Microsoft Intune: le novità di marzo-aprile

Davide SalsiEnterprise Mobility, Microsoft Intune, What's New

Per rimanere costantemente aggiornati sulle novità riguardanti Microsoft Intune, la nostra community rilascia periodicamente questo riepilogo, che consente di avere una panoramica delle principali novità introdotte. In questo articolo troverete le novità, riportate in modo sintetico, e accompagnate dai riferimenti necessari per poter effettuare ulteriori approfondimenti.

Le novità di maggiore rilevanza introdotte nella release di Marzo (2203 Service Release) riguardano le funzionalità di reporting e configurazione degli endpoint; tra le principali novità introdotte spicca sicuramente il rilascio della nuova reportistica per Configuration Profile e Endpoint Security Policy.

La user-experience è stata allineata a quella già presente per i Settings Catalog abbandonando così i grafici ad anello e rendendo l’aggiornamento più rapido a fronte del check-in da parte dell’utente o del device.

Figura 1 – Nuova reportistica

Sono stati inoltre introdotti 3 nuovi report utili agli IT Admin per verificare al meglio la corretta applicazione delle configurazioni:

  • Device and user check-in status: permette di visualizzare il conteggio dei dispositivi/utenti sulla base del proprio stato; questo viene aggiornato automaticamente ogni volta che il device/utente effettuano il check-in.
  • Device assignment status: mostra lo stato della distribuzione di una determinata policy.
  • Per setting status: permette di visualizzare lo stato di applicazione di ogni singolo setting presente all’interno di una specifica policy.

 

Al momento, questa nuova reportistica non risulta essere disponibile sulle seguenti tipologie di policy: Administrative template (ADMX), profili OEMConfig per dispositivi Android Enterprise e profili Device Firmware Configuration Interface (DFCI).

Un’altra interessante novità introdotta in questa release è sicuramente la possibilità di effettuare la configurazione del browser Google Chrome sfruttando gli Administrative Templates presenti nativamente nella console; in precedenza, era necessario impostare degli OMA-URI custom che causavano complessità dal punto di vista della gestione.

Figura 2 – Administrative Templates per Google Chrome

Microsoft ormai da tempo sta concentrando i propri sforzi nel rendere sempre più semplice la gestione dei device macOS attraverso la soluzione Microsoft Endpoint Manager; proprio in quest’ottica, nell’ultima release, è stata inserita una nuova funzionalità che permette di eseguire l’upload diretto di applicazione con estensione PKG senza la necessità di eseguire preventivamente il tool di wrapping.

Anche la release di Aprile (2204) ha introdotto interessanti novità tra cui spiccano:

  • Il rilascio in Generally Available gestire sistemi Azure Virtual Desktop (AVD) basati su Windows 10 e Windows 11 multi-sessione;
  • Supporto nell’utilizzo dei filters sulle Endpoint Security Policy;
  • Disponibilità del pulsante Migrate per creare automaticamente profili di configurazioni (basati su Settings Catalog) partendo da GPO importate preventivamente su Group Policy analytics;
Figura 3 – Pulsante Migrate su Group Policy Analytics

Nei prossimi paragrafi verrà fornita una panoramica delle altre principali novità introdotte negli ultimi 2 mesi in modo tale da avere i riferimenti necessari per gestire al meglio i propri endpoint.

App management

Supporto per Android 12L OS

Il sistema operativo Android 12L è stato progettato per migliorare la user-experience su device con doppio schermo (compresi quelli pieghevoli); le app di Intune ora supportano questo nuovo sistema operativo su dispositivi Android.

Visualizzazione S/N attraverso l’app Managed Home Screen

Su device Android registrati nella modalità Dedicated che utilizzano come launcher la Managed Home Screen, è possibile configurare l’applicazione (attraverso apposita App Configuration Policy) per consentire la visualizzazione del Serial Number; questa configurazione risulta essere supportata su device con versioni Android 8 o successive.

Aggiornamento app Company Portal su device iOS/iPadOS

Nel caso in cui si utilizzino funzionalità che generano notifiche via push su device iOS/iPadOS, è necessario che gli utenti abbiano installato la versione di Marzo/Aprile 2022 dell’app Company Portal; tale aggiornamento si rende necessario per poter supportare gli aggiornamenti al servizio previsti per Maggio 2022.

Rimozione app DMG da dispositivi macOS gestiti

Un’ulteriore novità introdotta per la gestione dei device macOS è la possibilità di eseguire la rimozione delle applicazioni in formato DMG attraverso la distribuzione dell’assignement in modalità Uninstall. Questo consente agli IT Admin di eseguire automaticamente la rimozione di applicazioni LoB non più necessarie.

Nuove protected app

Le seguenti protected app risultano essere state aggiunte su Microsoft Intune:

  • CAPTOR™ for Intune (Inkscreen LLC);

Supporto per il salvataggio dei dati su Photo Library (o raccolta foto) attraverso App Protection policy

È possibile scegliere di includere la Photo Library (o raccolta foto) come servizio di salvataggio dei dati sulle App Protection policy; pertanto, è possibile consentire agli utenti di salvare i dati nella raccolta foto da app gestite su piattaforme iOS e Android.

Device enrollment

Supporto per bootstrap token su device macOS

A partire da fine marzo, è stato introdotto progressivamente il supporto per l’utilizzo del bootstrap token nei dispositivi macOS registrati che eseguono le versioni 10.15 o successive. Il bootstrap token consente agli utenti non amministratori di disporre di autorizzazioni maggiori in modo tale da eseguire operazioni per conto degli amministratori IT. I bootstrap token sono supportati su:

  • Dispositivi supervised;
  • Dispositivi registrati attraverso Apple automated device enrollment (ADE)

Nuovi settings dedicati al processo di registrazione dei device attraverso Apple Automated Device Enrollment

Nella release 2204, sono stati introdotti due nuovi settings per migliorare la user-experience durante il processo di registrazione dei device riducendo il numero di iterazioni da parte dell’utente; riportiamo qui sotto le nuove impostazioni:

  • Get Started (preview): permette di visualizzare o nascondere la pagina di benvenuto (Get Started).
  • Auto Unlock with Apple Watch (preview): permette di visualizzare o nascondere la pagina di sblocco del device macOS attraverso il proprio Apple Watch.

Device management

Premium add-on

All’interno della sezione Tenant administration > Premium add-ons, è ora possibile visualizzare i premium add-on disponibili per Microsoft Endpoint Manager; per essere aggiunti alla console, questi add-on (es: Remote Help) richiedono un licensing dedicato.

Lo stato degli add-on può essere: Active per gli add-on già attivati e Available for trial or purchase per gli add-on disponibili per l’acquisto o la prova.

Figura 4 – Premium add-ons

Miglioramenti nell’esecuzione di azioni bulk su device iOS/iPadOS

Nella release 2203, sono state introdotte alcune migliorie legate alla azioni bulk su device iOS e iPadOS inerenti i piani dati cellulare; nel dettaglio:

  • Attraverso l’azione Update cellular data è possibile attivare o aggiornare remotamente il piano dati su device iOS/iPadOS che lo supportano.
  • A fronte dell’esecuzione della remote action di Wipe tutte le informazioni relative al piano dati verranno mantenute;

Blocco dell’aggiornamento dell’OS per device Android

Su dispositivi Android 9.0 o versioni successive registrati nella modalità corporate, è possibile bloccare per una finestra di massimo 90 giorni l’applicazione degli aggiornamenti del sistema operativo; tra i periodi di blocco è mandatorio lasciare un minimo di 60 giorni in modo tale che il sistema sia in grado di procedere con l’update.

Figura 5 – Blocco aggiornamenti su device Android

Miglioramenti nelle device action per dispositivi Android

Nella release di Aprile, Microsoft ha introdotto per i dispositivi Android la possibilità di eseguire ulteriori azioni remote, tra cui:

  • Possibilità di eseguire la rinomina dei dispositivi Android AOSP registrati in user-affinity attraverso l’applicazione Microsoft Intune;
  • Possibilità, attraverso la remote action Play lost device sound, di scatenare un allarme sonoro per localizzare device corporate registrati nella modalità COPE (corporate-owned con work profile) o Fully Managed;

Nuovi settings per la gestione di device macOS su Settings Catalog

Negli ultimi due mesi, il Product Group ha introdotto molteplici settings all’interno della sezione Settings Catalog per permettere una migliore gestione di questi device; qui sotto sono riportate le principali sezioni sulle quali sono state introdotte le nuove configurazioni:

  • Accounts > Mobile Accounts
  • Air Play
  • App Management > Associated Domains
  • App Management > Autonomous Single App Mode
  • App Management > NS Extension Management
  • App Store
  • Authentication > Directory Service
  • Authentication > Identification
  • Login > Login Items:
  • Login > Login Window Behavior
  • Login > Login Window Login Items
  • Media Management Disc Burning
  • Networking > Content Caching
  • Networking > Firewall
  • Parental Controls > Parental Controls Application Restrictions
  • Parental Controls > Parental Controls Content Filter
  • Parental Controls > Parental Controls Dictionary
  • Parental Controls > Parental Controls Game Center
  • Preferences > Global Preferences
  • Preferences > System Preferences
  • Preferences > User Preferences
  • Printing > Air Print
  • Printing > Printing
  • Restrictions
  • Security > Security Preferences
  • System Configuration > File Provider
  • System Configuration > Screensaver
  • System Policy > System Policy Control
  • System Policy > System Policy Managed
  • User Experience > Accessibility
  • User Experience > Desktop
  • User Experience > Finder
  • User Experience > Managed Menu Extras
  • User Experience > Notifications
  • User Experience > Time Machine
  • Xsan
  • Xsan > Xsan Preferences

Device configuration

Configurazione wired network su dispositivi Windows

Attraverso la nuova device configuration Wired Networks (Devices > Configuration profiles > Create profile > Windows 10 and later for platform > Templates > Wired networks for profile type), è possibile configurare su dispositivi Windows configurazioni per network wired come tipologia di autenticazione, EAP, ecc…

Administrative Templates per Windows 10 Professional

Dalla release 2204, tutte le configurazioni CSP che iniziano con la stringa “ADMX_” verranno applicate anche a dispositivi Windows 10 Professional; in precedenza questi settings venivano visualizzati come non applicabili su questo tipo di device.

Al seguente link, è disponibile la lista di settings supportati per l’edizione Professional.

Miglioramenti nella gestione della complessità della password su device Android

La funzionalità Require device lock è stata estesa per includere i seguenti valori: complessità bassa, complessità media e complessità elevata); questi settings risultano essere supportati su dispositivi che risultano aver installato una versione superiore ad Android 11.

Device security

Revisione delle End\point Security Policy

A partire dalla release 2203, Microsoft ha iniziato a rilasciare progressivamente I nuovi modelli di Endpoint Security Policy basati sul medesimo formato utilizzato dai Settings Catalog; verranno quindi introdotte le seguenti migliorie;

  • I nomi dei vari settings corrispondo ai nomi dei vari CSP (es: il setting Allow USB Connection imposta il CSP AllowUSBConnection);
  • Quando un setting viene impostato a Not configured, il profilo di Intune non gestisce attivamente questa impostazione;

Qui sotto vengono riportati i nuovi modelli di Endpoint Security Policy basati sul nuovo formato:

Tipo Policy Piattaforma Nome template
Antivirus Windows 10, Windows 11, and Windows Server Windows Security experience
Antivirus Windows 10, Windows 11, and Windows Server Windows Defender Antivirus
Antivirus Windows 10, Windows 11, and Windows Server Windows Defender Antivirus Exclusions
Firewall Windows 10, Windows 11, and Windows Server Microsoft Defender Firewall
Firewall Windows 10, Windows 11, and Windows Server Microsoft Defender Firewall Rules
Endpoint detection and response Windows 10, Windows 11, and Windows Server Endpoint detection and response
Attack surface reduction Windows 10 and Later Attack surface reduction rules
Attack surface reduction Windows 10 and Later Exploit protection

Monitor e troubleshooting

Miglioramenti nella raccolta delle informazioni di diagnostica

Nella release di Marzo, sono state introdotte alcune migliorie legate alla raccolta dei dati di diagnostica; i dettagli raccolti riguardano gli eventi presenti all’interno della sezione Microsoft-Windows-AppxPackaging/Operational Event Viewer e i log presenti all’interno dei seguenti path: %windir%\temp\%computername%*.log e %windir%\temp\officeclicktorun*.log.

Inoltre, è stato aggiornato il formato con cui vengono esportate le informazioni; infatti, in precedenza, il file zip generato a fronte della collezione degli eventi conteneva una struttura di folder numerate di difficile comprensione. A partire dalla release di Marzo, i log verranno nominati in base ai dati raccolti; per poter usufruire di questa novità, è necessario che i device abbiano installato l’update KB5011563 per Windows 10/11.

Valutazione di Intune

Per testare e valutare in modo gratuito i servizi offerti da Intune è possibile accedere a questa pagina.