Nelle nuove release di Marzo e Aprile relative a Microsoft Intune sono state rilasciate varie novità con l’obiettivo di supportare gli IT admin in una sempre più semplice gestione moderna dei device, che aumenti la sicurezza dei dati aziendali ma al contempo ne semplifichi le operations.
Tra le principali novità introdotte nelle ultime release spicca sicuramente l’introduzione dell’autenticazione moderna all’interno del processo di provisioning Apple Setup Assistant.
Tale funzionalità era stata annunciata durante l’ultima edizione di Microsoft Ignite e consiste nella possibilità di autenticarsi in modo sicuro attraverso Multi-Factor Authentication durante le schermate di configurazione legate a Setup Assistant.
Per maggiori informazioni su come utilizzare questo tipo di autenticazione su device Apple, è possibile fare riferimento al seguente link.
In ottica di una sempre più forte integrazione tra il mondo cloud ed il mondo on-premise, in questi mesi il Product Team di Intune ha introdotto all’interno della sezione Settings Catalog un notevole numero di impostazioni (al momento in preview) legate alla personalizzazione dei device che precedentemente non erano disponibili.
Questa operazione ha consentito di ridurre in buona parte il gap che risultava essere presente tra le configurazioni MDM e quelle attraverso GPO; inoltre ha permesso alle aziende di iniziare ad intraprendere un approccio moderno di gestione dei propri dispositivi, eliminando così anche la necessità di una connettività con l’ambiente on-premise).
Nei prossimi paragrafi, come consuetudine, andremo a riepilogare quelle che sono le altre importanti novità introdotte negli ultimi mesi.
App management
Win32 App supersedence
È ora possibile definire delle regole di supersedence tra Win32 app per permettere l’aggiornamento o la sostituzione di un’applicazione con una nuova versione della medesima app oppure con un’altra applicazione.
Questa modalità risultava già presente da svariate release su Configuration Manager ed ora risulta disponibile (anche se ancora in public preview) su Intune attraverso il portale Microsoft Endpoint Manager admin center.
Sempre in merito alle Win32 app, nella release 2104, è stato reso disponibile un nuovo campo che permette di visualizzare la versione dell’applicazione distribuita.
Condizione di Maximum OS version all’interno delle regole di Conditional Launch
All’interno delle regole di Conditional Launch disponibili sulle App Protection Policy, è ora possibile definire la versione di sistema operativo massima attraverso la quale gli utenti possono collegarsi alle risorse aziendali; tale configurazione è utile per limitare l’accesso da build del sistema operativo in pre-release o beta. Tale condizione è applicabile sia su dispositivi Android che su dispositivi iOS.
Universal app di Microsoft 365 Apps e Intune Management agent
Quando viene eseguito il deploy di Microsoft 365 Apps oppure di Intune Management agent attraverso il portale Microsoft Endpoint Manager admin center, su device Apple Silicon, verrà distribuita la Universal app che funziona nativamente su questa tipologia di dispositivi.
La medesima distribuzione permetterà di installare la versione a 64 bit dell’app su sistemi Mac basati su chip Intel; Rosetta 2 risulta essere un prerequisito per eseguire la versione x64 (Intel) delle app sui device Apple Silicon.
Configurazione di Microsoft Launcher app su Android Enterprise Fully Managed
Con l’utilizzo di un’app configuration policy, è ora possibile impostare le configurazioni delle cartelle in Microsoft Launcher su dispositivi Android Enterprise registrati nella modalità Fully Managed; è possibile quindi configurare la forma della cartella, l’apertura a schermo intero e la direzione di scorrimento di quest’ultima.
Nuove protected app
Le seguenti protected app risultano essere state aggiunte su Microsoft Intune:
- FleetSafer (Cogosense Technology Inc.)
- Senses (Mazrica Inc.)
- Fuze Mobile for Intune (Fuze, Inc.)
- MultiLine for Intune (Movius Interactive Corporation)
- Omnipresence Go (Omnipresence Technologies, Inc.)
- Comfy (Building Robotics, Inc.)
- M-Files for Intune (M-Files Corporation)
Device Configuration
Improvement nella gestione e configurazione di Microsoft Edge
Attraverso l’utilizzo di Settings Catalog, è possibile configurare Microsoft Edge su dispositivo macOS (Devices > Configuration profiles > Create profile > macOS for platform > Settings Catalog). Per quanto riguarda device Windows 10 configurati in modalità kiosk, è ora possibile permettere l’esecuzione della sola applicazione Microsoft Edge versione 87 o successive.
Nuova versione PFX Certificate Connector
È stata rilasciata una nuova versione (6.2101.16.0) del PFX Certificate Connector che risolve alcuni bug introdotti nelle precedenti release e previene la creazione di file duplicati relativi alle richieste di certificati. Per maggiori dettagli, è possibile fare riferimento al seguente link.
Utilizzo di Cisco AnyConnect come profilo VPN
All’interno dei profili VPN che si possono creare attraverso Intune su device Windows 10, è ora possibile selezionare la soluzione Cisco AnyConnect. Il deploy di questo profilo effettuerà l’installazione dell’app Cisco AnyConnect disponibile sul Microsoft Store (non viene utilizzata l’applicazione desktop).
Disattivazione NFC su device iOS e iPadOS in supervised mode
Su device iOS e iPadOS registrati nella modalità Supervised, è possibile disattivare NFC attraverso l’adozione di una Device Restriction (Devices > Configuration profiles> Create profile > iOS/iPadOS for platform > Device restrictions for profile > Connected devices > Disable near field communication (NFC)).
Device Enrollment
Stato della sync dei token di registrazione dedicati al processo Automated device enrollment
Lo stato di sincronizzazione dei token dedicati alla modalità Automated Device Enrollment (ADE) sono stati rimossi dall’interfaccia Enrollment program tokens; la modalità ADE permette la registrazione dei device Apple in modo automatico sfruttando i servizi Apple Business Manager oppure Apple School Manager.
All’interno della console admin center (nelle sezioni Devices > iOS/iPadOS > iOS/iPadOS enrollment > Enrollment program tokens – Devices > macOS > macOS enrollment > Enrollment program tokens), viene comunque mantenuta la possibilità di visualizzare la lista dei propri token.
Device Management
Collezione dei log di diagnostica da remoto
Un’altra novità molto interessante rilasciata nella release 2102 risulta essere l’introduzione di una nuova remote action denominata Collect diagnostics; attraverso questa azione è possibile raccogliere da remoto tutti i log di diagnostica utili ad eseguire troubleshooting senza interferire sull’operatività dell’utente finale.
Riportiamo qui sotto l’elenco le log/informazioni di diagnostica raccolti:
- MDM
- Autopilot
- Event Viewer
- Registry Key
- Configuration Manager client
- Configurazioni network
- Certificati
- Windows Update
Localizzazione dei device Windows 10
All’interno della release 2104 è stata inserita una nuova remote action denominata Locate device che permette di geolocalizzare i sistemi Windows 10 come già avveniva per i device iOS registrati nella modalità Supervised. Requisito per poter utilizzare tale funzionalità è l’attivazione del servizio di geolocalizzazione presente nativamente sul sistema operativo.
Una volta eseguita la remote action, all’utente verrà notificato, attraverso apposita toast notification, che l’azienda ha richiesto la posizione del proprio dispositivo. I sistemi che supportano tale funzionalità sono:
- Windows 10 versione 20H2
- Windows 10 versione 2004
- Windows 10 versione 1909
- Windows 10 versione 1809
Device Security
Possibilità di utilizzare l’attributo UserPrincipalName durante la richiesta di certificati
Su device Android, è ora possibile utilizzare l’attributo CN={{UserPrincipalName}} come parametro da settare nel campo subject (o Subject Alternative Name) durante la richiesta di un nuovo certificato via PKCS o SCEP.
Il requisito per poter utilizzare tale attributo è che il device risulti essere registrato in una modalità che contempli la user-affinity (es: Fully Managed o personally-owned con work profile).
Utilizzo di Microsoft Defender for Endpoint all’interno di App Protection Policy
È ora possibile utilizzare Microsoft Defender for Endpoint su device Android e iOS all’interno di App Protection Policy; attraverso l’inserimento della condizione Max allowed threat level signals, sarà possibile quindi bloccare l’accesso alle risorse aziendali nel caso in cui il dispositivo superi il livello di minaccia impostato.
Nel caso in cui venga impostata tale condizione, agli utenti verrà richiesto di installare e configurare l’app Microsoft Defender for Endpoint. Come prerequisito nell’adozione di tale funzionalità, è necessario configurare il connettore Microsoft Defender for Endpoint e attivare lo switch per inviare i dati sui rischi alle App Protection Policy.
Miglioramenti nelle regole di detection presenti all’interno delle Attack Surface Reduction rule
È ora possibile utilizzare la regola denominata Block persistence through WMI event subscription all’interno delle Attack Surface Reduction rule; questa regola permette di identificare eventuali attacchi malevoli di ultima generazione che sfruttano il repository WMI per rimanere non visibili lato file system e prendere così il controllo dell’esecuzione.
È possibile configurare tale regola nelle seguenti modalità:
- Not configured: viene mantenuto il default del sistema operativo (off);
- Block: viene bloccato qualsiasi tentativo di abuso del repository WMI;
- Audit: viene registrato qualsiasi tentativo di abuso del repository WMI ma non viene eseguito nessun blocco;
- Disable: non viene eseguito alcun controllo;
Prevenire o autorizzare il merge tra Antivirus Policy
Durante la configurazione di una Antivirus policy, è ora possibile definire il comportamento che deve essere applicato nel caso in cui risultino presenti esclusioni locali sul device; è possibile permetterne il merge oppure prevenire questo comportamento applicando solamente le esclusioni definite via policy.
Dettagli sullo stato di salute del Microsoft Tunnel Gateway
All’interno della sezione Tenant administration > Microsoft Tunnel Gateway > Health status è possibile visualizzare dettagli sullo stato di salute del Microsoft Tunnel Gateway come ad esempio:
- Last check-in: ultima volta che il server ha eseguito il check-in verso Intune;
- Number of current connections: numero di sessioni attive all’ultimo check-in;
- Throughput: Mbit\s che transitano sulla NIC all’ultimo check-in;
- CPU usage: utilizzo medio della CPU;
- Memory usage: utilizzo medio della memoria;
- Latency: tempo medio impiegato dai pacchetti nel transitare dalla NIC;
- TLS certificate expiration status and days before expiration: stato del certificato utilizzato per cifrare la comunicazione client/server e giorni rimanenti prima della scadenza;
Funzionalità di Tunnel all’interno di Microsoft Defender for Endpoint (Public Preview)
Come annunciato nell’ultima edizione di Microsoft Ignite, la funzionalità Microsoft Tunnel client è stata migrata/integrata all’interno dell’applicazione Microsoft Defender for Endpoint; con la versione in preview dell’applicazione, è possibile utilizzare Microsoft Defender for Endpoint come tunnel app sui device che supportano tale funzionalità (Android Enterprise Fully managed, Android Enterprise Corporate-owned work profile, Android Enterprise Personally-owned work profile).
Configurazioni per l’aggiornamento del Tunnel Gateway
Nell’ultima release, sono state introdotte alcune migliorie per la gestione nell’aggiornamento del Tunnel Gateway; le opzioni ora disponibili sono:
- Maintenance Windows: permette di definire una finestra manutentiva all’interno della quale il server può procedere all’aggiornamento;
- Server upgrade type: è possibile definire la tipologia di aggiornamento del server selezionando le seguenti metodologie:
- Automatic: il/i server si aggiorneranno appena verrà rilasciata una nuova versione;
- Manual: il/i server procederanno all’aggiornamento solo dopo un’autorizzazione da parte di un IT Admin;
Monitor e troubleshooting
Nuova experience su Endpoint Analytics
A partire da queste ultime release, sono state effettuate attività di revisione ed aggiornamento su Endpoint Analytics:
- All’interno del Microsoft Productivity score, è disponibile una nuova pagina legata a Endpoint Analytics che permette di condividere i risultati a livello di organizzazione anche con altri risultati non strettamente legati a Microsoft Endpoint Manager.
- È stato introdotto un nuovo report denominato Application Reliability che fornisce informazioni sui potenziali problemi relativi alle applicazioni desktop; questo report permette inoltre di visualizzare metriche sull’utilizzo della singola applicazione ed anche eventuali errori generati da quest’ultima.
- Il report Restart Frequency è ora disponibile in Generally Available; attraverso questo report è possibile visualizzare la frequenza con cui i device vengono riavviati e individuare così sistemi problematici dove si verificano continui riavvi a causa di blue screen.
Valutazione di Microsoft Intune
Per testare e valutare in modo gratuito i servizi offerti da Intune è possibile accedere a questa pagina.