Microsoft Endpoint Configuration Manager: le novità della versione 2103

In data 6 aprile, è stata resa disponibile la versione 2103 di Microsoft Endpoint Configuration Manager; in questa versione, Microsoft ha cercato di ottimizzare e rendere maggiormente “user friendly” le procedure di upgrade e di distribuzione del sistema operativo Windows 10; l’obiettivo di questo articolo è quello di fornire una panoramica complessiva delle principali novità introdotte nella release 2103 in modo tale da avere i riferimenti necessari per gestire al meglio la propria infrastruttura.

 

Al momento della stesura di questo articolo, l’aggiornamento risulta essere disponibile attraverso il canale Early update ring; per poter aggiungere la propria infrastruttura all’interno di questo canale, è necessario eseguire lo script Powershell disponibile al seguente link.

 

Una delle principali novità introdotte in questa versione è la possibilità di eseguire l’upgrade dei propri sistemi Windows 10 richiamando direttamente la Feature Update durante l’esecuzione della Task Sequence. Con l’introduzione di questa nuova funzionalità, il processo di aggiornamento risulterà essere molto meno oneroso in termini di dimensioni, in quanto non sarà più necessario gestire l’intera immagine WIM di Windows 10 (il file distribuito in formato esd risulta avere una dimensione nettamente inferiore); un ulteriore vantaggio che porta questa integrazione risulta essere la possibilità di sfruttare a pieno le feature di ottimizzazione presenti nativamente nel sistema operativo (come Dynamic Update e Delivery Optimization) congiuntamente con la flessibilità che porta l’utilizzo di una Task Sequence lato Configuration Manager.

 

Figura 1 – Installazione Feature Update via TS

 

Sempre a partire da questa release, la comunicazione HTTP risulta essere stata categorizzata come deprecata e quindi, durante l’installazione di tale aggiornamento, verrà visualizzato un warning nel caso in cui si utilizzi ancora questo tipo di comunicazione.

Come riportato dalla documentazione ufficiale Microsoft (vedi link), il supporto su questo tipo di comunicazione verrà rimosso a partire dalla prima release disponibile dopo Novembre 2022.

 

Microsoft Endpoint Manager tenant attach

Visualizzazione di tutte le applicazioni disponibili attraverso il portale Microsoft Endpoint Manager admin center

Una volta selezionato il device, all’interno della sezione Applications presente sul portale admin center, è ora possibile visualizzare tutte le applicazioni distribuite sul dispositivo. Vengono incluse le seguenti applicazioni:

  • Distribuite al device.
  • Distribuite all’utente collegato al device, al primary user e quelle precedentemente installate per l’utente.

Con l’introduzione di questa funzionalità, l’opzione An administrator must approve a request for this application on the device (presente durante la configurazione del deployment lato Configuration Manager) non dovrà più essere impostata.

 

Merge tra le esclusioni definite sulle antivirus policy

Da questa versione, nel caso in cui vengano distribuite più policy di configurazione della componente antivirus, sul client collegato in tenat attach verrà eseguito il merge tra le varie esclusioni definite; questo permette una gestione più granulare delle exclusion antivirus.

 

Semplificazione nel discovery degli utenti in modalità Hybrid

Per consentire il discovery degli oggetti utente in modalità Hybrid, è sufficiente che questi vengano correttamente identificati da una di queste due tipologie di discovery:

  • Azure Active Directory user discovery
  • Active Directory user discovery

 

Infrastruttura

Nuovi check durante la verifica dei prerequisiti

Durante la procedura di aggiornamento alla release 2103, potranno essere visualizzati dei warning relativi a nuovi check introdotti proprio in questa nuova versione:

  • Enable the site for HTTPS-only or enhanced HTTP: come già precedentemente riportato, questo warning evidenzia la mancata attivazione della funzionalità Enhanced HTTP oppure l’attivazione della comunicazione HTTPS.
  • Deprecated Azure Monitor connector: nel caso in cui risulti essere presente il connettore Log Analytics for Azure Monitor la procedura di upgrade verrà bloccata e sarà segnalato uno stato di errore.
  • SQL Server Express version: a fronte della presenza di un Secondary Site con una edizione SQL Express, verrà segnalato un warning nel caso in cui la versione risulti essere inferiore alla 2016 SP2.

 

Esclusione di specifiche OU dall’Active Directory User Discovery

È ora possibile escludere determinate OU durante la procedura di discovery degli oggetti utente (Active Directory User Discovery).

 

Collection

Miglioramenti durante la visualizzazione delle collection relationship

Dalla release 2010, è stata introdotta la possibilità di visualizzare le dipendenze tra collection (collection relationship) attraverso una apposita vista; a partire da questa versione, sono stati introdotti alcuni miglioramenti su questa interfaccia per consentire una più rapida visualizzazione delle relazioni tra collection.

Nel dettaglio, è stata introdotta la possibilità di visualizzare le relazioni “padre-figlio” tra collection all’interno di un unico grafico sul quale è inoltre possibile eseguire il drill-down.

 

Miglioramenti nella preview delle query e nella collection evaluation view

All’interno della funzionalità di collection query preview, sono state introdotte le seguenti migliorie per rendere maggiormente fruibile tale funzionalità:

  • Limitazione sul numero di righe: il limite potrà essere da 1 a 10.000 righe; il valore di default è stato impostato a 5000 righe.
  • Omissione delle righe duplicate: le entry duplicate vengono automaticamente omesse dal risultato nel caso in cui l’opzione Omit duplicate rows risulti essere selezionata.
  • Review delle statistiche: è ora possibile visualizzare il numero totale di righe che verrebbero restituite a fronte della query inserita ed il rispettivo tempo di esecuzione della query.
Figura 2 – Collection query preview

 

Inoltre, sono stati apportati miglioramenti all’interno della collection evaulation view: questa funzionalità introdotta a partire dalla release 2010 permette agli IT admin di visualizzare e analizzare problematiche legate al processo di collection evaluation. Per maggiori dettagli su questo processo, è possibile fare riferimento al seguente link.

 

Software Center

Miglioramenti nella User Experience

A partire dalla versione 2103, è possibile modificare il colore del carattere utilizzato su Software Center (bianco) per migliore l’accessibilità e rendere l’interfaccia maggiormente fruibile; inoltre, sempre in ottica di maggiore fruibilità e aumento della sicurezza, tutte le web app e link resi disponibili attraverso Software Center verranno aperti automaticamente con Microsoft Edge.

 

Application

Disattivazione dei deployment delle application

Come già possibile per altre tipologie di deployment (es: Software Update deployment, Task Sequence, ecc…), è ora possibile disattivare i deployment legati alla distribuzione delle applicazioni. Nel momento in cui il dispositivo esegue un refresh delle machine policy, l’infrastruttura Configuration Manager notifica immediatamente al client che l’oggetto risulta essere stato disattivato.

 

OS Deployment

Modifiche alla dashboard di Windows 10 Servicing

In questa release, è stata rivista la dashboard Windows 10 Servicing per renderla più pertinente; i grafici riportati risultano essere i seguenti:

  • Quality Update Versions: visualizza le prime 5 versioni presenti sui propri dispositivi Windows 10;
  • Latest Feature Update: visualizza il numero di dispositivi che risultano aver installato l’ultima build disponibile;
  • Feature Update Versions: visualizza la distribuzione delle principali release di Windows 10;

 

Notifiche durante il check di validazione del sistema

A fronte dell’attivazione dello step Check Readiness (check di validazione sullo stato del sistema) all’interno della Task Sequence, se il sistema non risulta soddisfare i requisiti minimi impostati, verrà notificato all’utente (attraverso apposito pop-up) le cause della mancata compliance del sistema.

Questo improvement semplifica drasticamente l’identificazione di problematiche durante i workflow di distribuzione del sistema operativo o di aggiornamento.

 

Figura 3 – Check Readiness

 

Miglioramenti nella procedura di OS Deployment

All’interno di questa release, sono stati introdotti alcuni miglioramenti dedicati alla procedura di OS Deployment:

  • Incluso l’operatore logico not like all’interno delle condizioni disponibili sulla Task Sequence;
  • Lo step di Check Readiness verifica lo spazio libero su dischi senza partizione;
  • Introdotto il parametro Index all’interno dei seguenti command let Powershell:
    • New-CMOperatingSystemImage
    • New-CMOperatingSystemInstaller
  • Introdotti due nuovi command let Powershell per identificare hardware ID esistenti:
    • Get-CMDuplicateHardwareIdGuid
    • Get-CMDuplicateHardwareIdMacAddress

 

Protezione

Miglioramenti nella gestione di BitLocker

Una grande novità introdotta dalla versione 2010 è stata la possibilità di eseguire l’escrow (salvataggio) della recovery key sfruttando la funzionalità Cloud Management Gateway (CMG); con l’introduzione di questa funzionalità, i sistemi connessi direttamente ad internet sono in grado di salvare la propria recovery key senza la necessità di essere collegati alla rete aziendale.

A partire da questa release, risultano essere supportate le seguenti funzionalità:

  • Salvataggio della recovery key anche per dischi rimovibili via CMG;
  • Autorizzazione TPM owner via CMG;
  • Supporto Enhanced HTTP;
  • Recovery service su management point che utilizza database replica;

 

Software Update

Utilizzo degli approved script su Orchestration Group

Durante la creazione di un nuovo Orchestration Group, è stata resa disponibile una nuova sezione denominata Script Picker all’interno della quale è possibile selezionare dalla lista degli script già approvati quelli per essere utilizzati come pre e post script durante la procedura di aggiornamento.

 

Modifica maximum runtime

In questa versione, Configuration Manager imposta i seguenti valori per il tempo massimo di esecuzione degli update:

  • Feature updates for Windows: 120 min
  • Non-feature updates for Windows: 60 min
  • Updates for Microsoft 365 Apps (Office 365 updates): 60 min

 

Aumentata la sicurezza nelle scansioni HTTPS

È stata ulteriormente aumentata la sicurezza delle scansioni HTTPS verso WSUS applicando il blocco del certificato; per abilitare questo tipo di configurazione, risulta necessario:

  • Verificare che tutti i Software Update Point siano configurati per utilizzare TLS/SSL;
  • Aggiungere il certificato del proprio WSUS all’interno dello store WindowsServerUpdateServices presente sui propri client;
  • Verificare che l’opzione Enforce TLS certificate pinning for Windows Update client for detecting updates presente sui Client Settings nella sezione Software Updates risulti essere impostata a Yes (valore di defualt);

 

Console

Miglioramenti nella Community hub

In questa release, sono stati introdotti alcuni miglioramenti nella Community Hub tra cui la possibilità di eseguire il download di template Power BI, di configuration items e configuration baseline.

Inoltre è possibile visualizzare le CMPivot condivise maggiormente utilizzate all’interno dell’elenco di quelle disponibili on-premise.

 

Miglioramenti nella console di Configuration Manager

Sempre in questa release, sono stati introdotti alcuni miglioramenti sulla console di Configuration Manager; uno fra tutti è il supporto ad un nuovo stile di console extension che offre i seguenti vantaggi:

  • Gestione centralizzata delle estensioni invece della necessità di posizionare manualmente i file binari sulle singole console.
  • Maggiore controllo da parte degli IT Admin sulle estensioni che vengono caricate e utilizzate;
  • Possibilità di configurare il solo utilizzo del nuovo stile;
  • Chiara separazione delle estensioni in base al provider;

Per maggiori informazioni su questo nuovo stile, fare riferimento al seguente link.

Un altro miglioramento legato alla console è la possibilità di contrassegnare un report come preferito in modo tale da renderlo facilmente consultabile a fronte dei successivi accessi.

 

Support Center

Miglioramenti del tool Support Center

Questo aggiornamento del Support Center va a suddividere il tool in due parti:

  • Support Center Client Data Collector: dove vengono collezionati tutti i dati raccolti sul device e che risultano visibili attraverso Support Center Viewer;
  • Support Center Client Tools: raggruppa tutte le altre funzionalità presenti ad eccezione di quella sopra citata;