Microsoft Intune: le novità di Novembre-Dicembre

Il 2021 ormai volge al termine e quest’ultima parte dell’anno è stata caratterizzata dal rilascio di interessanti novità da parte di Microsoft in merito alla soluzione Microsoft Endpoint Manager. Come consuetudine della nostra community, questo articolo riporta tutte le principali novità riguardanti la soluzione rilasciate nell’ultimo bimestre; sarà possibile avere una panoramica complessiva delle principali novità rilasciate, in modo da rimanere sempre aggiornati su questi argomenti.

Una delle novità di maggiore rilievo, già annunciata ad Ignite 2021, risulta essere la possibilità di utilizzare file JSON congiuntamente con script PowerShell per verificare la compliance dei dispositivi Windows 10 e Windows 11; attraverso l’utilizzo di Custom Compliance Settings, gli IT Admin possono verificare lo stato del dispositivo sulla base di criteri personalizzati.

Figura 1 – Custom compliance policy

Per poter utilizzare questa funzionalità, è necessario definire:

  • File JSON: all’interno di questo file, vengono riportate le impostazioni (e relativo valore) che devono essere verificate per poter determinare se il device risulta essere conforme.
  • Script PowerShell: lo script verrà eseguito sul client per verificare quanto definito all’interno del file JSON e riportare le informazioni a Intune.

Sempre in questo periodo, verrà rilasciata progressivamente una delle più interessanti novità annunciate ad Ignite 2021 nella gestione e messa in sicurezza degli endpoint: sarà possibile gestire/applicare le policy di sicurezza semplicemente eseguendo l’onboarding del device su Microsoft Defender for Endpoint.

Attraverso l’integrazione tra Microsoft Endpoint Manager e Microsoft Defender for Endpoint, sarà possibile controllare i criteri di sicurezza anche su device che non possono essere registrati su Microsoft Intune (es: sistemi server).

Figura 2 – Gestione sicurezza device non registrati

In un’ottica di una più semplice e unificata gestione degli endpoint, nel mese di novembre, è stata introdotta la funzionalità di Remote Help: attraverso Remote Help, è possibile fornire supporto remoto ai propri utenti ovunque essi si trovino senza la necessità di una connessione VPN o dell’installazione di un software di terze parti.

Per collegarsi remotamente ai sistemi, è necessario che entrambi gli utenti utilizzino un account Azure Active Directory (Azure AD) dell’organizzazione e che all’utente che esegue la sessione remota siano state assegnati i diritti necessari; infatti, gli amministratori IT possono impostare regole RBAC che determinano l’ambito di accesso e le azioni che possono essere eseguite durante la connessione.

Figura 3 – Assistenza remota

Prima di collegarsi, al tecnico IT potrebbe essere notificata l’eventuale non conformità del device sulla base delle policy definite; questa notifica non blocca l’accesso ma fornisce visibilità sul rischio di utilizzare informazioni sensibili come eventuali credenziali amministrative.

Di seguito, riportiamo le altre novità di maggiore interesse introdotte in questi due mesi.

App management

Configurazione del Session PIN relativo all’app Managed Home Screen

L’applicazione Managed Home Screen viene utilizzata per fornire la user-experience sui device Android Enterprise registrati nella modalità Dedicated con autenticazione su Azure AD (per maggiori dettagli, fare riferimento al seguente link); su questa tipologia di dispositivi kiosk, l’utente è in grado di definire un PIN per l’accesso invece di inserire le proprie credenziali. A partire da queste ultime release, è possibile definire dei criteri di configurazione del PIN come:

  • Definire la lunghezza;
  • Definire il numero di tentativi errati prima che l’utente venga disconnesso;
  • Forzare l’utente all’inserimento di un PIN complesso;

Nuove protected app

Le seguenti protected app risultano essere state aggiunte su Microsoft Intune:

  • PenPoint (Pen-Link, Ltd);
  • Groupdolists (Centrallo LLC);

Definizione della priorità nell’aggiornamento delle app

Impostando l’opzione Update Priority in High Priority è possibile velocizzare il processo di aggiornamento delle app appena queste risultano essere rilasciate dallo sviluppatore indipendentemente se il device soddisfa i requisiti richiesti di default:

  • Dispositivo collegato ad una rete WiFi;
  • Dispositivo in carica;
  • Dispositivo in stato di inattività;
  • App da aggiornare non in utilizzo;

Questo tipo di configurazione si applica alle sole app gestite attraverso Managed Google Play.

Pulizia dei dati delle app su device Android Enterprise in modalità condivisa

A partire dalla release di novembre, è possibile scegliere di cancellare i dati dell’app che non sono state integrate con la modalità Shared in modo tale da garantire la privacy dell’utente tra le varie sessioni. Questa funzionalità sarà disponibile per i dispositivi Android Enterprise con Android 9 o versioni successive.

Miglioramenti nella visualizzazione delle app

Nelle ultime release, sono stati migliorati i filtri di visualizzazione delle app specifici delle varie piattaforme; è ora possibile applicare filtri (inclusi i filtri Tipo di app e Assignement) all’elenco di app specifico della piattaforma.

Richiesta di nuovi permessi sulle Win32 app

Per creare e modificare la sostituzione delle Win32 app e le relazioni di dipendenza con le altre app, sono stati aggiunti due nuovi ruoli:

  • Application Manager
  • School administrator

A partire dalla release 2202, sarà necessario disporre di questi permessi per poter eseguire le attività sopra citate.

Device enrollment

Utilizzo di filtri su Enrollment Restriction policy, Enrollment Status Page e Proactive Remediation

 All’interno delle Enrollment Restriction policy, è possibile sfruttare filtri per includere o escludere dispositivi in base alla tipologia; ad esempio, è possibile consentire la registrazione di device personali bloccando però device con una determinata SKU.

L’utilizzo di filtri nella sezione di Enrollment Restriction è disponibile per Windows, macOS e iOS (il supporto per Android sarà reso disponibile a breve).

Anche durante le configurazioni dell’Enrollment Status Page e delle Proactive Remediation (Endpoint Analytics), è possibile sfruttare i filtri per assegnare le varie configurazioni sulla base delle proprietà del/dei dispositivi.

Device management

Possibilità di visualizzare lo stato Safeguard Holds all’interno del report Feature update failures

Nel caso in cui un dispositivo venga bloccato dall’installazione di un aggiornamento di Windows a causa di un blocco di sicurezza, è possibile visualizzare i vari dettagli di questo blocco all’interno del report Feature update failures; tali informazioni sono visibili all’interno delle rispettive colonne Alert Message e Deployment Error Code.

Microsoft in determinate circostanze pone blocchi di sicurezza per inibire l’installazione di un aggiornamento quando sono state identificate e rese note problematiche post aggiornamento; il blocco verrà poi rimosso a fronte della risoluzione del problema.

Miglioramenti sugli Update Ring e sulle policy di Windows Update for Business

Nelle ultime due release (2111 e 2112) sono stati introdotti nuovi settings sugli Update Ring di Windows Update for Business; è ora possibile gestire il rilascio sui sistemi delle build non ancora pubbliche (pre-release) per consentire gli opportuni test applicativi sulle nuove versioni degli OS.

Attraverso l’opzione Enable pre-release builds è possibile consentire l’applicazione delle seguenti build:

  • Beta Channel
  • Dev Channel
  • Windows Insider – Release Preview

Sempre all’interno degli Update Ring, sarà inoltre possibile consentire l’upgrade a Windows 11; infatti, attraverso l’opzione Upgrade Windows 10 devices to Latest Windows 11 release, sarà possibile aggiornare i device compatibili all’ultimo OS di casa Microsoft.

Per rendere maggiormente flessibile la distribuzione di nuove build, a partire dalla release di novembre, sono stati introdotti 3 nuovi tipi di scheduling per questo tipo di aggiornamenti:

  • Make update available as soon as possible: non è previsto nessun delay nel rendere disponibile l’aggiornamento;
  • Make update available on a specific date: la data impostata risulterà essere il primo giorno di disponibilità del nuovo aggiornamento;
  • Make update available gradually: con questa opzione, i sistemi verranno suddivisi in gruppi che vengono calcolati in base all’ora di inizio del gruppo, all’ora di fine del gruppo e ai giorni di attesa tra i gruppi;

Aggiornamento Security Baseline

 È stata resa disponibile una nuova versione delle Security Baseline dedicate all’OS e alla soluzione Windows 365 dove risulta essere stata inclusa la possibilità di eseguire la scansione degli script nel caso in cui si utilizzino browser Microsoft.

Oltre al setting sopra citato, all’interno della Security Baseline relativa a Windows 365, è stata introdotta l’attivazione della Tamper Protection per inibire la disattivazione di Microsoft Defender.

Device configuration

Nuovi settings per la gestione di device macOS, iOS e iPadOS

Negli ultimi due mesi, sono stati introdotti ulteriori settings per permettere una migliore gestione dei device Apple; nel dettaglio:

  • Block iCloud Private Relay (Device Restriction – iOS/iPadOS e Device Restriction – macOS): impostando il valore a Yes viene inibito l’utilizzo di iCloud Private Relay.
  • Timeout (Device Restriction – macOS): forza la richiesta della password dopo il periodo di inattività impostato (default 48 ore).

Per quanto riguarda i device iPad registrati nella modalità Shared, sono stati rilasciati in GA i quattro nuovi settings introdotti nella release di ottobre:

  • Require Shared iPad temporary setting only (per iPadOS versione 14.5 o successive): consente di accedere al device condiviso solo in modalità guest, senza la necessità di inserire un Managed Apple ID.
  • Maximum seconds of inactivity until temporary session logs out (per iPadOS versione 14.5 o successive): consentire di definire un tempo massimo di inattività superato il quale viene eseguito automaticamente il sign-out della sessione temporanea.
  • Maximum seconds of inactivity until temporary session logs out (per iPadOS versione 14.5 o successive): consentire di definire un tempo massimo di inattività superato il quale viene eseguito automaticamente il sign-out della sessione utente.
  • Maximum seconds after screen lock before password is required for Shared iPad (per iPadOS versione 13.0 o successive): consentire di definire un tempo massimo in cui il device risulta essere in lock superato il quale viene richiesto nuovamente l’inserimento della password per sbloccare il device.

Nuovi settings per la gestione di device Android Enterprise

Nella release 2112, sono stati introdotti i seguenti nuovi settings per gestire alcune restrizioni sui device Android registrati nella modalità COPE; nel dettaglio:

  • Search work contacts and display work contact caller-id in personal profile
  • Copy and paste between work and personal profiles
  • Data sharing between work and personal profiles

Sempre a partire dall’ultima release, è ora possibile definire il nome DNS utilizzato nel certificato presentato dal Radius Server durante l’autenticazione del client all’access point. Nel caso in cui si utilizzino Radius Server con il medesimo suffisso DNS, è possibile impostare il solo suffisso (es: cloudcommunity.local).

È importante sottolineare come i device Android 11 richiedano questo tipo di configurazione pena il mancato accesso alla rete WiFi.

Device security

Visualizzazione BitLocker recovery key per gli endpoint collegati in Tenant Attach

In ottica di uniformare la gestione degli endpoint, negli ultimi mesi, sono state introdotte una serie di funzionalità legate alla sicurezza per i device collegati ad Intune nella modalità Tenant Attach (per maggiori informazioni sulla funzionalità, fare riferimento al seguente link); a partire dalla release 2111, è stata introdotta la possibilità di visualizzare la chiave di recovery di BitLocker per questa tipologia di device.

La chiave verrà comunque salvata on-premise ma risulterà essere visibile sul portale Microsoft Endpoint Manager all’interno della sezione Devices – Windows devices – <device> – Recovery keys; per poter visualizzare la chiave, l’utente deve possedere i seguenti privilegi:

  • Permessi lato Intune di visualizzazione delle chiavi;
  • Permessi di visualizzazione delle chiavi BitLocker (Read Permission > Read BitLocker Recovery Key) a livello di collection su Configuration Manager;

Inoltre, tale funzionalità risulta essere disponibile per le infrastrutture Configuration Manager versione 2107 o successive.

Miglioramenti nella gestione di BitLocker

Attraverso i Settings Catalog, è ora possibile gestire le seguenti configurazioni di BitLocker in precedenza disponibili solo via GPO:

All’interno della categoria Windows Update for Business category, per le VM multisession, risultano essere disponibili i seguenti settings:

  • Provide the unique identifiers for your organization
  • Enforce drive encryption type on fixed data drives
  • Allow devices compliant with InstantGo or HSTI to opt out of preboot PIN
  • Allow enhanced PINs for startup
  • Disallow standard users from changing the PIN or password
  • Enable use of BitLocker authentication requiring preboot keyboard input on slates
  • Enforce drive encryption type on operating system drives
  • Control use of BitLocker on removable drives
  • Enforce drive encryption type on removable data drives

Nuova soluzione di Mobile Threat Defense (MTD)

Nella release 2112, è stata introdotta l’integrazione con la soluzione MTD BlackBerry Protect Mobile; sarà quindi possibile controllare l’accesso alle risorse aziendali basandosi sul rischio calcolato da device che utilizzano questo tipo di soluzione.

Monitor e troubleshooting

Eventi Firewall su stato di diagnostica

A fronte della collezione degli eventi di diagnostica legati a Windows 10 (Devices – Windows devices – <device> – Collect diagnostics remote action), sarà possibile visualizzare gli eventi dedicati alla componente Microsoft Defender Firewall (Microsoft-Windows-Windows Firewall with Advanced Security/Firewall).

Stato di compliance sul web site Company Portal

Nel mese di dicembre, è stata resa disponibile la visualizzazione dello stato di compliance del dispositivo attraverso il sito Company Portal; una volta eseguito l’accesso al sito e selezionato il proprio device, l’utente sarà in grado di visualizzare lo stato di conformità:

  • Can access company resources (device compliant);
  • Checking access (in corso di valutazione);
  • Can’t access company resources (device non compliant);

Valutazione di Intune

Per testare e valutare in modo gratuito i servizi offerti da Intune è possibile accedere a questa pagina.