Microsoft Intune: le novità di Luglio-Agosto

Davide SalsiEnterprise Mobility, Microsoft Intune, What's New

Anche nei mesi di luglio e agosto, Microsoft ha annunciato novità riguardanti Intune e, come di consueto, la nostra community rilascia questo riepilogo in modo tale da fornirvi una panoramica complessiva delle principali novità e rimanere così sempre aggiornati su questi argomenti.

Un’importante novità che ha caratterizzato questi due mesi è sicuramente il rilascio di Windows 365; il servizio cloud di Microsoft, annunciato durante la convention internazionale Microsoft Inspire, che introduce un nuovo modo di sperimentare Windows sfruttando la potenza del cloud.

Attraverso Windows 365, gli utenti saranno in grado di accedere ad un ambiente Windows 10 o Windows 11 (disponibile a breve) comprensivo di tutte le app, i dati e le impostazioni; con l’introduzione di questo servizio, si va a delineare un nuovo scenario di personal computer, specifico per il mondo ibrido: il Cloud PC.

Figura 1 – Windows 365

 

Per maggiori approfondimenti su questo tipo di soluzione, è possibile fare riferimento al seguente articolo che ho redatto appositamente per fornire maggiori dettagli su questa nuova concezione di device.

Come consuetudine, nei prossimi paragrafi, andremo a riepilogare quelle che sono le altre importanti novità introdotte.

 

App management

Intune Company Portal universal app per device macOS e miglioramenti durante autenticazione

A fronte del download dell’app Intune Company Portal su device macOS (versione 2.18.2107 o successive), verrà installata la nuova universal app compatibile con device Apple Silicon.

Nella release di luglio (2107), è stata anche migliorata la schermata di autenticazione che viene visualizzata su device macOS durante l’accesso in Single Sign-On (SSO); a partire da questa release, è possibile:

  • Visualizzare l’app che sta richiedendo il SSO;
  • Selezionare l’opzione Don’t ask me again per disattivare future richieste;
  • Riattivare le richieste di SSO (sezione Preferences > deselezionare l’opzione Don’t ask me to sign in with single sign-on for this account);

 

Nuove protected app

Le seguenti protected app risultano essere state aggiunte su Microsoft Intune:

  • Webex for Intune (Cisco Systems, Inc.)
  • LumApps for Intune (LumApps)
  • ArchXtract (MDM) (CEGB CO., Ltd.)
  • F2 Touch Intune (cBrain A/S)

 

Integrazione SafetyNet con Conditional Launch policy e Compliance policy

Un’interessante novità riguardante il mondo Android rilasciata nella release 2108 risulta essere quella di poter utilizzare un tipo di valutazione SafetyNet (SafetyNet device attestation) per determinare il corretto stato del dispostivo dal quale si sta eseguendo l’applicazione; le SafetyNet API forniscono accesso ai servizi Google e permettono di valutare la salute e la sicurezza di un dispositivo Android. Uno sviluppatore di app Android può richiamare questa API nella propria app per verificare se il dispositivo su cui è stata eseguita l’app è stato manomesso (rooted).

Questo tipo di valutazione si basa su una chiave hardware e la presenza di questa indicherà una maggiore integrità di un dispositivo. I dispositivi che non supportano le chiavi hardware verranno bloccati dalla policy MAM o dalla policy di Compliance.

 

Assegnazione Scope tag alle Managed Google Play app

Per poter segmentare ulteriormente i diritti sulla console Microsoft Endpoint Manager admin center, è stata introdotta la possibilità di assegnare scope tag anche alle applicazioni sincronizzate dal Managed Google Play Store.

 

Modifica proprietà delle app LOB per device macOS

Con il rilascio della release di agosto, è ora possibile visualizzare e modificare le regole di detection di una app LOB per device macOS (.intunemac) che risulta essere stata caricata sul portale Microsoft Endpoint Manager admin center.

 

Device configuration

Nuova versione PFX Certificate Connector

È stata rilasciata una nuova versione (6.2108.18.0) del PFX Certificate Connector che risolve alcuni bug introdotti nelle precedenti release come, ad esempio, l’errata visualizzazione dello stato del connettore sul portale Microsoft Endpoint Manager admin center. Per maggiori dettagli, è possibile fare riferimento al seguente link.

 

Miglioramenti nell’assegnazione delle policy nello scenario Shared iPads for Business

Un’altra interessante novità introdotta nella release 2107 è la possibilità di assegnare device configuration policy a gruppi user-based su device iPad registrati nella modalità Shared; ciò significa che le impostazioni, come ad esempio, la configurazione dell’Home Screen verranno applicate a fronte dell’accesso al dispositivo da parte dell’utente.

 

Certificate Connector for Intune

Nel mese di luglio, è stato rilasciato un nuovo connettore Certificate Connector for Microsoft Intune che va a sostituire i due connettori per SCEP e PKCS introducendo le seguenti funzionalità:

  • Configurare ogni istanza del connettore per supportare una o più delle seguenti funzionalità:
    • SCEP
    • PKCS
    • Certificati PFX importati
    • Revoca dei certificati
  • Possibilità di utilizzare un account AD o di sistemi per il servizio del connettore;
  • Possibilità di selezionare l’environment (commerciale o governativo) in base al proprio tenant;
  • Elimina la necessità di selezionare un certificato client per l’integrazione con NDES;
  • Possibilità di aggiornamento automatico del connettore (viene fornita comunque la possibilità di eseguire l’update manuale);

I precedenti connettori vengono comunque supportati ma non risultano più essere disponibili per il download.

 

Diagnostic Page durante il provisioning via Windows Autopilot

All’interno della sezione Available settings presente nell’area di configurazione dell’Enrollment Status Page, è possibile permettere all’utente di collezionare log a fronte di eventuali failure; se viene attivata l’opzione Turn on log collection and diagnostics page for end users, in caso di errore, verrà visualizzato il pulsante Collect logs. Nel caso in cui l’utente prema sul pulsante, verrà richiesto all’utente dove salvare il file MDMDiagReport.cab contenente tutte le informazioni/log collezionati; inoltre, nel caso in cui si stia eseguendo il provisioning di Windows 11, verrà visualizzata la finestra Windows Autopilot diagnostics.

 

Personalizzazione device configuration profile per macOS

Con la release di agosto, a fronte della creazione di un nuovo Configuration Profile per device macOS, è possibile utilizzare la nuova impostazione Deployment channel per specificare se il profilo che si sta creato dovrà essere applicato nel contesto User channel oppure nel contesto Device channel (nelle precedenti release, tutti i Configuration Profile venivano applicati nel contesto Device channel). Questa funzionalità consente agli IT admin di avere un maggiore controllo sul profilo creato ed evitare errori nell’applicazioni di configurazioni non disponibili nel contesto Device channel.

 

Nuovi settings per la gestione di device macOS, iOS e iPadOS

Nel mese di Agosto, sono stati introdotti molteplici settings per permettere una migliore gestione dei device Apple; nel dettaglio:

  • Require devices to use Wi-Fi networks set up via configuration profiles (Device Restriction – iOS/iPadOS): impostando il valore a Yes si permette l’accesso alle sole reti Wi-Fi configurate attraverso Configuration Profile.
  • Block adding Game Center friends (App Store, Doc Viewing, Gaming) (Device Restriction – macOS): non permette agli utenti di aggiungere amici a Game Center.
  • Block Game Center (App Store, Doc Viewing, Gaming) (Device Restriction – macOS): disattiva Game Center (verrà inoltre rimossa la rispettiva icona dalla Home screen).
  • Block multiplayer gaming in the Game Center (App Store, Doc Viewing, Gaming) (Device Restriction – macOS): non permette il gioco multiplayer quanto si utilizza Game Center.
  • Block modification of wallpaper (General) (Device Restriction – macOS): inibisce la modifica del wallpaper.

Inoltre, sono state introdotte opzioni aggiuntive per la configurazione del layout della Home Screen; le size aggiuntive sono:

  • 4 colonne x 5 righe
  • 4 colonne x 6 righe
  • 5 colonne x 6 righe

 

Opzione Certificate Server Name durante la creazione di profili Wi-Fi Enterprise

A partire dalla versione 11 di Android, è necessario che venga specificato il Certificate Server name utilizzato nei certificati emessi dalla propria Certification Authority; nel caso in cui non venga specificato, gli utenti riscontreranno problemi di connessione.

Sulla base di quanto sopra riportato, a partire dalla release di agosto, è stata introdotta una nuova opzione denominata Certificate server names (Devices > Configuration profiles > Create profile > Android Enterprise for platform > Personally-owned work profile > Wi-Fi) che permette appunto di specificare una lista di Certificate Server Name.

 

Device enrollment

Setup Assistant con Modern Authentication in General Availability (GA)

Durante il processo di registrazione di device Apple in modalità Automated Device Enrollment, è possibile selezionare il metodo di autenticazione; nei mesi scorsi, tra le opzioni disponibili, era stata introdotta la possibilità di utilizzare Apple Setup Assistant con metodo di autenticazione moderna (MFA) per rendere il processo di registrazione maggiormente sicuro.

A partire dalla release di agosto, questa funzionalità è stata resa disponibile in General Availability (GA).

 

Device management

Nuova opzione Filters per assegnazione update ring/Device Firmware Configuration Interface

Come riportato nel nostro precedente articolo, una delle novità di maggiore rilievo rilasciate nella release 2105 risulta essere l’introduzione dei Filters; questa opzione permette di restringere ulteriormente l’ambito di applicazione di una determinata policy o app rendendo il processo maggiormente flessibile e granulare. Con il rilascio delle release di luglio, tale funzionalità è stata estesa anche nella sezione dedicata agli update rings, pertanto, risulta possibile filtrare i dispositivi che riceveranno queste policy sulla base della versione del sistema operativo, del vendor, ecc…(per maggiori informazioni su Windows 10 update rings, è possibile fare riferimento al seguente link).

Inoltre, nella release 2108, tale funzionalità risulta essere stata estesa anche durante l’applicazione dei profili Device Firmware Configuration Interface (DFCI).

 

Collezione dati di diagnostica da remoto disponibile in GA

È stata resa disponibile in GA la remote action Collect diagnostics; attraverso tale azione è possibile raccogliere direttamente dalla console Microsoft Endpoint Manager Admin Center i dati di diagnostica (log Intune, log Autopilot, Event Viewers, chiavi di registry, log del client Configuration Manager, ecc..) senza impattare sull’operatività dell’utente finale.

Durante la raccolta delle informazioni di diagnostica, è stata inoltre aggiunta la sezione dell’Event Viewer dedicata a Windows Hello for Business.

 

Device security

Settings Catalog per gestione Microsoft Defender for Endpoint su macOS

Nella release di luglio, all’interno della sezione Settings Catalog, sono stati aggiunte le configurazioni per permettere la gestione di Microsoft Defender for Endpoint su device macOS. Nel dettaglio, sono state introdotte le seguenti configurazioni:

  • Microsoft Defender – Antivirus engine:
    • Allowed – Disallowed threats
    • Enable passive mode
    • Enable real-time protection
    • Scan exclusions
    • Threat type settings
    • Exclusions merge
    • Scan history size
    • Scan Results Retention
    • Threat type settings merge
  • Microsoft Defender – Cloud delivered protection preferences:
    • Diagnostic collection level
    • Enable – disable automatic sample submissions
    • Enable – disable cloud delivered protection
    • Automatic security intelligence updates
  • Microsoft Defender – EDR preferences:
    • Device tags
    • Enable – disable early preview
  • Microsoft Defender – User interface preferences:
    • Show – hide status menu icon
    • User initiated feedback
  • Microsoft Defender – Network protection:
    • Enforcement level

 

Nuovo report Work from anywhere

All’interno di Endpoint Analytics, è stato inserito un nuovo report denominato Work from anywhere con lo scopo di aiutare le aziende a rendere i propri utenti il più possibile produttivi ovunque essi si trovino.

Figura 2 – Report Work from anywhere

 

Il report risulta essere suddiviso in 5 aree:

  • Overview
    In quest’area, viene fornita una panoramica complessiva di come l’azienda sta operando per rendere il lavoro dei propri utenti ugualmente produttivo ovunque essi si trovino.
    Il punteggio visualizzato (compreso tra 0 e 100) risulta essere una media ponderata della percentuale di device che risultano essere “idonei” per il lavoro da remoto.
  • Windows
    Nella sezione Windows, verrà visualizzata la percentuale di sistemi Windows 10 presenti in azienda.

  • Cloud identity
    All’interno di questa sezione, vengono riportati i sistemi Windows che risultano essere in join ad Azure Active Directory oppure in hybrid-join.

  • Cloud management
    Il miglior modo per gestire i propri sistemi Windows è sicuramente l’adozione della funzionalità Cloud Attach che permette di integrare le funzionalità moderne di Intune con le ormai consolidate funzionalità di Configuration Manager ottenendo così benefici da entrambe le soluzioni. In questa sezione, viene misurata la percentuale di sistemi che risultano essere collegati con il mondo Microsoft 365.

  • Cloud provisioning
    Nell’area Cloud provisioning, è possibile trovare la percentuale di sistemi Windows 10 che risultano essere registrati su Intune e che hanno associato un deployment profile di Windows Autopilot.

Questo nuovo report andrà presto a sostituire il report Recommended software.

 

Stato accesso server Tunnel Gateway a rete locale

All’interno del portale Microsoft Endpoint Manager admin center, è stata inserita la possibilità di permettere ai server Tunnel Gateway di verificare il corretto accesso alla propria rete interna. Una volta abilitata l’opzione URL for internal network access check, ogni server eseguirà periodicamente un polling per verificare se è in grado di accedere alla rete interna; lo stato riportato potrà essere:

  • Healthy: il/i server sono in grado di accedere all’URL;
  • Unhealthy: il/i server non sono in grado di accedere all’URL;
  • Unknown: non risulta essere stato configurato alcun URL nelle proprietà;

 

Monitor e troubleshooting

Aggiornamento reportistica

Nella release di agosto, sono state effettuate attività di revisione ed aggiornamento sulla reportistica. Nel dettaglio:

  • Sono stati aggiornati i report denominati Windows 10 unhealthy endpoints e Antivirus agent status per includere maggiori dettagli sullo stato di Microsoft Defender for Endpoint;
  • È stata aggiornata la reportistica dedicata a Device Configuration Profile e Security Profile facendola convogliare in un unico report (Devices > All devices > selezionare il device interessato > Device configuration);

 

Miglioramenti sullo stato di salute dei Microsoft Tunnel Gateway server

È ora possibile personalizzare le soglie che determinano lo stato di salute dei Microsoft Tunnel Gateway server; le metriche sullo stato di salute hanno valori predefiniti che possono essere modificati per determinarne lo stato (healthy, warning, o unhealthy); è possobile personalizzare le seguenti metriche:

  • CPU usage
  • Memory usage
  • Disk space usage
  • Latency

È importante sottolineare come le modifiche apportate vanno ad impattare tutti i Tunnel Gateway server presenti nel tenant.

Sempre in ottica di monitorare i propri Tunnel server, attraverso la pagina Health status, è possibile verificare il trend sullo stato di salute delle seguenti metriche:

  • Connections
  • CPU usage
  • Disk space usage
  • Memory usage
  • Average latency
  • Throughput

 

Valutazione di Intune

Per testare e valutare in modo gratuito i servizi offerti da Intune è possibile accedere a questa pagina.