Le notifiche Microsoft in SCCM non si “accendono” con un singolo toggle e basta. Prima bisogna capire che tipo di notifica vuoi usare, dove passa il traffico, quali permessi ha il servizio e come validare che il messaggio esca davvero dal punto giusto. Se salti questa parte, finisci con una console che mostra tutto “verde” mentre gli utenti non ricevono nulla.
In pratica, l’obiettivo è mettere in piedi un flusso affidabile: SCCM genera l’evento, il componente corretto lo prende in carico, Microsoft riceve la richiesta, e il destinatario vede la notifica nel canale previsto. Il punto critico non è solo la configurazione iniziale: è la continuità operativa. Se cambia un certificato, se scade un token, se un proxy blocca l’uscita o se un account perde permessi, il sistema smette di funzionare senza avvisarti in modo pulito.
Prima domanda: quali notifiche Microsoft intendi usare
Nel linguaggio quotidiano di molti ambienti SCCM, “notifiche Microsoft” può voler dire cose diverse. Può trattarsi di integrazione con Microsoft Teams, di avvisi via Exchange/Outlook, di mail relay verso servizi Microsoft 365, oppure di notifiche legate a endpoint e compliance che poi vengono presentate in strumenti Microsoft di gestione. La configurazione cambia parecchio a seconda del canale.
Per evitare ambiguità, conviene definire subito tre elementi: destinatario, trigger e canale di trasporto. Se il destinatario è un gruppo Teams, il canale sarà diverso rispetto a una mail inviata a un distribution list. Se il trigger è un alert di stato di un deployment, non serve la stessa logica di un report periodico. Se il trasporto esce su Internet, entrano in gioco DNS, TLS, proxy e policy di sicurezza.
Prerequisiti che devono esserci prima di toccare SCCM
Qui vale la regola classica: prima osservi, poi cambi. I prerequisiti minimi da verificare sono questi:
Versione di SCCM supportata per il tipo di integrazione che vuoi usare.
Uscita HTTPS verso gli endpoint Microsoft necessari, senza proxy che riscrive o rompe il traffico.
Account o app registration con privilegi coerenti con il canale scelto.
DNS funzionante per la risoluzione dei domini Microsoft coinvolti.
Ora di sistema corretta sul server SCCM, perché token e autenticazione sono sensibili allo skew temporale.
Se almeno uno di questi punti è fuori posto, la configurazione può sembrare corretta ma fallire al primo invio. Il problema tipico è che il test locale passa, mentre il servizio in background usa un contesto diverso e non ha gli stessi permessi o la stessa rete.
Architettura pratica: dove si aggancia la notifica
Nella maggior parte degli ambienti SCCM, la notifica nasce da un evento di console, da una compliance rule, da un deployment o da una subscription di report. L’errore comune è pensare che il punto di integrazione sia sempre la console. In realtà, spesso la console è solo il front-end; il lavoro sporco lo fa un componente server-side o un workflow esterno che SCCM richiama.
Questo significa che per capire dove intervenire devi distinguere tra:
trigger: cosa genera la notifica;
runtime: quale servizio la processa;
egress: da quale host esce verso Microsoft;
identity: quale account o app si autentica;
delivery: dove arriva il messaggio finale.
Se documenti questi cinque punti prima di mettere mano alla configurazione, il troubleshooting diventa molto più lineare. Se non lo fai, ogni sintomo sembra identico: “non arrivano notifiche”.
Configurazione: il percorso corretto in SCCM
La strada esatta dipende dalla funzione che stai usando, ma la logica operativa è questa: apri la console SCCM, vai nella sezione amministrativa o di monitoring dove risiedono alert, subscriptions o integrazioni, e individua il punto in cui definisci il destinatario e il metodo di invio. In alcuni casi si lavora su regole di alert; in altri su report subscription; in altri ancora su integrazioni con servizi esterni che ricevono webhook o chiamate API.
Quando la configurazione prevede Microsoft 365 o un servizio Microsoft online, il consiglio è di separare nettamente la parte di identità dalla parte di trasporto. In altre parole: prima fai funzionare l’autenticazione in modo isolato, poi colleghi il flusso di notifica. Se fai tutto insieme, non capisci più se il problema è un token, un endpoint o un permesso di delivery.
Se usi un account tecnico, evita account personali o mailbox interattive. Meglio un’identità dedicata, con scopo chiaro e rotazione credenziali pianificata. Se usi un’app registrata in Entra ID, conserva in modo sicuro tenant ID, client ID e metodo di autenticazione; non metterli in chiaro dentro note operative o ticket. Se devi condividerli, redigi i valori sensibili e conserva il dettaglio in un vault o in un sistema di secret management.
Verifica della connettività verso Microsoft
Prima di inseguire la console, verifica la rete dal server SCCM o dal nodo che esegue il componente coinvolto. Un test minimo è una richiesta HTTPS verso l’endpoint previsto, più una verifica DNS. Se questo fallisce, non ha senso aprire ticket sul lato applicativo.
Un controllo base può essere fatto così:
Commenti (0)
Nessun commento ancora.
Segnala contenuto
Elimina commento
Eliminare definitivamente questo commento?
L'azione non si può annullare.