Automatizzare la configurazione di un nuovo dispositivo con NinjaOne

Questo articolo si basa su un webinar condotto da NinjaOne ed è inteso come un pezzo di accompagnamento per aiutare i nostri utenti a seguire. È possibile guardare il webinar completo qui.

L’onboarding di nuovi endpoint può essere un’attività particolarmente impegnativa in termini di tempo. Fortunatamente, i passaggi per configurare, proteggere e impostare gli endpoint possono spesso essere standardizzati e automatizzati per ridurre notevolmente l’investimento di tempo necessario. Con gli strumenti giusti, è possibile anche automatizzare la configurazione personalizzata dei dispositivi su larga scala.

Questo articolo fornisce un quadro di riferimento per l’impostazione di un processo per automatizzare la configurazione di un dispositivo, e cinque esempi dettagliati che puoi implementare subito in NinjaOne.

Il nuovo quadro di configurazione dei dispositivi

Abbiamo suddiviso il processo per automatizzare la configurazione del nuovo dispositivo in cinque fasi:

• Pulisci il dispositivo
• Configura l’endpoint
• Installa le applicazioni necessarie
• Distribuisci le risorse di sicurezza
• Convalida

Per il primo e l’ultimo passo l’ordine è importante, ma per i tre passi centrali è possibile muoversi avanti e indietro tra i passi a seconda delle proprie esigenze.

Pulisci il dispositivo

Questa fase è molto importante se si sta riciclando un dispositivo usato in precedenza. È importante rimuovere tutti i dati dell’utente precedente e reimpostare il dispositivo su una base di partenza, in modo che il nuovo utente abbia la migliore esperienza possibile. Per i nuovi endpoint, potrebbero essere necessarie alcune operazioni di pulizia (ad esempio) per rimuovere il bloatware. Esempi di fasi di pulizia sono:

• Esegui la riparazione dell’aggiornamento di Windows
• Rimuovi gli utenti inutilizzati; gli account di amministrazione
• Rimuovi il software preinstallato
• Rimuovi le versioni precedenti del software e reinstalla
• Rimuovi le stampanti inutilizzate e preinstallate
• Cancella le cartelle temporanee, rimuovi i dati dell’utente

Configura l’endpoint

Esistono migliaia di potenziali modifiche alla configurazione di un endpoint prima che l’utente finale prenda il controllo del dispositivo. Di solito queste modifiche servono a migliorare la sicurezza o l’esperienza dell’utente finale. Esempio di modifiche alla configurazione:

• Disabilita Fastboot
• Aggiungi un profilo SSID wi-fi
• Imposta dei piani di potenziamento
• Imposta il nome del computer
• Mappa le unità di rete
• Imposta le chiavi di registro
• Abilita e configura i punti di ripristino
• Disattiva l’aggiornamento di Windows 11
• Imposta le scadenze degli account locali
• Configura le impostazioni dell’utente finale (lingua, ora, regioni, layout della tastiera, imposta le applicazioni predefinite)

Installa applicazioni

Uno dei casi d’uso più semplici e probabilmente più noti per automatizzare la configurazione dei dispositivi è la distribuzione di applicazioni. Esempi di applicazioni e categorie di applicazioni

• Software di sicurezza (AV, NGAV, EDR, ecc.)
• Applicazioni per la produttività (Office 365, Slack, Zoom)
• Software di backup (Ninja Data Protection, Acronis)
• VPN (con server e dominio configurati)
• Applicazioni line of business
• SSO

Distribuisci le risorse di sicurezza

Che si tratti di distribuire applicazioni di sicurezza, di hardening di un endpoint attraverso modifiche alla configurazione o di aggiornare completamente un endpoint prima della consegna, la parte potenzialmente più importante della configurazione di un nuovo dispositivo è la protezione dell’endpoint. Esempi di configurazioni di sicurezza

• Crea un amministratore locale
• Imposta la rotazione delle password per l’amministratore locale
• Abilita Bitlocker
• Abilita il firewall e assicurati che il profilo sia attivato
• Aggiorna il sistema operativo all’ultima versione
• Esegui gli aggiornamenti del firmware OEM e del BIOS OEM

Convalida

La fase di convalida è l’ultima e più critica del processo usato per automatizzare la configurazione del dispositivo. L’automazione è un incredibile risparmio di tempo, ma manca la supervisione che un approccio diretto offre. Automatizzando la convalida, è possibile assicurarsi che il nuovo dispositivo sia impostato secondo le specifiche (e intervenire in caso contrario) prima che l’utente finale inizi a utilizzare il nuovo dispositivo.

Automatizzare la configurazione di un nuovo dispositivo in NinjaOne (esempi)

I cinque casi presentati di seguito utilizzano il modello di quadro definito sopra, con un esempio per ogni fase. Questi esempi sono intesi per essere abbastanza generici da poter essere applicati con facilità in qualsiasi ambiente, abbastanza ampi da essere utilizzabili per molti e facilmente replicabili. Ciascuno di questi cinque esempi verrebbe inserito in un criterio per automatizzare la configurazione al quale verrebbero aggiunti nuovi dispositivi.

Dovresti essere in grado di riutilizzare facilmente questi passaggi per creare il proprio processo per automatizzare la configurazione del dispositivo.

Esempio 1 – Pulisci – Esegui la riparazione di Windows Update

Quando si riprogramma un dispositivo usato per un nuovo utente, si vuole essere certi che Windows Update funzioni come previsto. A tal fine, è possibile eseguire uno script di riparazione di Windows Update prima di distribuire qualsiasi flusso di lavoro di patching.

Come impostare l’automazione della riparazione di Windows Update

1. Vai alla sezione script pianificati della policy del tuo dispositivo
2. Crea un nuovo script pianificato
3. Scegli un nome e scrivi una descrizione
4. Imposta la pianificazione su Esegui una volta immediatamente (questo script si attiverà solo una volta, al primo check-in)
5. Aggiungi il proprio script di riparazione di Windows Update (gli utenti Ninja possono vedere gli script che abbiamo usato qui).

Esempio 2 – Configura – Disabilita Fastboot

Con Fastboot abilitato, gli utenti finali potrebbero pensare di riavviare il computer quando invece lo stanno solo mettendo in modalità di riposo. Questo può far sì che alcune patch non vengano installate, rendendo vulnerabili gli endpoint.

In questo esempio, si utilizza una condizione per verificare continuamente se Fastboot è abilitato e disabilitarlo. Se la disabilitazione di Fastboot non riesce, invieremo una notifica e creeremo un ticket, poiché è probabile che sia necessario un intervento manuale.

Come impostare la modalità Fastboot e disabilitare l’automazione

1. Importa lo script ‘Disable-WindowsFastBoot’ dalla libreria dei modelli di script di NinjaOne
2. Accedi alla sezione condizioni della policy del dispositivo
3. Crea un nuovo script di condizione di tipo Condizione del risultato dello script
4. Imposta lo script di valutazione su ‘Disable-WindowsFastBoot’ e con l’output contenente ‘non riuscito’
5. Scegli un nome e scrivi una descrizione
6. Aggiungi una notifica e/o un criterio di ticketing per garantire un follow-up adeguato

Esempio 3 – Installa le applicazioni

Una delle fasi più comuni della configurazione di un nuovo dispositivo è la distribuzione delle applicazioni necessarie. Spesso è necessario installare diverse applicazioni per rendere il dispositivo pronto.

Come distribuire le applicazioni

1. Vai alla sezione script pianificati della policy del tuo dispositivo
2. Crea un nuovo script pianificato
3. Scegli un nome e scrivi una descrizione
4. Imposta la pianificazione su Esegui una volta immediatamente
5. Clicca su “Aggiungi script” e seleziona gli script di installazione delle applicazioni che si desidera distribuire
   1. È possibile utilizzare lo script integrato Installa applicazione per distribuire la maggior parte dei pacchetti MSI / EXE / DMG / PKG
6. Organizza le applicazioni nell’ordine in cui si desidera che vengano installate

Esempio 4 – Sicurezza – Amministratore locale

Molti MSP e team IT utilizzano un account di amministratore locale sugli endpoint per assicurarsi di avere un mezzo per intraprendere azioni privilegiate sugli endpoint gestiti. La creazione di questo account amministratore locale durante l’installazione contribuisce a garantire che le altre azioni durante l’installazione abbiano più probabilità di successo.

Come creare un account amministratore locale

1. Vai alla sezione script pianificati della policy del tuo dispositivo
2. Crea un nuovo script pianificato
3. Scegli un nome e scrivi una descrizione
4. Imposta la pianificazione su Esegui una volta immediatamente
5. Aggiungi il tuo script Crea amministratore locale (gli utenti Ninja possono vedere gli script che abbiamo usato qui)

È probabile che si voglia ruotare regolarmente la password di amministratore per garantire una maggiore sicurezza.

Come ruotare la password dell’amministratore

• Accedi a Campi personalizzati globali
• Crea un nuovo campo personalizzato con tipo uguale a “sicuro”
  • Nello script collegato, il nome del campo è ‘domainadminpassword’
• Accedi alla sezione script pianificati della policy del tuo dispositivo
• Crea un nuovo script pianificato
• Scegli un nome e scrivi una descrizione
• Imposta il programma in modo che venga eseguito secondo un calendario appropriato (ad esempio, settimanale)
• Aggiungi il tuo script di rotazione delle password (gli utenti Ninja possono vedere gli script che abbiamo usato qui)

Esempio 5 – Convalida

L’ultima fase, la convalida, consente di individuare eventuali problemi che si verificano durante il processo usato per automatizzare la configurazione di un nuovo dispositivo.

Come impostare la convalida

• Accedi a Campi personalizzati globali
• Crea un nuovo campo personalizzato con testo tipo per ogni fase del flusso di lavoro di onboarding
• Inserisci un codice di controllo degli errori in ogni script del proprio processo di onboarding che scriva i risultati di successo o di fallimento nel campo personalizzato associato.
• Crea una nuova condizione con tipo uguale al campo personalizzato
• Controlla ogni campo personalizzato per un messaggio di errore
• Crea una notifica o un ticket se viene rilevato un errore

La fase di convalida crea un ticket in caso di fallimento, poiché a questo punto l’automazione ha identificato un problema ed è probabile che sia necessario un intervento manuale.

Automazione della configurazione dei dispositivi basata su immagini o su agenti

Tradizionalmente, i nuovi dispositivi venivano configurati distribuendo una golden image agli endpoint. Questa golden image avrà tutte le configurazioni e le applicazioni necessarie già distribuite. Il processo sopra descritto utilizza un approccio basato sugli agenti. Entrambi gli approcci presentano vantaggi e svantaggi, illustrati di seguito:

	Basato su immagini	Basato su agenti (NinjaOne)
Ideale per	Ambienti altamente standardizzati Ambienti in ufficio	Ambienti remoti e distribuiti Endpoint che necessitano di personalizzazione
Vantaggi	Configurazione standardizzata del dispositivo Pulizia del dispositivo (privacy dei dati) Nessuna fase di convalida	Configurazione automatizzata presso l’utente finale Personalizzazione su larga scala Più facile da configurare Può essere preinstallato su una golden image
Svantaggi	Doppia spedizione per i dipendenti remoti Tempo intenso Nessuna personalizzazione	Più punti di guasto

Se si gestiscono endpoint remoti e distribuiti e se si richiede una personalizzazione su larga scala quando si configurano nuovi endpoint, un approccio basato su agenti è molto più adatto.

Sei pronto ad automatizzare la configurazione di un nuovo dispositivo?

Sebbene gli esempi riportati in questo articolo siano generici e relativamente semplici, dovrebbero fornire un ottimo punto di partenza per costruire la propria nuova automazione di configurazione dei dispositivi. Se sei pronto per iniziare ad automatizzare la configurazione dei dispositivi, registrati subito per una prova gratuita di NinjaOne.