Distribuire Windows 11 – La guida completa

Di Walter Cipolleschi

Le decisioni da prendere per il deployment e la gestione di Windows 11

Negli ultimi video pubblicati su Si KnowIT abbiamo visto insieme le modalità di deployment disponibili per Windows 11 e, nel caso di upgrade da Windows 10, abbiamo visto anche come fare a gestire le opzioni per un eventuale rollback in caso di problemi di funzionamento della nuova piattaforma.

Per completare il tema del deployment, credo che sia utile aggiungere una sorta di “albero decisionale” che possa aiutarvi a scegliere le modalità più adatte in ogni circostanza concreta. È quello che cercheremo di fare in questo post.

Sommario

• Perché distribuire Windows 11 in un ambito lavorativo
• Criteri decisionali rilevanti per il deployment e la gestione di Windows 11
• Come prendere la decisione giusta
• Cosa fare, come farlo
  • Ipotesi 1 – Piccola organizzazione, senza IT interno
  • Ipotesi 2 – Media organizzazione, senza IT interno
  • Ipotesi 3 – Organizzazione medio-grande, con IT interno
• Conclusioni

Perché distribuire Windows 11 in un ambito lavorativo

Malgrado l’impronta che Microsoft ha voluto dare alla nuova versione di Windows fin dal suo annuncio, molto orientata al mercato consumer, Windows 11 è da considerare a tutti gli effetti la nuova versione professionale del sistema operativo client di Microsoft.

A conferma di quanto appena detto, anche se alla notizia non è stato dato molto risalto, il 17/5/2022, Microsoft ha designato Windows 11 come “ready for broad deployment” che è la classificazione riservata alle versioni di Windows giudicate adatte per essere distribuite nelle grandi organizzazioni, su migliaia di PC.

Non a caso, questa designazione è avvenuta subito dopo la pubblicazione, da parte di Microsoft, lo scorso 5/4/2022, nel sito dedicato alla distribuzione di Windows 11 fatta dall’IT di Microsoft sui ben 190.000 PC della società.

Al di là di questi numeri, sicuramente impressionanti, e del citato riconoscimento ufficiale da parte di Microsoft, le ragioni per cui Windows 11 è da considerare adatto all’utilizzo in ambito professionale sono chiare e noi ne abbiamo già parlato Si KnowIT:

• la particolare attenzione verso la sicurezza
• la capacità di gestire in modo ottimizzato i PC di ultima generazione
• l’attenzione verso il risparmio energetico
• il ciclo di supporto esteso a 24 mesi per l’edizione Pro e a 36 mesi per quella Enterprise
• il passaggio dal ciclo di rilasci semestrali a quello annuale

Tutti questi elementi contribuiscono a rendere Windows 11 la piattaforma ideale anche per un contesto professionale.

Criteri decisionali rilevanti per il deployment e la gestione di Windows 11

I criteri in base ai quali si possono decidere le modalità di deployment più appropriate in ogni circostanza concreta sono:

1. numero dei PC da installare e da gestire, con le seguenti suddivisioni di massima:
   1. fino a 20 PC
   2. tra 21 e 100 PC
   3. più di 100 PC
2. presenza o meno di un IT aziendale, tenendo conto delle seguenti condizioni:
   1. nessun IT interno
   2. IT esterno (cioè con un partner che gestisce, di fatto, i dispositivi aziendali)
   3. IT interno, solitamente supportato anche da partner esterni
3. presenza o meno di una rete aziendale basata su Active Directory (AD), con:
   1. un solo server (che sarà anche il Domain Controller della rete)
   2. più server gestiti da AD
   3. uno o più server ma non gestiti con AD
4. presenza di una o più sedi, con attenzione ai casi di:
   1. una sola sede
   2. più sedi, tra loro non connesse in rete geografica
   3. più sedi connesse in rete geografica
5. il tipo di licensing adottato, in particolare distinguendo le licenze:
   1. OEM
   2. in volume (per dispositivo o per utente)

In base ai criteri sopra indicati, si potranno poi scegliere:

• le modalità di deployment:
  • manuale
  • automatizzata con ADK / MDT / WDS
  • automatizzata con strumenti come Microsoft Endpoint Manager
• gli strumenti per la gestione degli aggiornamenti:
  • Windows Update
  • Windows Update for Business
  • Windows Server Update Services (WSUS)
  • Microsoft Endpoint Manager

Come prendere la decisione giusta

Partendo dai criteri appena descritti si può decidere, in base all’esperienza di tanti progetti fatti in passato, quale potrebbe essere la soluzione più adatta ad ogni situazione. Descrivere qui ogni possibile combinazione tra i vari criteri non è possibile, perché sarebbero troppe; però, una volta compreso il metodo utilizzato, sono sicuro che sarete in grado di applicarlo da soli ad ognuna delle situazioni che incontrerete nelle attività di tutti i giorni.

I dati che servono, come si può vedere sopra, sono piuttosto semplici da recuperare presso qualunque tipo di cliente. I tre criteri più importanti sono:

1. la quantità dei PC;
2. la presenza o meno di una struttura IT interna;
3. la presenza o meno di una rete basata su AD.

Questi fattori determinano, più di ogni altra condizione, le scelte successive.

La quantità di PC è importante perché determina qual è la modalità di installazione ottimale: manuale se i PC sono pochi, automatizzata se i PC crescono di numero e, soprattutto, se c’è l’esigenza di standardizzare le configurazioni per poter ottimizzare poi la gestione e il supporto.

Anche la presenza o meno di una struttura IT interna è rilevante, perché permette di determinare l’opportunità o meno di adottare degli strumenti di gestione e perché da questa dipende anche il nostro ruolo, quello dei partner esterni.

Ovviamente più la struttura interna è competente e dimensionata correttamente e più sarà autonoma, ma difficilmente, anche in questo caso, essa avrà le competenze necessarie per il deployment e per la gestione in esercizio di Windows 11, per cui dobbiamo essere abili a individuare gli spazi e le aree dove le nostre competenze sono più utili e cercare di occuparle.

La presenza di AD, infine, è l’altro elemento decisionale importante: grazie ad essa, infatti, sarà possibile predisporre e utilizzare gli eventuali strumenti di deployment automatizzati e di gestione centralizzata degli aggiornamenti, favorendo l’impiego delle nostre competenze anche nella gestione in esercizio del ciclo di vita dei PC.

Anche gli ultimi due criteri, cioè il numero delle sedi e la tipologia di licenza, pur non essendo fattori decisivi come i precedenti, sono rilevanti e possono dare ulteriori indicazioni su come è meglio procedere.

La presenza o meno di una rete geografica stabile tra eventuali sedi distribuite, ad esempio, può essere un fattore decisionale rilevante, in un progetto di deployment, per scegliere le modalità di distribuzione del sistema (manuale o automatizzata) e i relativi strumenti (ad es. l’uso di prodotti come Microsoft Endpoint Manager, presso clienti con varie sedi e una rete geografica aziendale non ottimizzata, può essere particolarmente appropriato).

Cosa fare, come farlo

Facciamo ora alcuni esempi che ci permettano di spiegare la logica da utilizzare per affrontare un progetto di deployment di Windows 11 e per predisporre una soluzione adeguata alla gestione successiva degli aggiornamenti del sistema operativo.

Ipotesi 1 – Piccola organizzazione, senza IT interno

Partendo dal caso di una realtà molto piccola, possiamo ipotizzare un’organizzazione che abbia:

• 7 PC
• Nessun IT interno
• Solo un NAS per la condivisione di file e stampanti
• Una sola sede
• Licenze di tipo OEM

In base a queste informazioni, la strategia di deployment più efficace è quella manuale, perché il ridotto numero di macchine non giustifica la creazione di un’immagine campione da distribuire poi in modo automatizzato. Inoltre, la mancanza di una rete basata su AD, rende più difficile l’applicazione di policy e/o di script per la standardizzazione del sistema operativo.

Questo non vuol dire che ogni PC dovrà essere installato/configurato in modo estemporaneo; in una situazione come questa è consigliabile, invece, definire una check list, basata sui requisiti indicati dal cliente, con l’elenco di tutti i passaggi da seguire e delle impostazioni di sistema da applicare, del software da aggiungere, degli utenti da configurare, dei dati da trasferire (in caso di aggiornamento da una piattaforma precedente). Operando in questo modo si sarà ragionevolmente sicuri di produrre postazioni di lavoro allineate e coerenti, a tutto vantaggio della gestione successiva e dell’eventuale “ripetibilità” dell’installazione in caso di necessità successive (sostituzione di PC esistenti, ingresso di nuovi utenti, ecc.)

In termini di gestione degli aggiornamenti, non essendoci AD, la strategia più appropriata sarà quella di preparare uno script che istruisca i vari PC a scaricare gli aggiornamenti secondo una sequenza temporale predefinita (Windows Update for Business), così da evitare la contemporaneità dei download e, magari, sfruttare la modalità di distribuzione “peer-to-peer” tra i PC della stessa rete, così da ridurre il traffico sulla connessione a Internet. Questo script dovrebbe essere inserito nella check list di installazione, con l’indicazione di un parametro di “sfasatura temporale” da introdurre tra PC e PC nel download degli aggiornamenti.

La presenza di un Domain Controller e, quindi di AD, ovviamente, semplificherebbe di molto la gestione dei PC e la distribuzione degli aggiornamenti, permettendo di utilizzare le group policy per gestire le impostazioni di Windows Update for Business ed evitando, quindi, di dover predisporre, a questo scopo, uno script dedicato, da gestire manualmente.

Ipotesi 2 – Media organizzazione, senza IT interno

In un’organizzazione di medie dimensioni, un progetto di deployment di Windows 11 richiederà l’impiego di tecniche un po’ più sofisticate. Ipotizziamo un caso in cui ci siano:

• 55 PC
• Un referente interno, senza competenze IT, e un partner esterno a supporto
• Una rete basata su AD, con 5 server
• 3 sedi
• Licenze di tipo OEM

Più il numero dei PC cresce e più diventa opportuna l’adozione di una strategia di deployment standardizzata, indipendentemente dal fatto che poi l’installazione effettiva di Windows 11 sui PC sia fatta manualmente o in maniera automatizzata. Il numero di macchine, in questo caso, giustifica la creazione di un’immagine campione standard da utilizzare come template per installare tutti i PC.

Sfruttando poi la presenza di AD, eventuali personalizzazioni da applicare ai PC presenti nelle varie sedi o da assegnare a particolari tipologie di utenti, potranno essere applicate tramite group policy e/o script da eseguire all’atto dell’inserimento a dominio, oppure dell’accensione del PC o, infine, all’atto del logon dell’utente.

Per quanto riguarda l’impiego di strumenti di automazione del deployment, come ADK/MDT/WDS, occorrerà valutare caso per caso l’opportunità di introdurli o meno. Si tratta comunque di strumenti gratuiti (WDS è incluso in Windows Server, gli altri due si possono scaricare dai siti di Microsoft) ma, per poterli utilizzare legittimamente, occorre comprare almeno una licenza in volume di Windows 11 Pro perché, anche se poi si utilizzerà la licenza OEM di Windows 11 Pro sulle singole macchine, la possibilità di distribuire un’immagine unica del sistema operativo viene offerta solo con le licenze in volume. La presenza o l’assenza di una rete geografica affidabile può essere un altro fattore rilevante per la scelta di introdurre o meno strumenti di automazione come quelli citati.

In termini di gestione degli aggiornamenti, la soluzione migliore, quando si ha a che fare con decine di PC, è quella di utilizzare WSUS (per centralizzare gli aggiornamenti) e le group policy (in italiano i “criteri di gruppo”) su AD (per organizzare la distribuzione degli aggiornamenti), in modo da evitare la contemporaneità dei download degli aggiornamenti da parte di tutti i PC della rete. Avendo tre diverse sedi nel caso ipotetico che stiamo utilizzando, si può fare leva sulla distribuzione “peer-to-peer” tra i PC della stessa rete per ridurre il traffico tra le varie sedi.

Ipotesi 3 – Organizzazione medio-grande, con IT interno

Nelle organizzazioni medio-grandi o in quelle grandi, un progetto di deployment di Windows 11 richiede sia l’adozione di soluzioni tecniche adeguate sia l’impiego di strumenti di deployment e di gestione più sofisticati. In questo senso proviamo a ipotizzare una situazione in cui ci siano:

• 270 PC
• IT interno
• Una rete basata su AD con vari server, distribuiti nelle diverse sedi
• 5 sedi
• Licenze in volume

Con un numero di PC così alto diventa inevitabile l’adozione di una soluzione di deployment automatizzata, basata su una o più immagini campione da usare per i vari tipi di PC che possono essere presenti in azienda. AD consentirà sia di semplificare il deployment sia di controllare il comportamento dei PC una volta installati.

Per quanto riguarda il deployment, si potranno adottare gli strumenti gratuiti già citati (cioè ADK/MDT/WDS) oppure si potrà scegliere di adottare strumenti più completi, come Microsoft Endpoint Manager, che permetteranno di gestire tutto il ciclo di vita dei PC e non solo il deployment. L’adozione di questo tipo di strumenti sarà praticamente indispensabile se si deve distribuire Windows 11 con licenze in volume o in abbonamento, per dispositivo o per utente. In questi casi, infatti, solo strumenti come Configuration Manager o Intune offrono le funzioni necessarie per gestire in modo appropriato le situazioni in cui i PC devono essere registrati sia in AD che in Azure AD (la cosiddetta “hybrid join”), condizioni necessarie per poter sfruttare al massimo i servizi Cloud di Microsoft dedicati alla gestione e alla sicurezza dei PC.

Per la gestione degli aggiornamenti, benché sia comunque possibile utilizzare WSUS anche con numeri di macchine molto elevati, è opportuno adottare soluzioni come Microsoft Endpoint Manager perché questi strumenti offrono anche tutte le funzioni necessarie per effettuare sia la distribuzione degli aggiornamenti mensili sia quella delle nuove versioni del sistema operativo.

Conclusioni

Con questo post abbiamo completato il quadro di riferimento all’interno del quale potete valutare, proporre e progettare adeguatamente il deployment e la gestione di Windows 11 sui PC dei vostri clienti. Ovviamente, se avete dubbi o domande, non esitate a contattarci e saremo lieti di potervi supportare nelle vostre decisioni.

Per chiudere, l’invito è sempre lo stesso: rimanete con noi su Si KnowIT per nuovi suggerimenti e idee utili relative a Windows 11. A presto.

Guarda gli altri contenuti di Si KnowIT

Si KnowIT è la rubrica di SiComputer rivolta che si rivolge agli operatori del settore ITC, ogni mese pubblichiamo articoli, podcast e video.