Per rimanere costantemente aggiornati sulle novità riguardanti Microsoft Intune, la nostra community rilascia periodicamente questo riepilogo, che consente di avere una panoramica delle principali novità introdotte. In questo articolo troverete le novità, riportate in modo sintetico e accompagnate dai riferimenti necessari per poter effettuare ulteriori approfondimenti.
La novità di maggiore rilevanza introdotta nella release di Ottobre (2010 Service Release) risulta essere la possibilità di eseguire il provisioning di device Android Enterprise nella modalità Azure AD Shared device.
Attraverso questa modalità gli utenti saranno in grado di accedere con le proprie credenziali al dispositivo ed, allo stesso tempo, gli amministratori IT saranno in grado di fornire una user-experience personalizzata su dispositivi condivisi tra più utenti.
Riportiamo qui sotto le altre importanti novità introdotte nell’ultimo mese.
App management
App per dispositivi gestiti non disponibili in base allo stato della registrazione
Nel caso in cui la registrazione del dispositivo risulti essere nello stato Unavailable, le applicazioni distribuite nelle modalità Required o Available for enrolled device non verranno visualizzate. Tali app saranno visibili attraverso l’applicazione Company Portal eseguita da un device registrato.
Miglioramenti nella personalizzazione dei messaggi di privacy sull’app Company Portal per i sistemi iOS
Oltre ad avere la possibilità di personalizzare ciò che gli amministratori IT non sono in grado di visualizzare, dalla release 2010, è possibile personalizzare i messaggi di privacy per informare gli utenti su quello che l’organizzazione è in grado di vedere. Per utilizzare questa funzionalità, è necessaria l’installazione della versione 4.11 dell’app Company Portal. Per personalizzare il messaggio, sarà necessario accedere al portale Microsoft Endpoint Manager Admin Center e selezionare l’opzione Customization all’interno della sezione Tenat Administration.
Applicazione di App protection policy su device Android registrati nella modalità corporate-owned devices with a work profile (COPE)
Dalla release 2010, è possibile applicare delle App protection policy su dispositivi Android registrati nella modalità corporate-owned devices with a work profile (COPE).
Limite sulla versione del Company Portal
Su dispositivi Android, attraverso l’applicazione di una App protection policy, è possibile configurare un limite sulla versione dell’app Company Portal; il limite è definito in un massimo di giorni.
Quando il tempo massimo risulta essere superato, è possibile scatenare determinate azioni come ad esempio la visualizzazione di un messaggio di notifica, il blocco nell’accesso alle risorse aziendali o il wipe del dispositivo.
Per applicare questo tipo di setting, creare una nuova App protection Policy (Apps > App protection policies > Create policy) ed impostare un valore nell’opzione Max Company Portal version age (days) presente all’interno della sezione Device conditions nello step Conditional launch.
Managed LOB app su sistemi macOS 11 o successivi
Le applicazioni Line-of-Business (LOB) possono essere gestite come managed app su sistemi macOS versioni 11 o successive.
Attraverso la proprietà Install as managed è possibile configurare una app LOB come managed pertanto possono eventualmente essere rimosse attravero la tipologia di assignement Uninstall oppure attraverso la rimozione del profilo MDM.
Attivazione Outlook S/MIME su email profile
E’ possibile attivare Outlook S/MIME direttamente attraverso la creazione di un profilo email per permettere di crittografare e firmare il contenuto. Questo tipo di configurazione, è disponibile selezionando l’opzione Managed devices durante la creazione di una nuova App Configuration Policy per l’applicazione Microsoft Outlook.
Supporto di Win32 app su device registrati nella modalità Workplace Join (WPJ)
Dalla release 2010, è possibile distribuire Win32 app e Powershell script (non ancora ufficialmente supportati) su device registrati nella modalità Workplace Join.
Aggiornamento dei messaggi visualizzati durante la procedura di registrazione dei device con work-profile
Per permettere una maggiore comprensione da parte degli utenti su come i work-profile operano, sono state migliorate alcune interfacce durante la procedura di registrazione, come ad esempio:
- Al termine della procedura di enroll, gli utenti visualizzeranno una nuova schermata che informerà gli utenti su dove potranno visualizzare le app di lavoro;
- Nel caso in cui un utente riattivi l’applicazione Company Portal, verrà visualizzata una nuova schermata che informerà l’utente del conseguente ripristino del profilo di lavoro e delle rispettive app;
- All’interno della pagina Help, nella sezione FAQ, è stato aggiunto un nuovo link alla documentazione dove vengono riportate le indicazioni su come configurare i work-profile e dove trovare le app.
Device configuration
Configurazione di connessione automatica alla rete WiFi durante la creazione di un profilo basic
Su device Android Enterprise, durante la creazione di un profilo WiFi di tipo basic, è ora possibile includere alcuni settings base tra cui la possibilità di connettere automaticamente il dispositivo alla rete creata (Connect Automatically). E’ possibile applicare questo tipo di configurazione su device registrati nella modalità Fully Managed, Dedicated, e Corporate-Owned con Work Profile.
Introduzione di nuovi settings per la gestione dei device Android Enterprise registrati nella modalità dedicated
A partire da queste ultime release, è possibile apportare ulteriori restrizioni sui dispositivi Android Enterprise registrati nella modalità dedicated; ad esempio, risulta possibile:
- Restringere l’accesso al menù Impostazioni (Settings);
- Inibire la visualizzazione del Power menù;
- Decidere se l’utente può visualizzare o meno il pulsante Home ed eventuali notifiche;
Nuovi settings per la gestione delle password su device macOS
Creando un nuovo Configuration Profile (Devices > Configuration profiles > Create profile > macOS for platform > Device restrictions for profile > Password), sono stati introdotti i seguenti settings per la gestione delle password su sistemi macOS:
- Maximum allowed sign-in attempts: rappresenta il numero massimo di volte in cui un utente può tentare di eseguire l’accesso prima che il device venga bloccato; è possibile impostare un valore da minimo 2 fino ad un massimo di 11.
- Lockout duration: rappresenta il lasso di tempo in cui un device rimane bloccato e non è possibile effettuare l’accesso.
Microsoft Enterprise SSO plug-in su sistemi macOS (Public preview)
Attraverso il plug-ing Microsoft Enterprise SSO, gli utenti che utilizzano macOS 10.15 o versioni successive possono accedere alle risorse che supportano la funzionalità Apple SSO e l’autenticazione attraverso Azure AD attraverso una singola autenticazione.
Con il rilascio di Microsoft Enterprise SSO, è possibile configurare l’estensione SSO sfruttando Azure Active Directory: Devices > Configuration profiles > Create profile > macOS for platform > Device features for profile > Single sign-on app extension > SSO app extension type > Microsoft Azure AD.
Requisito per utilizzare questo tipo di integrazione è l’installazione e relativa autenticazione dell’app Company Portal.
Nuovi setting Show Preview su sistemi iOS/iPadOS
Durante la creazione di una configuration profile, all’interno della sezione Devices > Configuration profiles > Create profile > iOS/iPadOS for platform > Device features for profile > App Notifications, è disponibile un nuovo setting denominato Show Previews che permette di definire quando visualizzare le anteprime delle notifiche sulle app recenti.
On-demand rule su Microsoft Tunnel per iOS
Microsoft Tunnel ora supporta on-demand rule per sistemi iOS e iPad; attraverso l’utilizzo di queste rule è possibile istruire il dispositivo ad utilizzare la VPN nel caso in cui venga specificato un determinato FQDN oppure determinati indirizzi IP.
Per configurare le on-demand rule, configurare un profilo VPN per iOS/iPadOS all’interno di una Configuration policy.
All’interno della sezione Configuration settings, una volta selezionata l’opzione Microsoft Tunnel come tipologia di connessione, sarà possibile accedere alla creazione delle on-demand rule.
Al seguente link, sono disponibili maggiori informazioni su questo tipo di funzionalità.
Nuova versione PFX Certificate Connector
E’ stata rilasciata una nuova versione (6.2008.60.612) del PFX Certificate Connector che risolve alcuni bug introdotti nelle precedenti release come il rilascio di certificati PKCS su device Android Enterprise registrati nella modalità Fully Managed.
Device Firmware Configuration Interface (DFCI) in generally available
DFCI è un framework UEFI open-source che permette di gestire in modo sicuro le configurazioni UEFI su dispositivi erogati attraverso Windows Autopilot.
Configurazioni aggiuntive per i profili Wi-Fi su sistemi Windows 10
Da queste ultime release, sono stati introdotti nuovi settings e funzionalità per i profili Wi-Fi su sistemi Windows 10; ad esempio, è possibile impostare:
- Metodo di autenticazione: permette di definire se autenticare l’utente, il device oppure utilizzare un autenticazione di tipo guest.
- Possibilità di caching delle credenziali: è possibile richiedere all’utente di inserire le proprie credenziali ogni volta che accede alla rete Wi-Fi oppure consentire il caching a fronte della prima connessione.
- Controllo granulare nel processo di autenticazione.
- Utilizzo di una VLAN separata basata sull’autenticazione: quando si utilizza Single Sign-on, il profilo Wi-Fi può utilizzare una differente VLAN sulla base delle credenziali utilizzare. E’ necessario che il server Wi-Fi supporti questo tipo di funzionalità.
Device enrollment
Azure AD Shared devices
Come riportato in precedenza, è possibile effettuare la registrazione di dispositivi Android Enteprise Dedicated nella modalità Azure AD Shared devices.
Device security
Nuova versione Microsoft Tunnel
E’ stata rilasciata una nuova versione della funzionalità Microsoft Tunnel Gateway che risolve alcuni bug presenti nelle precedenti release.
Per maggiori informazioni su tale funzionalità, fare riferimento al seguente link.
Supporto ad ulteriori partner nelle Mobile Threat Defense app protection policy
Attraverso l’utilizzo della Mobile Threat Defense (MTD) app protection policy, è possibile bloccare o cancellare selettivamente un device in base allo stato di salute di quest’ultimo. Con la versione 2010, è stato esteso il supporto ai seguenti tre partner:
- Check Point Sandblast su Android, iOS e iPadOS
- Symantec Endpoint Security su Android, iOS e iPadOS
- MVISION Mobile (soluzione di McAfee)
Per maggiori informazioni su come creare una MTD app protection policy, fare riferimento al seguente link.
Task di remediation su errori di configurazione riportati da Microsoft Defender Threat Vulnerability Management (TVM)
A partire dalla release di Ottobre, i Microsoft Endpoint Manager Security tasks riportano e forniscono eventuali attività di remediation da adottare su errori di configurazione identificati da Threat Vulnerability Management (TVM).
Prima di questo aggiornamento, i dettagli di TVM includevano solo dettagli e attività di remediation relativa alle applicazioni; a tal proposito, è stata aggiunta una nuova colonna denominata Remediation Type dove verrà riportata la causa della segnalazione.
Creazione di Endpoint security Firewall policy per sistemi collegati in Tenant Attach (Public Preview)
E’ possibile distribuire Endpoint security Firewall policy su device gestiti attraverso Configuration Manager e sincronizzati su Intune attraverso la metodologia Tenant Attach.
Questa funzionalità richiede un’infrastruttura Configuration Manager Current Branch 2006 + hotfix KB4578605
Autorizzazione/Blocco nell’installazione di periferiche
Nella sezione Device control, presente all’interno delle Attack surface reduction policy, è ora possibile definire liste di periferiche autorizzate o bloccate; è possibile creare questo tipo di liste, basandosi sulle seguenti proprietà:
- Device IDs;
- Setup Classes;
- Device Instance Identifiers;
A partire dalla release di Novembre, è stato introdotto il supporto al merge dei device ID per dispositivi USB sulle Device Control policy sopra citate.
Maggiori informazioni su questo tipo di funzionalità, sono disponibili al seguente link.
Utilizzo di Microsoft Defender for Endpoint su iOS compliance policy (Public Preview)
Tale funzionalità, attualmente in Public Preview, permette di utilizzare un Device Compliance Policy per effettuare l’onboarding di un device iOS su Microsoft Defender for Endpoint.
Dopo aver eseguito l’onboarding del device, è possibile utilizzare il threat level signals per definire la compliance del dispositivo.
Aggiornamento Microsoft Edge Security baseline
Sul portale Microsoft Endpoint Manager, sono state aggiornate le security baseline per Microsoft Edge in modo tale da contemplare nuovi settings presenti nelle ultime build della piattaforma.
Blocco in scrittura su storage rimovibile
All’interno delle Attack surface reduction policy, è stato introdotto un nuovo setting (Block write access to removable storage) per inibire l’accesso in scrittura sugli storage rimovibili.
Introduzione setting di notifica (con potenziale override) sulle Attack Surface Reduction rule
Dalla release di Novembre, all’interno delle Attack Surface Reduction rule, è stato introdotta l’opzione Warn oltre a quelle già presenti di Enable e Disable; tale opzione permette di notificare all’utente un potenziale blocco che l’utente però può bypassare. Ad esempio, se viene impostata l’opzione Warn sul setting Block Adobe Reader from creating child processes, l’utente visualizzerà un messaggio che gli consentirà di bypassare il blocco e permettere così ad Acrobat Reader di creare processi child.
Possibilità di merge tra Attack surface reduction rule
Dalla release 2011, è stato introdotto il supporto al merge tra differenti Attack surface reduction rule; il comportamento nel processo di merge tra policy risulta essere il seguente:
- Tutte le Attack surface reduction rules definite in uno dei profili sotto riportati verranno valutate:
- Devices > Configuration policy > Endpoint protection profile > Microsoft Defender Exploit Guard > Attack Surface Reduction.
- Endpoint security > Attack surface reduction policy > Attack surface reduction rules.
- Endpoint security > Security baselines > Microsoft Defender ATP Baseline > Attack Surface Reduction Rules.
- I setting che non risultano in conflitto verranno applicati sul dispositivo;
- Nel caso in cui due o più policy contengono configurazioni in conflitto, solamente i setting problematici non verranno applicati al dispositivo mentre tutti gli altri setting verranno applicati.
Monitor and troubleshooting
Aggiornamento reportistica
A partire da queste release, sono state effettuate attività di revisione ed aggiornamento sulla parte di reportistica. Nel dettaglio:
- Sono stati aggiornati i report Antivirus agent status e Detected malware introducendo maggiori dettagli/informazioni.
- E’ stato aggiornato il report Antivirus status operations introducendo maggiori dettagli/informazioni come:
- Product status: riporta lo stato di Windows Defender sul device;
- Tamper protection: riporta se la Tamper protection risulta attiva oppure no;
- Virtual Machine: riporta se il device è una VM oppure un device fisico;
- E’ stato introdotto un nuovo report denominato Feature update failures che permette di visualizzare eventuali sistemi sui quali l’aggiornamento di funzionalità (distribuito attraverso apposita policy) risulta essere terminato in errore. Per visualizzare tale report, accedere alla sezione Devices > Monitor > Feature update failures.
- Introdotto un nuovo report denominato Assignment failures (attualmente in public preview) che permette di effettuare attività di troubleshooting in caso di errori o problemi di conflitti su Configuration Profile.
- Introdotto un nuovo report denominato Noncompliant policies (attualmente in public preview) che permette di effettuare attività di troubleshooting in caso di errori o problemi di conflitti su Compliance Policy.
Valutazione di Intune
Per testare e valutare in modo gratuito i servizi offerti da Intune è possibile accedere a questa pagina.