano il download gratuito di SQL Server Express, installarlo manualmente. 1 Scaricare SQL Server Express dalla pagina su una macchina senza restrizioni di firewall. 2 Nella macchina server, copiare ed estrarre il programma di installazione di SQL Server Express scaricatoc:\sqltemp. 3 Immettere il parametro della riga di comando. C:\sqltemp\Setup.exe /q /Hideconsole /ACTION=Install /IACCEPTSQLSERVERLICENSETERMS /Features=SQLEng ine /TCPENABLED=1 /BROWSERSVCSTARTUPTYPE=Automatic /AddCurrentUserAsSQLAdmin /SQLSYSADMINACCOUNTS=" NT AUTHORITY\LOCAL SERVICE" "NT AUTHORITY\SYSTEM" /SQLSVCACCOUNT="NT AUTHORITY\SYSTEM" /SQLSVCSTARTUPTYPE=Automatic /INSTANCENAME=ADAPTIVASQL Il sistema genera i registri di installazione SQL in %temp%. 4 Eseguire la procedura guidata peer-to-peer server con SQL Server Express. Protezione rimozione app La funzionalità di protezione della rimozione delle app consente di assicurarsi che il sistema non rimuova le applicazioni business critical senza l'approvazione dell'amministratore. Spesso, le applicazioni interne sono sviluppate per l'esecuzione di attività specifiche dell'azienda. La loro rimozione improvvisa può creare problemi e interrompere il lavoro. Per impedire la rimozione di applicazioni interne importanti, la funzionalità sospende i comandi di rimozione in base ai valori di soglia impostati. Fintanto che l'amministratore non interviene su comandi sospesi, il sistema non rimuove le applicazioni interne. VMware, Inc. 83

84 Procedura generale di configurazione della funzionalità Configurare la funzionalità, attenendosi alla procedura seguente. 1 Visualizzare i valori di soglia predefiniti o modificare i valori di soglia del gruppo. Se vengono soddisfatti i valori di soglia, Workspace ONE UEM sospende i comandi di rimozione delle app e li visualizza in base all'applicazione nel Registro di rimozione delle app. Inserire l'indirizzo per la ricezione delle notifiche relative al problema, mediante il modello Notifica raggiungimento limite rimozione app. 2 Intervenire sui comandi di rimozione app sospesi dal sistema. Eliminare i comandi di rimozione app dalla coda, selezionando Ignora. Rimuovere le applicazioni interne dai dispositivi, selezionando Rilascia per inviare i comandi di rimozione delle app. 3 Se i comandi vengono ignorati, riassegnare le applicazioni ai gruppi smart desiderati. Comportamenti di sistema di Protezione rimozione app Per assicurarsi di impostare valori di soglia efficaci e decidere come gestire al meglio i comandi sospesi, vedere i comportamenti del sistema di protezione. Attivatori dei comandi di rimozione delle app Il sistema sonda la coda dei comandi di rimozione delle app alla ricerca di valori che soddisfano o oltrepassano i limiti di soglia. Le azioni elencate attivano i comandi di rimozione delle app. Modifica gruppi smart Pubblica applicazioni Disattiva applicazioni Ritira applicazioni Elimina applicazioni Configurazioni e azioni di Applica a ID pacchetto Il sistema applica i valori di soglia in base all'id pacchetto. È possibile nel caso in cui un applicazione disponga di nomi variabili ma rientri comunque nello stesso ID pacchetto. In questo problema, il sistema di protezione seleziona un nome da visualizzare nel registro. Tuttavia, applica i comandi dell'amministratore all'id pacchetto. VMware, Inc. 84

85 Il sistema segue le gerarchie del gruppo Il sistema imposta valori di soglia predefiniti al livello di un gruppo di tipo Cliente. I relativi sottogruppi ereditano tali valori. Nota Gli amministratori non possono ignorare i valori di soglia nei sottogruppi. Il posizionamento degli amministratori nella gerarchia dei gruppi determina i ruoli e le azioni a loro disposizione. Gli amministratori dei sottogruppi possono intervenire sui comandi di rimozione dei gruppi a loro assegnati. Gli amministratori dei gruppi principali possono modificare i valori e intervenire sui comandi di rimozione del gruppo principale e di quelli secondari. Spiegazione dello stato del comando sospeso Lo stato del comando visualizzato nella console, all'interno del registro di rimozione delle app, indica la fase riportata nel processo di protezione. Tabella Descrizioni e cause degli stati nella protezione della rimozione applicazioni Stato Causa Sospeso per approvazione Rilasciato nel dispositivo Ignorato dall'amministratore Il sistema di protezione sospende i comandi di rimozione e non rimuove l'applicazione interna a questi associata. I comandi di rimozione vengono messi nella coda dei comandi, ma non verranno elaborati finché l'amministrazione non concede l'approvazione. Il sistema di protezione ha inviato i comandi per rimuovere le applicazioni interne coinvolte dai dispositivi. Il sistema di protezione ha eliminato i comandi di rimozione dalla coda dei comandi. Il sistema non ha rimosso le applicazioni interne interessate dai dispositivi. Il sistema sospende i comandi di rimozione poiché i valori di soglia sono stati soddisfatti. Il sistema ha rilasciato i comandi dietro configurazione dell'amministratore. Il sistema ha eliminato i comandi come configurato da un amministratore. Modificare i valori di soglia per la Protezione rimozione app Utilizzare i valori predefiniti o inserire i limiti di attivazione del sistema per sospendere i comandi di rimozione delle app. Queste azioni impediscono al sistema di rimuovere le applicazioni interne associate dai dispositivi. Selezionare i valori più idonei per il livello di rischio tollerato dall'azienda, nel caso in cui il sistema rimuova un'applicazione critica da una serie di dispositivi. 1 Configurare la funzionalità in un gruppo al livello del cliente o ai livelli inferiori nella console Workspace ONE UEM Console. 2 Passare a Gruppi e impostazioni > Tutte le impostazioni > App > Workspace ONE > Protezione rimozione app. VMware, Inc. 85

86 3 Selezionare le opzioni di soglia. Impostazione Dispositivi interessati Entro (minuti) Modello Invia a Inserire il numero massimo di dispositivi che possono perdere un'applicazione critica prima che la perdita influisca sul lavoro dell'azienda. Inserire il valore massimo di minuti richiesti affinché il sistema invii i comandi di rimozione, prima che la perdita dell'applicazione critica impedisca ai dispositivi di eseguire le attività aziendali. Selezionare un modello di notifica e personalizzarlo come richiesto. Il sistema include il modello Notifica raggiungimento limite rimozione app, ovvero un modello specifico per la funzione Protezione della rimozione delle app. Inserire gli indirizzi che riceveranno le notifiche relative alla sospensione dei comandi di rimozione, affinché i destinatari possano intraprendere azioni nel registro di rimozione delle app. 4 Salvare le impostazioni. Azioni sui comandi di rimozione delle app sospesi Utilizzare la pagina Registro di rimozione delle app per mantenere sospesi i comandi di rimozione delle app, disattivare i comandi o rilasciare i comandi nei dispositivi. 1 Passare a App e libri > Impostazioni delle app > Registro di rimozione delle app. 2 Filtrare, ordinare o sfogliare per selezionare i dati. Filtrare i risultati in base a Stato del comando per visualizzare le applicazioni interessate. Ordinare per ID pacchetto per selezionare i dati. Selezionare un'applicazione. È possibile selezionare il collegamento Conteggio dei dispositivi interessati per sfogliare i dispositivi coinvolti dalle azioni. In questo modo, viene visualizzata la pagina Dispositivi del registro di rimozione delle app che riporta l'elenco dei nomi dei dispositivi interessati. È possibile utilizzare il nome del dispositivo per accedere alla Visualizzazione dettagli dei dispositivi. 3 Selezionare Rilascia o Ignora. L'opzione Rilascia invia i comandi ai dispositivi e il sistema ne rimuoverà le applicazioni interne. L'opzione Ignora rimuove i comandi di rimozione dalla coda e il sistema non rimuove le applicazioni interne dai dispositivi. VMware, Inc. 86

87 4 Per i comandi ignorati, tornare all'area delle applicazioni interne della console e controllare le assegnazioni dei gruppi smart dell'applicazione per cui vengono ignorati i comandi. Assicurarsi che le assegnazioni dei gruppi smart dell'applicazione interna siano ancora valide. Se l'assegnazione del gruppo smart non è valida e non se ne controlla lo stato, è possibile che il sistema rimuova l'applicazione quando il dispositivo esegue il check-in. Strumenti di salvaguardia per applicazioni Workspace ONE UEM proprietarie, non-store Workspace ONE UEM include strumenti di salvaguardia per prevenire la rimozione delle versioni di produzione delle applicazioni proprietarie di Workspace ONE UEM durante la rimozione delle versioni di test dalla console. Aggiungere e rimuovere la versione di test, attenendosi a un ordine specifico di attività. Definizione di applicazioni Workspace ONE UEM proprietarie, non-store Un'applicazione Workspace ONE UEM proprietaria e non store, ad esempio Secure Launcher, è integrata o inclusa nell'istanza di Workspace ONE UEM. Fa parte di Workspace ONE UEM Installer e viene installata nei dispositivi mediante un profilo o con altre impostazioni della console. Alcune aziende desiderano testare le versioni di tali applicazioni prima di implementarle in produzione. Considerazioni Test separati, Workspace ONE UEM Console istanza e i test per gruppi - se possibile, testare le applicazioni in un ambiente separato con un'istanza di testing della console dell'uem. ID dell'applicazione - Workspace ONE UEM utilizza l'id applicazione per identificare la versione di test dell'applicazione proprietaria. Comandi di rimozione applicazioni - Rimuove la versione di test prima di ritirare o eliminare l'applicazione. In caso contrario, Workspace ONE UEM non metterà in coda i comandi di rimozione delle app per tali applicazioni. Aggiungere il processo delle applicazioni di test Aggiungere una versione di test di un'applicazione proprietaria di Workspace ONE UEM, attenendosi alla procedura seguente. 1 Utilizzare un'istanza di test della console Workspace ONE UEM Console. 2 Creare un gruppo di dispositivi sui quali distribuire le applicazioni di test nel proprio gruppo. 3 Caricare l'applicazione di test sulla scheda Interne di App e libri, inserire le informazioni desiderate e selezionare Salva e assegna. VMware, Inc. 87

88 4 Assegnare l'applicazione al gruppo di test con l'opzione Aggiungi assegnazione. Il Metodo di distribuzione delle app per le applicazioni con seeding è Su richiesta e non configurabile. È anche possibile modificare l'applicazione, selezionando la scheda Dispositivi e l'opzione Installa in tutti. Processo di rimozione delle applicazioni di test Rimuovere una versione di test di un'applicazione proprietaria di Workspace ONE UEM, attenendosi alla procedura seguente. 1 Passare alla scheda Interne in App e libri, quindi modificare l'applicazione. 2 Nella scheda Dispositivi, selezionare Rimuovi da tutti. 3 Passare a Visualizzazione dettagli dell'app, nella scheda Interne di App e libri ed eliminare o ritirare l'applicazione dal menu azioni. Anteprima tecnica: approvazioni app È possibile controllare l'installazione delle applicazioni mediante l'integrazione del sistema ServiceNow e Workspace ONE UEM. Questa funzionalità è attualmente offerta come anteprima tecnica. Anteprime tecniche Workspace ONE UEM offre la funzionalità delle approvazioni app come anteprima tecnica. Le funzionalità in anteprima tecnica non sono completamente testate e alcune di esse non funzionano come previsto. Tuttavia, queste anteprime aiutano Workspace ONE UEM a migliorare le funzionalità attuali e a sviluppare miglioramenti futuri. Per utilizzare una funzionalità in anteprima tecnica, contattare il rappresentante VMware Workspace ONE. Introduzione alle approvazioni app È possibile controllare il costo delle licenze di un'applicazione grazie all'integrazione del workflow di approvazione app. Molte applicazioni Win32 dispongono di licenze costose. È possibile utilizzare le approvazioni app per limitare il numero di coloro che possono installare queste applicazioni e controllare i costi di gestione di tali risorse. L'integrazione riunisce vari sistemi per elaborare le richieste di approvazione di un'app. Workspace ONE UEM: gestisce l'applicazione e la distribuisce nel catalogo delle app di Workspace ONE e ai dispositivi. VMware Workspace ONE Intelligence: consente la comunicazione tra l'ambiente ServiceNow e la distribuzione di Workspace ONE UEM. ServiceNow: gestisce la richiesta e il processo di approvazione. VMware, Inc. 88

89 Anteprima tecnica: requisiti per le approvazioni app Per utilizzare il workflow di approvazione app per controllare chi può installare un'applicazione desktop di Windows, è necessario disporre dei sistemi elencati configurati e utilizzare dispositivi e tipi di applicazioni specifici. Dispositivi supportati La funzionalità delle approvazioni app funziona per i dispositivi desktop Windows 10. Applicazioni supportate La funzionalità delle approvazioni app funziona per le applicazioni Win32 distribuite tramite il sistema di distribuzione software che viene integrato con Workspace ONE UEM. Integrazioni e sistemi richiesti Il funzionamento del workflow di approvazione app dipende da altri sistemi. È necessario acconsentire all'uso dei sistemi elencati ed integrarli. ServiceNow: ServiceNow crea e invia il ticket e la richiesta di approvazione all'installazione di un'applicazione. VMware Workspace ONE Intelligence: Workspace ONE Intelligence consente la comunicazione tra l'ambiente ServiceNow e Workspace ONE UEM. Connessione ServiceNow in VMware Workspace ONE Intelligence: questa connessione automatizza la creazione e la distribuzione del ticket ServiceNow per l'approvazione. App Workspace ONE: questa applicazione funziona come un catalogo app unificato e distribuisce le applicazioni da vari sistemi integrati. VMware Identity Manager: l'integrazione di VMware Identity Manager è obbligatoria per il sistema di Workspace ONE. Distribuzione software per app Win32: questa integrazione è necessaria per distribuire le applicazioni Win32 gestite in Workspace ONE UEM. Anteprima tecnica: configurare le approvazioni app Per abilitare il workflow di approvazione app per un'applicazione, utilizzare le impostazioni di assegnazione della distribuzione flessibile. Abilitare Workspace ONE UEM per richiedere l'approvazione per l'installazione di un'applicazione. Prerequisiti È necessario che siano configurati gli altri sistemi dipendenti. ServiceNow VMware Workspace ONE Intelligence VMware, Inc. 89

90 Connessione ServiceNow in VMware Workspace ONE Intelligence App Workspace ONE VMware Identity Manager Distribuzione software per app Win32 Vedere Anteprima tecnica: requisiti per le approvazioni app per i dettagli. Procedura 1 Caricare o modificare un'applicazione di distribuzione software in App e libri > Applicazioni > Native > Interne. 2 Accedere all'assegnazione della distribuzione flessibile con l'azione Assegna per l'applicazione. Console offre diversi metodi per accedere alla distribuzione flessibile. Fra questi, uno prevede la selezione del pulsante di opzione accanto all'applicazione nella visualizzazione elenco per visualizzare l'opzione Assegna. 3 Selezionare l'assegnazione e abilitare Richiedi approvazione per installare. Questa azione imposta l'applicazione in modo da visualizzare la voce Richiesta nell'app Workspace ONE. Impedisce inoltre ad altre azioni del menu di Workspace ONE UEM Console di inviare un comando di installazione per l'applicazione se non approvato dall'amministratore ServiceNow. Anteprima tecnica: stati di approvazione app per i dispositivi Gli stati sul dispositivo rappresentano passaggi specifici del processo di richiesta e approvazione di un'app. Gli utenti accedono all'applicazione tramite l'app Workspace ONE. Selezionano Richiesta per avviare l'installazione dell'applicazione. Dopo l'avvio di una richiesta, l'app Workspace ONE visualizza lo stato che identifica il punto del processo in cui si trova la richiesta di installazione. Tabella Stati di approvazione dell'app in Workspace ONE Stato Richiesta In sospeso Installazione in corso Installazione completata L'amministratore ha caricato l'applicazione e abilitato la voce Richiedi approvazione per installare nell'assegnazione della distribuzione flessibile. Tramite Workspace ONE UEM, Workspace ONE Intelligence ha inviato la richiesta a ServiceNow. ServiceNow ha creato un ticket per l'approvazione dell'installazione. Il sistema è in attesa di approvazione da parte dell'amministratore. L'amministratore ha approvato il ticket ServiceNow per l'installazione dell'applicazione e il database di Workspace ONE UEM ha avviato un comando di installazione. Il dispositivo ha segnalato a Workspace ONE UEM che l'applicazione è stata installata correttamente. VMware, Inc. 90

91 Anteprima tecnica: stati di approvazione app per Console Gli stati in Workspace ONE UEM Console rappresentano passaggi specifici del processo di richiesta e approvazione di un'app. Gli amministratori possono visualizzare lo stato di approvazione di un'app in Console in App e libri e in Dettagli dispositivo > scheda App. Gli stati visualizzati in Console rappresentano un passaggio del processo di approvazione. Tabella Stati di approvazione dell'app in Workspace ONE UEM Console Stato Approvazione in corso Invia il comando Installa Installazione completata Rifiutato Scaduto Errore L'utente ha richiesto l'installazione di un'applicazione. Tramite Workspace ONE Intelligence, ServiceNow ha creato un ticket affinché l'amministratore approvi l'installazione. Il ticket è in attesa di approvazione nel sistema ServiceNow. L'amministratore ha approvato l'installazione. Tramite Workspace ONE Intelligence, Workspace ONE UEM ha inviato un comando di installazione al database e il dispositivo ha utilizzato il comando. Il dispositivo ha segnalato a Workspace ONE UEM che l'applicazione è stata installata correttamente. L'amministratore ha rifiutato il ticket ServiceNow per l'installazione. L'utente deve eseguire nuovamente una richiesta per installare applicazione. L'amministratore non ha approvato o rifiutato il ticket ServiceNow entro 14 giorni. L'utente deve eseguire nuovamente una richiesta per installare applicazione. Il sistema di approvazione app ha rilevato un errore durante il processo con conseguente terminazione del processo. L'utente deve eseguire nuovamente una richiesta per installare applicazione. VMware, Inc. 91

92 Applicazioni pubbliche 4 Utilizza Workspace ONE UEM per gestire la distribuzione e la manutenzione della applicazioni mobili pubbliche da vari app Store. La distribuzione delle app pubbliche dai vari App Store è leggermente diversa da una piattaforma all'altra. Per capire meglio queste differenze e distribuire correttamente le app pubbliche alle piattaforme che supporti, leggi gli argomenti di questa sezione. Nozioni di base sulle applicazioni pubbliche Utilizzare la console Workspace ONE UEM Console per cercare le app pubbliche presenti negli App Store disponibili. Una volta trovata l'app che si desidera fornire, è possibile impostare le assegnazioni specifiche dei dispositivi che determinano chi riceverà l'app. Per ulteriori informazioni sul processo, vedere Aggiungere applicazioni pubbliche da un App Store. Per visualizzare piattaforme e versioni richieste per il provisioning delle applicazioni pubbliche, vedere Tipi di applicazione Workspace ONE UEM e piattaforme supportate. Se si utilizza il catalogo delle applicazioni di Workspace ONE, è possibile controllare l'accesso alle applicazioni pubbliche tramite un accesso aperto o gestito. Per ulteriori informazioni, consulta Applicazioni Workspace ONE UEM e funzione di accesso gestito di Workspace ONE. Funzioni per le applicazioni pubbliche ios Applicazioni pubbliche a pagamento per ios In una distribuzione tipica, è possibile distribuire app ios a pagamento, una volta eseguita l'integrazione con Volume Purchase Program (VPP). Il programma VPP di Apple può gestire le app pubbliche a pagamento in massa in modo efficiente e offre varie opzioni di gestione. Per ulteriori informazioni sull'impostazione, consulta Volume Purchase Program (VPP) in Workspace ONE UEM. In alcuni scenari, tuttavia, non è consigliato utilizzare Apple's VPP. In tal caso, è possibile caricare le applicazioni pubbliche a pagamento per ios utilizzando il processo impiegato per le altre app. Per ulteriori informazioni su questo processo, consulta App ios pubbliche a pagamento e Workspace ONE UEM. Per informazioni su come caricare applicazioni ios pubbliche a pagamento, vedere Attivare e caricare le app ios pubbliche a pagamento sulla console. VMware, Inc. 92

93 Verificare come configurare le applicazioni pubbliche a pagamento per ios in un gruppo ottimale consultando Gruppi e applicazioni pubbliche a pagamento. Controllare applicazioni pubbliche su dispositii ios - Per i dispositivi ios è possibile configurare limitazioni extra per la funzionalità App Store, incluse quelle relative all'icona dell'app Store e all'installazione delle app pubbliche. Per ulteriori informazioni su queste limitazioni, vedere delle restrizioni per l'app Store Apple ios. Integrazioni e applicazioni pubbliche Microsoft Store per le aziende: Microsoft Store per le aziende di Microsoft consente di acquisire, gestire e distribuire applicazioni in massa. Se si utilizza Workspace ONE UEM per la gestione di dispositivi Windows 10 o versione successiva, è possibile integrare i due sistemi. Dopo l'integrazione, acquisire le applicazioni da Microsoft Store per le aziende e utilizzare Workspace ONE UEM per distribuirle e per gestire le versioni aggiornate. Per ulteriori informazioni, vedere gli argomenti illustrati nella sezione Microsoft Store per le aziende e Workspace ONE UEM. Android: Utilizzare Workspace ONE UEM per eseguire il push delle applicazioni pubbliche di Android for Work ai dispositivi. Il processo include l'aggiunta e l'approvazione di app per l'integrazione tra Workspace ONE UEM e Android for Work da Google Play Store, accessibile tramite la console UEM. Questo capitolo include i seguenti argomenti: Aggiungere applicazioni pubbliche da un App Store App ios pubbliche a pagamento e Workspace ONE UEM Controllo dell'installazione di applicazioni pubbliche sui dispositivi ios Microsoft Store per le aziende e Workspace ONE UEM Aggiungere applicazioni pubbliche da un App Store Distribuire le applicazioni pubbliche nei dispositivi, utilizzando Workspace ONE o AirWatch Catalog. Una volta caricata un'app pubblica, in alcune piattaforme è necessario abilitare l'opzione di accesso gestito. Per informazioni sull'accesso gestito e l'accesso aperto, vedere Applicazioni Workspace ONE UEM e funzione di accesso gestito di Workspace ONE. 1 Passare a App e libri > Applicazioni > Native > Pubbliche e selezionare Aggiungi applicazione. 2 Visualizzare il gruppo da cui viene caricata l'applicazione in Gestita da. 3 Selezionare la piattaforma. 4 Immettere una parola chiave nella casella di testo Nome per trovare l'applicazione in un App Store. VMware, Inc. 93

94 5 Selezionare la posizione dalla quale il sistema ottiene l'applicazione, ovvero Cerca nell'app Store o Inserisci URL. Impostazione Ricerca nell App Store ios Cerca l'applicazione nell'app Store. Windows Desktop e Windows Phone Cerca l'applicazione. Se le applicazioni vengono acquisite in questo modo e non in Microsoft Store per le aziende, il sistema non le gestisce. Android: se è stata configurata l'integrazione con Google Play Store, il sistema cerca l'applicazione in questo App Store. Questa configurazione funziona anche quando si esegue l'integrazione con il sistema Android for Work. Consultare la guida Workspace ONE UEM Integration with Android for Work. Aggiungi l'url di Google Play Questa opzione viene visualizzata solo per le applicazioni Android e il sistema la visualizza se gli store di Google Play sono localizzati. Gli store offrono le applicazioni in base alle regioni. Questa opzione consente di distribuire le applicazioni che si trovano in una posizione diversa dal server di Workspace ONE UEM. Inserisci URL Aggiunge l'applicazione utilizzando un URL. Se le applicazioni vengono aggiunte con questo metodo, il sistema non le gestisce. 6 Selezionare Avanti, quindi selezionare l'applicazione desiderata dalla pagina dei risultati dell'app Store. 7 Configurare le opzioni nella scheda Dettagli. Impostazione Nome Visualizza nell'app Store Categorie Modelli supportati L'app è limitata all'installazione silenziosa Android Dimensione Apple ios Gestita da Valutazione Visualizzare il nome dell'applicazione. Visualizzare il record dello store da cui è possibile scaricare l'applicazione e ottenere informazioni su di essa. Utilizzare le categorie per identificare l'utilizzo dell'applicazione. È possibile configurare categorie di applicazioni personalizzate o mantenere la categoria percodificata dell'app. Selezionare tutti i modelli di dispositivo che eseguiranno questa applicazione. Assegnare questa applicazione ai dispositivi Android che supportano la funzionalità di disinstallazione silenziosa. Workspace ONE UEM non può installare o disinstallare silenziosamente applicazioni pubbliche. Tuttavia, è possibile controllare le app per cui si esegue il push ai propri dispositivi Android standard o aziendali. I dispositivi aziendali Android supportano attività silenziose. Visualizzare le dimensioni dell'applicazione per l'archiviazione. Visualizzare il gruppo a cui appartiene l'applicazione nella gerarchia di gruppi di Workspace ONE UEM. Visualizzare il numero di stelle che rappresentano la popolarità dell'applicazione nella console Workspace ONE UEM Console e nell'airwatch Catalog. VMware, Inc. 94

95 Impostazione Commenti Schema predefinito Apple ios Windows Desktop Windows Phone Immettere commenti che illustrano lo scopo e l'utilizzo dell'applicazione per l'azienda. Indica lo schema dell'url per le applicazioni supportate. L'applicazione è fornita con lo schema, in modo che AirWatch lo analizzi e mostri il valore in questa casella di testo. Uno schema predefinito fornisce molte funzioni di integrazione per le applicazioni. Utilizzare lo schema per l'integrazione con altre piattaforme e applicazioni Web. Utilizzare lo schema per ricevere messaggi da altre applicazioni e per avviare richieste specifiche. Utilizzare lo schema per eseguire applicazioni Apple ios in AirWatch Container. 8 Assegnare le Condizioni per l'utilizzo necessarie per l'applicazione nella scheda Condizioni per l'utilizzo. Questa impostazione è opzionale. Le condizioni per l'utilizzo consentono all'organizzazione di dichiarare specificamente come utilizzare l'applicazione. Chiariscono all'utente cosa può aspettarsi dall'applicazione. Quando l'applicazione invia un push ai dispositivi, gli utenti visualizzano una pagina con le condizioni per l'utilizzo che devono accettare per poter utilizzare l'applicazione. Se gli utenti non accettano, non possono accedere all'applicazione. 9 Selezionare la scheda SDK e assegnare il Profilo SDK predefinito o personalizzato e un profilo applicazione all'applicazione. I profili SDK applicano funzioni avanzate di gestione alle applicazioni. 10 Selezionare Salva e assegna per configurare le opzioni di distribuzione flessibile per l'applicazione. Workspace ONE UEM e URL Google Play Store validi Quando si aggiunge un'applicazione pubblica Android, è possibile immettere l'url del Google Play Store. È anche possibile aggiungere un URL della cui validità si è certi, ma non appartenente al Google Play Store. Questo metodo è utile per distribuire applicazioni quando Workspace ONE UEM non riesce a convalidare gli URL con il Google Play Store. AirWatch Catalog utilizza l'url inserito come collegamento, per consentire agli utenti finali di accedere all'applicazione. Il sistema può gestire queste applicazioni in base all'origine dell'url. URL del Google Play Store valido Il sistema Workspace ONE UEM può gestire queste applicazioni, ma non recuperarne le icone. URL validi da altre origini Il sistema Workspace ONE UEM non può gestire queste applicazioni né restituire le applicazioni nei risultati, perché non è in grado di convalidare l'url con lo store. Migrare le eccezioni del gruppo utenti alla funzionalità di distribuzione flessibile Workspace ONE UEM offre un processo di migrazione per trasferire i gruppi di utenti configurati con eccezioni di assegnazione per applicazioni pubbliche alla funzionalità di distribuzione flessibile. VMware, Inc. 95

96 Motivi per la migrazione Le applicazioni pubbliche oggi utilizzano la funzionalità di distribuzione flessibile per assegnare applicazioni ai dispositivi. Il sistema di distribuzione flessibile non include eccezioni. In passato si utilizzavano le eccezioni per distribuire le applicazioni pubbliche a speciali gruppi di utenti con un tipo specifico di proprietà del dispositivo. La distribuzione flessibile sostituisce le eccezioni e il sistema fornisce un controllo superiore delle distribuzioni. Questa funzionalità permette di assegnare distribuzioni a gruppi smart, di assegnare più distribuzioni per un'applicazione e di aumentare la priorità di tali distribuzioni. Processo di migrazione Per utilizzare la migrazione guidata: 1 Passare a App e libri > Applicazioni > Native > Pubbliche. 2 Modificare un'applicazione nota per prevedere eccezioni. 3 Selezionare Assegna. Il sistema visualizza un messaggio di avviso che chiede se si desidera migrare le eccezioni. 4 Selezionare Sposta e completare la procedura guidata. Per informazioni sulla distribuzione flessibile, vedere Utilizzare la distribuzione flessibile per assegnare le applicazioni. App ios pubbliche a pagamento e Workspace ONE UEM Workspace ONE UEM consente di caricare applicazioni ios pubbliche a pagamento e distribuirle negli scenari in cui non è possibile utilizzare il Volume Purchase Program (VPP) di Apple. Workspace ONE UEM può distribuire diverse versioni del sistema operativo, ma la gestione di ios 9 o versione successiva non richiede operazioni aggiuntive da parte degli utenti. Se possibile, è preferibile utilizzare il programma VPP di Apple. Il programma VPP può gestire in massa le app pubbliche a pagamento in modo efficiente e offre varie opzioni di gestione. Paragonare le procedure per le app pubbliche a pagamento Nell'ottica dei passaggi necessari per eseguire il push delle applicazioni ios pubbliche a pagamento sui dispositivi, ios ha semplificato il processo. Consente a Workspace ONE UEM di assumere la gestione di applicazioni installate in precedenza e gli utenti finali non devono eliminare le applicazioni. Nota Workspace ONE UEM non può assumere la gestione delle applicazioni installate dall'utente su ios 8 e versioni precedenti. VMware, Inc. 96

97 Qualsiasi versione ios supportata 1 Abilitare il processo delle applicazioni pubbliche e a pagamento di ios nella console Workspace ONE UEM Console. 2 Aggiungere l'applicazione pubblica alla console UEM. Aggiungere qualsiasi altro parametro di gestione come le funzionalità SDK e abilitare la VPN su ogni app. 3 (Utente) Acquistare l'applicazione. Se l'utente del dispositivo non acquista l'applicazione, l'installazione da AirWatch Catalog non riesce. Apple installa automaticamente l'applicazione sul dispositivo dopo l'acquisto. 4 (Utente) Eliminare l'applicazione installata da Apple. 5 (Utente) Aprire AirWatch Catalog e avviare l'installazione da Workspace ONE UEM per ricevere la versione gestita dell'applicazione. ios 9 o versioni successive 1 Abilitare il processo delle applicazioni pubbliche e a pagamento di ios nella console UEM. 2 Aggiungere l'applicazione pubblica alla console UEM e abilitare Rendi gestita l'app MDM se installata dall'utente nella scheda Distribuzione. Aggiungere qualsiasi altro parametro di gestione come le funzionalità SDK e abilitare la VPN su ogni app. 3 (Utente) Acquistare l'applicazione. Apple installa automaticamente l'applicazione sul dispositivo dopo l'acquisto. 4 (Utente) Aprire AirWatch Catalog e avviare l'installazione da Workspace ONE UEM per ricevere la versione gestita dell'applicazione. Gruppi e applicazioni pubbliche a pagamento Mantenere la distribuzione VPP e le applicazioni ios pubbliche a pagamento in gruppi separati. Abilitare l'opzione relativa allo stato pubblico a pagamento in un gruppo in cui sono registrati dispositivi applicabili. Utilizzare il VPP quando disponibile Non distribuire le stesse app pubbliche ios a pagamento in un gruppo per cui è configurato il VPP e che contiene un token di servizio (stoken). Se nel gruppo è configurato il VPP, utilizzare le licenze dell'stoken, che offrono maggiori possibilità di controllo e gestione dell'applicazione. VMware, Inc. 97

98 Abilitare le applicazioni pubbliche o a pagamento nel gruppo in cui sono registrati i dispositivi o nel più vicino I dispositivi ricevono le assegnazioni di applicazioni dal gruppo a loro più vicino. Prestare attenzione alla gerarchia dei gruppi e ai gruppi in cui si abilitano le applicazioni ios pubbliche a pagamento. Se si assegna l'applicazione a un gruppo che non ha effetto sul dispositivo, le installazioni possono non riuscire o l'applicazione può essere installata sul dispositivo errato. Tabella 4 1. Esempio di assegnazione di applicazioni pubbliche a pagamento in base al gruppo Organizzazione Pubblica a pagamento Dispositivo Gruppo Stato Registrato Risultato Principale Attivato No Il dispositivo non riceve le app pubbliche a pagamento gestite e il Sottogruppo Disattivato Sì sistema lo reindirizza allo store per installare l'applicazione. Attivare e caricare le app ios pubbliche a pagamento sulla console Abilitare la distribuzione di app ios pubbliche a pagamento nella console Workspace ONE UEM Console. Quindi caricare le applicazioni ios pubbliche a pagamento dall'app Store sulla console UEM, in modo da renderle disponibili in AirWatch Catalog. Attivare il processo 1 Passare a Gruppi e impostazioni > Tutte le impostazioni > App > Workspace ONE > Applicazioni pubbliche a pagamento. 2 Selezionare Attivato e salvare le impostazioni. Caricare il processo 1 Passare a App e libri > Applicazioni > Native > Pubbliche e selezionare Aggiungi applicazione. 2 Selezionare Gestita da per visualizzare il gruppo da cui viene caricata l'applicazione. 3 Selezionare la piattaforma. 4 Immettere una parola chiave nella casella di testo Nome per trovare l'applicazione nell'app Store. 5 Selezionare Avanti e utilizzare Seleziona per scegliere l'applicazione desiderata nella pagina dei risultati dell'app Store. 6 Configurare le opzioni nella scheda Dettagli. Inserire i dati su questa scheda è facoltativo, ma è possibile registrare dati come l'url dello store per l'applicazione, i modelli supportati e le categorie associate. 7 Assegnare le Condizioni per l'utilizzo necessarie per l'applicazione nella scheda Condizioni per l'utilizzo. Questo passaggio è facoltativo. 8 Selezionare Salva e assegna per rendere l'applicazione disponibile agli utenti finali. VMware, Inc. 98

99 9 Configurare le regole di distribuzione flessibile per l'assegnazione delle applicazioni. È disponibile solo la modalità push su richiesta. Questa consente all'utente di avviare l'installazione in modo che il sistema non usi una larghezza di banda eccessiva installando le app automaticamente. Offre inoltre all'utente il tempo necessario per acquistare l'applicazione e cancellare la versione originale dal dispositivo. Controllo dell'installazione di applicazioni pubbliche sui dispositivi ios La restrizione Consenti l'icona dell'app Store sulla pagina principale consente di controllare l'installazione di applicazioni pubbliche gratuite sui dispositivi ios 9 o versione successiva senza dover attivare altre restrizioni in Workspace ONE UEM. Questa opzione è nativa della versione del sistema operativo, pertanto si tratta della restrizione migliore di questo tipo per i dispositivi ios 9 o versione successiva controllati. delle restrizioni per l'app Store Apple ios È possibile controllare l'app Store in modo da impedire o permettere ai dispositivi di accedere alle applicazioni pubbliche disponibili. Workspace ONE UEM supporta le restrizioni ios native e quelle sviluppate internamente per controllare l'accesso all'app Store. Verificare se è possibile impostare la restrizione Consenti l'icona dell'app Store sulla pagina principale per la propria distribuzione. Tabella 4 2. Descrizioni dei metodi di limitazione App Store disponibili Supportato Dispositivo Supervisione Restrizione Consenti l'icona dell'app Store sulla pagina principale La miglior opzione per i dispositivi ios 9 o versione successiva perché utilizza le ultime tecnologie e può eseguire il push di applicazioni attraverso svariati sistemi. Stato Configurazione Controllato Disattiva Impedire l'installazione dell'apple App Store sul dispositivo, in modo che l'utente non possa installare applicazioni pubbliche gratuite tramite l'app Store. Eseguire comunque il push di applicazioni pubbliche gratuite tramite Workspace ONE UEM, itunes o Apple Configurator. Attiva Consentire l'apple App Store sul dispositivo, permettendo all'utente di installare qualsiasi applicazione pubblica gratuita tramite l'app Store. VMware, Inc. 99

100 Tabella 4 2. Descrizioni dei metodi di limitazione App Store disponibili (Continua) Supportato Dispositivo Supervisione Restrizione Stato Configurazione Consenti l'installazione di applicazioni pubbliche Un'opzione per varie versioni di ios, ma non offre la possibilità di selezionare il sistema che impedisce l'installazione di applicazioni non aziendali. Controllato Non controllato Disattiva Attiva Impedire all'utente del dispositivo di utilizzare l'apple App Store. Consentire l'apple App Store sul dispositivo, permettendo all'utente di installare qualsiasi applicazione pubblica gratuita tramite l'app Store. Modalità ristretta per applicazioni ios pubbliche Workspace ONE UEM ha sviluppato modi per consentire l'installazione di applicazioni pubbliche gratuite approvate dall'azienda quando questa opzione è attiva. Controllato Non controllato Disattiva Consentire l'apple App Store sul dispositivo, permettendo all'utente del dispositivo di installare qualsiasi applicazione pubblica gratuita tramite l'app Store. Quando si configura questa opzione, non è necessario configurare e applicare un profilo di restrizioni con la funzione Consenti l'installazione di applicazioni pubbliche. Attiva Impedire al dispositivo di installare applicazioni pubbliche gratuite dall'apple App Store. Eseguire il push delle applicazioni pubbliche gratuite tramite Workspace ONE UEM. Configurare la restrizione dell'apple App Store Configurare la restrizione Consenti l'icona dell'app Store sulla pagina principale in Workspace ONE UEM per permettere ai dispositivi di acquisire applicazioni pubbliche dall'app Store. Questa restrizione funziona sui dispositivi ios 9 o versione successiva. 1 Passare a Dispositivi > Profili > Visualizzazione elenco > Aggiungi. Seleziona Apple ios. 2 Configurare le impostazioni generali per il profilo. 3 Selezionare Consenti l'icona dell'app Store sulla pagina principale, disponibile nella sezione Funzionalità del dispositivo del payload Restrizioni, per consentire al dispositivo di installare applicazioni pubbliche gratuite dall'app Store. 4 Selezionare Salva e pubblica per eseguire il push del profilo nei dispositivi. Abilitare la modalità limitata per applicazioni pubbliche gratuite precedenti alla versione ios 9 È possibile controllare la posizione da cui gli utenti finali installano le applicazioni pubbliche abilitando la Modalità limitata sui dispositivi Apple ios. Dopo la registrazione, gli utenti possono accedere alle applicazioni pubbliche gratuite distribuite ai loro cataloghi, ma non possono scaricare applicazioni pubbliche gratuite dall'app Store. VMware, Inc. 100

101 La restrizione è identica a quella di ios che si trova in Dispositivi > Profili, chiamata Consenti l'installazione di applicazioni pubbliche. Workspace ONE UEM distribuisce l'opzione Modalità limitata ai dispositivi e blocca l'accesso all'app store agli utenti finali. Workspace ONE UEM può distribuire le applicazioni pubbliche, cosa che assicura l'approvazione da parte dell'organizzazione. Modalità limitata limita il dispositivo permettendo di installare solo le applicazioni dell'app Store assegnate approvate dall'organizzazione. L'abilitazione automatica di questa impostazione invia un profilo limitato ai dispositivi Apple ios. La presenza di questo profilo limitato fa sì che non siano necessari altri profili di restrizione con l'opzione Consenti l'installazione di applicazioni pubbliche abilitata per bloccare l'app Store. Per abilitare la modalità limitata per le applicazioni Apple ios, seguire la procedura indicata. 1 Passare a Gruppi e impostazioni > Tutte le impostazioni > App > Workspace ONE > Restrizioni app. 2 Abilitare Modalità ristretta per applicazioni ios pubbliche. Microsoft Store per le aziende e Workspace ONE UEM Microsoft Store per le aziende di Microsoft consente di acquisire, gestire e distribuire applicazioni in massa. Se si utilizza Workspace ONE UEM per la gestione di dispositivi Windows 10 o versione successiva, è possibile integrare i due sistemi. Dopo l'integrazione, acquisire le applicazioni da Microsoft Store per le aziende e utilizzare Workspace ONE UEM per distribuirle e per gestire le versioni aggiornate. Questo argomento illustra come distribuire le app acquisite utilizzando Workspace ONE UEM. Per ulteriori informazioni sui processi di Microsoft Store per le aziende, fare riferimento a Requisiti per l'integrazione di Microsoft Store per le aziende Workspace ONE UEM si integra con Microsoft Store per le aziende. Supporta il modello di acquisizione delle licenze offline e online per i dispositivi Windows 10 o versione successiva che comunicano con i servizi Azure Active Directory. Per la corretta integrazione, utilizzare i componenti indicati nel proprio ambiente. Requisiti dei modelli di licenza online e offline Dispositivi Windows 10+ Eseguire la distribuzione sui dispositivi Windows 10 o versione successiva, poiché sono compatibili con i processi di acquisizione e distribuzione in massa delle applicazioni. Utilizzare le piattaforme Windows Desktop o Windows Phone per l'assegnazione di applicazioni. È possibile distribuire le applicazioni acquisite mediante il processo di acquisto in massa ai dispositivi meno recenti, ad esempio i dispositivi Windows 8. I dispositivi ricevono le applicazioni da Workspace ONE UEM attraverso il normale processo e il sistema non gestisce queste applicazioni. VMware, Inc. 101

102 Servizi Azure Active Directory Configurare i servizi Azure Active Directory in Workspace ONE UEM in modo da abilitare la comunicazione tra i sistemi. Questa configurazione consente a Workspace ONE UEM di gestire i dispositivi Windows e le applicazioni su tali dispositivi. Non è necessario disporre di un account Azure AD Premium da integrare in Microsoft Store per le aziende. Si tratta di un processo separato dalla registrazione automatica in MDM. Importante L'integrazione funziona solo quando la si configura nello stesso gruppo in cui è stato configurato Azure Active Directory Services. Account amministratore di Microsoft Store per le aziende con autorizzazioni globali Acquisire le applicazioni con un account amministratore di Microsoft Store per le aziende. Le autorizzazioni globali consentono agli amministratori di accedere a tutti i sistemi per acquisire, gestire e distribuire applicazioni. Requisiti dei modelli di licenza online Gli utenti dei dispositivi Azure Active Directory devono utilizzare Azure Active Directory per autenticarsi per i contenuti. Requisiti dei modelli di licenza offline L archiviazione di file abilitata per Workspace ONE UEM in locale archivia le applicazioni Microsoft Store per le aziende in un sistema di archiviazione file sicuro. Gli ambienti on-premise devono abilitare questa funzione nella console Workspace ONE UEM Console aggiungendo l'identificatore e il nome del tenant nella pagina dei servizi di directory. Questo requisito fa parte del processo per la configurazione dei servizi Azure Active Directory. Confrontare le funzioni dei modelli online e offline di Microsoft Store for Business Workspace ONE UEM integra i modelli online e offline di Microsoft Store per le aziende. Confrontare le funzioni disponibili per comprendere il modello più adatto alla gestione delle app in uso. VMware, Inc. 102

103 Tabella 4 3. Confronto tra i modelli online e offline - Capacità diverse Funzionalità Modello di licenza online Modello di licenza offline Controllo licenze Hosting pacchetti app Azure Active Directory Imporre limitazioni per l'app store Licenze gestite da Microsoft Store per le aziende. Gli utenti possono ricevere e richiamare le licenze al di fuori della distribuzione Workspace ONE UEM in uso. Il pacchetto app è ospitato da Microsoft Store per le aziende. Per autenticarsi, è necessario che i dispositivi utilizzino il sistema Azure Active Directory. Attivare il sistema Azure Active Directory in modo che Workspace ONE UEM e Microsoft Store per le aziende possano comunicare. I dispositivi non possono installare le applicazioni poiché la restrizione impedisce l'installazione di Microsoft Store per le aziende sul dispositivo. Licenze gestite dall'azienda. Utilizzare il modello di acquisizione delle licenze offline per controllare i pacchetti delle applicazioni e gli aggiornamenti. Questo modello offre flessibilità, ma richiede attenzione per verificare che le applicazioni siano sempre aggiornate e che le licenze vengano rinnovate. Il pacchetto app è ospitato dall'archiviazione file Workspace ONE UEM on-premise o nell'ambienta SaaS di Workspace ONE UEM. Per autenticarsi, non è necessario che i dispositivi utilizzino il sistema Azure Active Directory. Tuttavia, sarà necessario attivare il sistema Azure Active Directory affinché Workspace ONE UEM e Microsoft Store per le aziende possano comunicare. I dispositivi possono comunque installare le applicazioni, poiché i pacchetti di app sono ospitati nell'ambiente di Workspace ONE UEM. Tabella 4 4. Confronto tra i modelli online e offline - Stesse capacità Funzionalità Modello di licenza online Modello di licenza offline Livello in cui sono richiamate le licenze Riutilizzo delle licenze Le licenze richiamate da Workspace ONE UEM per l'applicazione al livello di utente. Gli amministratori possono revocare le licenze tramite Workspace ONE UEM e riutilizzarle. Le licenze richiamate da Workspace ONE UEM per l'applicazione al livello di utente. Gli amministratori possono revocare le licenze tramite Workspace ONE UEM e riutilizzarle. Configurare l integrazione dei servizi di identità Azure AD Prima di poter utilizzare Azure AD per registrare i dispositivi Windows, è necessario configurare Workspace ONE UEM per l'utilizzo di Azure come servizio di identità. L'attivazione di Azure AD è un processo in due fasi che richiede di aggiungere le informazioni di registrazione MDM in Azure. VMware, Inc. 103

104 Requisiti È necessario disporre di una sottoscrizione Premium Azure AD P1 o P2 per integrare Azure AD e Workspace ONE UEM. L'integrazione di Azure AD e Workspace ONE UEM deve essere configurata nel tenant nel quale è configurato Active Directory (ad esempio LDAP). Importante Se si sta configurando l'impostazione corrente su Sovrascrivi nella pagina delle impostazioni di sistema dei Servizi directory, le impostazioni LDAP devono essere configurate e salvate prima di abilitare Azure AD per i servizi di identità. Procedura Per configurare Azure AD per i servizi di identità 1 Passare a Gruppi e Impostazioni > Tutte le impostazioni > Sistema > Integrazione aziendale > Servizi di directory. 2 Attivare Usa Azure AD per i servizi di identità nelle impostazioni Avanzate. Una volta attivata l'opzione, prendere nota della registrazione MDM e dell'url delle condizioni per l'utilizzo di MDM poiché sono necessari durante la configurazione della directory di Azure. 3 Accedere al Portale di gestione di Azure con l'account Microsoft o con quello dell'organizzazione. 4 Selezionare la directory e passare alla scheda Mobilità (MDM e MAM). Questa scheda in precedenza si trovava nella scheda Applicazioni. 5 Selezionare Aggiungi applicazione e selezionare l applicazione AirWatch by VMware. VMware, Inc. 104

105 Si può utilizzare l'url predefinito se l'ambito dell utente viene impostato su nessuno. Se necessario, è possibile utilizzare anche degli URL come placeholder. VMware, Inc. 105

106 6 Lasciare l applicazione AirWatch by VMware nelle impostazioni predefinite. Modificare l' ambito dell utente MDM in Nessuno. 7 Selezionare di nuovo Aggiungi applicazione e poi Applicazione MDM locale. L'applicazione si può rinominare nel momento in cui viene aggiunta. 8 Configurare l'applicazione MDM locale inserendo gli URL di registrazione MDM e le condizioni di utilizzo di MDM dalla console Workspace ONE UEM. 9 Selezionare le impostazioni dell applicazione MDM locale, quindi Autorizzazioni necessarie > Active Directory Windows Azure. 10 Modificare le Autorizzazioni come segue: Autorizzazioni per l'applicazione Selezionare Lettura e scrittura dati directory. Selezionare Lettura e scrittura dispositivi. Autorizzazioni di delega Selezionare Accedere alla directory come utente autenticato. Selezionare Lettura dati directory. Selezionare Autenticazione e lettura profilo utente. 11 Selezionare le impostazioni delle Proprietà e specificare l'host dei servizi del dispositivo nella casella di testo APP ID URI. VMware, Inc. 106

107 Utilizzare lo stesso host specificato nelle caselle di testo URL di registrazione MDM e condizioni di utilizzo di MDM. Formato esempio: DS SERVER> 12 Impostare un ambito dell utente MDM su Tutti per applicare queste impostazioni a tutti gli utenti. È anche possibile limitare la configurazione guidata della registrazione ad alcuni gruppi Azure AD, selezionando Alcune e aggiungendo i gruppi preferiti. 13 Selezionare Salva per continuare. 14 Passare alla scheda Proprietà e individuare l'id Directory di Azure. Questa impostazione in precedenza era definita ID del tenant. 15 Selezionare Dettagli dell'account utente in alto a destra. Il Nome del tenant di Azure è il nome della directory Azure. È possibile trovare il nome nella scheda Domini. 16 Tornare alla console UEM e selezionare Usa Azure AD per i servizi di identità per configurare l'integrazione con Azure AD. 17 Immettere l'id della directory Azure come Identificatore del tenant. Immettere il Nome del tenant della directory di Azure come dominio predefinito. 18 Selezionare Salva per concludere il processo. VMware, Inc. 107

108 Registrare e acquisire applicazioni da Microsoft Store per le aziende per licenze offline e online Per il corretto funzionamento dell'integrazione, utilizzare un account amministratore di Azure per iscriversi allo store e attivare lo strumento di gestione di VMware Workspace ONE UEM. Consultare il portale Microsoft Store per le aziende per ottenere la documentazione più aggiornata sulla creazione dell'account amministratore di Azure. Creare un account amministratore di Azure per VMware Workspace ONE UEM Configurare un account amministratore con autorizzazioni globali nella directory predefinita di Microsoft Azure. Utilizzare questo account per acquisire applicazioni in Microsoft Store per le aziende. Non è necessario disporre di un account Azure Premium per creare un account amministratore di Microsoft Store per le aziende. 1 In Azure, passare ad Azure Active Directory dell'utente. 2 Selezionare Utenti e gruppi e + Nuovo utente. Compilare i campi pertinenti. 3 Configurare il Ruolo directory come Amministratore globale. 4 Creare una password temporanea per accedere a Microsoft Store per le aziende. Attivare VMware Workspace ONE UEM in Microsoft Store per le aziende e acquisire app Attivare lo strumento di gestione di Workspace ONE UEM in Microsoft Store per le aziende con le credenziali dell'account amministratore di Azure. Se si utilizzano le licenze offline, attivare l'acquisizione di applicazioni con licenza offline. 1 Passare a Microsoft Store per le aziende e accedere con l'account amministratore di Azure. 2 Passare a Gestisci > Impostazioni > Distribuisci > Strumenti di gestione e attivare Workspace ONE UEM dallo strumento VMware. 3 Per le licenze offline, passare a Gestisci > Impostazioni > Negozio > Esperienza di acquisto e abilitare l'opzione Mostra app concesse in licenza offline a chi effettua acquisti in negozio. 4 In Store per le aziende, aggiungere le applicazioni al proprio inventario. È possibile aggiungere applicazioni con licenza offline e online, a seconda della strategia di gestione delle licenze impiegata. Importare applicazioni Microsoft Store per le aziende Importare le applicazioni pubbliche acquisite da Windows Store per le aziende nella console Workspace ONE UEM Console. Il processo è lo stesso sia per il modello di licenza online, sia per quello offline. VMware, Inc. 108

109 Per il modello di licenza offline, si consiglia di pianificare l'importazione delle applicazioni quando la rete aziendale non è occupata. A causa del numero di applicazioni interessate, il processo di importazione può richiedere più larghezza di banda rispetto ad altri sistemi Workspace ONE UEM. 1 Passare al gruppo in cui sono stati configurati i servizi Azure Active Directory. 2 Passare a App e libri > Applicazioni > Native > Pubbliche e selezionare Aggiungi applicazione. 3 Selezionare la piattaforma, Windows Desktop o Windows Phone. 4 Selezionare Importa da BSP e scegliere Avanti. 5 Visualizzare un elenco delle applicazioni che Workspace ONE UEM importa dall'account di Microsoft Store per le aziende. Non è possibile modificare questo elenco nella console UEM. 6 Selezionare Completa. Modello di licenza offline: il sistema scarica le applicazioni nell'archivio di file remoto. Modello di licenza online: il sistema archivia le applicazioni in Microsoft Store per le aziende, in attesa dell'installazione. Download di pacchetti e aggiornamenti per il modello di licenza offline Workspace ONE UEM importa tutti i pacchetti di applicazioni e disabilita le azioni di assegnazione mentre è in corso il processo. Quando si importano nuovamente i pacchetti, ad esempio per l'aggiornamento, Workspace ONE UEM scarica solo i pacchetti modificati. Se non si limita l'utilizzo dell'app Store sui dispositivi, gli aggiornamenti delle applicazioni vengono inviati ai dispositivi da Microsoft Store per le aziende. Se si limita l'utilizzo dell'app Store sui dispositivi, importare le applicazioni aggiornate in Workspace ONE UEM. Quindi, indicare agli utenti di installare la versione aggiornata di AirWatch Catalog. Distribuire app Microsoft Store per le aziende Assegnare applicazioni pubbliche importate da Microsoft Store per le aziende per applicarle ai dispositivi con la funzionalità di distribuzione flessibile. Assegnare le licenze online e offline in base alla strategia di gestione delle licenze in uso. Per informazioni generali sulla funzionalità di distribuzione flessibile e su come specificare le priorità delle assegnazioni, e per le descrizioni delle impostazioni, vedere Utilizzare la distribuzione flessibile per assegnare le applicazioni. 1 Passare a App e libri > Applicazioni > Native > Pubbliche. 2 Selezionare l'applicazione e scegliere Assegna. VMware, Inc. 109

110 3 Compilare l'opzione Aggiungi assegnazione per aggiungere una regola. Impostazione Assegnazione - licenze Online Assegnazione - licenze Offline Distribuzione - metodo di distribuzione App Distribuzione - DLP Assegnare i gruppi all'applicazione utilizzando le licenze online. Se i dispositivi fanno parte del sistema Azure Active Directory e la distribuzione dispone di licenze online, i dispositivi riceveranno l'applicazione. Se al gruppo si assegnano licenze online e offline, il sistema dà la priorità alle licenze online. Assegnare i gruppi all'applicazione utilizzando le licenze offline. Se la distribuzione dispone di licenze offline, i dispositivi riceveranno l'applicazione. Se al gruppo si assegnano licenze online e offline, il sistema dà la priorità alle licenze online. Visualizza il metodo di distribuzione. Il metodo Su richiesta distribuisce i contenuti a un agente di distribuzione e permette all'utente del dispositivo di scegliere se e quando installarli. Configurare un profilo dispositivo con un profilo Limitazioni per impostare i criteri di Data Loss Prevention per l'applicazione. Selezionare Configura. Il sistema passa a Dispositivi > Profili. Selezionare Aggiungi > Aggiungi profiloe scegliere la piattaforma. Per Windows Desktop, selezionare Profilo dispositivo > Limitazionie abilitare le opzioni applicabili per i dati che si desidera proteggere. Per Windows Phone, selezionare Limitazioni e abilitare le opzioni applicabili per i dati che si desidera proteggere. 4 Selezionare Aggiungi e specificare le priorità delle assegnazioni, se sono presenti più regole di assegnazione. 5 Distribuire l'applicazione utilizzando Salva e pubblica. Per ulteriori informazioni sull'integrazione di Workspace ONE UEM e Microsoft Store per le aziende, consultare Microsoft Store per le aziende e Workspace ONE UEM. Sincronizzare e recuperare licenze per applicazioni Microsoft Store fper le aziende Sincronizzare le licenze online e offline mediante la visualizzazione dettagli dell'app e visualizzare gli utenti corrispondenti. Per qualsiasi recupero, riassegnare le licenze. VMware, Inc. 110

111 Sincronizzare le licenze per visualizzare gli utenti e le licenze richiamate Quando si assegnano le applicazioni Microsoft Store per le aziende ai dispositivi, il processo di assegnazione richiama le licenze corrispondenti prima che il sistema avvii l'installazione dell'applicazione. Utilizzare la visualizzazione dettagli per vedere l'elenco di dispositivi utente e le licenze richiamate associate. Passare a App e libri > Applicazioni > Visualizzazione elenco > Pubblici/che e selezionare l'applicazione Microsoft Store per le aziende. Questa azione consente di visualizzare la visualizzazione dettagli. In questa visualizzazione, utilizzare Sincronizza licenze per importare l'elenco di utenti corrispondenti alle licenze richiamate. Per visualizzare le licenze richiamate, selezionare la scheda Licenze. Nota Workspace ONE UEM importa anche le associazioni di licenza quando si seleziona l'opzione Importa da BSP all'importazione iniziale delle applicazioni Microsoft Store for Business. Questa sincronizzazione non viene eseguita contemporaneamente alla sincronizzazione del pacchetto. Richiamare le licenze È possibile richiamare e riutilizzare le licenze visualizzate nella scheda Licenze eliminando l'assegnazione dell'applicazione per il dispositivo dell'utente. Workspace ONE UEM include diversi metodi per eliminare le assegnazioni. L'eliminazione comporta la rimozione dell'applicazione dal dispositivo. Tabella 4 5. Metodi per richiamare le licenze Metodo Visualizzazione dettagli Dispositivo Gruppo Gruppo di assegnazione Utente Selezionare la funzione Elimina applicazione nella visualizzazione dettagli dell'applicazione. Questa azione rimuove l'applicazione dai dispositivi nei gruppi assegnati all'applicazione. Eliminare il dispositivo applicabile dalla console. Eliminare il gruppo. Questa azione ha effetto su tutti gli asset e i dispositivi nel gruppo. Eliminare il gruppo utenti o smart assegnato all'applicazione. Questa azione ha effetto su tutti i dispositivi nel gruppo. Eliminare l'account utente applicabile dalla console. VMware, Inc. 111

112 Applicazioni acquistate - Volume Purchase Program (VPP) 5 Per distribuire applicazioni pubbliche e applicazioni Business To Business (B2B) personalizzate alle grandi distribuzioni di dispositivi Apple ios e macos, occorre integrare il programma Volume Purchase Program (VPP) di Apple e Workspace ONE UEM. Apple VPP consente alle aziende di acquistare applicazioni pubbliche e distribuirle. Qualsiasi applicazione acquistabile tramite l'app Store è anche disponibile per l'acquisto in massa al prezzo attuale. Le applicazioni B2B personalizzate possono essere gratuite oppure acquistate a un prezzo stabilito dallo sviluppatore. Se l'organizzazione utilizza app pubbliche gratuite raccolte attraverso il programma VPP di Apple, Workspace ONE UEM può distribuire anche queste applicazioni. Consulta Volume Purchase Program per le aziende e Volume Purchase Program per l'istruzione sul sito web di Apple per informazioni sulla disponibilità nei vari paesi e per altri dettagli. Nozioni di base sulle applicazioni acquistate Per una panoramica generale relativa alla procedura per acquistare applicazioni da Apple e per aggiungere e distribuire applicazioni VPP alla console, vedere Distribuire il Volume Purchase Program. Apple offre svariati metodi di distribuzione delle app VPP. Il sistema operativo, il tipo di contenuti e il metodo di distribuzione sono correlati. Per una matrice che descrive i metodi di distribuzione VPP disponibili per tipo di contenuto e versione del sistema operativo, vedere Contenuti supportati per le applicazioni acquistate. Metodi di distribuzione delle applicazioni VPP Gestione distribuita in base al numero di serie dei dispositivi: se la distribuzione VPP è composta da dispositivi ios 9 o macos e versioni successive, è possibile assegnare le applicazioni VPP in base al numero di serie del dispositivo. Questo metodo offre alcuni vantaggi in termini di gestione, fra cui il fatto di non dover gestire gli ID Apple e la possibilità di riutilizzare le licenze. Per ulteriori informazioni, vedere Gestione distribuita in base al numero di serie dei dispositivi. Per informazioni sull'abilitazione degli aggiornamenti automatici per le applicazioni VPP basate su dispositivi, consultare Aggiornare manualmente o automaticamente le applicazioni VPP basate sui dispositivi e Difficoltà di aggiornamento delle applicazioni VPP basate sui dispositivi. VMware, Inc. 112

113 Gestione distribuita in base agli Apple ID: il modello di distribuzione gestita tramite gli ID Apple utilizza i token di servizio (chiamati anche stoken) per recuperare i contenuti VPP e distribuirli ai dispositivi utilizzando la console Workspace ONE UEM Console. Questo metodo permette di riutilizzare le licenze. Consulta Completare tutte le attività di distribuzione gestita mediante ID Apple per una panoramica dei passaggi per utilizzare questo metodo di distribuzione. Metodo di distribuzione con codice di riscatto: il metodo di distribuzione del codice di riscatto utilizza i codici contenuti in un foglio di calcolo per recuperare i contenuti VPP e distribuirli ai dispositivi utilizzando la console UEM. Utilizzare questo metodo, se la distribuzione consiste di dispositivi che eseguono ios 6 o versioni precedenti. Per una descrizione dei passaggi per caricare il foglio di calcolo dei codici riscatto e distribuire le applicazioni VPP ai dispositivi, vedere Completare tutte le attività per distribuire i codici di riscatto. Distribuire app B2B personalizzate con VPP È possibile distribuire le app B2B personalizzate acquistate tramite il programma VPP, tuttavia la capacità di gestire tali applicazioni dipende dal fatto che si distribuiscano codici riscatto o si impieghi la distribuzione gestita. Per ulteriori dettagli, vedere Applicazioni B2B personalizzate e VPP di Apple. Questo capitolo include i seguenti argomenti: Volume Purchase Program (VPP) in Workspace ONE UEM Contenuti supportati per le applicazioni acquistate Distribuire il Volume Purchase Program Metodo del codice di riscatto Gestione distribuita in base agli Apple ID Applicazioni B2B personalizzate e VPP di Apple Gestione distribuita in base al numero di serie dei dispositivi Volume Purchase Program (VPP) in Workspace ONE UEM Per distribuire applicazioni pubbliche e applicazioni Business To Business (B2B) personalizzate ai dispositivi Apple ios e macos, occorre integrare il programma Volume Purchase Program (VPP) di Apple e Workspace ONE UEM. Apple VPP consente alle aziende di acquistare applicazioni pubbliche e distribuirle. Qualsiasi applicazione acquistabile tramite l'app Store è anche disponibile per l'acquisto in massa al prezzo attuale. Le applicazioni B2B personalizzate possono essere gratuite oppure acquistate a un prezzo stabilito dallo sviluppatore. Se l'organizzazione utilizza app pubbliche gratuite raccolte attraverso il programma VPP di Apple, Workspace ONE UEM può distribuire anche queste applicazioni. Vedere il sito Web di Apple per la disponibilità nei vari paesi e altri dettagli. Apple offre due programmi, ovvero Volume Purchase Program for Business e Volume Purchase Program for Education. VMware, Inc. 113

114 Contenuti supportati per le applicazioni acquistate Workspace ONE UEM supporta i tipi di contenuti indicati nella sezione delle app acquistate. Il livello di gestione varia a seconda del metodo usato per ottenere i contenuti e della piattaforma. La tabella descrive il supporto per sistema operativo, tipo di acquisizione e metodo di acquisizione, distribuzione gestita (DG) o codici di riscatto (CR). Le lettere DB rappresentano i sistemi che possono recuperare applicazioni senza Apple ID e una X rappresenta l'assenza di supporto. Tabella 5 1. Contenuti acquistati e versione del sistema operativo supportato dalla piattaforma App App Sistema App pubbliche App pubbliche B2B personalizzate B2B personalizzate operativo App App App App Apple ios 7.x - 8.x DG e CR DG e CR DG e CR DG e CR Apple ios 9 o versione successiva DG, CR e DB DG, CR e DB DG e CR DG e CR macos DG DG X X macos o versioni successive DG e DB DG e DB X X Distribuire il Volume Purchase Program Per acquistare e distribuire contenuti con il Volume Purchase Program (VPP) di Apple, registrarsi e acquisire contenuti nel sito VPP e quindi utilizzare Workspace ONE UEM per distribuirli. Procedura 1 Registrazione VPP - Registrarsi nel programma e verificare con Apple la validità dell'azienda richiedente. 2 Acquisto di contenuti - Acquistare applicazioni in massa attraverso il sito Web VPP. 3 Distribuzione delle applicazioni - Distribuire gli asset alla flotta di dispositivi utilizzando i codici di riscatto o i file token del servizio di distribuzione gestito (stoken). Metodo del codice di riscatto Gestione distribuita in base agli Apple ID Applicazioni B2B personalizzate e VPP di Apple Gestione distribuita in base al numero di serie dei dispositivi Metodo del codice di riscatto Questo metodo utilizza i codici di riscatto per l'assegnazione di contenuti ai dispositivi, ma non supporta la revoca dei codici dai dispositivi Apple ios. Una volta che il codice di riscatto è stato utilizzato, non può essere utilizzato nuovamente. Inoltre, Workspace ONE UEM non può eliminare dai dispositivi i contenuti acquistati con i codici di licenza. VMware, Inc. 114

115 I dispositivi precedenti ad Apple ios 7 dovranno utilizzare questo metodo per l'acquisto dei contenuti VPP, perché la distribuzione gestita non è disponibile per i sistemi meno recenti. Non è possibile utilizzare i codici di riscatto per i sistemi macos. Completare tutte le attività per distribuire i codici di riscatto Per la distribuzione corretta dei contenuti Volume Purchase Program (VPP) di Apple agli utenti finali, eseguire tutti i passaggi del processo di distribuzione. In cambio, gli utenti finali devono completare tutti i passaggi sui propri dispositivi per ricevere i contenuti VPP. Procedura 1 Gli amministratori inviano contenuti VPP agli utenti finali a b c Acquistare le applicazioni e scaricare il foglio di calcolo dei codici di riscatto dall'itunes Store di Apple. Caricare il foglio di calcolo in Workspace ONE UEM. Allocare i codici di riscatto ai gruppi e ai gruppi smart nella console Workspace ONE UEM Console, quindi salvare le impostazioni. 2 Gli utenti finali riceveranno i contenuti. a Ottenere un codice riscatto da Workspace ONE UEM. Questo passaggio avviene automaticamente quando l'amministratore pubblica i contenuti. b Installare i contenuti dal catalogo. Caricare un foglio di calcolo con i codici di riscatto È possibile utilizzare Workspace ONE UEM per gestire e distribuire applicazioni e libri acquistati attraverso il VPP per i dispositivi Apple ios. Apple impiega servizi Web per gestire i codici di riscatto. Perché la console Workspace ONE UEM Console possa accedere ai servizi Web di Apple, è prima necessario caricare il foglio di calcolo dei codici di riscatto. itunes utilizza Adam ID, identificatori di oggetti, per automatizzare le connessioni ai contenuti. Se il foglio di calcolo contiene un Adam ID, non è necessario individuare le applicazioni e i libri nell'app Store. Per le applicazioni B2B personalizzate, l'adam ID consente a Workspace ONE UEM di aggiornare automaticamente gli ID delle applicazioni nella console UEM. Procedura 1 Andare su App e libri > Applicazioni > Ordini o App e libri > Libri > Ordini. 2 Selezionare Aggiungi o Ordina per aggiungere un foglio di calcolo con i codici di riscatto. 3 Selezionare Applicazione pubblica acquistata o Applicazione personalizzata acquistata (B2B personalizzato) per le applicazioni. Questa opzione non è disponibile per i libri. VMware, Inc. 115

116 4 Scegliere Seleziona file per caricare il file CSV oppure XLS scaricato dal portale Apple. Questa azione crea l'ordine. 5 Selezionare Salva per procedere al modulo di selezione del prodotto. 6 Trovare il prodotto appropriato e fare clic su Seleziona per completare il caricamento del foglio di calcolo. Se il foglio di calcolo contiene un Adam ID, Workspace ONE UEM non visualizza questo passaggio. Se il foglio di lavoro contiene un Adam ID, non è necessario individuare il prodotto. Se il foglio di calcolo contiene un Adam ID, Workspace ONE UEM aggiunge automaticamente le applicazioni e i libri dall'app Store. Gli Adam ID sono specifici di itunes, sono componenti di Apple Search API e sono univoci per ogni applicazione. Se il foglio di calcolo dei codici di riscatto di Apple VPP contiene codici per più applicazioni o libri, Workspace ONE UEM elenca diversi prodotti in questo modulo. È possibile selezionarne solo uno per ogni ordine. Assegnare contenuti agli utenti È necessario attivare la console Workspace ONE UEM Console per l'assegnazione di codici di riscatto a utenti e dispositivi. Selezionare i gruppi e i gruppi smart adatti ai quali verranno assegnati i codici di riscatto. 1 Passare al gruppo in cui è stato aggiornato il foglio di lavoro con il codice di riscatto. 2 Passare ad App e libri > Applicazioni > Native > Acquistate. 3 Selezionare l'applicazione che si desidera assegnare. VMware, Inc. 116

117 4 Nella scheda Assegnazione ordini compilare le opzioni seguenti. Tabella 5 2. Assegnazione ordini nella scheda opzioni - Generali Impostazione Codici di riscatto in sospeso Profilo SDK Aggiungi assegnazione in base a Inserisci il numero di codici di riscatto che desideri lasciare in sospeso. Utilizzare questa opzione per salvare i codici di riscatto per un uso successivo. Se si utilizza la funzionalità dell'sdk di AirWatch, assegnare un profilo SDK all'applicazione. Assegnare i codici di riscatto ai gruppi o gruppi smart. Gruppo - Allocare i codici di riscatto a un gruppo. Selezionare Tutti gli utenti per includere tutti gli utenti nel gruppo oppure scegliere Utenti selezionati per visualizzare un elenco di utenti nel gruppo. Utilizzare i pulsanti Aggiungi e Rimuovi per selezionare gli utenti specifici che riceveranno l'applicazione. Gruppo smart - Assegnare i codici di riscatto di un gruppo smart digitando il nome del gruppo. Saranno mostrate le opzioni e sarà possibile selezionare il gruppo smart appropriato dall'elenco. È possibile creare un nuovo gruppo smart, se necessario. È possibile applicare i codici di riscatto ai gruppi e ai gruppi smart contemporaneamente. Tuttavia, è possibile specificare solo gli utenti appartenenti a un gruppo configurato come Cliente. Non è possibile specificare gli utenti per i gruppi smart. È comunque possibile modificare il gruppo smart in modo che contenga gli utenti necessari. Verificare le informazioni nelle seguenti colonne per ogni regola di assegnazione: Utenti - Visualizzare il numero di utenti per l'ordine. Allocati - Inserire il numero di licenze da allocare agli utenti selezionati. Non superare il numero totale nell'ordine. Riscattato - Visualizza il numero di eventuali licenze già riscattate. Tabella 5 3. Assegnazione ordini nella scheda opzioni - Distribuzione Impostazione Tipo assegnazione Su richiesta Distribuisce contenuti di un catalogo o di un altro agente delle distribuzione e permette che l'utente del dispositivo scelga se e quando installarli. Questa è l'opzione migliore per i contenuti che non sono fondamentali per l'organizzazione. Permettere agli utenti di scaricare i contenuti quando vogliono consente anche di risparmiare larghezza di banda e limita il traffico non necessario. VMware, Inc. 117

118 Tabella 5 3. Assegnazione ordini nella scheda opzioni - Distribuzione (Continua) Impostazione Automatico Distribuisce contenuti di un catalogo o di un altro hub delle distribuzione su un dispositivo, al momento della registrazione. Una volta registrati i dispositivi, il sistema richiede agli utenti di installare i contenuti. Questa è la scelta migliore per i contenuti di importanza critica per l'organizzazione e i relativi utenti mobili. È possibile usare solo Su richiesta per applicazioni B2B personalizzate acquisite mediante codici di riscatto. Se Tipo assegnazione è impostato su Automatico, solo i dispositivi Apple ios 7 o versione successiva idonei riceveranno automaticamente l'applicazione o il libro. Rimuovi ad annullamento registrazione Impedisci backup delle applicazioni Rendi gestita l'app MDM se installata dall'utente Impostare la rimozione dell'applicazione da un dispositivo quando il dispositivo annulla la registrazione da Workspace ONE UEM. Workspace ONE UEM abilita questa opzione per impostazione predefinita. Se si sceglie di abilitare questa opzione, i dispositivi controllati sono limitati dall'installazione silenziosa dell'app perché il dispositivo è bloccato e l'installazione del profilo di provisioning viene messo nella coda dei comandi che richiede lo sblocco del dispositivo per completare l'installazione. Se si sceglie di disabilitare questa opzione, non viene eseguito il push dei profili di provisioning insieme all'applicazione installata. Ovvero, se il profilo di provisioning viene aggiornato, il nuovo profilo di provisioning non viene distribuito automaticamente ai dispositivi. In questi casi, è necessaria una nuova versione dell'applicazione con il nuovo profilo di provisioning. Rimuovere un'applicazione quando un dispositivo non è più registrato non consente di recuperare il codice riscattato. Quando viene installata, l'applicazione viene associata all'account dell'app Store dell'utente. Impedire il backup dei dati delle applicazioni su icloud. In ogni caso, l'applicazione può comunque eseguire il back-up su icloud. Ottenere la gestione delle applicazioni, controllate e non, installate precedentemente dagli utenti sui loro dispositivi. Abilitare questa funzione in modo che gli utenti non debbano eliminare la versione dell'app installata sul dispositivo. Workspace ONE UEM gestisce le applicazioni senza bisogno di installare la versione di AirWatch Catalog sul dispositivo. VMware, Inc. 118

119 Tabella 5 3. Assegnazione ordini nella scheda opzioni - Distribuzione (Continua) Impostazione Utilizza la VPN Invia configurazione applicazione Configurare una VPN al livello dell'applicazione e selezionare il Profilo VPN per-app. Gli utenti accedono all'applicazione usando una VPN che garantisce che l'accesso e l'uso delle applicazioni sono attendibili e sicuri. Inviare le configurazioni delle applicazioni ai dispositivi Apple ios, in modo che gli utenti non debbano configurare i valori specificati. 5 Selezionare Salva una volta completata l'allocazione dei codici. Le configurazioni dell'applicazione sono coppie chiave-valore specifiche del fornitore che è possibile distribuire con un'applicazione per eseguirne la preconfigurazione per gli utenti. Informazioni sui codici di riscatto Accedere alle informazioni sui codici di riscatto per gestire e monitorare le distribuzioni VPP. Per accedere agli ordini delle applicazioni acquistate tramite codici di riscatto, passare a App e libri > Ordini > Codici di riscatto. Visualizzare lo stato di disponibilità del codice. Tabella 5 4. Stato descrizioni dei codici di riscatto Stato Disponibile Riscattato esternamente Riscattato Non disponibile Identifica un codice chiave disponibile, da usare per distribuire i contenuti acquistati. È possibile rendere questo codice non disponibile oppure eliminarlo. Identifica un codice chiave che è stato assegnato e riscattato al di fuori del sistema Workspace ONE UEM Purchased (VPP). Non è possibile eseguire azioni per questo codice. Identifica un codice chiave che è stato assegnato e riscattato all'interno del sistema Workspace ONE UEM Purchased (VPP). È possibile rendere questo codice non disponibile oppure eliminarlo. Identifica un codice chiave reso esplicitamente non disponibile per vari motivi. I motivi includono la separazione dei codici che si desidera salvare per gli utenti che potrebbero non essere inclusi nella distribuzione Workspace ONE UEM. Visualizzare ogni codice di riscatto e il numero dell'ordine. Visualizzare la data di riscatto del codice di riscatto. Visualizzare a chi è stato assegnato il codice. Eliminare un codice di riscatto. VMware, Inc. 119

120 Gestione distribuita in base agli Apple ID Questo metodo utilizza i file token di servizio, chiamati anche stoken, per autenticare le assegnazioni. Consente di assegnare codici di licenza agli Apple ID per allocare contenuti ai dispositivi e supporta la revoca e il riciclo di tali codici di licenza. Introduzione Il sistema di distribuzione gestita di Apple si integra con Workspace ONE UEM, consentendo di distribuire le applicazioni e i libri gratuiti e acquistati tramite il Volume Purchase Program (VPP). Il modello di distribuzione gestita utilizza i token di servizio (chiamati anche stoken) per recuperare i contenuti VPP e distribuirli ai dispositivi utilizzando la console Workspace ONE UEM Console. Revocare licenze di distribuzione gestite Workspace ONE UEM consente di revocare le licenze per le applicazioni ma non per i libri Completare tutte le attività di distribuzione gestita mediante ID Apple Per la distribuzione corretta dei contenuti VPP agli utenti finali, eseguire tutti i passaggi del processo di distribuzione. In cambio, gli utenti finali devono completare tutti i passaggi sui propri dispositivi per ricevere i contenuti VPP. Gli utenti che dispongono di più dispositivi ios devono selezionare e applicare un unico Apple ID per tutti i dispositivi. Se gli amministratori rendono disponibili contenuti su richiesta, gli utenti possono accettare l'invito ad aderire al programma VPP. Potranno installare i contenuti del catalogo in qualsiasi dispositivo in loro possesso. Procedura 1 Gli amministratori inviano contenuti VPP agli utenti finali a b Acquistare contenuti e scaricare l'stoken dall'itunes Store di Apple. Caricare il stoken in Workspace ONE UEM. È possibile utilizzare più stoken all'interno della gerarchia Workspace ONE UEM, ma in ogni gruppo può essere presente un unico stoken. c Sincronizzare le licenze per visualizzare i contenuti in Console. VMware, Inc. 120

121 d Aggiungi l'id del pacchetto per le app B2B personalizzate. Questa azione attiva la gestione. Questo passaggio non è necessario per le applicazioni e i libri non B2B. e Allocare licenze e assegnare licenze ai gruppi smart, quindi abilitare le applicazioni idonee per l'assegnazione basata sul dispositivo, se possibile. Pubblicare quindi in contenuto della distribuzione gestita con la funzionalità di distribuzione flessibile. La pubblicazione dei contenuti attiva l'inoltro di inviti agli utenti finali i cui contenuti sono collegati ai rispettivi ID Apple. 2 Gli utenti finali accettano gli inviti e ricevono contenuti. a Accettare l'invito e iscriversi al VPP di Apple. Per l'utilizzo basato sui dispositivi, questo passaggio non è necessario. Questo passaggio assicura che gli utenti soddisfino le condizioni del contratto per partecipare al programma. b Ottenere la licenza da Workspace ONE UEM. Questo passaggio avviene automaticamente quando l'amministratore pubblica i contenuti. c Installare i contenuti dal catalogo. Caricare stoken VPP per recuperare contenuti e licenze di distribuzione gestita Apple impiega servizi Web per gestire i codici di licenza. La console Workspace ONE UEM Console accede ai servizi Web di Apple con il token di servizio, o stoken, caricato nella console. Workspace ONE UEM recupera i contenuti VPP con i dati di licenza nell'stoken. È possibile caricare un stoken a livello del cliente principale e ai livelli inferiori. Il sistema Workspace ONE UEM richiede di registrare l'stoken, in modo che lo stesso Workspace ONE UEM possa rilevare se è in uso in altri ambienti. Procedura 1 Passare a Gruppi e impostazioni > Tutte le impostazioni > Dispositivi e utenti > Apple > Distribuzione gestita VPP. VMware, Inc. 121

122 2 Configura le seguenti impostazioni. Impostazione Digitare l'id dell'account VPP. Utilizzare l'id dell'account VPP come descrizione offre diversi vantaggi. Se si utilizzano più stoken, consente di identificare l'account corretto. Ricorda l'account corretto quando si rinnova l'stoken. Consente di identificare l'account corretto per chi, nell'organizzazione, prende in carico la gestione dell'account VPP. Caricamento dell'stoken Nazione Selezionare Carica per passare all'stoken sulla rete. Gli account VPP di Apple School Manager ed Apple Business Manager possono ora essere associati a posizioni per consentire lo spostamento di licenze da un account VPP a un altro. Se viene caricato un stoken associato a una posizione, viene visualizzato il nome della posizione in Console. Selezionare dove Workspace ONE UEM dovrà convalidare l'stoken. Questo valore rispecchia la regione da cui sono stati acquistati i contenuti e assicura che Workspace ONE UEM carichi le versioni corrette degli acquisti. Quando si sincronizzano le licenze, Workspace ONE UEM estrae la versione della regione corretta dei contenuti. Se Workspace ONE UEM non riesce a trovare i contenuti nell'app Store dalla regione inserita, Workspace ONE UEM cercherà automaticamente in itunes App Store per gli Stati Uniti. VMware, Inc. 122

123 Impostazione Inviare automaticamente gli inviti Modello di messaggio Inviare gli inviti a tutti gli utenti subito dopo aver salvato il token. L'invito richiede agli utenti di aderire e iscriversi al VPP di Apple. La registrazione offre agli utenti l'accesso alle condizioni per l'utilizzo da accettare per partecipare al programma. Utilizzare l'opzione Anteprima messaggio per controllare l'invito. Se l'ambiente include applicazioni VPP impostate su Tipo assegnazione, Automatico, Workspace ONE UEM invia gli inviti a prescindere da come si configura questa opzione. Questo comportamento facilita l'accesso veloce alle applicazioni durante la registrazione. Quando si attiva questa opzione, Workspace ONE UEM invia automaticamente un invito ai dispositivi Apple ios v7.0.3 o versione successiva e macos 10.9 o versione successiva (se supportato). Non invia un messaggio . Non è necessario attivare questa opzione immediatamente. È possibile mantenerla disattivata e caricare comunque il token. Questa funzione può essere abilitata in un secondo momento per inviare inviti agli utenti di tutti i dispositivi registrati che non hanno ancora accettato di iscriversi al VPP. Disabilitare questa casella di controllo in caso di sistema VPP basato sui dispositivi, poiché gli inviti non sono necessari. Se si assegna un dispositivo VPP basato sui dispositivi a una normale app VPP (un'app VPP basata sull'utente), i dispositivi ricevono comunque gli inviti. Selezionare un modello per inviare un messaggio di invito ai dispositivi Apple ios dalla versione ios v7.0.0 alla v Salvare l'stoken e confermare l'aggiunta del token. Rinnovare gli stoken prima della scadenza Gli stoken di distribuzione gestita sono validi per 12 mesi. Rinnovare gli stoken prima che scadano per evitare interruzioni durante la distribuzione. Se il token scade, non è possibile eseguire attività di gestione. Sincronizzare nuove licenze di distribuzione gestita. Inviare inviti per l'adesione al VPP. Assegnare ed eseguire il push di applicazioni della distribuzione gestita a nuovi dispositivi registrati. Revocare licenze di distribuzione gestita (il sistema non consente di revocare licenze per i libri). Se un token scade, Workspace ONE UEM non revoca le licenze di distribuzione gestita assegnate precedentemente ai dispositivi già registrati ad Workspace ONE UEM. VMware, Inc. 123

124 Procedura 1 Passare al gruppo in cui si trovano gli stoken. 2 Passare a Gruppi e impostazioni > Tutte le impostazioni > Dispositivi e utenti > Apple > Distribuzione gestita VPP. 3 Selezionare Rinnova, quindi cercare in rete l'stoken rinnovato da caricare. 4 Salvare le impostazioni. Cancellare stoken Cancellare gli stoken per rimuoverli da Workspace ONE UEM Console. Cancellare gli stoken se non sono mai stati utilizzati per distribuire contenuti o se sono scaduti. Procedura 1 Passare al gruppo applicabile. 2 Passare a Gruppi e impostazioni > Tutte le impostazioni > Dispositivi e utenti > Apple > Distribuzione gestita VPP. 3 Selezionare Cancella e seguire le istruzioni visualizzate. Eliminando gli stoken, le applicazioni acquistate per il tuo account VPP vengono disinstallate da tutti i dispositivi assegnati e le licenze vengono revocate. Tutte le applicazioni acquistate utilizzando il stoken non saranno disponibili per l'assegnazione. Sincronizzare contenuti della distribuzione gestita Workspace ONE UEM offre due metodi per sincronizzare i contenuti della distribuzione gestita: per asset e per licenza. La funzione per asset sincronizza i metadati in un stoken e le informazioni sulle licenze richieste. La funzione per licenza sincronizza le informazioni per un singolo asset. Questa opzione è utile per gli stoken che contengono migliaia di licenze, quando si desidera sincronizzare solo le licenze applicate a un singolo asset. Procedura Sincronizzare asset a b Accedere al gruppo in cui è stato caricato l'stoken. Passare a una delle seguenti aree. App e libri > Applicazioni > Native > Acquistate App e libri > Libri > Visualizzazione elenco > Acquistati c Selezionare Sincronizza asset. VMware, Inc. 124

125 d e Confermare per registrare un stoken con Workspace ONE UEM, se applicabile. Il sistema richiede la registrazione se rileva che un stoken è in uso in un altro ambiente. Per verificare che la sincronizzazione sia stata completata, aggiornare lo schermo. Workspace ONE UEM sincronizza i metadati degli asset acquistati e, se sono state richieste licenze, sincronizza gli asset delle licenze richieste. Workspace ONE UEM rende inaccessibili le funzioni di sincronizzazione fino al completamento della riconciliazione. Sincronizza licenze a b Accedere al gruppo in cui è stato caricato l'stoken. Passare a una delle seguenti aree. App e libri > Applicazioni > Native > Acquistate App e libri > Libri > Visualizzazione elenco > Acquistati c Selezionare la casella di controllo corrispondente all'asset, quindi selezionare l'opzione Sincronizza licenze dal menu Azioni. Configurare e assegnare licenze con la distribuzione flessibile Per recuperare i dati nell'stoken, Workspace ONE UEM si sincronizza con i servizi Web Apple, quindi può visualizzare i contenuti per l'assegnazione e la distribuzione. Workspace ONE UEM distribuisce le licenze a livello di gruppo smart e pubblica i contenuti quando si salva una regola di assegnazione nella funzionalità di distribuzione flessibile. L'opzione Abilita l'assegnazione del dispositivo viene visualizzata per le applicazioni adatte alla distribuzione in base al numero di serie del dispositivo. Per informazioni sul metodo di distribuzione basato sul dispositivo, vedere Gestione distribuita in base al numero di serie dei dispositivi. Per informazioni sulla distribuzione flessibile e su come impostare le priorità delle regole di assegnazione, vedere Distribuzione flessibile per le descrizioni di impostazione delle applicazioni. Assegnare contenuti ai gruppi e pubblicarli con la distribuzione flessibile È possibile assegnare ai gruppi smart contenuti acquisiti tramite il Volume Purchase Program (VPP) di Apple con codici della distribuzione gestita. 1 Passare a App e libri > Applicazioni > Native > Acquistate 2 Selezionare l'applicazione e facoltativamente le licenze sospese, quindi applicare un profilo SDK. Impostazione Licenze in sospeso Profilo SDK Specificare il numero di licenze che si desidera sospendere. Utilizzare questa impostazione per salvare i codici della distribuzione gestita per un uso successivo. Non è necessario inserire un valore. Se si utilizza la funzionalità dell'sdk di AirWatch, assegnare un profilo SDK all'applicazione. 3 Selezionare Salva e assegna per passare alla sezione dedicata alla distribuzione flessibile. Aggiungere le regole di assegnazione di cui si desidera impostare la priorità. VMware, Inc. 125

126 4 Nella scheda Assegnazioni, selezionare Aggiungi assegnazione e compilare le opzioni. Impostazione Aggiungi assegnazione in base a Selezionare Codici licenza in base al gruppo smart e assegnare i codici della distribuzione gestita. Assegnare i codici a un gruppo smart digitando il nome del gruppo. Saranno mostrate le opzioni e sarà possibile selezionare il gruppo smart appropriato dall'elenco. Se necessario, è anche possibile creare un nuovo gruppo smart. Utenti o dispositivi - Visualizzare il numero di utenti per l'ordine. Allocati - Inserire il numero di licenze da allocare agli utenti selezionati. Non superare il numero totale nell'ordine. Riscattato - Visualizza il numero di eventuali licenze già riscattate. Tipo assegnazione Su richiesta Distribuisce contenuti di un catalogo o di un altro agente delle distribuzione e permette che l'utente del dispositivo scelga se e quando installarli. Questa è l'opzione migliore per i contenuti che non sono fondamentali per l'organizzazione. Permettere agli utenti di scaricare i contenuti quando vogliono consente anche di risparmiare larghezza di banda e limita il traffico non necessario. Automatico Distribuisce contenuti di un catalogo o di un altro hub delle distribuzione su un dispositivo, al momento della registrazione. Una volta registrati i dispositivi, il sistema richiede agli utenti di installare i contenuti. Questa è la scelta migliore per i contenuti di importanza critica per l'organizzazione e i relativi utenti mobili. Se Tipo assegnazione è impostato su Automatico, al momento della Pubblicazione Workspace ONE UEM invia un invito ai dispositivi Apple ios e macos L'invito permette agli utenti di iscriversi al VPP di Apple. Rimuovi ad annullamento registrazione Impedisci backup delle applicazioni Rendi gestita l'app MDM se installata dall'utente Apple ios Utilizza la VPN Invia configurazione applicazione Impostare la rimozione dell'applicazione da un dispositivo quando il dispositivo annulla la registrazione da Workspace ONE UEM. Workspace ONE UEM abilita questa opzione per impostazione predefinita. Se si sceglie di abilitare questa opzione, i dispositivi controllati sono limitati dall'installazione silenziosa dell'app perché il dispositivo è bloccato e l'installazione del profilo di provisioning viene messo nella coda dei comandi che richiede lo sblocco del dispositivo per completare l'installazione. Se si sceglie di disabilitare questa opzione, non viene eseguito il push dei profili di provisioning insieme all'applicazione installata. Ovvero, se il profilo di provisioning viene aggiornato, il nuovo profilo di provisioning non viene distribuito automaticamente ai dispositivi. In questi casi, è necessaria una nuova versione dell'applicazione con il nuovo profilo di provisioning. Impedire il backup dei dati delle applicazioni su icloud. In ogni caso, l'applicazione può comunque eseguire il back-up su icloud. Consente di assumere la gestione delle applicazioni, controllate e non, installate precedentemente dagli utenti sui loro dispositivi. Abilitare questa funzione in modo che gli utenti non debbano eliminare la versione dell'app installata sul dispositivo. Workspace ONE UEM gestisce le app senza dover installare la versione di AirWatch Catalog nel dispositivo. Configurare una VPN al livello dell'applicazione e selezionare il Profilo VPN per-app. Gli utenti accedono all'applicazione usando una VPN che garantisce che l'accesso e l'uso delle applicazioni sono attendibili e sicuri. Inviare le configurazioni delle applicazioni ai dispositivi. VMware, Inc. 126

127 5 Seleziona Salva. 6 Se sono presenti più regole di assegnazione, utilizzare le opzioni Sposta su e Sposta giù per ordinare le assegnazioni. Posizionare le assegnazioni critiche in cima all'elenco. Questa configurazione viene mostrata come Priorità. 7 Selezionare Salva e pubblica. Metodi per la revoca dei codici della distribuzione gestita Workspace ONE UEM offre vari modi per revocare i codici della distribuzione gestita in modo che sia possibile riutilizzarli. È possibile revocare i codici manualmente. Il sistema revoca automaticamente i codici in risposta all'eliminazione o all'annullamento dell'assegnazione di un altro componente del sistema, ad esempio gruppi, stoken e gruppi smart. Ecco i metodi disponibili per revocare i codici della distribuzione gestita e riutilizzarli. Tabella 5 5. Descrizioni dei metodi di revoca Revoca Metodo Gruppo Utente Manuale Asset VPP stoken Annulla l'assegnazione Gruppo smart Eliminare un gruppo e Workspace ONE UEM renderà disponibili i codici di distribuzione perché siano riutilizzati. Annulla la registrazione di tutti i dispositivi di un utente. Se un altro dispositivo non utilizza un codice di distribuzione gestita non assegnato, la console di Workspace ONE UEM Console lo revoca in modo che sia disponibile per essere riutilizzato. Revocare la licenza manualmente dal dispositivo. È possibile utilizzare il metodo manuale solo per i codici che vengono riscattati da un sistema esterno. È utile per adottare questi codici in Workspace ONE UEM. Eliminare gli asset VPP dalla console UEM. Dopo l'eliminazione, il codice è disponibile per il riutilizzo dopo l'esecuzione dell'attività di pianificazione. Eliminare l'stoken. Workspace ONE UEM rende disponibili per il riutilizzo tutti i codici associati. Annullare l'assegnazione di un asset a un utente. Se la licenza non è utilizzata da altri utenti, Workspace ONE UEM revoca il codice di distribuzione. Eliminare un utente di un dispositivo della distribuzione gestita da un gruppo smart. Se la licenza non è utilizzata da altri utenti, Workspace ONE UEM revoca il codice di distribuzione. Workspace ONE UEM rende i codici immediatamente disponibili dopo la revoca oppure a intervalli pianificati a seconda dell'intervallo impostato nell'attività di pianificazione, Licenze revocate VPP. L'attività di pianificazione è disponibile in Gruppi e impostazioni > Tutte le impostazioni > Amministratore > Pianificatore. Informazioni sulla distribuzione gestita È possibile accedere alle informazioni sulla distribuzione gestita dalle pagine Licenze, Dettagli dispositivo e Gestisci dispositivi. Ogni pagina offre diverse azioni di controllo e gestione, in base al tipo di asset. VMware, Inc. 127

128 Dettagli dispositivo Nella pagina Dettagli dispositivo è possibile controllare le assegnazioni ed eseguire installazioni e rimozioni. Passare a Dispositivi > Visualizzazione elenco > App o a Dispositivi > Visualizzazione elenco > Altro > Libri. Il sistema non supporta tutte le funzioni di gestione per tutti i tipi di asset. Il sistema non visualizza le opzioni non supportate. Visualizzare i contenuti assegnati al dispositivo. Se la funzione è supportata, installare e rimuovere contenuti sul dispositivo specificato. Licenze Nella pagina Licenze è possibile monitorare i processi di sincronizzazione, controllare le licenze disponibili per il riutilizzo e revocare licenze, se la funzione è supportata. Passare a App e libri > Applicazioni > Native > Acquistate > Distribuzione gestita o a App e libri > Libri > Visualizzazione elenco > Acquistati > Distribuzione gestita. Visualizzare la data dell'ultima sincronizzazione delle licenze assegnate. Filtrare per Tipo di proprietà della licenza per accedere alle licenze disponibili per il riutilizzo a causa di errori nell'uso dell'opzione Non assegnato. Per le applicazioni utilizzare l'azione Revoca per rendere le licenze disponibili per il riutilizzo. Questa azione non è disponibile per i libri. Gestisci dispositivi Nella pagina Gestisci dispositivi è possibile installare e rimuovere contenuti, inviare inviti a partecipare al VPP (se supportato) e controllare le installazioni di applicazioni e le registrazioni al programma VPP. Passare a App e libri > Applicazioni > Native > Acquistate > Gestisci dispositivi o a App e libri > Libri > Visualizzazione elenco > Acquistati > Gestisci dispositivi per accedere alla pagina. Il sistema non supporta tutte le funzioni di gestione per tutti i tipi di asset. Il sistema non visualizza le opzioni non supportate. Per le applicazioni installare il contenuto sui dispositivi. Questa azione non è disponibile per i libri. Per un'applicazione rimuovere i contenuti dai dispositivi, se supportato dell'asset. Questa azione non è disponibile per i libri. Inviare ai dispositivi notifiche relative al VPP. Invitare nuovamente i membri del VPP basato sull'utente che non hanno registrato l'apple ID nel programma. Filtrare i dati utilizzando l'opzione Stato e trovare i dispositivi che non hanno installato contenuti VPP. Filtrare i dati utilizzando l'opzione Invito utente per trovare i membri basati sull'utente che non hanno registrato l'apple ID nel programma. VMware, Inc. 128

129 Eseguire lo staging degli utenti e della distribuzione gestita per VPP di Apple Apple offre Apple Configurator e il piano Apple Device Enrollment Plan (DEP) per consentire agli amministratori IT di implementare e gestire numerosi dispositivi Apple ios. Workspace ONE UEM si integra con entrambe le applicazioni e con il Volume Purchase Program (VPP) di Apple. Tutte le applicazioni hanno lo scopo di aiutare a mantenere e gestire dispositivi e contenuti in massa. Per ridurre il rischio di incongruenze di licenza, controllare i suggerimenti e le guide per l'implementazione dei contenuti di Apple Volume Purchase Program (VPP) nei dispositivi preparati utilizzando Configurator e DEP. Nota queste informazioni non si applicano alle applicazioni VPP assegnate ai numeri di serie del dispositivo. Evitare incongruenze di licenza Distribuire il contenuto Volume Purchase Program (VPP) acquistato utilizzando il metodo di distribuzione gestita: Utilizzare un token di servizio (stoken) in un solo ambiente MDM e non in più ambienti. Alcuni esempi prevedono di non utilizzare un stoken in Workspace ONE UEM e in un altro sistema MDM o in un ambiente di prova e in un ambiente di produzione. Utilizzare un stoken in un solo gruppo e non in più gruppi all'interno di Workspace ONE UEM. Applicare un dispositivo a un solo Apple ID e non modificare l'apple ID sul dispositivo. Queste azioni riducono il rischio di perdere la licenza in un ambiente perché è stata revocata in un altro ambiente. Tuttavia, può non essere economicamente possibile avere il numero di licenze necessarie per coprire i dispositivi preconfigurati tramite queste azioni. La distribuzione VPP in un ambiente preconfigurato è ancora gestibile, ma può richiedere ulteriori attività di manutenzione, in particolare per l'apple ID. Apple ID Gli Apple ID sono una parte importante del sistema utilizzato da Workspace ONE UEM per gestire i contenuti VPP per gli utenti preconfigurati. Un Apple ID è un'identificazione creata dagli utenti al momento della registrazione alle applicazioni di Apple. Gli utenti in questo scenario hanno anche le loro credenziali per Workspace ONE UEM. L'utente si registra con Workspace ONE UEM e quindi Workspace ONE UEM registra l'utente con Apple e invia un invito ad aderire al VPP di Apple. L'utente accetta l'invito e aderisce al VPP utilizzando l'apple ID. Al momento, Workspace ONE UEM memorizza l'associazione dell'apple ID con l'utente. VMware, Inc. 129

130 È importante gestire l'apple ID in ambienti preconfigurati perché l'apple ID controlla l'accesso alla serie specifica da parte dell'utente di contenuti VPP. Se gli utenti modificano gli Apple ID sui dispositivi senza comunicare le modifiche ai rispettivi amministratori potrebbero riscontrare difficoltà di accesso. Workspace ONE UEM segue la procedura elencata quando un amministratore carica un token di servizio sulla console. Questa procedura descrive come il sistema collega gli utenti ID Apple e tutte le licenze dell'utente. 1 L amministratore carica i servizi token su Workspace ONE UEM Console. 2 Workspace ONE UEM registra tutti gli utenti che dispongono di dispositivi registrati. 3 Workspace ONE UEM manda inviti agli utenti. 4 Gli utenti accettano gli inviti con un ID Apple. 5 Workspace ONE UEM collega l'apple ID con l'utente. 6 Workspace ONE UEM collega tutte le licenze assegnate all'utente per l'apple ID. Linee guida per lo staging Utilizzare le procedure seguenti per ridurre le incongruenze di licenza in Workspace ONE UEM. VMware, Inc. 130

131 Tabella 5 6. Staging e VPP Assegna Staging Metodo contenuto VPP a Accetta invito VPP Installa le applicazioni Aggiorna e applicazioni Manutenzione Rischi Utente singolo, standard (registrazione autonoma) Singoli dispositivi con ID Apple univoci Non un utente di staging Utenti finali con ID Apple univoci Applicazioni installate dagli utenti finali Applicazioni aggiornate dagli utenti finali Nessuna manutenzione degli Apple ID Minor rischio possibile in quanto gli utenti finali mantengono i propri Apple ID sui singoli dispositivi Utente singolo, avanzato (preconfigurato) Dispositivi preconfigurati con Apple ID preconfigurati Utenti finali con Apple ID preconfigurati Applicazioni installate dagli utenti finali Applicazioni aggiornate dagli utenti finali Mantenere gli Apple ID preconfigurati Fornire Apple Gli utenti finali modificano gli Apple ID Gli utenti finali ID preconfigurati agli utenti finali non riportano i dispositivi all'apple ID preconfigurato Multiutenti Utente di Amministratore L'amministratore L'ID Mantenere Tutti i staging Utente individuale con l'apple ID dell'utente di staging Utenti finali con rispettivi Apple ID univoci installa le applicazioni comuni con l'apple ID dell'utente di staging Gli utenti finali installano le applicazioni uniche con i singoli Apple ID dell'utente di staging deve aggiornare le applicazioni comuni con l'apple ID dell'utente di staging Gli utenti finali aggiornano le applicazioni uniche con i propri Apple ID singoli un Apple ID dell'utente di staging per un set comune di contenuti VPP su tutti i dispositivi selezionati per l'utente di staging Mantenere l'apple ID dell'utente finale al check-out del dispositivo dispositivi selezionati per l'utente di staging non hanno lo stesso Apple ID Gli amministratori non modificano i dispositivi impostando l'apple ID dell'utente di staging al momento del check-in del dispositivo Gli utenti finali non modificano l'apple ID dell'utente di staging impostando i propri Apple ID univoci al momento del check-out del dispositivo VMware, Inc. 131

132 Applicazioni B2B personalizzate e VPP di Apple È possibile caricare in Workspace ONE UEM le applicazioni B2B personalizzate acquisite tramite il Volume Purchase Program (VPP) di Apple. Workspace ONE UEM può utilizzare il metodo del codice di riscatto e il metodo della distribuzione gestita. La capacità di Workspace ONE UEM di gestire le applicazioni B2B personalizzate dipende dal sistema VPP usato per ottenere le applicazioni. Codici di riscatto - Workspace ONE UEM può installare sui dispositivi le applicazioni B2B personalizzate acquistate utilizzando i codici di riscatto. Gli utenti finali possono installare queste applicazioni on-demand, ma Workspace ONE UEM non può gestirle. Caricare le applicazioni B2B personalizzate acquisite con codici di riscatto con lo stesso metodo utilizzato per le altre applicazioni acquisite con i codici di riscatto. Per informazioni dettagliate, vedere Metodo del codice di riscatto. Distribuzione gestita - Workspace ONE UEM può installare applicazioni B2B personalizzate acquistate usando la distribuzione gestita. Gli utenti finali possono installare queste applicazioni su richiesta o ne puoi eseguire il push automaticamente. Workspace ONE UEM può gestire queste applicazioni. Caricare le applicazioni B2B personalizzate acquisite con la distribuzione gestita con lo stesso metodo utilizzato per le altre applicazioni acquisite con la distribuzione gestita, attivando tuttavia la gestione delle applicazioni tra i passaggi di sincronizzazione e quelli di assegnazione. Per informazioni dettagliate sul caricamento delle applicazioni acquisite con la distribuzione gestita, vedere Gestione distribuita in base agli Apple ID. Per dettagli su come attivare la gestione, vedere Attivare la gestione delle applicazioni B2B personalizzate. VPP, applicazioni B2B personalizzate e modalità push Workspace ONE UEM è in grado di gestire le applicazioni B2B personalizzate acquisite con codici della distribuzione gestita, ma non quelle acquisite con codici di riscatto. La capacità di Workspace ONE UEM di gestire le applicazioni B2B personalizzate determina le modalità push disponibili per distribuire l'applicazione. Tabella 5 7. La modalità push dipende dalla gestione VPP Metodo VPP Capacità di gestione Modalità push disponibile Distribuzione gestita Codice di riscatto Gestisci Workspace ONE UEM può gestire le applicazioni B2B personalizzate acquisite con codici della distribuzione gestita. Gestione impossibile Workspace ONE UEM non può gestire le applicazioni B2B personalizzate acquisite con codici di riscatto. Automatico Su richiesta Su richiesta VMware, Inc. 132

133 Attivare la gestione delle applicazioni B2B personalizzate Quando si acquisiscono applicazioni tramite il Volume Purchase Program (VPP) di Apple utilizzando codici della distribuzione gestita, Workspace ONE UEM crea segnaposto per tutte le applicazioni che considera B2B personalizzate. Il sistema crea i segnaposto perché non è in grado di recuperare da un App Store metadati come l'icona, il nome e l'id del pacchetto. Attivare la gestione inserendo i metadati mancanti. Se è presente una versione dell'applicazione B2B personalizzata acquistata con i codici di riscatto, Workspace ONE UEM può estrarre l'icona e il nome dalla versione del codice di riscatto. Sarà comunque necessario immettere l'id del pacchetto. Attivare la gestione delle applicazioni B2B personalizzate dopo la sincronizzazione delle licenze e prima di assegnare le licenze ai gruppi smart. Questa procedura è descritta nell'argomento Distribuzione gestita e Workspace ONE UEM. 1 Caricare un stoken e sincronizzare le licenze. 2 Passare a App e libri > Applicazioni > Native > Acquistate. 3 Selezionare il collegamento Sconosciuto nella colonna Nome per l'applicazione B2B personalizzata. Utilizzare il filtro Tipo app > B2B personalizzato per individuare i collegamenti di tipo Sconosciuto. Workspace ONE UEM modifica lo stato e rende le azioni disponibili dopo che sono state inserite le informazioni. 4 Completare le seguenti opzioni. Impostazione Nome applicazione ID dell'applicazione ID pacchetto Gestito da Immettere un nome da visualizzare per la console Workspace ONE UEM Console Visualizzare l'id popolata utilizzando l'adam ID. Inserire il valore fornito dallo sviluppatore. Identifica il gruppo che esegue la gestione. Immettere una descrizione con informazioni utili, come lo scopo dell'applicazione. 5 Seleziona Salva. Le applicazioni che non sono abilitate per la gestione vengono visualizzate come inattive nella console. Gestione distribuita in base al numero di serie dei dispositivi Se la distribuzione VPP è composta da dispositivi ios 9 o versione successiva oppure macos o versione successiva, valutare la possibilità di abilitare l'assegnazione delle applicazioni Volume Purchase Program (VPP) in base al numero di serie dei dispositivi. Questo metodo evita di invitare gli utenti al programma VPP. VMware, Inc. 133

134 Distribuire le applicazioni VPP in base ai dispositivi utilizzando i processi illustrati in Completare tutte le attività di distribuzione gestita mediante ID Apple. Workspace ONE UEM non esegue la migrazione delle applicazioni nel sistema basato sui dispositivi. Le app VPP già assegnate ad Apple ID manterranno questo stato di assegnazione. Vantaggi Il sistema basato sui dispositivi offre diversi vantaggi. Per gli utenti non è necessario accettare gli inviti né registrarsi al VPP. Per gli amministratori con più stoken nella distribuzione VPP non è necessario gestire gli inviti. Per gli amministratori non è necessario gestire gli Apple ID. Usi L'assegnazione basata sui dispositivi rappresenta l'opzione di distribuzione migliore negli scenari seguenti. Dispositivi condivisi con sistemi di check-in e check-out Dispositivi di proprietà dell'azienda Ambienti preconfigurati con un rapporto di un dispositivo per utente Dispositivi in Workspace ONE UEM per la distribuzione nel settore dell'istruzione Il sistema basato sugli utenti rappresenta l'opzione di distribuzione migliore negli scenari seguenti. Assegnazione di più dispositivi a un unico Apple ID Esigenza di risparmiare licenze Piattaforme e sistemi operativi supportati Configurare un sistema operativo supportato per l'utilizzo del metodo basato sui dispositivi per distribuire le applicazioni acquisite tramite il Volume Purchase Program (VPP) di Apple. ios 9 o versioni successive macos o versioni successive Idoneità delle app Gli sviluppatori di app VPP devono abilitare le applicazioni per l'utilizzo nel metodo VPP basato sui dispositivi. VMware, Inc. 134

135 Inviti Con la rimozione dell'apple ID dal processo, il metodo basato sui dispositivi non si serve più degli inviti per registrare gli Apple ID. Se un dispositivo soddisfa i requisiti, tuttavia, il sistema spedisce comunque gli inviti. Il dispositivo non utilizza ios 9 o versione successiva oppure macos o versione successiva L'app non è abilitata per l'utilizzo del metodo VPP basato sui dispositivi Il dispositivo riceve un'applicazione VPP basata sull'utente L'opzione Inoltra invito automaticamente è attivata in Workspace ONE UEM Processo di distribuzione VPP basato sui dispositivi Il processo per il caricamento di applicazioni in base ai dispositivi (numero di serie) è simile al caricamento di applicazioni VPP in base all'utente (Apple ID). L'unica differenza è che il metodo basato sui dispositivi non comporta la spedizione di inviti. Importante dopo che l'applicazione è stata abilitata per l'utilizzo basato sul dispositivo nella console Workspace ONE UEM Console, non è possibile ripristinare la modalità di utilizzo basata sull'utente. 1 stoken Caricare o registrare un stoken nel gruppo desiderato in Workspace ONE UEM. Se non si desidera che Workspace ONE UEM invii gli inviti ai dispositivi, disattivare Inoltra inviti automaticamente. 2 Sincronizzazioni Iniziare in questo punto il processo se si hanno già stoken in Workspace ONE UEM. Se necessario, Workspace ONE UEM richiede di registrare un stoken nell'ambiente di Workspace ONE UEM. Inoltra automaticamente gli inviti per le applicazioni basate sull'utente con modalità push Automatico. 3 Assegna con distribuzione flessibile - Assegna e pubblica applicazioni VPP basate su dispositivo tramite la funzionalità di distribuzione flessibile. Durante il processo di assegnazione, Workspace ONE UEM richiede di abilitare le applicazioni per il metodo basato sui dispositivi con l'impostazione Abilita l'assegnazione del dispositivo. 4 Accesso alle informazioni Accedere alle informazioni sulle licenze e sulle applicazioni dalle pagine Licenze, Dettagli dispositivo e Gestisci dispositivi. 5 Revoca e riutilizzo Revocare le licenze mediante le varie funzioni di gestione disponibili. Annullare la registrazione dei dispositivi. Selezionare l'azione di revoca nelle pagine di informazioni (pagine Licenze, Dettagli del dispositivo e Gestisci dispositivi). Disattivare ed eliminare assegnazioni. Rimuovere i dispositivi dai gruppi smart assegnati all'applicazione VPP. VMware, Inc. 135

136 Aggiornare manualmente o automaticamente le applicazioni VPP basate sui dispositivi Configurare gli aggiornamenti automatici o eseguire manualmente il push degli aggiornamenti alle applicazioni VPP basate sui dispositivi, a livello di applicazione. Questa funzionalità consente di far gestire gli aggiornamenti a Workspace ONE UEM o di eseguire personalmente il push degli aggiornamenti per controllare le versioni delle applicazioni. Questa funzionalità non è applicabile alla distribuzione gestita tramite ID Apple. Per la distribuzione basata su dispositivo, o distribuzione in base al numero di serie del dispositivo, è necessario abilitare l'applicazione VPP. Per informazioni generali sul metodo di distribuzione gestita in base al numero di serie del dispositivo, vedere Gestione distribuita in base al numero di serie dei dispositivi. Questo argomento include i sistemi operativi supportati e illustra i vantaggi derivanti dall'eliminazione della necessità di inviare inviti VPP. Nota Le applicazioni B2B personalizzate e le applicazioni VPP non basate su dispositivi sono contrassegnate come non applicabili. Questi tipi di applicazioni VPP non sono supportati dalla funzionalità. Comportamento del sistema durante l'installazione iniziale Il sistema non inserisce automaticamente in coda i comandi di installazione dell'applicazione al momento della prima configurazione di Abilita aggiornamenti automatici. Inizialmente, Workspace ONE UEM memorizza nel database il numero di versione attualmente disponibile nell'app Store. Trattandosi della prima versione registrata, non attiva automaticamente gli aggiornamenti dell'applicazione. Se in futuro viene rilasciata una nuova versione, il sistema Workspace ONE UEM esamina l'app Store per cercare i record relativi agli aggiornamenti a tale nuova versione nel database. A questo punto, Workspace ONE UEM può attivare automaticamente i comandi di installazione per eseguire gli aggiornamenti dell'applicazione nei dispositivi. Attivare o eseguire il push di un aggiornamento Attivare gli aggiornamenti automatici o eseguirne manualmente il push. Disattivando gli aggiornamenti automatici ed eseguendo il push manuale, è possibile controllare le versioni delle applicazioni presenti sui dispositivi. 1 Passare a App e libri > Applicazioni > Native > Acquistate. 2 Selezionare un'applicazione VPP basata su dispositivo. Viene visualizzata l'opzione Abilita aggiornamenti automatici. 3 Selezionare per attivare gli aggiornamenti automatici. Se si disattivano gli aggiornamenti automatici, è possibile selezionare Aggiorna app per eseguire il push di un aggiornamento ai dispositivi, quando viene reso disponibile. VMware, Inc. 136

137 Utilizzare i filtri per trovare le applicazioni ed eseguire le attività in massa Utilizzare il filtro Aggiornamento automatico o Stato di aggiornamento per trovare ed eseguire azioni sulle applicazioni. Ad esempio, utilizzare questi filtri per abilitare gli aggiornamenti automatici su più applicazioni. 1 Filtra la scheda Acquistate per Aggiornamento automatico > Disattivato e Stato aggiornamento > Aggiornamento disponibile. Workspace ONE UEM mostra i risultati delle applicazioni. 2 Selezionare tutte le app visualizzate utilizzando la casella di selezione in massa. In questo modo, l'interfaccia utente visualizzerà l'opzione Attiva aggiornamenti automatici. 3 Selezionare Attiva aggiornamenti automatici per abilitare la funzionalità in massa. Altre opzioni in massa Fra le altre opzioni in massa sono incluse Gestisci dispositivi, Sincronizza licenze, Disattiva aggiornamenti automatici, Aggiorna app, Ulteriori azioni > Invia notifica ai dispositivi e Ulteriori azioni > Visualizza eventi. Notifiche di aggiornamento con icone Configurare Workspace ONE UEM affinché invii una notifica sugli aggiornamenti tramite un'icona. La console Workspace ONE UEM Console invia le notifiche quando viene rilevato un aggiornamento. L'icona a forma di campanella nell'angolo in alto a destra dell'interfaccia mostra il numero di notifiche presenti. Selezionare l'icona a forma di campanella per cercare la notifica Aggiornamento app disponibile. Notifiche aggiornate via Se si preferisce ricevere le notifiche tramite , selezionare l'icona Impostazioni account, simile a un ingranaggio, nella parte inferiore della finestra delle notifiche. Modificare le opzioni di Notifica. Convertire le applicazioni non basate sui dispostovi per utilizzare la funzionalità Importante Non è possibile reimpostare un'applicazione sul sistema di distribuzione gestito tramite ID Apple (basato su utente). Non convertire le applicazioni se è necessario l'id Apple per gestire le applicazioni VPP. Se si desidera utilizzare questa funzionalità sulle applicazioni VPP non basate sui dispositivi, utilizzare l'opzione Abilita l'assegnazione del dispositivo nella scheda Assegnazione del record dell'applicazione. Selezionarla per convertire l'applicazione dal sistema di gestione distribuita basato sull'utente (in base agli Apple ID) al metodo basato sul dispositivo. VMware, Inc. 137

138 Per impostazione predefinita, il sistema verifica la presenza di aggiornamenti ogni 24 ore. Workspace ONE UEM individua le applicazioni convertite di recente con lo stato Controllo in sospeso. Una volta che il sistema aggiorna l'applicazione ne modifica lo stato in Push aggiornamento eseguito. Difficoltà di aggiornamento delle applicazioni VPP basate sui dispositivi Le applicazioni VPP basate sui dispositivi presentano problemi di aggiornamento, poiché non sono associate all'id Apple. Workspace ONE UEM ha sviluppato un sistema che consente di aggiornare le applicazioni basate sui dispositivi. È possibile configurare gli aggiornamenti automatici o eseguire il push manuale degli aggiornamenti. Difficoltà Nel metodo VPP basato sui dispositivi della distribuzione gestita, il numero di serie dei dispositivi rappresenta la connessione tra licenze e applicazione. Questo numero di serie sostituisce l'id Apple. Tuttavia, l'aggiornamento dell'app è sempre vincolato all'id Apple in quanto quest'ultimo è collegato alla cronologia acquisti. È possibile che le applicazioni basate sui dispositivi non ricevano gli aggiornamenti poiché l'id Apple viene rimosso dal processo di assegnazione delle licenze. Soluzione Workspace ONE UEM verifica la presenza di aggiornamenti per le applicazioni VPP basate sui dispositivi nell'app store e rileva gli aggiornamenti disponibili nell'interfaccia utente. Attivando gli aggiornamenti automatici per le applicazioni VPP basate sui dispositivi, Workspace ONE UEM aggiornerà le applicazioni non appena rileverà la presenza di un nuovo aggiornamento. Se si desidera controllare la versione di un'applicazione, non attivare gli aggiornamenti automatici ed eseguire manualmente il push degli aggiornamenti, quando richiesto. VMware, Inc. 138

139 Applicazioni SaaS in Workspace 6 ONE UEM Le applicazioni SaaS vengono gestite nella stessa console delle applicazioni native e dei Web Link. Quando si utilizzano criteri di accesso con le applicazioni SaaS, è possibile controllare l'accesso all'applicazione a livello di punto di autenticazione. Le applicazioni SaaS e le applicazioni Web sono la stessa cosa In VMware Identity Manager le applicazioni SaaS vengono chiamate applicazioni Web e ora è possibile aggiungere, modificare ed eliminare tali applicazioni in una singola console di gestione. Sono costituite dall'url della pagina di arrivo della risorsa e includono anche una registrazione dell'applicazione. Le applicazioni SaaS possono essere aggiunte alla console Workspace ONE UEM Console dalle applicazioni Web nel catalogo Workspace ONE. Nella console UEM è possibile aggiungere anche nuove applicazioni SaaS. Documentazione relativa a VMware Identity Manager Per informazioni su come configurare le applicazioni Web in VMware Identity Manager, vedere Fornire accesso alle applicazioni Web nella Documentazione di VMware Identity Manager. Applicazioni Web Links Nelle versioni precedenti di Workspace ONE UEM, le applicazioni Web Links erano denominate applicazioni Web. Per informazioni sulle applicazioni Web Links, vedere Funzioni delle applicazioni Web Links e piattaforme supportate. Controllare l'accesso al momento dell'autenticazione Le applicazioni SaaS e i criteri di accesso offrono controllo e risorse al momento dell'autenticazione. VMware, Inc. 139

140 Tabella 6 1. Opzioni di controllo accesso Componente Metodo di autenticazione Provider di identità e servizi Certificati Utenti e gruppi di utenti Connessione protetta Accesso e durata della sessione Richiede l'uso dei protocolli di federazione quando si accede all'applicazione SaaS. I protocolli di federazione utilizzano i token per consentire l'accesso e instaurare una relazione di fiducia tra la risorsa e l'utente. Per configurare l'attendibilità tra i provider, le applicazioni SaaS e gli utenti nella rete, utilizzare il provider di identità e i metadati del provider di servizi dal sistema Workspace ONE in Workspace ONE UEM. Per controllare l'attendibilità tra gli utenti nel sistema Workspace ONE e l'applicazione SaaS, utilizzare il certificato autofirmato dal servizio VMware Identity Manager o immetterne uno emesso da un'autorità di certificazione. È possibile configurare utenti e gruppi di utenti in VMware Identity Manager e quindi assegnarli alle applicazioni SaaS nella console UEM. Abilita le connessioni affidabili con VMware Enterprise Systems Connector tra il sistema Workspace ONE, le applicazioni SaaS e gli utenti. È possibile configurare i criteri di accesso e l'sso mobile per controllare il tempo disponibile per l'accesso alle applicazioni SaaS prima che gli utenti debbano ripetere l'autenticazione in Workspace ONE. Altri argomenti relativi alle applicazioni SaaS Per i prerequisiti di configurazione delle applicazioni SaaS, vedere Requisiti per il supporto delle applicazioni SaaS. Per informazioni su come configurare le applicazioni SaaS, vedere Aggiungere applicazioni SaaS dalla console Workspace ONE UEM Console. Per informazioni su come aggiungere applicazioni di criteri di protezione delle app di Microsoft Intune e assegnare loro criteri di accesso client, vedere Aggiungere applicazioni di Office 365 con un criterio di accesso client. Per informazioni sull'assegnazione di applicazioni SaaS a utenti e gruppi di utenti, vedere Assegna applicazioni SaaS. Questo capitolo include i seguenti argomenti: Requisiti per il supporto delle applicazioni SaaS Metodi per aggiungere applicazioni SaaS del criterio di accesso client Assegna applicazioni SaaS Adattatori di provisioning Impostazioni per le applicazioni SaaS SSO tra Workspace ONE UEM e VMware Identity Manager per le app SaaS e i criteri di accesso VMware, Inc. 140

141 Requisiti per il supporto delle applicazioni SaaS Configurare i componenti in elenco e assicurarsi che l'ambiente Workspace ONE UEM sia impostato correttamente per accedere ai contenuti della pagina SaaS. Sistemi richiesti Configurare o integrare i sistemi elencati in modo da accedere alla pagina delle applicazioni SaaS. È possibile trovare una procedura guidata per impostare questi sistemi nell'argomento Workspace ONE della sezione Guida introduttiva della console Workspace ONE UEM Console. VMware Enterprise System Connector - Questo componente è il connettore unificato per Workspace ONE, Workspace ONE UEM e VMware Identity Manager. Active Directory - Questo componente integra Workspace ONE UEM e VMware Identity Manager per sincronizzare gli utenti e i gruppi da Active Directory (AD) al servizio. È possibile assegnare le applicazioni SaaS agli utenti e ai gruppi sincronizzati da Active Directory. Nota con la configurazione del connettore, gli utenti e i gruppi di Active Directory vengono sincronizzati tra Workspace ONE UEM e VMware Identity Manager. VMware Identity Manager - Questo componente svolge molte funzioni, inclusa la gestione di utenti e gruppi e la gestione dell'autenticazione con le risorse. Per informazioni dettagliate sull'integrazione dei due sistemi, cercare Integrazione di Workspace ONE UEM e VMware Identity Manager nella documentazione di VMware Identity Manager all'indirizzo docs.vmware.com. SSO mobile - Questo componente gestisce le funzionalità Single Sign-On (SSO) nel portale Workspace ONE per i dispositivi Android e ios gestiti da Workspace ONE UEM. Per i dispositivi Android, l'sso mobile utilizza l'autenticazione del certificato. Per i dispositivi ios, utilizza il provider di identità nel servizio di gestione di identità in VMware Identity Manager. Per ulteriori informazioni, passare alla documentazione di Workspace ONE su ONE/index.html. Nota L'SSO mobile è diverso dalla funzione SSO per le applicazioni che utilizzano Workspace ONE SDK. Criteri di accesso - Questo componente garantisce l'accesso sicuro al portale applicativo Workspace ONE per l'avvio delle applicazioni Web. I criteri di accesso includono regole che specificano i criteri da rispettare per accedere al portale applicativo e utilizzare le risorse. Sono disponibili criteri predefiniti che controllano l'accesso in generale. Tale criterio viene impostato per consentire l'accesso a tutti gli intervalli di rete, da tutti i tipi di dispositivo, per tutti gli utenti. È possibile creare criteri di accesso più severi, che impediscono agli utenti di accedere alle applicazioni in base alle regole di accesso definite dall'utente. Per informazioni, vedere Utilizzare i criteri di accesso con le applicazioni SaaS. VMware, Inc. 141

142 Applicazioni supportate Distribuire applicazioni SaaS su queste piattaforme. Android Apple ios Apple macos Windows Desktop (Windows 10) Metodi per aggiungere applicazioni SaaS Selezionare uno dei vari modi per aggiungere o esportare applicazioni SaaS nell'ambiente Workspace ONE. Tabella 6 2. Metodi per aggiungere applicazioni SaaS Metodo Argomento Catalogo o manuale Copiare un'applicazione SaaS esistente Esportare un file ZIP Selezionare l'applicazione da un elenco di catalogo o immettere l'url corrispondente e le informazioni. Utilizzare questo metodo per rendere disponibili le copie della stessa applicazione SaaS a unità aziendali diverse. Utilizzare questo metodo per salvare un file ZIP del bundle dell'applicazione in formato JSON nella macchina locale. Aggiungere applicazioni SaaS dalla console Workspace ONE UEM Console Copiare applicazioni SaaS in Workspace ONE UEM Esporta le applicazioni SaaS da Workspace ONE UEM Aggiungere applicazioni SaaS dalla console Workspace ONE UEM Console È possibile aggiungere applicazioni SaaS nella console Workspace ONE UEM Console.. È possibile sfogliare le applicazioni aggiunte in precedenza al catalogo Workspace ONE o aggiungerne di nuove. Per informazioni sui criteri di accesso che proteggono le applicazioni SaaS, vedere Utilizzare i criteri di accesso con le applicazioni SaaS. Per informazioni sulla funzione di approvazioni che attiva le licenze per l'uso, vedere Configurare le approvazioni. 1 Passare a App e libri > Applicazioni > Web > SaaS e selezionare Nuova. 2 Completare le opzioni nella scheda Definizione. Impostazione Cerca Nome È possibile creare un'applicazione copiandola dal catalogo globale. Immettere il nome dell'applicazione SaaS e cercarla nel catalogo globale. È inoltre possibile individuare l'applicazione nel catalogo globale. Immettere un nome per l'applicazione SaaS. VMware, Inc. 142

143 Impostazione Icona Categoria (Facoltativo) Fornire una descrizione dell'applicazione. (Facoltativo) Fare clic su Sfoglia e caricare un'icona per l'applicazione. Le applicazioni SaaS utilizzano icone in formato PNG, JPG e ICON. Le icone di applicazione caricate devono avere una dimensione minima di 180 x 180 pixel. Se l'icona è troppo piccola, non verrà visualizzata. In questo caso, il sistema mostrerà l'icona predefinita. Assegnare categorie per aiutare gli utenti a ordinare e filtrare l'applicazione nel catalogo Workspace ONE. Configurare le categorie in VMware Identity Manager in modo da visualizzarle nell'elenco delle categorie. 3 Completare le opzioni nella scheda Configurazione. a Tipo di autenticazione - Selezione il tipo di autenticazione per l'applicazione SaaS. Le opzioni disponibili variano a seconda del tipo selezionato. Il tipo di autenticazione determina le impostazioni disponibili nell'interfaccia utente. Sono possibili varie permutazioni. SAML selezionare questa opzione per fornire Single Sign-On per le applicazioni che utilizzano l'autenticazione SAML 2.0. SAML SAML 1.1 è una versione precedente del profilo di autenticazione SAML. Per aumentare il livello di sicurezza, implementare SAML 2.0. WSFed selezionare questa opzione per fornire Single Sign-On per le applicazioni che utilizzano l'autenticazione WS-Federation. Collegamento applicazione Web - se l'applicazione non utilizza un protocollo di federazione, selezionare questa opzione. Immettere l'url di destinazione dell'applicazione. OpenID Connect - selezionare questa opzione per fornire Single Sign-On per le applicazioni che utilizzano il protocollo OAuth 2.0. VMware, Inc. 143

144 Per informazioni sulle configurazioni disponibili, accedere al tipo di autenticazione per l'applicazione SaaS. SAML 2.0 Tabella 6 3. Impostazioni di autenticazione per SAML URL/XML Impostazione Configurazione URL/XML URL stato inoltro URL/XML è l'opzione predefinita per le applicazioni SaaS che non fanno ancora parte del catalogo Workspace ONE. Immettere l'url se i metadati XML sono accessibili su Internet. Incollare l'xml nella casella di testo se i metadati XML sono noti, ma non accessibili su Internet. Utilizzare la configurazione manuale se non si dispone dei metadati XML. M Immettere l'url di destinazione desiderato per gli utenti dell'applicazione SaaS dopo una procedura di Single Sign-On in uno scenario IDP (Identity Provider- Initiated). Tabella 6 4. Impostazioni di autenticazione per SAML manuale Impostazione Configurazione Manuale è l'opzione predefinita per le applicazioni SaaS aggiunte dal catalogo. URL Single Sign-on URL destinatario ID dell'applicazione Formato nome utente Inserire l'url Assertion Consumer Service (ACS). Workspace ONE invia questo URL al fornitore di servizi per il Single Sign-on. Immettere l'url con il valore specifico richiesto dal fornitore di servizi che indica il dominio nell'oggetto di asserzione SAML. Se il provider di servizi non richiede un valore specifico per questo URL, immettere quello indicato in URL Single Sign-On. Inserire l'id che identifica il tenant del fornitore di servizi in Workspace ONE. Workspace ONE invia l'asserzione SAML all'id. Alcuni provider di servizi usano l'url Single Sign- On. Selezionare il formato richiesto dai fornitori di servizi per il formato dell'oggetto SAML. VMware, Inc. 144

145 Tabella 6 4. Impostazioni di autenticazione per SAML manuale (Continua) Impostazione Valore nome utente URL stato inoltro Inserire il Valore ID nome inviato da Workspace ONE nell'istruzione di oggetto dell'asserzione SAML. Questo valore è un valore della casella di testo di profilo predefinito per un nome utente presso il fornitore di servizi di applicazioni. Immettere l'url di destinazione desiderato per gli utenti dell'applicazione SaaS dopo una procedura di Single Sign-On in uno scenario IDP (Identity Provider- Initiated). SAML 1.1 Tabella 6 5. Impostazioni di autenticazione per SAML 1.1 Impostazione URL di destinazione URL Single Sign-on URL destinatario ID dell'applicazione Inserire l'url per indirizzare gli utenti all'applicazione SaaS su Internet. Inserire l'url Assertion Consumer Service (ACS). Workspace ONE invia questo URL al fornitore di servizi per il Single Sign-on. Immettere l'url con il valore specifico richiesto dal fornitore di servizi che indica il dominio nell'oggetto di asserzione SAML. Se il provider di servizi non richiede un valore specifico per questo URL, immettere quello indicato in URL Single Sign-On. Inserire l'id che identifica il tenant del fornitore di servizi in Workspace ONE. Workspace ONE invia l'asserzione SAML all'id. Alcuni provider di servizi usano l'url Single Sign-On. WSFed 1.2 Tabella 6 6. Impostazioni di autenticazione per WSFed 1.2 Impostazione URL di destinazione URL Single Sign-on ID dell'applicazione Formato nome utente Valore nome utente Inserire l'url per indirizzare gli utenti all'applicazione SaaS su Internet. Inserire l'url Assertion Consumer Service (ACS). Workspace ONE invia questo URL al fornitore di servizi per il Single Sign-on. Inserire l'id che identifica il tenant del fornitore di servizi in Workspace ONE. Workspace ONE invia l'asserzione SAML all'id. Alcuni provider di servizi usano l'url Single Sign-On. Selezionare il formato richiesto dai fornitori di servizi per il formato dell'oggetto SAML. Inserire il Valore ID nome inviato da Workspace ONE nell'istruzione di oggetto dell'asserzione SAML. Questo valore è un valore della casella di testo di profilo predefinito per un nome utente presso il fornitore di servizi di applicazioni. VMware, Inc. 145

146 Collegamento applicazione Web Tabella 6 7. Impostazioni di autenticazione per un link all'applicazione Web Impostazione URL di destinazione Inserire l'url per indirizzare gli utenti all'applicazione SaaS su Internet. OpenID Connect Tabella 6 8. Impostazioni di autenticazione per OpenID Connect Impostazione URL di destinazione URL di reindirizzamento ID client Segreto del client Inserire l'url per indirizzare gli utenti all'applicazione SaaS su Internet. Immettere l'url del client che riceve il codice di autorizzazione e il token di accesso. Immettere la stringa univoca per il client. Immettere il segreto utilizzato per autorizzare il client. b c Parametri dell'applicazione - Aggiungere i valori per i parametri avanzati per consentire l'avvio dell'applicazione. Questa opzione non è disponibile per tutte le applicazioni. Proprietà avanzate - Se si desidera un maggior controllo delle messaggistica nei processi Single Sign-On con Workspace ONE, aggiungere i parametri facoltativi. Il tipo di autenticazione determina le impostazioni disponibili nell'interfaccia utente. Sono possibili varie permutazioni. Accedere al tipo di autenticazione per l'applicazione SaaS in uso. Tabella 6 9. Proprietà avanzate - SAML 2.0 Impostazione Firma di risposta Firma di asserzione Crittografa asserzione Includi firma di asserzione Algoritmo della firma Richiede Workspace ONE per firmare il messaggio di risposta da inviare al provider di servizi. Tale firma garantisce che il messaggio è stato creato da Workspace ONE. Richiede Workspace ONE per firmare l'asserzione all'interno del messaggio di risposta inviato al provider di servizi. Questa opzione è obbligatoria per alcuni provider di servizi. Crittografa l'asserzione SAML che il sistema invia al provider di servizi dell'applicazione. Richiede a Workspace ONE di includere il proprio certificato di firma nel messaggio di risposta inviato al provider di servizi. Questa opzione è obbligatoria per alcuni provider di servizi. Selezionare l'algoritmo di firma corrispondente all'algoritmo digest. Se il provider di servizi in uso supporta SHA256, selezionare tale algoritmo. VMware, Inc. 146

147 Tabella 6 9. Proprietà avanzate - SAML 2.0 (Continua) Impostazione Algoritmo Digest Ora asserzione Richiedi firma Certificato di crittografia URL di accesso dell'applicazione Conteggio proxy Accesso API Mappatura degli attributi personalizzati Aprire nel browser VMware Android e ios Selezionare l'algoritmo digest corrispondente all'algoritmo di firma. Se il provider di servizi in uso supporta SHA256, selezionare tale algoritmo. Immettere i secondi inviati dall'istanza di Workspace ONE di asserzione al provider di servizi affinché l'autenticazione sia valida. Se si desidera che il provider di servizi firmi la richiesta SAML inviata a Workspace ONE, immettere il certificato di firma pubblico. Immettere il certificato di crittografia pubblico che consente di firmare la richiesta SAML dal provider di servizi dell'applicazione a Workspace ONE. Immettere l'url della pagina di accesso del provider di servizi. Questa opzione induce il provider di servizi ad avviare la procedura di accesso a Workspace ONE. Alcuni provider di servizi richiedono che l'autenticazione cominci dalla propria pagina di accesso. Immettere i livelli proxy consentiti fra il provider di servizi e un provider di identità per l'autenticazione. Abilita l'accesso tramite API all'applicazione SaaS. Se il provider di servizi consente di utilizzare attributi personalizzati diversi da quelli per il Single Sign-On, aggiungerli. Richiede a Workspace ONE di aprire l'applicazione in VMware Browser. Se si utilizza VMware Browser, è possibile aprire le applicazioni SaaS al suo interno per aumentarne ulteriormente la sicurezza. Questa azione mantiene l'accesso nell'ambito delle risorse interne. Tabella Proprietà avanzate - SAML 1.1 Impostazione Algoritmo della firma Algoritmo Digest Selezionare l'algoritmo di firma corrispondente all'algoritmo digest. Se il provider di servizi in uso supporta SHA256, selezionare tale algoritmo. Selezionare l'algoritmo digest corrispondente all'algoritmo di firma. Se il provider di servizi in uso supporta SHA256, selezionare tale algoritmo. VMware, Inc. 147

148 Tabella Proprietà avanzate - SAML 1.1 (Continua) Impostazione Ora asserzione Mappatura degli attributi personalizzati Aprire nel browser VMware Android e ios Immettere i secondi inviati dall'istanza di Workspace ONE di asserzione al provider di servizi affinché l'autenticazione sia valida. Se il provider di servizi consente di utilizzare attributi personalizzati diversi da quelli per il Single Sign-On, aggiungerli. Richiede a Workspace ONE di aprire l'applicazione in VMware Browser. Se si utilizza VMware Browser, è possibile aprire le applicazioni SaaS al suo interno per aumentarne ulteriormente la sicurezza. Questa azione mantiene l'accesso nell'ambito delle risorse interne. Tabella Proprietà avanzate - WSFed 1.2 Impostazione Verifica credenziali Algoritmo della firma Algoritmo Digest Ora asserzione Mappatura degli attributi personalizzati Aprire nel browser VMware Android e ios Selezionare il metodo di verifica delle credenziali. Selezionare l'algoritmo di firma corrispondente all'algoritmo digest. Se il provider di servizi in uso supporta SHA256, selezionare tale algoritmo. Selezionare l'algoritmo digest corrispondente all'algoritmo di firma. Se il provider di servizi in uso supporta SHA256, selezionare tale algoritmo. Immettere i secondi inviati dall'istanza di Workspace ONE di asserzione al provider di servizi affinché l'autenticazione sia valida. Se il provider di servizi consente di utilizzare attributi personalizzati diversi da quelli per il Single Sign-On, aggiungerli. Richiede a Workspace ONE di aprire l'applicazione in VMware Browser. Se si utilizza VMware Browser, è possibile aprire le applicazioni SaaS al suo interno per aumentarne ulteriormente la sicurezza. Questa azione mantiene l'accesso nell'ambito delle risorse interne. VMware, Inc. 148

149 d Criteri di accesso - Assegnare i criteri per proteggere l'accesso alle risorse dell'applicazione. Tabella Campi criteri di accesso Impostazione Criterio d'accesso Richiesta approvazione licenza Selezionare un criterio utilizzabile da Workspace ONE per controllare l'autenticazione e l'accesso degli utenti. Il criterio di accesso predefinito è disponibile se non si dispongono di criteri personalizzati. Tali criteri possono essere configurati nella console UEM. Per visualizzare questa opzione, abilitare le Approvazioni corrispondenti nella sezione Impostazioni delle applicazioni SaaS. Richiede le approvazioni prima di installare l'applicazione e attivare una licenza. Prezzo licenza - Selezionare il modello di prezzo per acquistare le licenze per l'applicazione SaaS. Tipo di licenza - Selezionare il modello utente per le licenze, utenti denominati o simultanei. Costo per licenza - Immettere il prezzo per licenza. Numero di licenze - Immettere il numero di licenze acquistate per l'applicazione SaaS. 4 Visualizzare il Riepilogo per l'applicazione SaaS e passare al processo di assegnazione. Assegna applicazioni SaaS Consente di assegnare applicazioni SaaS agli utenti e gruppi configurati in VMware Identity Manager. Vedere Assegna applicazioni SaaS. Copiare applicazioni SaaS in Workspace ONE UEM Creare copie delle applicazioni SaaS e assegnarle a gruppi e utenti differenti. Quando gli utenti accedono a Workspace ONE e selezionano l'applicazione a cui sono assegnati, il sistema invia loro la versione dell'applicazione. L'utilizzo di copie dell'applicazione è utile se la distribuzione dispone di varie unità aziendale che utilizzano la medesima applicazione. Per copiare un'applicazione SaaS, utilizzare la funzione di copia, aggiornare la configurazione della versione e assegnare la versione agli utenti e ai gruppi applicabili. 1 Passare a App e libri > Applicazioni > Web > SaaS e selezionare l'applicazione. 2 Selezionare Copia. 3 Completare le impostazioni nella scheda Definizione: Per trovare l'applicazione copiata, immettere un nome nel campo Nome. Completare le altre impostazioni desiderate. 4 Modificare le impostazioni nella scheda Configurazione in base alle esigenze. 5 Utilizzare il criterio di accesso predefinito o selezionare un criterio di accesso specifico dell'applicazione nella scheda Criteri di accesso. VMware, Inc. 149

150 6 Rivedere le informazioni nella scheda Riepilogo e spostarsi al processo di assegnazione. Assegna applicazioni SaaS Consente di assegnare copie delle applicazioni SaaS a diversi utenti e gruppi configurati in VMware Identity Manager. Vedere Assegna applicazioni SaaS. Esporta le applicazioni SaaS da Workspace ONE UEM Esportare le applicazioni SaaS che si desidera testare in un'area di staging o utilizzare in una macchina locale senza il sistema Workspace ONE. Attività Per esportare un'applicazione SaaS, utilizzare la funzione Esporta e salvare l'applicazione in una macchina locale. 1 Passare a App e libri > Applicazioni > Web > SaaSe selezionare l'applicazione. 2 Selezionare Esporta. 3 Confermare che si desidera esportare l'applicazione. Il sistema salva un file ZIP del bundle dell'applicazione in formato JSON sulla macchina locale. del criterio di accesso client Un criterio di accesso client utilizza le credenziali di autenticazione client di Office 365 per accedere alle applicazioni di Office 365 nella distribuzione di Workspace ONE. Un client Office 365, come ad esempio VMware Boxer, Microsoft Outlook e i client nativi di ios e Android, raccoglie le credenziali nelle rispettive interfacce utente per l'autenticazione. Un criterio di accesso client consente a VMware Identity Manager di gestire le credenziali raccolte per l'autenticazione. I criteri di accesso client consentono inoltre di impostare altri parametri di accesso per le applicazioni di Office 365. I criteri impostati in una singola applicazione di Office 365 si applicano a tutte le applicazioni di Office 365. Tutte le modifiche ai criteri di accesso client influiscono sulla capacità degli utenti di accedere a tali applicazioni. Ordine dei criteri di accesso client Disporre in ordine i criteri di accesso client in quando il sistema li applica dall'alto verso il basso. Il sistema utilizza il primo criterio per autenticare un client o negare l'accesso. Ad esempio, se si crea un criterio che nega l'accesso a tutti i tipi di dispositivi e lo si trascina sopra un criterio che consente l'accesso ai dispositivi Android, il sistema nega comunque l'accesso a tutti i dispositivi che tentano di utilizzare un nome utente e una password. Il sistema non applica quindi il criterio che consente l'accesso ai dispositivi Android. Il primo criterio che nega l'accesso ha priorità. VMware, Inc. 150

151 Aggiungere applicazioni di Office 365 con un criterio di accesso client Aggiungere applicazioni di Office 365 nella console Workspace ONE UEM Console in modo da poterne controllare l'accesso con criteri di accesso client. 1 Passare a App e libri > Applicazioni > Web > SaaS e selezionare Nuova. 2 Completare le opzioni nella scheda Definizione. Impostazione Cerca Nome Icona Categoria Immettere Office 365 per visualizzare un elenco delle applicazioni disponibili. Immettere o visualizzare un nome per l'applicazione SaaS. (Facoltativo) Fornire una descrizione dell'applicazione. Spesso, questa casella di testo viene riempita automaticamente. (Facoltativo) Se un'icona non viene visualizzata automaticamente, selezionarne una. (Facoltativo) Assegnare categorie per aiutare gli utenti a ordinare e filtrare l'applicazione nel catalogo Workspace ONE. Configurare le categorie in VMware Identity Manager in modo da visualizzarle nell'elenco delle categorie. 3 Completare le opzioni nella scheda Configurazione. a Tipo di autenticazione - Le applicazioni di Office 365 utilizzano WSFed 1.2 come tipo di autenticazione per fornire l'accesso Single Sign-On. Tabella Impostazioni di autenticazione per WSFed 1.2 Impostazione URL di destinazione URL Single Sign-on ID dell'applicazione Formato nome utente Valore nome utente Inserire l'url per indirizzare gli utenti all'applicazione SaaS su Internet. Inserire l'url Assertion Consumer Service (ACS). Workspace ONE invia questo URL al fornitore di servizi per il Single Sign-on. Inserire l'id che identifica il tenant del fornitore di servizi in Workspace ONE. Workspace ONE invia l'asserzione SAML all'id. Alcuni provider di servizi usano l'url Single Sign-On. Selezionare il formato richiesto dai fornitori di servizi per il formato dell'oggetto SAML. Inserire il Valore ID nome inviato da Workspace ONE nell'istruzione di oggetto dell'asserzione SAML. Questo valore è un valore della casella di testo di profilo predefinito per un nome utente presso il fornitore di servizi di applicazioni. b Parametri dell'applicazione - Aggiungere i valori per i parametri avanzati per consentire l'avvio dell'applicazione. VMware, Inc. 151

152 c Proprietà avanzate - Se si desidera un maggior controllo delle messaggistica nei processi Single Sign-On con Workspace ONE, aggiungere i parametri facoltativi. Tabella Proprietà avanzate per WSFed 1.2 Impostazione Verifica credenziali Algoritmo della firma Algoritmo Digest Ora asserzione Mappatura degli attributi personalizzati Selezionare il metodo di verifica delle credenziali. Selezionare l'algoritmo di firma corrispondente all'algoritmo digest. Se il provider di servizi in uso supporta SHA256, selezionare tale algoritmo. Selezionare l'algoritmo digest corrispondente all'algoritmo di firma. Se il provider di servizi in uso supporta SHA256, selezionare tale algoritmo. Immettere i secondi inviati dall'istanza di Workspace ONE di asserzione al provider di servizi affinché l'autenticazione sia valida. Se il provider di servizi consente di utilizzare attributi personalizzati diversi da quelli per il Single Sign-On, aggiungerli. d Criteri di accesso - Assegnare i criteri per proteggere l'accesso alle risorse dell'applicazione. Tabella Opzioni criteri di accesso Impostazione Criterio d'accesso Aprire nel browser VMware Richiesta approvazione licenza Selezionare un criterio utilizzabile da Workspace ONE per controllare l'autenticazione e l'accesso degli utenti. Il criterio di accesso predefinito è disponibile se non si dispongono di criteri personalizzati. Tali criteri possono essere configurati nella console UEM. Richiede a Workspace ONE di aprire l'applicazione in VMware Browser. Se si utilizza VMware Browser, è possibile aprire le applicazioni SaaS al suo interno per aumentarne ulteriormente la sicurezza. Questa azione mantiene l'accesso nell'ambito delle risorse interne. Richiede le approvazioni prima di installare l'applicazione e attivare una licenza. Prezzo licenza - Selezionare il modello di prezzo per acquistare le licenze per l'applicazione SaaS. Tipo di licenza - Selezionare il modello utente per le licenze, utenti denominati o simultanei. Costo per licenza - Immettere il prezzo per licenza. Numero di licenze - Immettere il numero di licenze acquistate per l'applicazione SaaS. Configurare le Approvazioni corrispondenti nella sezione Impostazioni dell'applicazione SaaS. VMware, Inc. 152

153 4 Aggiungere Criteri di accesso client per i client Office 365. Un criterio di accesso client consente a VMware Identity Manager di gestire le credenziali dell'interfaccia utente del client Office 365 raccolte per l'autenticazione. Alcuni esempi di client includono VMware Boxer e Microsoft Outlook. Selezionare Aggiungi regola di criterio e completare le impostazioni. Tabella Opzioni regole criteri Impostazione Se il client dell'utente è Se l'intervallo di rete di un utente è E il tipo di dispositivo dell'utente è e l'utente appartiene ai gruppi Selezionare un client Office 365 disponibile. Selezionare un intervallo di rete configurato precedentemente nel processo per gli intervalli di rete. Selezionare la piattaforma del dispositivo consentito per l'accesso. Selezionare i gruppi di utenti autorizzati ad accedere al contenuto, in base alle regole specificate nel criterio. Se non si seleziona alcun gruppo, il criterio si applica a tutti gli utenti. E il protocollo del client è Selezionare il protocollo consentito per il client Office 365. Quindi eseguire questa azione Consentire o negare l'accesso alle applicazioni di Office Visualizzare il Riepilogo per l'applicazione SaaS e passare al processo di assegnazione. Assegna applicazioni SaaS Consente di assegnare applicazioni SaaS agli utenti e gruppi configurati in VMware Identity Manager. Vedere Assegna applicazioni SaaS. Assegna applicazioni SaaS Consente di distribuire applicazioni SaaS a utenti e gruppi configurati nel sistema Active Directory in uso. Tale sistema identifica gli utenti e i gruppi in base al nome e al dominio. Queste risorse non corrispondono ai gruppi smart della console Workspace ONE UEM Console. Informazioni su utenti e gruppi di utenti Gli utenti e i gruppi di utenti vengono configurati nella console di amministrazione di VMware Identity Manager. Per informazioni, vedere l'argomento Gestione di utenti e gruppi sul sito della documentazione relativa a VMware Identity Manager all'indirizzo docs.vmware.com. Assegnare utenti e gruppi alle applicazioni SaaS È possibile assegnare applicazioni SaaS concedendo agli utenti le autorizzazioni di accesso e utilizzo per l'applicazione. Gli utenti accedono all'applicazione SaaS da Workspace ONE. 1 Passare adapp e libri > Applicazioni > Web > SaaS. 2 Selezionare l'applicazione SaaS e quindi scegliere Assegna. VMware, Inc. 153

154 3 Compilare le opzioni di assegnazione. Impostazione Utenti/Gruppi di utenti Specificare gli utenti e i gruppi di utenti che devono ricevere l'assegnazione dell'applicazione. Tali utenti e gruppi di utenti vengono autorizzati ad accedere a Workspace ONE. Tipo di distribuzione Attivata dall'utente - Gli utenti devono selezionare le applicazioni nel catalogo Workspace ONE e aggiungerle al Launcher per attivarle. Automatica - Le applicazioni vengono visualizzate nel Launcher di Workspace ONE la prossima volta che gli utenti accedono al portale Workspace ONE. 4 Salvare le impostazioni di assegnazione. Adattatori di provisioning Il provisioning fornisce la gestione automatica degli utenti di un'applicazione da un'unica posizione. Gli adattatori di provisioning consentono alle applicazioni Web di recuperare informazioni specifiche dal servizio VMware Identity Manager in base alle necessità. Se il provisioning è abilitato per un'applicazione Web, quando si autorizza un utente all'applicazione nel servizio VMware Identity Manager, viene eseguito il provisioning di tale utente nell'applicazione Web. Il servizio VMware Identity Manager include attualmente gli adattatori di provisioning per Microsoft Office 365. Configurazione dell'adattatore di provisioning per Office 365 Il servizio VMware Identity Manager include attualmente gli adattatori di provisioning per Microsoft Office 365. Completare i passaggi seguenti per configurare l'adattatore di provisioning per Office Passare a App e libri > Applicazioni > Web > SaaS e selezionare Nuova. 2 Nella scheda Definizione cercare Office 365. Completare la scheda Definizione e scegliere Avanti. Per ulteriori informazioni, vedere Aggiungere applicazioni SaaS dalla console Workspace ONE UEM Console. 3 Completare le caselle di testo nella scheda Configurazione. Per ulteriori informazioni, vedere Aggiungere applicazioni SaaS dalla console Workspace ONE UEM Console. 4 Abilitare Configura provisioning. Per impostazione predefinita, la configurazione del provisioning è disabilitata. Dopo la selezione, le schede Configura provisioning, Provisioning, Provisioning utente, e Provisioning di gruppo vengono aggiunte alla navigazione sinistra. 5 Aggiungere Criteri di accesso client per i client Office 365. Per informazioni, vedere Aggiungere applicazioni di Office 365 con un criterio di accesso client. VMware, Inc. 154

155 6 Nella scheda Provisioning, selezionare Abilita Provisioning e immettere le informazioni seguenti: Impostazione Dominio di Office 365 ID client applicazione Segreto client applicazione Immettere il nome del dominio di Office 365. Ad esempio esempio.com. Viene effettuato il provisioning degli utenti in questo dominio. Immettere l'appprincipalid ottenuto durante la creazione dell'utente dell'entità principale. Immettere la password creata per l'utente dell'entità principale. 7 Per impostazione predefinita, l'opzione Provisioning con licenza è disabilitata. Selezionando Provisioning con licenza, è possibile immettere le informazioni seguenti: Impostazione ID SKU Rimuovi licenza dopo deprovisioning Immettere le informazioni SKU. Selezionare l'opzione se si desidera rimuovere la licenza quando si annulla il provisioning dell'applicazione di Office Per verificare che il tenant di Office 365 possa essere raggiunto, selezionare Esegui test di connessione. 9 Seleziona Avanti. 10 Nella scheda Provisioning utente, selezionare gli attributi con cui eseguire il provisioning degli utenti in Office 365. Assicurarsi che siano configurati i seguenti attributi di Active Directory obbligatori a uno dei nomi di attributo obbligatori nella pagina Attributi utente: a b L'attributo Nickname posta deve essere univoco all'interno della directory e non può contenere caratteri speciali. Mappare l'attributo Nickname posta al nome utente. Una volta mappato, non modificare il Nickname posta. L'attributo objectguid è un attributo personalizzato che deve prima essere aggiunto all'elenco degli attributi utente. ObjectGUID viene mappato nell'attributo GUID. Selezionare Aggiungi valore mappato se si desidera aggiungere un Nome attributo e un Valore. Nota l'upn (UserPrincipalName) viene creato automaticamente. Il valore mappato non è visibile. L'adattatore di provisioning aggiunge il dominio di Office 365 al valore dell'attributo mailnickname (user.username) per creare l'upn. Viene aggiunto come nome utente +@+ O365_nomedominio. Ad esempio, jdow@office365esempio.com 11 Seleziona Avanti. VMware, Inc. 155

156 12 Nella schermata Provisioning gruppo è possibile completare l'attività di Provisioning gruppo. Quando viene eseguito il provisioning di un gruppo in Office 365, il gruppo è sottoposto a provisioning come gruppo di sicurezza. Viene eseguito il provisioning dei membri del gruppo come utenti, se questi non esistono nel tenant di Office 365. Il gruppo non è autorizzato per le risorse quando sottoposto a provisioning. Se si desidera autorizzare il gruppo per le risorse, creare il gruppo e quindi autorizzare le risorse per quel gruppo. Selezionare Aggiungi gruppo e completare i seguenti passaggi: a b c Nella casella di testo Seleziona gruppo, cercare il gruppo di cui effettuare li provisioning in Office 365. Nella casella di testo Nickname posta, immettere un nome per questo gruppo. Il nickname viene utilizzato come un alias: non sono consentiti caratteri speciali. Seleziona Salva. È possibile annullare il provisioning di un gruppo nell'applicazione di Office 365. Il gruppo di sicurezza viene rimosso dal tenant di Office 365. Gli utenti del gruppo non vengono eliminati. Per annullare il provisioning di un gruppo, selezionare il gruppo di utenti e scegliere Annulla provisioning. 13 Selezionare Avanti per visualizzare la scheda Riepilogo. 14 Selezionare Salva per salvare le configurazioni o Salva e assegna per distribuire Office 365 a utenti e gruppi configurati dal sistema di Active Directory. Impostazioni per le applicazioni SaaS Le Impostazioni includono funzionalità che si applicano a tutte le applicazioni SaaS nell'ambiente Workspace ONE. Controllare l'accesso con le configurazioni per l'autenticazione SAML e con le approvazioni necessarie. Approvazioni Configurare le applicazioni SaaS per richiedere l'approvazione prima che gli utenti possano accedervi. Utilizzare questa funzionalità quando sono presenti applicazioni SaaS che utilizzano le licenze per l'accesso per aiutare a gestire le relative attivazioni. Quando si abilitano le approvazioni, configurare l'opzione corrispondente, Richiesta approvazione licenza, nel record dell'applicazione SaaS applicabile. Approvazione flusso di lavoro: gli utenti visualizzano l'applicazione nel catalogo Workspace ONE e richiedono l'utilizzo dell'applicazione. VMware Identity Manager invia il messaggio della richiesta di approvazione all'url dell'endpoint REST di approvazione configurato dell'organizzazione. Il sistema esamina la richiesta e invia un messaggio di approvazione o rifiuto a VMware Identity Manager. Quando un'applicazione viene approvata, lo stato dell'applicazione passa da In sospeso a Aggiunto e l'applicazione viene visualizzata nella pagina di avvio di Workspace ONE. VMware, Inc. 156

157 Motori di approvazione - il sistema offre due motori di approvazione. API REST - il motore di approvazione dell'api REST utilizza uno strumento di approvazione esterno che viene instradato tramite l'api REST del server Web per eseguire la richiesta e le risposte di approvazione. Immettere l'url dell'api REST nel servizio VMware Identity Manager e configurare le API REST con i valori delle credenziali del client OAuth di VMware Identity Manager, la richiesta di callout e l'azione di risposta. API REST tramite connettore - l'api REST tramite il motore di approvazione del connettore instrada le chiamate di callback attraverso il connettore utilizzando il canale di comunicazione basato su Websocket. Configurare l'endpoint dell'api REST con la richiesta di callout e l'azione di risposta. Per informazioni sulle approvazioni, vedere Configurare le approvazioni. Metadati SAML e certificati autofirmati o certificati da CA È possibile utilizzare i certificati SAML dalla pagina Impostazioni per i sistemi di autenticazione come il Single Sign-On mobile. Il servizio VMware Identity Manager crea automaticamente un certificato self-signed per la firma SAML. Tuttavia, alcune organizzazioni richiedono certificati rilasciati da autorità di certificazione (CA, Certificate Authority). Per richiedere un certificato alla propria CA, generare una richiesta di firma del certificato (CSR) in Impostazioni. È possibile utilizzare entrambi i tipi di certificati per autenticare gli utenti per le applicazioni SaaS. Inviare il certificato alle applicazioni interessate per configurare l'autenticazione tra l'applicazione e il sistema Workspace ONE. Per informazioni sul recupero dei metadati SAML e i certificati nella pagina Impostazioni, vedere Metadati SAML per il Single Sign-On con applicazioni SaaS. Origini delle applicazioni È possibile aggiungere fornitori di identità terzi per autenticare gli utenti in VMware Identity Manager. Per configurare l'istanza del provider, utilizzare i metadati del provider di identità e del provider di servizi copiati dalla sezione Impostazioni nella console di AirWatch. Per informazioni dettagliate su come configurare i provider indipendenti, vedere Configurazione di un'istanza del provider di identità di terze parti per l'autenticazione degli utenti nella documentazione relativa a VMware Identity Manager. È possibile configurare l'origine dell'applicazione selezionando il provider di identità di terze parti corrispondente. Dopo aver impostato l'origine dell'applicazione, è possibile creare le applicazioni associate. Per ulteriori informazioni, vedere Configurazione di provider di identità di terze parti come origine dell'applicazione. VMware, Inc. 157

158 Configurare le approvazioni Utilizzare le approvazioni per le applicazioni SaaS che attivano le licenze per l'utilizzo. Quando attivati con l'opzione Richiesta approvazione licenza corrispondente, gli utenti richiedono l'accesso alle applicazioni SaaS applicabili dal catalogo di Workspace ONE prima dell'installazione e dell'attivazione di una licenza. 1 Passare a App e libri > Applicazioni > Web > SaaSe selezionare Impostazioni. 2 Selezionare Approvazioni. 3 Selezionare Sì per abilitare la funzionalità. 4 Selezionare un Motore di approvazione che il sistema utilizzerà per richiedere le approvazioni. 5 Immettere l' URI (Uniform Resource Identifier) callback della risorsa REST che resta in ascolto della richiesta di callout. 6 Immettere il Nome utente, se l'api REST richiede le credenziali per l'accesso. 7 Immettere la Password per il nome utente, se l'api REST richiede le credenziali per l'accesso. 8 Immettere il certificato SSL in formato PEM (posta elettronica con privacy avanzata) per l'opzione Certificato SSL in formato PEM, se la risorsa REST viene eseguito su un server che ha un certificato autofirmato o un certificato non attendibile da un'autorità di certificati pubblica e utilizza HTTPS. Per informazioni sull'opzione Richiesta approvazione licenza corrispondente, vedere l'argomento applicabile: Per le applicazioni di Office 365, vedere Aggiungere applicazioni di Office 365 con un criterio di accesso client. Per le applicazioni SaaS regolari, vedere Aggiungere applicazioni SaaS dalla console Workspace ONE UEM Console. Metadati SAML per il Single Sign-On con applicazioni SaaS È possibile recuperare i certificati e i metadati SAML dalla pagina Impostazioni, quindi utilizzare metadati e certificati con altri sistemi per le funzionalità Single Sign-On. Prima di sostituire i certificati SSL Se si sostituisce un certificato SSL esistente, questa operazione modifica i metadati SAML esistenti. Importante Tutte le connessioni Single Sign-on che dipendono dai metadati SAML esistenti si interrompono quando il processo di generazione CSR crea i metadati SAML. Nota se si sostituisce un certificato SSL, è necessario aggiornare le applicazioni SaaS configurate per il Single Sign-On mobile con il certificato più recente. VMware, Inc. 158

159 Scaricare i metadati SAML self-signed o generare una CSR Copiare il certificato di firma SAML e copiare e salvare l'identità e i metadati del fornitore di servizi. È inoltre possibile generare un certificato per formare una richiesta di certificato SSL da inviare a un'autorità di certificazione. 1 Passare a App e libri > Applicazioni > Web > SaaSe selezionare Impostazioni. 2 Selezionare Metadati SAML > Scarica metadati SAML e completare le attività. Impostazione Metadati SAML Certificato di firma Copiare e salvare i metadati del Fornitore di identità e del Fornitore di servizi. Selezionare i collegamenti e aprire un'istanza del browser con i dati XML. Configurare il provider di identità indipendente con tali informazioni. Copiare il certificato di firma che include tutto il codice nell'area di testo. È inoltre possibile scaricare il certificato per salvarlo come file TXT. 3 Selezionare Genera CSR e completare le attività necessarie per richiedere un certificato di identità digitale (certificato SSL) all'autorità di certificazione. Questa richiesta identifica azienda, nome di dominio e chiave pubblica. L'autorità di certificazione indipendente la utilizza per rilasciare il certificato SSL. Per aggiornare i metadati, caricare il certificato firmato. Tabella Immettere una nuova richiesta di firma del certificato Impostazione Nome comune Organizzazione Dipartimento Città Stato/provincia Nazione Algoritmo di generazione delle chiavi Dimensioni chiave Immettere il nome dominio completo per il server aziendale. Immettere la ragione sociale registrata dell'azienda. Specificare il reparto dell'azienda a cui si riferisce il certificato. Immettere la città in cui si trova la sede legale dell'azienda. Immettere lo stato o la provincia in cui si trova la sede legale dell'azienda. Immettere il paese in cui si trova la sede legale dell'azienda. Selezionare un algoritmo utilizzato per firmare la CSR. Selezionare il numero di bit usati nella chiave. Selezionare 2048 o più. Le dimensioni di chiavi RSA inferiori a 2048 sono considerate non sicure. Tabella Sostituire una richiesta di firma del certificato Impostazione Caricare il certificato SSL Caricare il certificato SSL ricevuto dall'autorità di certificazione terza. Certificate Signing Request Scaricare la richiesta di firma del certificato (Certificate Signing Request, CSR). Inviare la CSR all'autorità di certificazione indipendente. L'autorità di certificazione terza invia all'utente un certificato SSL. VMware, Inc. 159

160 Configurazione di provider di identità di terze parti come origine dell'applicazione È possibile aggiungere provider di identità di terze parti come origine di un'applicazione nelle impostazioni per le applicazioni SaaS. L'aggiunta di un provider di identità come origine dell'applicazione semplifica il processo di aggiunta delle singole applicazioni da tale provider al catalogo dell'utente finale. L'aggiunta di un provider di identità come origine dell'applicazione semplifica il processo di aggiunta delle singole applicazioni da tale provider al catalogo dell'utente finale. Per iniziare, autorizzare il gruppo ALL_USERS per l'origine dell'applicazione e selezionare un criterio di accesso da applicare. Le applicazioni Web che utilizzano il profilo di autenticazione SAML 2.0 possono essere aggiunte al catalogo. La configurazione dell'applicazione è basata sulle impostazioni configurate nell'origine dell'applicazione. Devono essere configurati solo il nome dell'applicazione e l'url di destinazione. Quando si aggiungono applicazioni, è possibile autorizzare utenti e gruppi specifici e applicare un criterio di accesso per controllare l'accesso degli utenti all'applicazione. Gli utenti possono accedere a queste applicazioni dai propri sistemi desktop e dispositivi mobili. Le impostazioni e i criteri configurati dall'origine dell'applicazione di terze parti sono applicabili a tutte le applicazioni gestite dall'origine dell'applicazione. A volte, i provider di identità di terze parti inviano una richiesta di autenticazione senza indicare l'applicazione a cui l'utente sta tentando di accedere. Se VMware Identity Manager riceve una richiesta di autenticazione che non include le informazioni sull'applicazione, vengono applicate le regole dei criteri di accesso di backup configurate nell'origine dell'applicazione. È possibile configurare i provider di identità seguenti come origini di un'applicazione. Okta Server PingFederated da Ping Identity Active Directory Federation Services (ADFS) Aggiunta di un'origine di applicazione È possibile configurare l'origine dell'applicazione selezionando il provider di identità di terze parti. Dopo aver impostato l'origine dell'applicazione, è possibile creare le applicazioni associate e autorizzare gli utenti. Per ulteriori informazioni, vedere Aggiunta dell'origine dell'applicazione per i provider di identità di terze parti. Autorizzazione degli utenti per l'origine dell'applicazione È possibile impostare le autorizzazioni per l'origine dell'applicazione su Tutti gli utenti o aggiungere utenti/gruppi di utenti. Per ulteriori informazioni, vedere Aggiunta di utenti all'origine dell'applicazione. VMware, Inc. 160

161 Aggiunta di applicazioni gestite dall'origine dell'applicazione Dopo aver configurato il provider di identità come origine di un'applicazione, è possibile creare le applicazioni associate per ciascuno dei provider di identità di terze parti. Per ulteriori informazioni, vedere Aggiungere applicazioni gestite dall'origine dell'applicazione. Aggiunta dell'origine dell'applicazione per i provider di identità di terze parti Configurare l'origine dell'applicazione selezionando il provider di identità di terze parti. Dopo aver impostato l'origine dell'applicazione, è possibile creare le applicazioni associate e autorizzare gli utenti. 1 Passare a App e libri > Applicazioni > Web > SaaS e selezionare Impostazioni. 2 Selezionare Origini dell'applicazione. 3 Selezionare il provider di identità di terze parti. Viene visualizzata la procedura guidata di origine dell'applicazione del provider di identità di terze parti. 4 Immettere un nome descrittivo da assegnare all'origine dell'applicazione e fare clic su Avanti. 5 Il Tipo di autenticazione viene impostato in modo predefinito su SAML 2.0 ed è di sola lettura. 6 Modificare la Configurazione dell'origine dell'applicazione. Tabella Impostazioni di configurazione: URL/XML Impostazione Configurazione URL/XML URL stato inoltro URL/XML è l'opzione predefinita per le applicazioni SaaS che non fanno ancora parte del catalogo Workspace ONE. Immettere l'url se i metadati XML sono accessibili su Internet. Incollare l'xml nella casella di testo se i metadati XML sono noti, ma non accessibili su Internet. Utilizzare la configurazione manuale se non si dispone dei metadati XML. Immettere l'url di destinazione desiderato per gli utenti dell'applicazione SaaS dopo una procedura di Single Sign-On in uno scenario IDP (Identity Provider-Initiated). Tabella Impostazioni di configurazione: manuale Impostazione Configurazione URL Single Sign-on URL destinatario Manuale è l'opzione predefinita per le applicazioni SaaS aggiunte dal catalogo. Inserire l'url Assertion Consumer Service (ACS). Workspace ONE invia questo URL al fornitore di servizi per il Single Sign-on. Immettere l'url con il valore specifico richiesto dal fornitore di servizi che indica il dominio nell'oggetto di asserzione SAML. Se il provider di servizi non richiede un valore specifico per questo URL, immettere quello indicato in URL Single Sign-On. VMware, Inc. 161

162 Tabella Impostazioni di configurazione: manuale (Continua) Impostazione ID dell'applicazione Formato nome utente Valore nome utente URL stato inoltro Inserire l'id che identifica il tenant del fornitore di servizi in Workspace ONE. Workspace ONE invia l'asserzione SAML all'id. Alcuni provider di servizi usano l'url Single Sign-On. Selezionare il formato richiesto dai fornitori di servizi per il formato dell'oggetto SAML. Inserire il Valore ID nome inviato da Workspace ONE nell'istruzione di oggetto dell'asserzione SAML. Questo valore è un valore di campo di profilo predefinito per un nome utente presso il fornitore di servizi di applicazioni. Immettere l'url di destinazione desiderato per gli utenti dell'applicazione SaaS dopo una procedura di Single Sign- On in uno scenario IDP (Identity Provider-Initiated). 7 Modificare le Proprietà avanzate. Impostazione Firma di risposta Firma di asserzione Crittografa asserzione Includi firma di asserzione Algoritmo della firma Algoritmo Digest Ora asserzione Richiedi firma Certificato di crittografia URL di accesso dell'applicazione Conteggio proxy Accesso API Inserire l'url per indirizzare gli utenti all'applicazione SaaS su Internet. Inserire l'url Assertion Consumer Service (ACS). Workspace ONE invia questo URL al fornitore di servizi per il Single Sign-on. Immettere l'url con il valore specifico richiesto dal fornitore di servizi che indica il dominio nell'oggetto di asserzione SAML. Se il provider di servizi non richiede un valore specifico per questo URL, immettere quello indicato in URL Single Sign-On. Inserire l'id che identifica il tenant del fornitore di servizi in Workspace ONE. Workspace ONE invia l'asserzione SAML all'id. Alcuni provider di servizi usano l'url Single Sign-On. Selezionare SHA256 con RSA come algoritmo hash crittografato sicuro. Selezionare SHA256. Inserire il tempo di asserzione SAML in secondi. Se si desidera che il provider di servizi firmi la richiesta inviata a Workspace ONE, immettere il certificato di firma pubblico. Immettere il certificato di crittografia pubblica se si desidera che la richiesta SAML del provider di servizi delle applicazioni di Workspace ONE venga firmato. Immettere l'url della pagina di accesso del provider di servizi. Questa opzione induce il provider di servizi ad avviare la procedura di accesso a Workspace ONE. Alcuni provider di servizi richiedono che l'autenticazione cominci dalla propria pagina di accesso. Immettere i livelli proxy consentiti fra il provider di servizi e un provider di identità per l'autenticazione. Consenti l'accesso API a questa applicazione. VMware, Inc. 162

163 8 Configurare Mappatura degli attributi personalizzati. Se il provider di servizi consente di utilizzare attributi personalizzati diversi da quelli per il Single Sign-On, aggiungerli. 9 Selezionare Apri in VMware Browser se si desidera aprire l'applicazione in VMware Browser. Tuttavia, è necessario che Workspace ONE apra l'applicazione in VMware Browser. Se si utilizza VMware Browser, è possibile aprire le applicazioni SaaS al suo interno per aumentarne ulteriormente la sicurezza. Questa azione mantiene l'accesso nell'ambito delle risorse interne. 10 Fare clic su Avanti. 11 Per proteggere l'accesso alle risorse dell'applicazione, selezionare i Criteri di accesso. Fare clic su Avanti per visualizzare la pagina di Riepilogo. 12 Fare clic su Salva. Nota Se si seleziona Salva e assegna durante la configurazione dell'origine dell'applicazione, impostare i permessi per l'origine dell'applicazione su Tutti gli utenti. È comunque possibile modificare le impostazioni predefinite e gestire i permessi dell'utente, nonché aggiungere utenti o gruppi di utenti. Per ulteriori informazioni, vedere Aggiunta di utenti all'origine dell'applicazione. Aggiungere applicazioni gestite dall'origine dell'applicazione Dopo aver configurato il provider di identità come origine di un'applicazione, è possibile creare le applicazioni associate per ciascuno dei provider di identità di terze parti. Ad esempio, utilizzare le seguenti istruzioni per aggiungere le applicazioni per il provider di identità OKTA. 1 Passare a App e libri > Applicationi > Web > SaaS > Nuova. 2 Completare le opzioni nella scheda Definizione. 3 Nella scheda Configurazione è possibile selezionare OKTA dal menu a discesa Tipo di autenticazione. Aggiunta di utenti all'origine dell'applicazione È possibile impostare i permessi per l'origine dell'applicazione su Tutti gli utenti oppure aggiungere utenti/gruppi utenti. Per impostazione predefinita, se si seleziona Salva e assegna durante la configurazione dell'origine dell'applicazione, impostare i permessi per l'origine dell'applicazione su Tutti gli utenti. Per gestire l'assegnazione di utenti: 1 Passare a App e libri > Applicazioni > Web > SaaS e selezionare Impostazioni. 2 Selezionare Origini dell'applicazione. 3 Se si desidera sovrascrivere le impostazioni, fare clic su Tutti gli utenti per l'origine dell'applicazione corrispondente. 4 Immettere i nomi dei gruppi o degli utenti. VMware, Inc. 163

164 5 È possibile cercare utenti o gruppi iniziando a digitare una stringa di ricerca e attendere che la funzione di completamento automatico mostri le opzioni oppure è possibile fare clic su Sfoglia per visualizzare l'elenco completo. 6 Fare clic su Salva. SSO tra Workspace ONE UEM e VMware Identity Manager per le app SaaS e i criteri di accesso La console Workspace ONE UEM Console e quella di VMware Identity Manager utilizzano un flusso di lavoro con codice di autorizzazione che consente l'accesso a entrambe le console con Single Sign-On (SSO). Questa funzionalità punta a consentire l'accesso alla console di VMware Identity Manager per permettere agli amministratori della console UEM di lavorare sulle configurazioni delle applicazioni SaaS. Il flusso è specifico per le applicazioni SaaS e i criteri di accesso a Workspace ONE UEM. Aggiunte e modifiche effettuate in Workspace ONE UEM vengono applicate anche in Identity Manager. Registrare il client OAuth durante l'installazione Quando si imposta VMware Identity Manager nella console UEM, si registra il client OAuth come parte dell'installazione guidata. La registrazione del client OAuth costituisce un prerequisito per poter utilizzare questa funzionalità SSO. VMware, Inc. 164

165 Flusso di lavoro VMware Identity Manager e Workspace ONE UEM funzionano nel back-end per autenticare l'amministratore di Workspace ONE UEM in VMware Identity Manager. La console di VMware Identity Manager trasmette un token ID a Workspace ONE UEM. Questo token contiene informazioni sull'amministratore e sull'autenticazione, in modo che l'amministratore possa accedere a entrambe le console. Le due console seguono il processo delineato. VMware, Inc. 165