Microsoft Intune: le novità di Maggio-Giugno

Davide SalsiEnterprise Mobility, Microsoft Intune, What's New

Nei mesi di Maggio e Giugno sono state annunciate, da parte di Microsoft, varie novità riguardanti Microsoft Intune. La nostra community, tramite questi articoli, vuole fornire una panoramica complessiva delle principali novità, in modo da rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per effettuare maggiori approfondimenti.

La novità di maggiore rilevanza introdotta nella release di Maggio risulta essere la disponibilità in General Availability della funzionalità Security Configuration Management disponibile su dispositivi con a bordo Microsoft Defender for Endpoint. Attraverso questa funzionalità, ho la possibilità di distribuire le seguenti configurazioni di sicurezza via Microsoft Endpoint Manager senza richiedere la completa registrazione del device sul portale:

  • Policy Antivirus;
  • Policy EDR (Endpoint detection and response);
  • Configurazioni firewall (comprese le regole);

Inoltre, ho la possibilità di gestire impostazioni di security su sistemi server che nativamente risultano essere supportati da Microsoft Intune.

 

Figura 1 – Endpoint Security Configuration Management

 

L’attivazione della funzionalità Security Configuration Management può essere eseguita in pochi e semplici step e consiste nella configurazione dei due portali interessati:

  • Accedere alla console Microsoft 365 Defender;
  • Accedere alla sezione Settings > Endpoints > Configuration Management > Enforcement Scope;
  • Attivare l’opzione Use MDE to enforce security configuration settings from MEM;
  • Selezionare le piattaforme interessate (Client o Server);
  • Impostare il flag su Pilot Mode nel caso in cui si voglia validare la funzionalità solamente su alcuni device (necessario impostare sui device interessati il tag MDE-Management);
  • Accedere alla console Microsoft Endpoint Manager admin center;
  • Accedere alla sezione Endpoint security > Microsoft Defender for Endpoint;
  • Attivare l’opzione Allow Microsoft Defender for Endpoint to enforce Endpoint Security Configurations;

 

Una volta completate queste operazioni e, dopo aver eseguito l’onboarding dei device su Microsoft Defender for Endpoint, sarà possibile applicare i criteri di sicurezza sopra riportati direttamente dal portale Microsoft Endpoint Manager admin center.

 

Anche nel mese di Giugno, sono state introdotte interessanti novità tra cui spiccano sicuramente i nuovi report legati all’aggiornamento del nuovo sistema operativo di casa Microsoft e la configurazione della funzionalità Universal Print.

Per chi vuole pianificare l’aggiornamento a Windows 11 o a una nuova versione di Windows 10, a partire da questo mese, i report Windows feature update device readiness report e Windows feature update compatibility risks report permettono di identificare problemi di compatibilità con driver e applicazioni in modo tale da intervenire in modo proattivo su eventuali rischi legati all’aggiornamento.

Figura 2 – Report Windows Update Readiness

 

Per quanto riguarda la funzionalità Universal Print, invece, attraverso i Settings Catalog è ora possibile configurare le stampanti presenti sul servizio cloud senza la necessità di utilizzare il tool di provisioning Universal Print printer provisioning tool.

Attraverso la creazione di un nuovo Configuration Profile (basato sulla tipologia Settings Catalog) è possibile quindi installare automaticamente le stampanti presenti su Universal Print sui dispositivi degli utenti finali.

Figura 3 – Profilo Universal Print via Settings Catalog

Per il momento, questa funzionalità risulta essere disponibile solamente per sistemi Windows 11.

 

Anche la release di Giugno (2206) ha visto l’introduzione di interessanti novità tra cui spiccano:

  • Il rilascio in Generally Available dei Settings Catalog per una migliore gestione di dispositivi Windows, macOS e iOS/iPadOS.
  • Supporto nella configurazione user-based su VM Azure Virtual Desktop Windows 11 multi-session; attraverso questo supporto sarà possibile:
    • Configurare policy attraverso Settings catalog e assegnarle ad un gruppo di utenti;
    • Configurare certificati di tipo User e assegnarli ad un gruppo di utenti;
    • Configurare script PowerShell per eseguire attività in contesto utente e assegnarlo ad un gruppo di utenti;
  • Disponibilità, all’interno della sezione Devices > Monitor > <devicename> > Group Membership, di poter visualizzare le Group membership di un determinato dispositivo; sarà quindi possibile visualizzare tutti i gruppi Azure AD dove risulta presente il device selezionato.

 

Nei prossimi paragrafi verrà fornita una panoramica delle altre principali novità introdotte negli ultimi 2 mesi in modo tale da avere i riferimenti necessari per gestire al meglio i propri endpoint.

 

App Management

Aggiornamento app Company Portal su device iOS/iPadOS

Come anticipato nel nostro precedente articolo, a partire dal mese di Maggio, nel caso in cui si utilizzino funzionalità che generano notifiche via push su device iOS/iPadOS è necessario che gli utenti abbiano installato la versione di Marzo/Aprile 2022 dell’app Company Portal.

Inoltre, a partire dal 1° Giugno, la versione minima supportata dell’app Company Portal su dispositivi iOS sarà la v5.2205; nel caso in cui sul dispositivi risulti presente una versione più vecchia, al primo login, ne verrà richiesto l’aggiornamento.

 

Notifica push per cambio ownership

Nel caso in cui un IT Admin esegue, lato portale, il cambio di ownership di un device da Personal a Corporate questo scatena l’invio automatico di una notifica push su dispositivi iOS/iPadOS e Android.

 

Modifica nella gestione delle licenze Intune

A partire dalla Service Release 2205, la rimozione di una licenza Intune da un utente non revocherà più le licenze dell’app concesse tramite Microsoft Store for Business o tramite Apple VPP.

Inoltre, questi utenti saranno comunque visibili nei vari report di Intune fino a quando non verranno rimossi lato Azure AD.

 

Update Priority su app erogate via Managed Google Play

Impostando l’opzione Update Priority a Postpone, è ora possibile bloccare l’aggiornamento dell’app per 90 giorni dal rilascio della nuova versione; questa funzionalità risulta essere disponibile su device Android Enterprise registrati nelle modalità Dedicated, Fully Managed o Corporate-owned con work profile.

 

Nuove protected app

Le seguenti protected app risultano essere state aggiunte su Microsoft Intune:

  • F2 Manager Intune (cBrain A/S);
  • F2 Touch Intune (Android) (cBrain A/S);
  • Microsoft Lists (Android) (Microsoft);
  • Microsoft Lens – PDF Scanner (Microsoft);
  • Diligent Boards (Diligent Corporation);
  • Secure Contacts (Provectus Technologies GmbH);
  • My Portal by MangoApps (MangoSpring Inc);
  • Condeco (Condeco Limited);
  • RICOH Spaces (Ricoh Digital Services);

 

Supporto per il salvataggio dei dati su Photo Library (o raccolta foto) attraverso App Protection policy

È possibile scegliere di includere la Photo Library (o raccolta foto) come servizio di salvataggio dei dati sulle App Protection policy; pertanto, attraverso le opzioni Allow users to open data from selected services o Allow users to save data to selected services, è possibile consentire agli utenti di salvare i dati nella raccolta foto da app gestite su piattaforme iOS e Android.

 

Applicazione di App Protection policy su device Android Dedicated (Azure AD Shared)A partire dalla release di Giugno, è possibile distribuire App Protection Policy su dispositivi Android Enterprise registrati nella modalità Dedicated (con Azure AD Shared mode).

 

Device Enrollment

Nuovi settings dedicati al processo di registrazione dei device attraverso Apple Automated Device Enrollment

Nella release 2205, sono stati introdotti in GA due nuovi settings per migliorare la user-experience durante il processo di registrazione dei device riducendo il numero di iterazioni da parte dell’utente; riportiamo qui sotto le nuove impostazioni:

  • Get Started: permette di visualizzare o nascondere la pagina di benvenuto (Get Started) – disponibile per iOS/iPadOS 13 o versioni successive.
  • Auto Unlock with Apple Watch: permette di visualizzare o nascondere la pagina di sblocco del device macOS attraverso il proprio Apple Watch – disponibile per macOS 12 o versioni successive.

 

Attivazione co-management durante Windows Autopilot

Durante il provisioning di sistemi Windows 10 attraverso Windows Autopilot, è ora possibile attivare la funzionalità co-management in modo tale da definire preventivamente lo strumento di gestione per i vari workload.

Durante l’esecuzione dell’Enrollment Status Page (ESP), il client Configuration Manager verrà automaticamente installato e configurato per applicare le opportune policy di co-management; una volta completato questo processo, l’ESP procederà con i successivi passaggi.

 

Device Management

Miglioramenti nella richiesta di permessi elevati su Remote Help

Nel mese di Maggio sono stati introdotti miglioramenti legati alle permission sulla soluzione Remote Help. Nel dettaglio, è stata rivista l’applicazione delle autorizzazioni elevate a fronte della connessione che consiste nella necessità di richiedere l’accesso attraverso un apposito pulsante presente sulla barra degli strumenti.

Quando vengono applicate questo tipo di autorizzazioni, il comportamento a fronte del logoff risulterà essere il seguente:

  • Se l’IT admin che sta fornendo supporto termina la sessione, l’utente finale non verrà disconnesso.
  • Se l’utente finale tenta di terminare la sessione, verrà notificato dell’eventuale logoff in caso di conferma.
  • Se l’utente finale è amministratore locale del device, la richiesta UAC non verrà visualizzata all’IT admin.

 

Stato Software Update per dispositivi registrati in modalità Tenant Attach

Per i dispositivi registrati nella modalità Tenant Attach, è stata introdotta una nuova pagina denominata Software Update che permette di visualizzare lo stato degli aggiornamenti sul dispositivo; nel dettaglio, permette di verificare quali aggiornamenti risultano essere stati correttamente installati, terminati in errore oppure non ancora installati (anche se correttamente distribuiti).

 

Miglioramenti nella gestione di dispositivi Android AOSP (Android Open Source Project)

Nella release di Giugno, sono stati introdotti miglioramenti legati alla gestione e configurazione dei dispositivi Android AOSP; nel dettaglio, sono state introdotte le seguenti funzionalità:

  • Possibilità di utilizzare profili Trusted certificate profile e PKCS certificate profile per erogare certificati;
  • Possibilità di utilizzare le remote action Reboot e Remote Lock;
  • Possibilità di applicare App Protection Policy;
  • Possibilità di configurare profili Wi-Fi;

 

Remote action Retire per dispositivi Android Enterprise Corporate-owned con work profile

È ora possibile eseguire l’azione remote Retire anche su dispositivi Android Enterpirse registrati nella modalità Corporate-owned con work profile. Nel caso in cui venga eseguita tale azione, tutti i dati, le policy e le applicazioni corporate verranno rimosse dal device mentre tutti i dati presenti nella sezione personale verranno mantenuti; inoltre, il dispositivo verrà automaticamente deregistrato dalla piattaforma Microsoft Intune.

 

Nuovi settings per la gestione di device macOS e iOS/iPadOS su Settings Catalog

Negli ultimi mesi, il Product Group ha introdotto molteplici settings per permettere una migliore gestione dei vari device Apple; oltre alla possibilità di eseguire un riavvio o uno shutdown di un device macOS attraverso le remote action, all’interno della sezione Settings Catalog, sono stati introdotti numerosi settings per applicare le opportune configurazioni. Qui sotto riportiamo le principali sezioni:

  • Accounts > Accounts > Disable Guest Account
  • Accounts > Accounts > Enable Guest Account
  • Accounts > Caldav > Cal DAV Account Description
  • Accounts > Caldav > Cal DAV Host Name
  • Accounts > Caldav > Cal DAV Password
  • Accounts > Caldav > Cal DAV Port
  • Accounts > Caldav > Cal DAV Principal URL
  • Accounts > Caldav > Cal DAV Use SSL
  • Accounts > Caldav > Cal DAV Username
  • Accounts > Carddav > Card DAV Account Description
  • Accounts > Carddav > Card DAV Host Name
  • Accounts > Carddav > Card DAV Password
  • Accounts > Carddav > Card DAV Port
  • Accounts > Carddav > Card DAV Principal URL
  • Accounts > Carddav > Card DAV Use SSL
  • Accounts > Carddav > Card DAV Username
  • AirPlay > Allow List
  • AirPlay > Password
  • AirPlay > Profile Removal Password:
  • AirPlay > Removal Password
  • Networking > Domains > Email Domains
  • Networking > Firewall > Allow Signed
  • Networking > Firewall > Allow Signed App
  • Networking > Firewall > Enable Logging
  • Networking > Firewall > Logging Option
  • Parental Controls > Parental Controls Time Limits > Family Controls Enabled
  • Parental Controls > Parental Controls Time Limits > Time Limits
  • Printing > Air Print > Printers
  • Printing > Air Print > IP Address
  • Printing > Air Print > Resource PathFor
  • Proxies > Global HTTP Proxy > Proxy Captive Login Allowed
  • Proxies > Global HTTP Proxy > Proxy PAC Fallback Allowed
  • Proxies > Global HTTP Proxy > Proxy PAC URL
  • Proxies > Global HTTP Proxy > Proxy Password
  • Proxies > Global HTTP Proxy > Proxy Server
  • Proxies > Global HTTP Proxy > Proxy Server Port
  • Proxies > Global HTTP Proxy > Proxy Type
  • Proxies > Global HTTP Proxy > Proxy Username
  • Proxies > Network Proxy Configuration > Proxies
  • Proxies > Network Proxy Configuration > Exceptions List
  • Proxies > Network Proxy Configuration > Fall Back Allowed
  • Proxies > Network Proxy Configuration > FTP Enable
  • Proxies > Network Proxy Configuration > FTP Passive
  • Proxies > Network Proxy Configuration > FTP Port
  • Proxies > Network Proxy Configuration > FTP Proxy
  • Proxies > Network Proxy Configuration > Gopher Enable
  • Proxies > Network Proxy Configuration > Gopher Port
  • Proxies > Network Proxy Configuration > Gopher Proxy
  • Proxies > Network Proxy Configuration > HTTP Enable
  • Proxies > Network Proxy Configuration > HTTP Port
  • Proxies > Network Proxy Configuration > HTTP Proxy
  • Proxies > Network Proxy Configuration > HTTPS Enable
  • Proxies > Network Proxy Configuration > HTTPS Port
  • Proxies > Network Proxy Configuration > HTTPS Proxy
  • Proxies > Network Proxy Configuration > Proxy Auto Config Enable
  • Proxies > Network Proxy Configuration > Proxy Auto Config URL String
  • Proxies > Network Proxy Configuration > Proxy Captive Login Allowed
  • Proxies > Network Proxy Configuration > RTSP Enable
  • Proxies > Network Proxy Configuration > RTSP Port
  • Proxies > Network Proxy Configuration > RTSP Proxy
  • Proxies > Network Proxy Configuration > SOCKS Enable
  • Proxies > Network Proxy Configuration > SOCKS Port Integer
  • Proxies > Network Proxy Configuration > SOCKS Proxy
  • Restrictions > Allow Activity Continuation
  • Restrictions > Allow Adding Game Center Friends
  • Restrictions > Allow Air Drop
  • Restrictions > Allow Auto Unlock
  • Restrictions > Allow Camera
  • Restrictions > Allow Cloud Document Sync
  • Restrictions > Allow Cloud Keychain Sync
  • Restrictions > Allow Cloud Photo Library
  • Restrictions > Allow Cloud Private Relay
  • Restrictions > Allow Diagnostic Submission
  • Restrictions > Allow Dictation
  • Restrictions > Allow Erase Content And Settings
  • Restrictions > Allow Fingerprint For Unlock
  • Restrictions > Allow Game Center
  • Restrictions > Allow Multiplayer Gaming
  • Restrictions > Allow Music Service
  • Restrictions > Allow Passcode Modification
  • Restrictions > Allow Password Auto Fill
  • Restrictions > Allow Password Proximity Requests
  • Restrictions > Allow Password Sharing
  • Restrictions > Allow Remote Screen Observation
  • Restrictions > Allow Screen Shot
  • Restrictions > Allow Spotlight Internet Results
  • Restrictions > Allow Wallpaper Modification
  • Restrictions > Enforced Software Update Delay
  • Restrictions > Force Classroom Automatically Join Classes
  • Restrictions > Force Classroom Request Permission To Leave Classes
  • Restrictions > Force Classroom Unprompted App And Device Lock
  • Restrictions > Force Delayed Software Updates
  • Restrictions > Safari Allow Autofill
  • Security > Passcode > Allow Simple Passcode
  • Security > Passcode > Change At Next Auth
  • Security > Passcode > Force PIN
  • Security > Passcode > Max Failed Attempts
  • Security > Passcode > Max Grace Period
  • Security > Passcode > Max Inactivity
  • Security > Passcode > Max PIN Age In Days
  • Security > Passcode > Min Complex Characters
  • Security > Passcode > Min Length
  • Security > Passcode > Minutes Until Failed Login Reset
  • Security > Passcode > PIN History
  • Security > Passcode > Require Alphanumeric Passcode
  • Security > Smart Card > Allow Smart Card
  • Security > Smart Card > Check Certificate Trust
  • Security > Smart Card > Enforce Smart Card
  • Security > Smart Card > One Card Per User
  • Security > Smart Card > Token Removal Action
  • Security > Smart Card > User Pairing
  • Software Update > Allow Pre Release Installation
  • Software Update > Automatic Check Enabled
  • Software Update > Automatic Download
  • Software Update > Automatically Install App Updates
  • Software Update > Automatically Install Mac OS Updates
  • Software Update > Config Data Install
  • Software Update > Critical Update Install
  • Software Update > Restrict Software Update Require Admin To Install
  • System Configuration > Energy Saver > Desktop Power
  • System Configuration > Energy Saver > Desktop Schedule
  • System Configuration > Energy Saver > Destroy FV Key On Standby
  • System Configuration > Energy Saver > Laptop Battery Power
  • System Configuration > Energy Saver > Laptop Power
  • System Configuration > Energy Saver > Sleep Disabled
  • System Configuration > System Logging > Enable Private Data
  • System Configuration > Time Server > Time Server
  • System Configuration > Time Server > Time Zone
  • User Experience > Dock > Allow Dock Fixup Override
  • User Experience > Dock > Auto Hide
  • User Experience > Dock > Auto Hide Immutable
  • User Experience > Dock > Contents Immutable
  • User Experience > Dock > Double Click Behavior
  • User Experience > Dock > Double Click Behavior Immutable
  • User Experience > Dock > Large Size
  • User Experience > Dock > Launch Animation
  • User Experience > Dock > Launch Animation Immutable
  • User Experience > Dock > Magnification
  • User Experience > Dock > Magnification Size Immutable
  • User Experience > Dock > Magnify Immutable
  • User Experience > Dock > MCX Dock Special Folders
  • User Experience > Dock > Minimize Effect
  • User Experience > Dock > Minimize Effect Immutable
  • User Experience > Dock > Minimize Into Application Immutable
  • User Experience > Dock > Minimize To Application
  • User Experience > Dock > Orientation
  • User Experience > Dock > Persistent Apps
  • User Experience > Dock > Persistent Others
  • User Experience > Dock > Position Immutable
  • User Experience > Dock > Show Indicators Immutable
  • User Experience > Dock > Show Process Indicators
  • User Experience > Dock > Show Recents
  • User Experience > Dock > Show Recents Immutable
  • User Experience > Dock > Size Immutable
  • User Experience > Dock > Static Apps
  • User Experience > Dock > Static Only
  • User Experience > Dock > Static Others
  • User Experience > Dock > Tile Size
  • User Experience > Dock > Window Tabbing
  • User Experience > Dock > Window Tabbing Immutable
  • User Experience > Notifications > Alert Type
  • User Experience > Notifications > Badges Enabled
  • User Experience > Notifications > Bundle Identifier
  • User Experience > Notifications > Critical Alert Enabled
  • User Experience > Notifications > Notifications Enabled
  • User Experience > Notifications > Show In Lock Screen
  • User Experience > Notifications > Show In Notification Center
  • User Experience > Notifications > Sounds Enabled
  • User Experience > Screensaver User > Idle Time
  • User Experience > Screensaver User > Module Name
  • User Experience > Screensaver User > Module Path

 

Per quanto riguarda i dispositivi macOS, nella release di Giugno, sono stati introdotti anche i seguenti settings per la gestione della suite Microsoft Office:

  • Microsoft Office > Microsoft Office:
    • Allow experiences and functionality that analyzes user content
    • Allow experiences and functionality that downloads user content
    • Allow macros to modify Visual Basic projects
    • Allow optional connected experiences
    • Allow Visual Basic macros to use system APIs
    • Background accessibility checking
    • Default to local files for open – save
    • Diagnostic data level
    • Disable cloud fonts
    • Disable third-party store add-in catalog
    • Disable user surveys
    • Enable automatic sign-in
    • Prevent all Visual Basic macros from executing
    • Prevent Visual Basic macros from using external dynamic libraries
    • Prevent Visual Basic macros from using legacy MacScript
    • Prevent Visual Basic macros from using pipes to communicate
    • Show Template Gallery on app launch
    • Show Whats New dialog
    • Visual Basic macro policy
  • Microsoft Office > Microsoft Outlook:
    • Allow S – MIME certificates without a matching email address
    • Allowed Email Domains
    • Default domain name
    • Default weather location
    • Disable ‘Do Not Forward’ options
    • Disable automatic updating of weather location
    • Disable email signatures
    • Disable export to OLM files
    • Disable import from OLM and PST files
    • Disable Junk settings
    • Disable Microsoft 365 encryption options
    • Disable Microsoft Teams meeting support
    • Disable S – MIME
    • Disable Skype for Business meeting support
    • Download embedded images
    • Enable New Outlook
    • Hide On My Computer folders
    • Hide the ‘Get started with Outlook’ control in the task pane
    • Hide the ‘Personalize the new Outlook’ dialog
    • Set the order in which S – MIME certificates are considered
    • Set theme
    • Specify first day of the week
    • Trust Office 365 autodiscover redirects
    • Use domain-based autodiscover instead of Office 365

 

Device Configuration

Miglioramenti nella gestione dello sblocco di device Android

La funzionalità Required unlock frequency (Devices > Configuration profiles > Create profile > Android Enterprise > Fully managed, dedicated, and corporate-owned work profile for platform > Device restrictions > Device password e/o Work profile password) permette di definire dopo quanto tempo l’utente deve sbloccare il telefono utilizzando uno dei metodi di sblocco impostati (PIN, passowrd, pattern); le opzioni disponibili risultano essere:

  • 24 hours since last pin, password, or pattern unlock: lo schermo si blocca dopo 24 ore dall’ultimo utilizzo di uno dei metodi di autenticazione sopra citati;
  • Device default (default): Lo schermo si blocca in base al tempo di default impostato sul device;

 

Miglioramenti nel rilascio di certificati su device Android Fully Managed

Nella release 2206, sono stati introdotti miglioramenti nei profili PKCS e SCEP per dispositivi Android Enterprise registrati nella modalità Fully Managed; è ora possibile utilizzare la variabile Intune Device ID per popolare l’attributo subject alternative name (SAN).

 

Configurazione massaggi di supporto custom su device Android

Su dispositivi Android Enterprise, gli IT Admin sono in grado di predisporre una nuova Device Restriction Policy (Devices > Configuration profiles > Create profile > Android Enterprise > Fully managed, dedicated, and corporate-owned work profile for platform > Device restrictions for profile type > Custom support information) per permettere la visualizzazione di un messaggio di supporto custom; allo stato attuale, sono disponibili due modalità: massaggio breve (Short Message) o messaggio lungo (Long Message). Nel primo caso, quando l’utente tenta di modificare un’impostazione gestita, verrà visualizzato un breve messaggio che viene mostrato in una finestra di dialogo di sistema; nel secondo caso, il messaggio sarà visualizzato nella sezione Impostazioni > Sicurezza > App di amministrazione dispositivo > Criteri dispositivo (Settings > Security > Device admin apps > Device Policy).

 

Configurazione autenticazione TEAP su reti wired per dispositivi Windows

Attraverso l’apposito Configuration Profile (Devices > Configuration profiles > Create profile > Windows 10 and later for platform > Templates > Wired networks), è ora possibile selezionare come metodo di autenticazione il protocollo Tunnel Extensible Authentication Protocol (TEAP).

 

Disponibilità nuovi settings su profili DFCI (Device Firmware Configuration Interface)

L’utilizzo di profili DFCI (Devices > Configuration profiles > Create profile > Windows 10 and later for platform > Templates > Device Firmware Configuration Interface), consente a Intune di inviare comandi alla componente UEFI (Unified Extensible Firmware Interface) attraverso il layer DFCI; questo layer rende la configurazione più resiliente agli attacchi malevoli e consente di bloccare le configurazioni gestite in modo tale che l’utente finale non possa modificarle. Nella relase di Giugno, sono stati introdotti i seguenti settings:

  • Microphones and Speakers:
    • Microphones
  • Radios:
    • Bluetooth
    • Wi-Fi
  • Ports:
    • USB type A
  • Wake settings:
    • Wake on LAN
    • Wake on power

 

Device Security

Revisione delle Endpoint Security Policy

A partire dalla release 2205, Microsoft ha iniziato a rilasciare progressivamente nuovi modelli di Device Control Profile relativi alla funzionalità Attack Surface Reduction; i nuovi modelli prevedono la presenza di tutti i settings disponibili in precedenza più ulteriori 5 nuovi settings dedicati ai dischi rimovibili (es: chiavette USB):

  • Prevent installation of removable devices
  • WPD Devices: Deny read access
  • WPD Devices: Deny read access (User)
  • WPD Devices: Deny write access
  • WPD Devices: Deny write access (User)

 

Valutazione di Intune

Per testare e valutare in modo gratuito i servizi offerti da Intune è possibile accedere a questa pagina.