Anche nei mesi di Agosto e Settembre, Microsoft ha annunciato novità riguardanti Intune e come di consueto la nostra community rilascia questo riepilogo. Attraverso questi articoli, si vuole fornire una panoramica complessiva delle principali novità, in modo da rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per effettuare maggiori approfondimenti.
La novità di maggiore rilevanza introdotta nella release di Agosto risulta essere l’integrazione dell’app Company Portal con Microsoft Endpoint Configuration Manager.
A partire dalla versione 2006 di Configuration Manager, sui device gestiti nella modalità co-management, il Company Portal potrà essere utilizzato come app predefinita per la visualizzazione delle app disponibili su Configuration Manager in sostituzione di Software Center.
Attraverso la configurazione di una Configuration Manager client settings, sarà possibile istruire i client per aprire automaticamente l’app Company Portal a fronte di una notifica sulla disponibilità di un software; nel caso in cui la notifica selezionata riguardi un environment attualmente non supportato dalla nuova app, verrà avviato automaticamente la precedente applicazione Software Center.
Riportiamo qui sotto le altre importanti novità introdotte negli ultimi due mesi.
App Management
Revoca automatica delle licenze a fronte della cancellazione dell’Apple VPP token
Quando viene effettuata la cancellazione di un Apple VPP token da Microsoft Endpoint Manager, automaticamente tutte le licenze Intune assegnate a quello specifico token revocate.
Miglioramenti della User Experience sull’app Company Portal per i sistemi Android
Su device Android, è stato migliorato e semplificato il processo di remediation a fronte della mancata compliance del dispositivo. All’interno della sezione Update device settings, verranno visualizzati i dettagli inerenti le impostazioni mancanti per rendere il dispositivo compliant.
Device configuration
Disponibilità di NetMotion come connessione VPN su device iOS/iPadOS e macOS
Quando viene creato un nuovo profilo VPN, è possibile selezionare NetMotion come tipologia di connessione VPN (Devices > Device configuration > Create profile > iOS/iPadOS or macOS for platform > VPN for profile > NetMotion for connection type).
Disponibilità di maggiori opzioni per la tipologia di autenticazione Protected Extensible Authentication Protocol (PEAP) sui profili Wi-Fi di sistemi Windows 10
Su sistemi Windows 10, è possibile creare profili Wi-Fi utilizzando Extensible Authentication Protocol (EAP) come metodo di autenticazione; quando viene selezionata l’opzione Protected EAP (PEAP), sono stati introdotti alcuni setting aggiuntivi come:
- Perform server validation in PEAP phase 1: Durante la fase di negoziazione, verrà eseguita la validazione del server in base alla validazione del certificato.
- Require cryptographic binding: Previene le connessioni a server con autentcazione PEAP che non utilizzano cryptobinding.
Microsoft Enterprise SSO plug-in su sistemi macOS
Attraverso il plug-ing Microsoft Enterprise SSO, gli utenti che utilizzano macOS 10.15 o versioni successive possono accedere alle risorse che supportano la funzionalità Apple SSO e l’autenticazione attraverso Azure AD attraverso una singola autenticazione.
Con il rilascio di Microsoft Enterprise SSO, è possibile configurare l’estensione SSO sfruttando Azure Active Directory: Devices > Configuration profiles > Create profile > macOS for platform > Device features for profile > Single sign-on app extension > SSO app extension type > Microsoft Azure AD.
Requisito per utilizzare questo tipo di integrazione è l’installazione e relativa autenticazione dell’app Company Portal.
Inibire l’utilizzo del riconoscimento facciale e dell’iride per lo sblocco dei dispositivi Android nella modalità Managed device con work profile
Sui dispositivi Android Managed con work profile, è possibile inibire lo sblocco del telefono attraverso l’utilizzo del riconoscimento facciale e dell’iride.
Nuova versione PFX Certificate Connector
E’ stata rilasciata una nuova versione (6.2008.60.607) del PFX Certificate Connector che supporta i profili PKCS su tutte le piattaforme gestibili via Intune (ad eccezione di Windows 8.1) e la revoca dei certificati per Outlook S/MIME.
Device management
Tenant attach: Installazione delle application via admin center
Sui dispositivi gestiti nella modalità tenant attach, è possibile forzare l’installazione di una applicazione.
Tenant attach: Miglioramenti dell’interfaccia di amministrazione Admin Center
In queste ultime release, sono stati rilasciati alcuni aggiornamenti relativi all’interfaccia di amministrazione Microsoft Endpoint Manager Admin Center; nel dettaglio, sono state introdotte le seguenti funzionalità:
- Device timeline: fornisce una sequenza temporale di eventi relativi al device;
- Resource Explorer: permette di visualizzare i dati di inventario hardware inviati dai sistemi collegati nella modalità tenant attach;
- CMPivot: permette di avviare query in tempo reale sul singolo dispositivo o su un insieme di dispositivi e ricevere il risultato direttamente sulla console Admin Center;
Sui dispositivi gestiti nella modalità tenant attach, è possibile forzare l’installazione di una applicazione.
Tenant attach: Esecuzione script via admin center
In aggiunta all’installazione di applicazioni, dalla console amministrativa, è ora possibile eseguire script Powershell in tempo reale sui sistemi gestiti nella modalità tenant attach.
Device security
Distribuzione delle policy antivirus su sistemi gestiti nella modalità Tenat attach (preview)
Con la versione 2006 di Microsoft Endpoint Configuration Manager, è possibile distribuire le policy di configurazione della componente antivirus direttamente attraverso la sezione Endpoint Security presente sul portale Microsoft Endpoint Manager Admin Center.
Per maggiori informazioni sui requirement necessari, fare riferimento al seguente link.
Nuovo profilo Microsoft Defender Antivirus exclusions
Con l’introduzione di queste ultime release, è possibile creare un nuovo tipo di profilo denominato Microsoft Defender Antivirus exclusions dove è possibile definire solamente le esclusioni antivirus che si vogliono applicare sui device; questo permette una semplificazione nella gestione delle esclusioni.
Nel caso in cui vengano definiti più profili, verrà eseguito un merge tra tutte le esclusioni indicate in modo tale che sul dispositivo vengano applicate tutte.
Import e export degli address range per le regole di Windows Firewall
Per velocizzare e semplificare il processo di inserimento degli address ranges all’interno delle regole relative a Windows Firewall, sono state introdotte le opzioni di Import ed Export che consentono, attraverso l’utilizzo di un file csv, l’inserimento massivo delle seguenti liste di address range:
- Local address ranges
- Remote address ranges
E’ importante sottolineare come, allo stato attuale, la definizione di regole all’interno delle policy dedicate a Windows Firewall risulti essere in preview. Per maggiori informazioni su questi settings, fare riferimento al seguente link.
Device compliance da altre autorità MDM
Una importante novità introdotta in queste ultime release, è l’integrazione di Microsoft Intune con altre autorità MDM per la definizione di regola di Conditional Access basate sulla compliance del dispositivo.
Eventuali dati di compliance forniti da altre autorità MDM potranno essere utilizzati da Intune per determinare se il client risulta essere compliant e, sulla base delle Azure AD Conditional Access policy definite, autorizzare o rifiutare l’accesso alle risorse aziendali.
Allo stato attuale, l’unica autorità MDM di terze parti attualmente supportata risulta essere VMware Workspace ONE UEM (aka AirWatch).
Valutazione di Intune
Per testare e valutare in modo gratuito i servizi offerti da Intune è possibile accedere a questa pagina.