Microsoft Intune: le novità di Settembre-Ottobre

Per rimanere costantemente aggiornati sulle novità riguardanti Microsoft Intune, la nostra community rilascia periodicamente questo riepilogo, che consente di avere una panoramica delle principali novità introdotte. In questo articolo troverete le novità, riportate in modo sintetico e accompagnate dai riferimenti necessari per poter effettuare ulteriori approfondimenti.

Nella release di Settembre (2109 Service Release), Microsoft ha aggiornato la propria piattaforma cloud per far fronte all’imminente uscita del nuovo sistema operativo Windows 11. Una delle aree maggiormente coinvolte in questo processo di aggiornamento risulta essere Endpoint Analytics (per maggiori informazioni sulla soluzione, consultare il seguente link) e, nello specifico, la sezione Work from anywhere:

Figura 1 –Work from anywhere

A fronte del rilascio del nuovo OS di casa Microsoft, questa sezione è stata aggiornata per permettere agli IT Admin di determinare facilmente quale hardware risulta essere pronto per Windows 11; risulta inoltre possibile determinare per quale motivo (es: CPU, TPM, ecc…) il proprio sistema non risulta essere compatibile.

Questo tipo di informazioni è disponibile per tutti i device gestiti direttamente da Intune, nella modalità co-management oppure per i dispositivi registrati tramite Tenant Attach con Configuration Manager, versione 2107 o successiva.

Sempre attraverso il portale Microsoft Endpoint Manager admin center, all’interno della sezione Feature updates for Windows 10 and later, è inoltre possibile creare un nuovo profilo per consentire l’upgrade al nuovo sistema operativo sui device che lo supportano.

Figura 2 – Feature Update Ring

In merito alla gestione dei mobile device, nella release di Ottobre (2110), è stata rilasciata un’interessante novità riguardo ai sistemi Android Enterprise registrati nella modalità Corporate-owned con work profile; a partire da quest’ultima release, infatti, è possibile “connettere” le applicazioni presenti nei due profili.

Attraverso un’App Configuration Policy, è possibile condividere le informazioni presenti nell’app configurata tra il profilo lavoro e il profilo personale.

Figura 3 – Connected apps

Riportiamo infine qui sotto le altre importanti novità introdotte negli ultimi due mesi.

App management

Nuove categorie per applicazione App Protection Policy

Per semplificare il processo di applicazione delle App Protection Policy, è stata revista la User Interface all’interno di tale sezione; nel dettaglio, sono state create 3 nuove categorie:

  • All Apps: questa categoria contiene tutte le applicazioni pubbliche che supportano App Protection policy;
  • All Microsoft Apps: questa categoria contiente tutte le applicazioni Microsoft che supportano App Protection policy;
  • Core Microsoft Apps: questa categoria contiente tutte le applicazioni business di Microsoft che supportano App Protection policy (Edge-Excel-Office-OneDrive-OneNote-Outlook-PowerPoint-SharePoint-Teams-ToDo-Word);

L’elenco delle applicazioni (e la conseguente applicazione delle policy) viene aggiornato dinamicamente a fronte dell’introduzione di nuove applicazioni che supportano App Protection Policy.

Nuove protected app

Le seguenti protected app risultano essere state aggiunte su Microsoft Intune:

  • iAnnotate for Intune/O365 (Branchfire, Inc.);
  • Dashflow for Intune (Intellect Automation International Pty Limited);
  • HowNow (Wonderush Limited);
  • Appian for Intune (Appian Corporation);
  • Space Connect (SpaceConnect Pty Ltd);
  • AssetScan For Intune (Align);

Selezione folder per salvataggio log su device Android

Con il rilascio della nuova versione della Company Portal app, è ora possibile selezionare la folder di destinazione per il salvataggio dei log (Settings > Diagnostic logs > SAVE LOGS).

Device configuration

Nuovi settings per la gestione di device macOS, iOS e iPadOS

Negli ultimi due mesi, sono stati introdotti molteplici settings per permettere una migliore gestione dei device Apple; nel dettaglio:

  • Block Siri for translation (Device Restriction – iOS/iPadOS): impostando il valore a Yes viene inibito l’accesso ai server dedicati a Siri per la traduzione.
  • Allow copy/paste to be affected by managed open-in (App Store, Doc Viewing, Gaming) (Device Restriction – iOS/iPadOS): forza le restrizioni di copia/incolla in base a come sono stati impostati i settings Block viewing corporate documents in unmanaged apps e Block viewing non-corporate documents in corporate apps.
  • Block users from erasing all content and settings on device (General) (Device Restriction – macOS): impostando il valore a Yes viene inibita sui device supervised la possibilità di eseguire un factory reset.
  • Defer software update (General) (Device Restriction – macOS): permette di posticipare la visualizzazione delle seguenti tipologie di aggiornamento: Major OS software updates, Minor OS software updates, Non-OS software updates.
  • Delay default visibility of software updates (General) (Device Restriction – macOS): permette di posticipare la visualizzazione degli aggiornamenti fino a 90 giorni.
  • Delay visibility of major OS software updates (General) (Device Restriction – macOS): permette di posticipare la visualizzazione dei major software update fino a 90 giorni.
  • Delay visibility of minor OS software updates (General) (Device Restriction – macOS): permette di posticipare la visualizzazione dei minor software update fino a 90 giorni.
  • Delay visibility of non OS software updates (General) (Device Restriction – macOS): permette di posticipare la visualizzazione degli aggiornamenti non legati al sistema operativo (es: Safari) fino a 90 giorni.
  • Kerberos (Single sign-on app extension) (Device features – iOS/iPadOS/macOS): permette di utilizzare l’estensione Kerberos integrata di Apple, inclusa in iOS 13.0+ e iPadOS 13.0+.

Per quanto riguarda i device iPad registrati nella modalità Shared, nella release di Ottobre, sono stati introdotti quattro nuovi settings:

  • Require Shared iPad temporary setting only (per iPadOS versione 14.5 o successive): consente di accedere al device condiviso solo in modalità guest, senza la necessità di inserire un Managed Apple ID.
  • Maximum seconds of inactivity until temporary session logs out (per iPadOS versione 14.5 o successive): consentire di definire un tempo massimo di inattività superato il quale viene eseguito automaticamente il sign-out della sessione temporanea.
  • Maximum seconds of inactivity until temporary session logs out (per iPadOS versione 14.5 o successive): consentire di definire un tempo massimo di inattività superato il quale viene eseguito automaticamente il sign-out della sessione utente.
  • Maximum seconds after screen lock before password is required for Shared iPad (per iPadOS versione 13.0 o successive): consentire di definire un tempo massimo in cui il device risulta essere in lock superato il quale viene richiesto nuovamente l’inserimento della password per sbloccare il device.

Nuovi settings per la gestione di device macOS, iOS e iPadOS

Sempre nella release 2109, sono stati introdotti nuovi settings per gestire alcune restrizioni sui device Android; nel dettaglio:

  • Developer settings (Device Restriction – Android Enterprise): impostando il valore a Allow è possibile permettere all’utente di accedere alla sezione developer.

Contact sharing via Bluetooth (work profile-level) (Device Restriction – Android Enterprise): impostando il valore a Block si inibisce all’utente la possibilità di condividere i contatti presenti nel profilo lavoro via Bluetooth.

Device management

Miglioramenti nel filtering dei device Android in base alla tipologia di enrollment

All’interno della sezione All Devices, è ora possibile filtrare i dispositivi Android sulla base della tipologia con cui sono stati registrati; queste le opzioni disponibili:

  • Android (personally-owned work profile)
  • Android (corporate-owned work profile)
  • Android (fully managed)
  • Android (dedicated)
  • Android (device administrator)

Gestione Managed Home Screen attraverso Device Configuration

Un’altra interessante novità introdotta nell’ultima release risulta essere la possibilità di configurare l’app Managed Home Screen durante la configurazione del device Android nella modalità Dedicated Azure AD Shared.

A fronte di questa modifica, non è più necessario procedere con la creazione di una App Configuration Policy dedicata a tale applicazione.

Localizzazione device Android Enterprise Dedicated

Nella release di Settembre, è stata introdotta la possibilità di localizzare i device Android registrati nella modalità Dedicated; attraverso la remote action Locate device è possibile determinare la posizione del device. Nel caso in cui il dispositivo risulti spento o non raggiungibile, la posizione riportata sarà quella risultante dall’ultimo contatto.

Rinomina dei device Android Enterprise Dedicated

Attraverso la remote Action Rename è possibile rinominare (singolarmente o in modalità bulk) i dispositivi Android Enterprise in Dedicated mode; nel caso in cui si utilizzi la modalità bulk, sarà necessario includere una variabile che permetta di aggiungere un valore random o il numero di serie del dispositivo.

Gestione Android Open Source Project (AOSP)

Con il rilascio dell’ultima release, è possibile gestire attraverso Microsoft Intune dispositivi Android corporate-owned che eseguono Android Open Source Project (AOSP); sarà quindi possibile eseguire:

  • Provisioning dei device in modalità user-affinity o shared mode;
  • Deploy di Device Configuration Profile e Compliance Policy;

Blocco/Autorizzazione app su profilo personale in Android Entrprise COPE device

Su device registrati nella modalità Corporate-owned con work profile, è ora possibile definire un elenco di applicazioni autorizzate o bloccate sul profilo personale; questa configurazione è disponibile all’interno della sezione Configuration Profile dedicata ai sistemi Android Enterprise.

 

Utilizzo Settings Catolog all’interno dei Policy Set

La funzionalità Policy Set (attualmente in Preview) è una funzionalità molto interessante che consente di creare un insieme di app, policy e altri strumenti di gestione e assegnarli di conseguenza ad un determinato gruppo. All’interno dei Policy Set, è possibile selezionare le seguenti tipologie di oggetti:

  • App
  • App Configuration Policy
  • App Protection Policy
  • Device Configuration Profile
  • Device Compliance Policy
  • Windows Autopilot Deployment Profiles
  • Enrollment Status Page

Di recente, è stata introdotta la possibilità di selezionare anche delle Device Configuration basate su Settings Catalog.

Device security

Miglioramenti nella gestione degli endpoint collegati in Tenant Attach

In ottica di uniformare la gestione degli endpoint, nel corso di questi due mesi, sono state introdotte una serie di funzionalità legate alla sicurezza per i device collegati ad Intune nella modalità Tenant Attach (per maggiori informazioni sulla funzionalità, fare riferimento al seguente link).

Sono state introdotte le seguenti 2 nuove policy relative alla funzionalità Attack Surface Reduction:

  • Exploit Protection(ConfigMgr)(preview) – questa policy permette di proteggere il proprio device da attacchi basati su exploit; gli exploit sono parti di codice o sequenze di comandi che sfruttano bug o vulnerabilità per infettare il dispositivo.
  • Web Protection (ConfigMgr)(preview) – questa policy permette di bloccare l’accesso a siti non attendibili (es: phishing, siti di exploit, siti con scarsa reputazione, ecc…) in modo tale da evitare che i propri device vengano infettati attraverso la navigazione verso questi siti.

Queste configurazioni sono disponibili selezionando la piattaforma Windows 10 and later (ConfigMgr) durante la creazione delle regole di Attack Surface Reduction (sezione Endpoint Security).

Nella release di Settembre, sono stati resi disponibili vari settings per la configurazione della sezione Windows Security; in precedenza, per i device in Tenant Attach, era possibile controllare solamente la funzionalità di Tamper Protection.

Gestione degli aggiornamenti su Windows 10 Multi-sessione

Attraverso i Settings Catalog, è ora possibile gestire la componente Windows Update per il rilascio delle Quality Update sulle VM Windows 10 Multi-session (dedicate a Azure Virtual Desktop).

All’interno della categoria Windows Update for Business category, per le VM multisession, risultano essere disponibili i seguenti settings:

  • Active Hours End
  • Active Hours Max Range
  • Active Hours Start
  • Block “Pause Updates” ability
  • Configure Deadline Grace Period
  • Defer Quality Updates Period (Days)
  • Pause Quality Updates Start Time
  • Quality Update Deadline Period (Days)

Monitor e troubleshooting

Aggiornamento reportistica

Nella release 2109, sono state effettuate attività di revisione ed aggiornamento sulla reportistica. Nel dettaglio:

  • È stato aggiunto un nuovo report denominato Device Configuration (che sostituisce il precedente report Assignement status) dove viene riportato lo stato di applicazione dei profili di configurazione sui vari sistemi;
  • È stato aggiornato il report Feature update failures per consentire l’identificazione di sistemi in stato safeguard hold sui quali gli aggiornamenti vengono bloccati.
  • È stato aggiornato il report Assignment failures (Devices > Monitor oppure Endpoint Security > Monitor) per visualizzare lo stato di assegnazione delle Security Baseline e degli Endpoint Security Profile.

Valutazione di Intune

Per testare e valutare in modo gratuito i servizi offerti da Intune è possibile accedere a questa pagina.