Microsoft Endpoint Configuration Manager: le novità della versione 2107

Nel corso di questa settimana, è stata resa disponibile la versione 2107 di Microsoft Endpoint Configuration Manager; in questa nuova release del prodotto, Microsoft ha introdotto una serie di novità molto utili sia dal punto di vista infrastrutturale nell’iterazione con sorgenti esterne che dal punto di vista della messa in sicurezza del prodotto stesso.

L’obiettivo di questo articolo è quello di fornire una panoramica complessiva delle principali novità introdotte in quest’ultima release in modo tale da poter gestire al meglio la propria infrastruttura Configuration Manager.

L’aggiornamento risulta essere disponibile direttamente in console su ambienti che eseguono la versione 2002 o successive release.

Al momento della stesura di questo articolo, l’aggiornamento risulta essere disponibile attraverso il canale Early update ring; per poter aggiungere la propria infrastruttura all’interno di questo canale, è necessario eseguire lo script Powershell disponibile al seguente link.

Cloud-Attach

Conversione CMG in modalità Virtual Machine scale set

Dalla versione 2010, è possibile attivare un nuovo Cloud Management Gateway nella modalità Virtual Machine scale set dando la possibilità così di eseguire il deploy di tale soluzione anche su subscription CSP.

A partire da questa release, è possibile convertire i CMG creati in modalità classic nella nuova modalità che risulta essere anche quella consigliata da Microsoft.

Possibilità di selezione size della VM per CMG

Durante il deployment di un nuovo CMG, è ora possibile selezionare le seguenti size dedicate alla nuova Virtual Machine che verrà creata:

  • Lab (B2s);
  • Standard (A2_v2) – size di default;
  • Large (A4_v2);

In questo modo, si avrà la possibilità di creare VM sulla base delle proprie esigenze riducendo così anche eventuali costi legati alla soluzione.

Revisione naming per il servizio Co-Management

Per esprimere al meglio i servizi cloud erogati attraverso Configuration Manager, è stata modificata la naming relativa al nodo Co-Management: i vari settings/wizard sono stati rinominati con il suffisso Cloud Attach.

Desktop Analytics

Supporto a Windows diagnostic data processor configuration

Su Desktop Analytics è ora supportata la nuova funzionalità Windows diagnostic data processor configuration: attraverso Windows diagnostic data processor configuration, le aziende sono in grado di gestire al meglio quelli che sono i dati di diagnostica raccolti da Microsoft.

Infrastruttura

Supporto per Windows Server 2022 e Windows 11

A partire dalla release 2107, è stato introdotto il supporto a Windows Server 2022 come piattaforma per l’installazione del ruolo Site System; inoltre, risulta possibile installare Windows ADK per Windows 11/Windows Server 2022.

Nuovi requirements

In questa release, Configuration Manager richiede l’installazione del .NET Framework versione 4.6.2 come requisito per alcuni componenti; per questo motivo, prima di procedere con la procedura di upgrade, risulta necessario aggiornare la versione di tale componente e procedere con il riavvio richiesto. Ove possibile, Microsoft consiglia l’installazione della versione 4.8.

Sempre con l’introduzione di questa release, durante la procedura di installazione, viene verificata la presenza della componente Microsoft Visual C++ Redistributable 2015-2019; nel caso in cui non risulti presente, il processo provvederà automaticamente all’installazione di tale componente. Verrà inoltre notificato attraverso apposito warning la presenza di SQL Server 2012 in quanto il supporto di tale versione risulta scadere in data 12 Luglio 2022.

Nel caso in cui non sia possibile eseguire il download della versione 2107, accertarsi che il Service Connection Point sia in grado di raggiungere correttamente l’endpoint configmgrbits.azureedge.net.

External notifications

Una delle più interessanti novità introdotte in quest’ultima release, è sicuramente la possibilità di inviare notifiche legate a Configuration Manager verso sistemi/applicazioni esterni. Questa funzionalità permette di automatizzare eventuali azioni non presenti nativamente su Configuration Manager a fronte di uno specifico evento (es: status message filter rules).

Real-time Management

Miglioramenti su CMPivot

Sono stati introdotti vari miglioramenti nella funzionalità CMPivot, come ad esempio:

  • Aggiunta una nuova entità denominata RegistryKey che restituisce tutte le chiavi di registry che corrispondono all’espressione indicata;
  • Aggiunti gli aggregatori maxif e minif da utilizzare durante le operazioni di summerize;
  • Miglioramenti nell’autocompletamento delle query;
  • Revisione permessi richiesti:
    • CMPivot non richiede più il permesso in lettura della proprietà SMS Scripts;
    • CMPivot non richiede più il default scope permission;

Client Management

Proprietà custom per i device

Come riportato in precedenza, in quest’ultima release, Microsoft ha introdotto interessanti novità legate all’iterazione tra Configuration Manager e sorgenti esterne. In merito a questo tema, una novità introdotta in questa build è la possibilità di impostare sui device delle proprietà custom che provengono da altre sorgenti dati; queste proprietà ed il loro valore vengono salvate all’interno di una nuova classe denominata Device Custom Properties nel database di Configuration Manager e potranno poi essere utilizzate per creare query, collection e reportistica.

Maggiori dettagli su questa interessante novità, sono disponibili al seguente link.

Miglioramenti nella protezione della comunicazione

Configuration Manager utilizza certificati self-signed per cifrare la comunicazione tra il client e il site system. Una volta aggiornata l’infrastruttura e l’agent alla versione 2107, questo certificato verrà salvato, in modo non esportabile, sul TPM (Trusted Platform Module). Inoltre, nel caso in cui risulti attiva l’opzione Use encryption, il client utilizzerà l’algoritmo AES-256 per crittografare i messaggi di stato e i dati di inventario che verranno inviati al Management Point.

Sempre in questa release, nel caso si utilizzi Enhanced-HTTP, sia Software Center che Company Portal utilizzeranno la comunicazione HTTPS per ottenere dal Management Point le applicazioni disponibili agli utenti.

Raccolta informazioni relative alle configurazioni di raccolta log

È ora possibile attivare l’inventory delle configurazioni relative ai log generati dal client come, ad esempio, livello e dimensione; questa configurazione risulta utile nel caso in cui si vogliano tracciare eventuali modifiche avvenute attraverso le azioni di attivazione del verbose logging.

Supporto per macOS Big Sur

A partire da questa release, è possibile gestire attraverso Configuration Manager device che risultano aver installato il nuovo sistema operativo Apple macOS Big Sur.

Application Management

Rimozione implicita delle applicazioni

Un’altra interessante novità presente in Configuration Manager 2107 risulta essere la possibilità di rimuovere in modo implicito un’applicazione riducendo così il proliferare di collection.

Durante la creazione del deployment di installazione di una specifica applicazione, è possibile abilitare l’opzione Uninstall this application if the targeted object falls out of the collection che consente appunto di avviare il processo di rimozione dell’applicazione nel momento in cui il device viene rimosso dalla collection.

Figura 1 – Rimozione implicita application

Questo settings risulta essere disponibile solamente per le distribuzioni device-based.

Protezione

Attivazione Audit Mode per potentially unwanted applications (PUA)

In ottica di una sempre più elevata protezione degli endpoint, Microsoft Defender permette di bloccare l’esecuzione di applicazioni potenzialmente dannose che potrebbero compromettere il funzionamento del sistema operativo; per evitare di generare falsi-positivi e quindi bloccare applicazioni attendibili, attraverso l’implementazione di un’Antimalware policy, è ora possibile attivare questo tipo di protezione in Audit Mode.

Software Update

Esecuzione evaluation da pannello deployment status

Tra le migliorie introdotte sulla console è necessario citare la possibilità di eseguire un ciclo di valutazione degli aggiornamenti direttamente dal pannello Deployment Status presente nella sezione Monitoring.

Figura 2 – Ciclo di valutazione aggiornamenti

Lista dei cataloghi di terze parti

All’interno della sezione Third-Party Software Update Catalogs, sarà possibile selezionare l’opzione More Catalogs che permetterà di accedere alla documentazione contenente la lista dei cataloghi di terze parti che possono essere utilizzati su Configuration Manager.

Console

Miglioramenti nella Community hub

In questa release, sono stati introdotte nuove funzionalità nella Community Hub tra cui la possibilità di eseguire l’upload di query CMPivot direttamente dalla relativa finestra ma, soprattutto, la possibilità di eseguire il download delle estensioni che potranno poi essere applicate a tutte le console presenti.

Miglioramenti nella console di Configuration Manager

Nella release 2107, Microsoft ha cercato di migliorare ulteriormente quella che è la user-experience del prodotto introducendo alcuni miglioramenti sulla console; gli aggiornamenti di maggiore rilevanza sono:

  • Modifica degli script attraverso apposito editor;
Figura 3 – Script editor
  • Possibilità di inviare eventuali segnalazioni di errore direttamente dal messaggio di errore ricevuto attraverso il link Report error to Microsoft;
  • Autorizzazione di console extension non firmate digitalmente;
  • Possibilità di accedere alle varie collection che popolano automaticamente altre collection attraverso l’opzione View Collection.
Figura 4 – View Collection
  • Aggiunta la colonna Maintenance window all’interno della sezione Devices.
Figura 5 – Colonna Maintenance window
  • Possibilità di eseguire il search ricorsivo anche all’interno delle sezioni Boot Images, Operating System Upgrade Packages e Operating System Images;