Come consuetudine della nostra community, tramite questo articolo verrà fornita una panoramica complessiva delle principali novità rilasciate da Microsoft su Intune; lo scopo di questi articoli è appunto quello di permettere a chi ci segue di rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per effettuare maggiori approfondimenti.
La novità di maggiore rilevanza introdotta nella release di Giugno risulta essere la disponibilità in General Availability dello scenario di enrollment dei dispositivi Android nella modalità corporate-owned con work profile; le aziende saranno in grado di gestire e configurare gli account aziendali, le applicazioni ed i dati presenti all’interno del profilo di lavoro mentre non avranno visibilità dei dati e delle applicazioni presenti all’interno del profilo personale.
Un’altra interessante novità, rilasciata in Public Preview nel mese di Giugno, risulta essere la possibilità di gestire Session Host Azure Virtual Desktop attraverso Microsoft Intune. Azure Virtual Desktop è la soluzione cloud-based di Microsoft che mette a disposizione degli utenti una vera e propria postazione di lavoro basata su Windows 10, consentendo l’accesso ai dati/applicazioni aziendali in assoluta sicurezza ed in modo simultaneo (modalità multisession); con Microsoft Intune, sarà quindi possibile gestire questo tipo di sistemi utilizzando policy di configurazione device-based.
Nei prossimi paragrafi, come consuetudine, andremo a riepilogare quelle che sono le altre importanti novità introdotte in questi ultimi due mesi.
App management
Miglioramenti nell’interfaccia di amministrazione sullo stato delle applicazioni
All’interno delle sezioni Home, Dashboard e App Overview, è stata migliorata l’interfaccia per permettere agli IT Admin di avere maggiori informazioni sullo stato delle applicazioni gestite e sulla loro distribuzione.
Con l’introduzione dell’ultima release (2106), Intune visualizza solo le app specifiche per la piattaforma del dispositivo che si sta visualizzando.
Modificato default per la tipologia di licensing dedicata alle VPP app
A partire dalla release di Giugno, il default per la tipologia di licensing dedicata alle Apple VPP app risulta essere “device”; attraverso questo tipo di licensing, gli utenti non avranno più la necessità di effettuare sign-in sull’Apple Store per poter installare le applicazioni.
Per maggiori informazioni sulle opzioni disponibili in base alla tipologia di licensing, è possibile fare riferimento al seguente link.
Nuove protected app
Le seguenti protected app risultano essere state aggiunte su Microsoft Intune:
- Secrets Confidential File Viewer (Hitachi Solutions, Ltd.)
- AventX Mobile Work Orders (STR Software)
- Slack for Intune (Slack Technologies, Inc.)
- Dynamics 365 Sales (Microsoft)
- Leap Work for Intune (LeapXpert Limited)
- iManage Work 10 For Intune (iManage, LLC)
- Microsoft Whiteboard Android version (Microsoft)
Device configuration
Nuove impostazioni per iOS/IPadOS versioni 14.5 e successive
A partire dalla release 2105, sono state introdotte nuove impostazioni per iOS e iPadOS che possono essere configurate attraverso apposite Device Restriction policy (Devices > Configuration profiles > Create profile > iOS/iPadOS for platform > Device restrictions for profile). Riportiamo qui sotto le nuove opzioni disponibili:
- Block Apple Watch auto unlock: se impostato a Yes, gli utenti non saranno in grado di sbloccare il proprio device attraverso Apple Watch;
- Allow users to boot devices into recovery mode with unpaired devices: se impostato a Yes, gli utenti potranno avviare il proprio device in modalità recovery con un dispositivo unpaired (non associato);
- Block Siri for dictation: se impostato a Yes, disattiva le connessioni verso i server che ospitano il servizio Siri, pertanto gli utenti non saranno in grado di utilizzare questo servizio per dettare testo;
Gestione cookie e tracciamento cross site su Safari
Attraverso l’utilizzo di apposite Device Restriction policy (Devices > Configuration profiles > Create profile > iOS/iPadOS for platform > Device restrictions for profile > Built-in Apps), è possibile gestire i cookies ed il tracciamento cross site sul browser Safari. E’ importante sottolineare come, di default, Safari limiti la raccolta di cookie e di dati di terze parti.
Device enrollment
Opzione Browser Access abilitata di default durante l’enrollment di device Android
Con l’introduzione della release di Giugno, l’opzione Browser Access risulta essere attiva di default durante la registrazione nelle seguenti modalità di device Android:
- Azure AD Shared Dedicated devices
- Fully managed
- Corporate-owned con work profile
I device compliant saranno in grado di accedere alle risorse protette da Conditional Access attraverso il browser.
Device management
Nuova opzione Filters per assegnazione app e policy
Un’altra novità molto interessante rilasciata nella release 2105 risulta essere l’introduzione di una nuova opzione denominata Filters.
Attraverso l’utilizzo di questa opzione, è possibile restringere ulteriormente l’ambito di applicazione di una determinata policy (comprese le Compliance Policy ed i Settings Catalog) o app rendendo questo processo maggiormente flessibile e granulare. Ad esempio, è possibile utilizzare l’opzione Filters nei seguenti scenari:
- Distribuzione di un criterio su sistemi Windows 10 categorizzati come corporate che risultano essere appartenenti all’area Marketing;
- Distribuzione di un’applicazione iOS/iPadOS ai soli device iPad;
- Distribuzione di un criterio sulla base della metodologia di registrazione (EnrollmentProfileName) per le seguenti piattaforme:
- Windows
- iOS/iPadOS
- Android (a partire dalla release 2106)
Per creare un nuovo filtro, accedere ad una delle seguenti sezioni:
- Devices > Filters (preview) > Create
- Apps > Filters (preview)> Create
- Tenant administration > Filters (preview)> Create
Velocizzare processo di applicazione degli aggiornamenti di security
Nelle ultime release, è stata introdotta in public preview la possibilità di velocizzare il processo di applicazione degli aggiornamenti di security attraverso l’applicazione delle policy dedicate a Windows Update for Business (Quality updates policy).
Nel momento in cui viene applicata questo tipo di policy, il device procederà il prima possibile con il download e l’installazione dell’aggiornamento di sicurezza senza attendere l’esecuzione del check-in.
Rimozione remote action Restart per device corporate
L’azione di Restart risulta essere stata rimossa tra le remote action disponibili per device registrati nella modalità corporate-owned con work profile. Un’eventuale azione di Restart durante una selezione multipla dei dispositivi verrà ignorata e sarà categorizzata come Not supported.
Offboarding dei device registrati in modalità Tenant Attach
A partire da queste ultime release, Microsoft ha introdotto la possibilità di eseguire l’offboarding dei device registrati nella modalità Tenant Attach; per eseguire tale operazione risulta necessario accedere alla sezione Tenant administration > Connectors and tokens > Microsoft Endpoint Configuration Manager, selezionare il nome del site interessato e selezionare l’opzione Delete.
Monitor e Troubleshooting
Aggiornamento reportistica
Nelle release di Maggio e Giugno, sono state effettuate attività di revisione ed aggiornamento sulla reportistica. Nel dettaglio:
- È stato introdotto un nuovo report denominato App Install Status che permette di visualizzare la lista delle applicazioni presenti comprensivo di versione e stato di installazione.
- È stato introdotto un nuovo report denominato Device Install Status che, sulla base dell’applicazione selezionata, permette di visualizzare l’elenco dei device interessati ed alcuni dettagli come Piattaforma, Versione, Stato, ultimo check-in, ecc..
- È stato introdotto un nuovo report denominato User Install Status che, sulla base dell’applicazione selezionata, permette di visualizzare l’elenco degli utenti interessati ed alcuni dettagli come Nome, UPN, Stato, ecc..
- È stato aggiornato il report Certificates introducendo maggiori dettagli/informazioni.
- È stata aggiornata la reportistica dedicata ai Settings Catalog introducendo una sezione dedicata allo stato di applicazione dei vari settings; attraverso la sezione Per setting status sarà quindi possibile visualizzare il numero dei sistemi sui quali viene applicata la singola configurazione e monitorarne lo stato di applicazione.
È importante sottolineare come, attraverso le Graph API v1.0, è stato reso possibile l’export dei report presenti sulla piattaforma.
Valutazione di Intune
Per testare e valutare in modo gratuito i servizi offerti da Intune è possibile accedere a questa pagina.