Microsoft Intune: le novità di gennaio-febbraio

Anche nei mesi di gennaio e febbraio, Microsoft ha annunciato novità riguardanti la soluzione Microsoft Intune e, come di consueto, la nostra community rilascia questo riepilogo in modo tale da fornirvi una panoramica complessiva delle principali novità e rimanere così sempre aggiornati su questi argomenti.

Tra le principali novità introdotte nelle ultime release spicca sicuramente il rilascio in GA (Generally Available) della funzionalità Filters: come riportato in uno dei nostri precedenti articoli, i Filters permettono di restringere l’ambito di applicazione di una determinata policy (comprese le Compliance Policy ed i Settings Catalog) o app rendendo questo processo maggiormente flessibile e granulare. Ad esempio, è possibile utilizzare l’opzione Filters nei seguenti scenari:

  • Distribuzione di un criterio su sistemi Windows 10 categorizzati come corporate che risultano essere appartenenti all’area Marketing;
  • Distribuzione di un’applicazione iOS/iPadOS ai soli device iPad;
  • Distribuzione di un criterio sulla base della metodologia di registrazione (EnrollmentProfileName) per le seguenti piattaforme:
    • Windows
    • iOS/iPadOS
    • Android (a partire dalla release 2106)
Figura 1 – Overview Filters

Al seguente link, è possibile visualizzare l’elenco dei workload sui quali è possibile applicare questa funzionalità e, allo stato attuale, è possibile utilizzarla sulle seguenti piattaforme:

  • Android device administrator
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 10/11

Un’altra interessante novità introdotta nella release 2201 (attualmente in preview) è sicuramente la possibilità di configurare via UI i gruppi locali dei sistemi Windows 10/Windows 11 attraverso una apposita Endpoint Security policy (Endpoint Security > Account Protection > Create Policy > Windows 10 and later > Local user group membership (Preview)); ad esempio, attraverso questa funzionalità, è possibile inserire/rimuovere automaticamente utenti (Azure AD o AD) all’interno del gruppo Administrators locali.

Figura 2 – Endpoint Security policy per gestione gruppi locali

Durante il processo di creazione della policy, sarà quindi possibile selezionare il gruppo locale interessato, l’azione che si vorrà intraprendere (aggiunta/sostituzione/rimozione) e il gruppo/utenti (AD o Azure AD) coinvolti nell’azione.

Figura 3 – Configurazione Endpoint Security policy

Riportiamo qui sotto le altre importanti novità introdotte negli ultimi mesi.

App management

Attivazione logging avanzato sull’app Company Portal per device iOS/iPadOS/macOS

L’opzione Enable Advanced Logging disponibile sull’app Company Portale a partire dalla versione 5.2202 permette di attivare o disattivare la raccolta dei log avanzati su questi dispositivi in modo tale da essere poi inviati a Microsoft per eventuale troubleshooting. Questa opzione risulta essere disattivata di default.

Distribuzione applicazioni in formato DMG su device macOS

In ottica di una sempre più forte integrazione tra il mondo Apple ed il mondo Microsoft, a partire dalla release di Gennaio (2201), è possibile distribuire applicazioni in formato DMG; questa funzionalità, annunciata durante l’ultima edizione di Ignite, completa così il pacchetto di applicazioni erogabili sui sistemi macOS.

Per poter distribuire le applicazioni in formato DMG, è necessario accedere alla sezione Apps > macOS, premere sul pulsante Add e, attraverso il menu a tendina App type, selezionare la voce macOS app (DMG).

Figura 4 – Distribuzione DMG app

Device management

Preview della lista dei device interessati dai filters

A fronte della creazione o modifica di un filtro, è ora possibile avere una preview di quelli che saranno i device interessati dal filtro; questo evita la necessità di dover creare e applicare filtri di test per verificare l’efficacia del filtro stesso.
Durante il processo di creazione/modifica di un filtro, sarà quindi disponibile il pulsante Preview devices per visualizzare l’elenco dei dispositivi:

Figura 5 – Preview device

Durante la creazione di un profilo VPN (Devices > Configuration profiles > Create profile > Windows 10 and later for platform > Templates > VPN for profile) è possibile, attraverso l’opzione Use this VPN profile with a user/device scope, fare in modo che questo venga distribuito nei seguenti contesti:

  • User scope: il profilo VPN verrà installato nel contesto dell’utente;
  • Device scope: il profilo VPN verrà installato in contesto system e sarà quindi disponibile per tutti gli utenti che faranno accesso al device;

Rivalutazione dei settings deprecati nel report generato da Group Policy Analytics

Prima della service release 2202, a fronte dell’import di una GPO su Group Policy Analytics, per visualizzare i nuovi settings deprecati era necessario eseguire nuovamente l’import della GPO; con quest’ultima release, il Product Group ha aggiornato la logica consentendo la rivalutazione automatica dei settings deprecati (senza la necessità quindi di dover importare la policy).

Supporto Android Enterprise nelle regole di pulizia automatica (clean-up rules)

Con il rilascio della release di Gennaio, è stata aggiunta la possibilità di eseguire la pulizia automatica dei device inattivi o unresponsive anche per la piattaforma Android Enterprise; attraverso l’utilizzo delle clean-up rules sarà quindi possibile cancellare automaticamente device registrati nelle seguenti modalità:

  • Android Enterprise Fully Managed
  • Android Enterprise Dedicated
  • Android Enterprise Corporate-Owned with Work Profile

Funzionalità Tenant Attach in GA

Nel mese di Febbraio, sono state rilasciate in GA le seguenti funzionalità di Tenant Attach:

  • Client details
  • Applications
  • Device timeline
  • Resource explorer
  • CMPivot
  • Scripts
  • BitLocker Recovery Keys
  • Collections

Connessione automatica a profili Wi-Fi enterprise su dispositivi Android Enterpirse

Per quanto riguarda i dispositivi Android Enterprise, è ora possibile consentire la connessione automatica ad una rete Wi-Fi quando il device risulta essere nel range di questa rete; per attivare questa funzionalità, è necessario attivare l’opzione Connect automatically disponibile durante la configurazione del profilo Wi-Fi (Devices > Configuration profiles > Create profile > Android Enterprise for platform > Fully Managed, Dedicated, and Corporate-Owned work profile > Wi-Fi for profile type > Enterprise for Wi-Fi type).

Accettazione termini e condizioni su dispositivi Android AOSP (Android Open Source Project)

Con l’introduzione dell’ultima release, è possibile richiedere agli utenti ai quali risulta assegnato un dispositivo Android AOSP (Android Open Source Project) di accettare i termini e condizioni aziendali prima di procedere con la registrazione del device su Microsoft Intune.

Forzare termini di utilizzo di AD attraverso le app Microsoft Intune e Microsoft Intune Enrollment su device iOS/iPadOS

A partire da questo mese, è possibile utilizzare le cloud app Microsoft Intune e Microsoft Intune Enrollment per richiedere di accettare i termini e condizioni definiti su Azure AD durante il processo di registrazione automatica dei dispositivi iOS/iPadOS; questa funzionalità risulta essere disponibile dal momento in cui si seleziona Setup Assistant con modern authentication come metodo di autenticazione.

Nuovi settings per la gestione di device macOS su Settings Catalog

Negli ultimi due mesi, il Product Group ha introdotto molteplici settings all’interno della sezione Settings Catalog per permettere una migliore gestione di questi device; qui sotto sono riportate le configurazioni aggiunte recentemente:

  • Domains > Email Domains
  • Printing > Printing:
    • Allow Local Printers
    • Default Printer
      • Device URI
      • Display Name
    • Footer Font Name
    • Footer Font Size
    • Print Footer
    • Print MAC Address
    • Require Admin To Add Printers
    • Show Only Managed Printers
    • User Printer List
      • Device URI
      • Display Name
      • Location
      • Model
      • PPD URL
      • Printer Locked
    • Profile Removal Password > Removal Password
    • Global HTTP Proxy:
      • Proxy Captive Login Allowed
      • Proxy PAC Fallback Allowed
      • Proxy PAC URL
      • Proxy Password
      • Proxy Server
      • Proxy Server Port
      • Proxy Type
      • Proxy Username

Device security

Microsoft Defender for Endpoint come Tunnel app su device iOS/iPadOS

Anche su dispositivi iOS/iPadOS, è ora possibile utilizzare l’applicazione Microsoft Defender for Endpoint come Tunnel app per accedere alle risorse aziendali on-premise attraverso la funzionalità Microsoft Tunnel Gateway.

Allo stato attuale, questa funzionalità risulta essere in public preview ma è in previsione una progressiva dismissione dell’app Microsoft Tunnel a favore dell’applicazione Microsoft Defender for Endpoint.

Supporto di Red Hat Enterprise Linux 8.5 per Microsoft Tunnel

È ora possibile utilizzare la versione 8.5 di Red Hat Enterprise Linux (RHEL) per erogare il servizio Microsoft Tunnel.
Con l’introduzione del supporto alla versione RHEL 8.5, è stato inoltre aggiornato il readiness tool per verificare la presenza del modulo ip_tables; di default, questo modulo non viene caricato su questa versione di Red Hat. Al seguente link, è disponibile una guida per consentire il caricamento automatico del modulo ip_tables all’avvio del server.

Gestione nell’invio dei dati di inventario delle app verso partner MTD

Su dispositivi iOS e iPadOS non supervised, è possibile configurare il tipo di dati di inventario delle applicazioni che Intune invia ai partner Mobile Threat Defense (MTD) di terze parti; all’interno della sezione MDM Compliance Policy Settings presente nell’area Tenant administration > Connectors and tokens > Mobile Threat Defense è stata inserita l’opzione Send full application inventory data on personally-owned iOS/iPadOS Devices configurabile nel seguente modo:

  • On: Se il partner MTD richiede un elenco delle applicazioni iOS/iPadOS da Intune, l’elenco fornito includerà anche le app non gestite (quindi quelle non distribuite tramite Intune) oltre a quelle distribuite via Intune. Questo è il comportamento attuale.
  • Off: Impostando questo valore, Intune non invierà l’elenco della applicazioni non gestite al partner MTD

Monitor e troubleshooting

Integrazione di Remote Help nella console Microsoft Endpoint Manager admin center

Nelle release di Febbraio, la pagina relativa alla funzionalità Remote Help è stata intergrata all’interno della console Microsoft Endpoint Manager nella sezione Tenant administration.

Scripting

Aggiornamento proprietà su Data Warehouse

Nelle ultime release, sono state rimosse le seguenti proprietà all’interno del Data Warehouse:

  • applicationInventory;

Valutazione di Intune

Per testare e valutare in modo gratuito i servizi offerti da Intune è possibile accedere a questa pagina.