Microsoft Endpoint Configuration Manager: le novità della versione 2207

Nel corso delle scorse settimane, è stata resa disponibile la versione 2207 di Microsoft Endpoint Configuration Manager; in questa nuova release, Microsoft ha introdotto una serie di novità volte a ottimizzare e migliorare le attuali funzionalità presenti nel prodotto.

L’obiettivo di questo articolo è quello di fornire una panoramica complessiva delle principali novità introdotte in quest’ultima release in modo tale da poter gestire al meglio la propria infrastruttura Configuration Manager.

 

L’aggiornamento risulta essere disponibile direttamente in console su ambienti che eseguono la versione 2103 o successive release.

Al momento della stesura di questo articolo, l’aggiornamento risulta essere disponibile attraverso il canale Early update ring; per poter aggiungere la propria infrastruttura all’interno di questo canale, è necessario eseguire lo script Powershell disponibile al seguente link.

 

Una delle più interessanti novità introdotte da quest’ultima release (attualmente in preview) è la funzionalità di Distribution point content migration: attraverso il comando Powershell Start-CMDistributionPointMigration è possibile migrare il contenuto da un Distribution Point ad un altro; ad esempio, tale funzionalità può essere sfruttata per migrare il contenuto da un Cloud Management Gateway classic o da un Cloud Distribution Point (fine supporto 2024) verso un altro Distribution Point.

Nei prossimi capitoli verranno riportate le altre principali novità presenti nella release 2207.

 

Cloud-Attach

Segmentazione dei privilegi per l’accesso ai Configuration Manager administration services

Con l’introduzione dell’ultima release, è ora possibile segmentare i privilegi amministrativi tra un management point e gli admin services; l’introduzione di questa nuova cloud app consente al Cloud Management Gateway (CMG) di limitare l’accesso ai Configuration Manager administration service permettendo così agli amministratori di applicare permessi granulari per l’accesso da parte degli utenti a tali servizi (richiedendo eventualmente anche Multi-Factor Authentication).

 

Semplificato il processo di approvazione delle app

La versione 2207 consente agli amministratori dell’infrastruttura Configuration Manager di poter approvare o negare una richiesta di distribuzione di un’app semplicemente attraverso l’utilizzo di un URL pubblico presente all’interno della mail di richiesta. Questa funzionalità richiede che venga aggiunto l’URL del CMG nell’app Azure Active Directory come single page application redirect URI.

 

Utilizzo di un CMG come source primaria per i Default Boundary Group

Fino alla versione 2203 di Configuration Manager, non era possibile indicare un cloud management point per i Default Boundary Group. Quando un nuovo site viene installato viene creato automaticamente un Default Boundary Group e tutti i client lo utilizzano di default finché non vengono assegnati a un Boundary Group specifico.

Quest’ultima versione consente, attraverso la seguente sintassi Powershell, di specificare un CMG come management point preferito per tutti i client che risultano attestati al Default Boundary Group:

 

Set-CMDefaultBoundaryGroup -IncludeCloudBasedSources $true -PreferCloudBasedSources $true

 

Client management

Configurazione timeout per esecuzione script di compliance

E’ ora possibile definire un valore di timeout (compreso tra 60 e 600 secondi) per l’esecuzione degli script di compliance; l’opzione Script Execution Timeout (seconds) , disponibile nei Client Settings, permette di ottenere maggiore flessibilità sui Configuration Items nel caso in cui si necessiti di eseguire script che superano il tempo di default di 60 secondi.

 

Software Updates

Organizzazione ADR in cartelle

A partire dalla release 2207, è stata introdotta la possibilità di raggruppare le Automatic Deployment Rule all’interno di folder in modo tale da poterle categorizzare e organizzare al meglio all’interno della propria infrastruttura Configuration Manager.

Figura 1 – Organizzazione ADR in folder

 

Migliorato il controllo sulle finestre manutentive mensili

In questa release, il team di prodotto ha inserito la possibilità di definire un offset per allineare le distribuzioni con il rilascio degli aggiornamenti; ad esempio, impostando un offset di 2 giorni dopo il secondo martedì di ogni mese verrà definita automaticamente la finestra manutentiva il giovedì seguente.

 

Endpoint Protection

Perfezionato l’onboarding di sistemi Windows Server 2012 R2/2016 su Microsoft Defender for Endpoint

Attraverso i Client Settings, per sistemi Windows Server 2012 R2 e Windows Server 2016, è possibile eseguire l’onboarding dei sistemi su Microsoft Defender for Endpoint sfruttando il moderno agent MDE rispetto al Microsoft Monitoring Agent.

Figura 2 – Onboarding attraverso MDE agent

 

Miglioramenti nella sezione Application Guard

In quest’ultima release, Microsoft ha introdotto alcune novità legate alla sezione Application Guard, come ad esempio:

  • Sezione rinominata in Microsoft Defender Application Guard.
  • All’interno della sezione General presente in Microsoft Defender Application Guard, è possibile creare policy in modo tale da proteggere i sistemi sfruttando Microsoft Edge e ambienti isolati.
  • La sezione Application Behavior permette di abilitare o disabilitare telecamera e microfono, insieme al match sul thumbprint dei certificati con l’ambiente isolato.
  • Rimozione dei seguenti settings:
    • Enterprise sites can load non-enterprise content, such as third-party plug-in (sezione Host interaction).
    • File trust criteria policy (sezione File Management).

 

Maggiori dettagli sulla funzionalità Microsoft Defender Application Guard, sono disponibili al seguente link.

 

Console

Miglioramenti nella console di Configuration Manager

Nella release 2207, Microsoft ha cercato di migliorare ulteriormente quella che è la user-experience del prodotto introducendo alcuni miglioramenti sulla console; gli aggiornamenti di maggiore rilevanza risultano essere:

  • Quando si esegue una ricerca su qualsiasi nodo nella console, verranno incluse automaticamente anche le sottocartelle nel processo di search (nella barra di ricerca verrà visualizzato il criterio Path).
Figura 3 – Criterio di ricerca Path

 

  • Estesa la funzionalità dark mode anche su pulsanti, menu contestuali e link (la funzionalità dark mode risulta essere attualmente in pre-release pertanto è necessaria l’attivazione dalla sezione Adminstration).

 

Conclusioni

La versione 2207 di Microsoft Endpoint Configuration Manager introduce una serie di interessanti funzionalità e impostazioni nel supportare gli IT admin in una più semplice gestione dell’infrastruttura.