Microsoft Intune: le novità di Gennaio-Febbraio

Davide SalsiEnterprise Mobility, Microsoft Intune, What's New

Come consuetudine della nostra community, questo articolo riporta tutte le principali novità riguardanti la soluzione Microsoft Intune rilasciate negli ultimi due mesi; lo scopo di questi articoli è quello di semplificare l’identificazione delle più interessanti novità rilasciate sulla soluzione e fornire alcuni riferimenti utili per l’eventuale implementazione/utilizzo.

La principale novità introdotta ad inizio Febbraio (attualmente in preview) risulta essere la possibilità di utilizzare i Settings catalog per rendere più semplice e flessibile la configurazione e la distribuzione delle policy sia a livello device che a livello utente.

Figura 1 – Settings catalog overview

I Settings catalog (Devices > Configuration profiles > Create profile > macOS or Windows 10 and later for platform > Settings catalog – preview) permettono di semplificare la ricerca di specifici settings convogliandoli in un’unica interfaccia e raggruppandoli per categorie. Attraverso questa funzionalità, è possibile quindi visualizzare il catalogo di tutte le impostazioni disponibili e procedere così alla creazione di una nuovo custom policy da zero sulla base delle proprie esigenze.

Figura 2 – Creazione policy attraverso Settings catalog

Questa funzionalità non è limitata solamente ai sistemi Windows 10, infatti è possibile sfruttare i Settings catalog anche su device macOS; allo stato attuale, le configurazioni disponibili sono limitate alla gestione di Microsoft Edge ma Microsoft ha già in previsione una progressiva introduzione di nuove configurazioni anche per i sistemi Apple.

Riportiamo qui sotto le altre importanti novità introdotte negli ultimi mesi.

App management

Browser access abilitato di default durante l’enroll di device Android Enterprise

L’opzione Enable Browser Access risulta essere attiva di default durante la registrazione dei device Android nella modalità personal; a fronte di questa modifica, i device compliant saranno in grado di utilizzare il browser per accedere alle risorse aziendali protette da regole di Conditional Access senza eseguire alcuna attività.

In precedenza era necessario attivare questa opzione dall’applicazione Company Portal.

Visualizzazione della progress bar durante il download di Win32 app

Attraverso l’app Company Portal di Windows, gli utenti saranno in grado di visualizzare una progress bar durante il download di una Win32 app; questo permetterà di comprendere meglio lo stato di avanzamento dell’installazione dell’app.

Come rimuovere una Win32 app soggetta ad una dependency relationship

Le Win32 app non possono essere rimosse nel caso in cui si trovino in una condizione di dipendenza. Queste app possono essere eliminate solo nel caso in cui venga rimossa preventivamente la dipendenza con altre app; questo requisito viene applicato sia alle app padre che alle app figlio. Tale comportamento permette di garantire che le dipendenze vengano applicate correttamente.

Distribuzione di system app su Android Enterprise personally-owned

Su dispositivi Android registrati nella modalità personally-owned con work profile, è ora possibile distribuire le applicazioni native (system app) presenti su Android che non risultano essere pubblicate sullo store pubblico Google; oltre alla funzione di installazione, è inoltre possibile rimuoverle oppure nasconderle.

Configurazione di una required app come rimovibile

A partire dalla release 2101, è possibile configurare una required app iOS/iPadOS come rimovibile; tale impostazione risulta essere quella predefinita per questo tipo di app e le app required installate su sistemi iOS 14 verranno automaticamente aggiornate a queste nuovo default.

E’ possibile applicare questo tipo di configurazione su tutte le app che siano pubbliche (quindi disponibili sullo store) oppure Line-of-Business (LOB).

Supporto per applicazioni Line-of-Business su Shared iPad

E’ ora possibile distribuire applicazioni LOB su device iPad registrati nella modalità shared. Queste app dovranno essere distribuite nella modalità required su un gruppo contenente i dispositivi sopra citati.

Connettore per Microsoft Endpoint Configuration Manager

All’interno della sezione dedicata ai connettori (Tenant Administration), è ora possibile visualizzare il connettore dedicato alla soluzione Microsoft Endpoint Configuration Manager.

Riavvio del processo di installazione di un’app da parte dell’utente

Su sistemi Windows 10, attraverso l’applicazione Company Portal, l’utente è in grado di riavviare il processo di installazione di un’app nel caso in cui questo risulti fermo. E’ possibile sfruttare tale funzionalità nel caso in cui il processo di installazione risulti in stallo da almeno 2 ore.

Device configuration

Supporto di Red Hat Enterprise Linux 8 per Microsoft Tunnel

E’ ora possibile utilizzare Red Hat Enterprise Linux (RHEL) 8 per erogare il servizio Microsoft Tunnel.

Nuova versione PFX Certificate Connector

E’ stata rilasciata una nuova versione (6.2009.2.0) del PFX Certificate Connector che risolve alcuni bug introdotti nelle precedenti release ed introduce ulteriori migliorie a questo servizio. Per maggiori dettagli, è possibile fare riferimento al seguente link,

Visualizzazione schermata di compliance Google su device Android registrati in modalità kiosk

Su Intune è possibile creare Device Configuration Policy e Compliance Policy legate alla gestione della password sui dispositivi Android Enterprise.

Una volta create e distribuite queste policy, i device Android registrati nella modalità dedicated in kiosk mode utilizzano automaticamente le schermate di conformità di Google; queste schermate permettono di guidare l’utente nell’impostazione di una password che soddisfi le regole definite.

Per maggiori dettagli è possibile fare riferimento a questi due articoli:

Gestione della Managed Home Screen attraverso Device Configuration Policy

Attraverso l’utilizzo di Device Configuration Policy (Devices > Device configuration > Create profile > Android Enterprise for platform > Fully Managed, Dedicated, and Corporate-Owned Work Profile > Device restrictions for profile > Device experience), è possibile gestire la Managed Home Screen impostata sui device Android registrati nella modalità dedicated. Attraverso l’utilizzo del Custom app layout, è ora possibile:

  • Creare cartelle, aggiungere app alle folder e inserire le folder sulla Managed Home Screen.
  • Scegliere se ordinare oppure no le app e le cartelle sulla Managed Home Screen.

Gestione layout della Home Screen su device iOS/iPadOS in supervised mode

Dalla release 2102, è possibile configurare il layout della Home Screen su deivce iOS e iPadOS registrati nella modalità supervised. Accedendo alla sezione Devices > Device Configuration > Create profile > iOS/iPadOS for platform > Device features for profile > Home screen layout sarà possibile:

  • Visualizzare in tempo reale l’aspetto delle app e delle icone delle app sulle pagine, sul dock e all’interno delle cartelle.
  • Aggiungere un Web link (Web app) a una pagina o al dock.

Per maggiori informazioni sulla configurazione dell’Home Screen, consultare il seguente articolo.

Limitazione della funzionalità Personalized Ads su sistemi iOS/iPadOS

Su Intune, è ora possibile limitare la funzionalità Personalized Ads presente su sistemi iOS e iPadOS (vedi documento Apple); attraverso la sezione Devices > Device Configuration > Create profile > iOS/iPadOS for platform > Device restrictions for profile > General > Limit Apple personalized advertising sarà possibile limitare la funzionalità di personalizzazione delle informazioni presenti ad esempio sull’App Store.

Definizione template per messaggi di compliance

All’interno delle Compliance Policy, è ora possibile definire dei template per le notifiche di compliance da applicare sulla base della lingua adottata in una determinata località.

Figura 3 – Template di notifica

Utilizzo di NetMotion Mobility come profilo VPN

All’interno dei profili VPN che si possono creare attraverso Intune, è ora possibile selezionare la soluzione NetMotion Mobility.

Device enrollment

Possibilità di nascondere ulteriori schermate durante la procedura di enrollment attraverso Setup Assistant

Durante la procedura di registrazione di device Apple nella modalità supervised (sfruttando i profili Apple Device Enrollment), è possibile inibire la visualizzazione di ulteriori schermate:

  • Restore Completed (su iOS/iPadOS 14.0+)
  • Software Update Completed (su iOS/iPadOS 14.0+)
  • Accessibility (su macOS 11+ collegati via Ethernet)

Device management

Migrazione security policy create attraverso Basic Mobility and Security

Con l’utilizzo del tool Policy Migration tool, è possibile convertire le policy di sicurezza create e distribuite attraverso Basic Mobility and Security (MDM for Office 365 o Office MDM) in Configuration Profile o Compliance Policy su Intune.

L’utilizzo del tool comporterà la disattivazione di tutte le future creazioni e modifiche attraverso Basic Mobility and Security.

Prima di utilizzare questo tool, è necessario accertarsi di aver acquistato un numero sufficiente di licenze lato Intune per coprire gli utenti gestiti con la precedente metodologia.

Subnet ID e indirizzo IP all’interno della sezione Proprietà

Per device Windows registrati nella modalità corporate-owned, all’interno della sezione Properties (Devices > All devices > selezionare il device interessato > Properties), sarà possibile visualizzare la subnet ID e l’indirizzo IP associato.

Security

Attivazione di Application Guard a livello di sistema operativo e nuovi settings

Con l’introduzione dell’ultima release, è possibile attivare Application Guard anche a livello di sistema operativo e non limitatamente al browser Microsoft Edge.

Attivando questa funzionalità a livello di OS, sarà possibile proteggere il proprio device da attacchi malevoli aprendo tali minacce in un contesto isolato (container). Ad esempio, con questo tipo di supporto, Application Guard potrà aprire documenti di Office non attendibili in una VM Windows isolata.

All’interno delle Endpoint security Attack surface reduction policy, sarà quindi possibile selezionare le seguenti opzioni all’interno della sezione Turn on Application Guard:

  • Microsoft Edge
  • Isolated Windows environments
  • Microsoft Edge and isolated Windows environments

In quest’ultima release, sono stati inoltre introdotti due nuovi settings legati ad Application Guard:

  • Application Guard allow camera and microphone access: è possibile gestire l’accesso da parte dell’app Application Guard alla camera e al microfono presenti sul device.
  • Application Guard allow use of Root Certificate Authorities from the user’s device: permette di trasferire al container uno o più certificati di tipo RootCA presenti nel contesto utente.

Per maggiori informazioni su tale funzionalità, fare riferimento al seguente link.

Nuova versione delle Security Baseline

Sul portale Microsoft Endpoint Manager, sono state aggiornate le security baseline per quanto riguarda il sistema operativo Windows 10 e per Microsoft Defender for Endpoint.

Per visualizzare la release history, fare riferimento al seguente link.

Monitor e troubleshooting

Aggiornamento reportistica

A partire da queste release, sono state effettuate attività di revisione ed aggiornamento sulla parte di reportistica. Nel dettaglio:

  • Sono stati aggiornati i report Microsoft Defender Antivirus, Co-management eligibility e Co-Managed Workloads introducendo maggiori dettagli/informazioni.
  • E’ stato introdotto un nuovo report denominato Windows 10 MDM devices with firewall off che permette di visualizzare eventuali sistemi sui quali la componente Windows Firewall risulta essere in stato Off.
  • E’ stato introdotto un nuovo report denominato Windows 10 MDM Firewall status che permette di visualizzare lo stato della componente Windows Firewall su tutti i sistemi Windows 10.

Log di dettaglio sui device attraverso Log Analytics

Attraverso la consultazione su Log Analytics (Reports > Log analytics), è ora possibile visualizzare i log di dettaglio relativi ai device presenti su Microsoft Endpoint Manager.

Scripting

Aggiunte proprietà nel Data Warehouse beta

Sono state aggiunte le seguenti proprietà all’interno del Data Warehouse beta:

  • SubnetAddressV4Wifi – subnet IPv4 relativa alla connessione Wi-Fi;
  • IpAddressV4Wifi – indrizzo IPv4 relativo alla connessione Wi-Fi;

Valutazione di Intune

Per testare e valutare in modo gratuito i servizi offerti da Intune è possibile accedere a questa pagina.