Microsoft Intune: le novità di Luglio-Agosto

Anche nei mesi estivi di luglio e agosto, Microsoft ha annunciato novità riguardanti Intune e, come di consueto, la nostra community rilascia questo riepilogo in modo tale da fornirvi una panoramica complessiva delle principali novità e rimanere così sempre aggiornati su questi argomenti.

Tra le principali novità introdotte nelle ultime due release è opportuno segnalare la possibilità di poter eseguire l’upload di ADMX e ADML custom sul portale Microsoft Endpoint Manager admin center in modo tale da poter creare Configuration Profile basati su questi template.

Il processo di upload e configurazione è molto semplice e prevede pochi e semplici step:

  • Eseguire il download degli ADMX/ADML custom interessati (es: Firefox, Zoom, ecc..);
  • Accedere alla console Microsoft Endpoint Manager admin center con un account con diritti amministrativi;
  • Accedere alla sezione Devices > Configuration Profile;
  • Dal riquadro di destra, selezionare la voce Import ADMX;
  • Premere sul pulsante Import;
  • Eseguire l’upload dei file ADMX e ADML precedentemente scaricati;
Figura 1 – Importazione ADMX/ADML
  • Premere il pulsante Next e completare il processo di upload attraverso il pulsante Create;

Ultimato il processo di upload, sarà possibile creare un nuovo Configuration Profile basato sugli ADMX importati attraverso la selezione del template Imported Administrative templates (Preview):

Figura 2/3 – Creazione Configuration profile

Anche la release di Luglio (2207) ha visto l’introduzione di interessanti novità tra cui spiccano:

  • Su dispositivi iOS/iPadOS durante il processo di registrazione in Supervised mode via Setup Assistant con modern authentication, è ora possibile autenticarsi eseguendo l’accesso attraverso un altro dispositivo.
Figura 4 – Autenticazione attraverso altro dispositivo
  • Il rilascio della versione 4.0.1.12 di Remote Help dove risultano essere stati risolti alcuni bug presenti nelle precedenti release della soluzione.
  • Per device iOS/iPadOS/macOS disponibilità, all’interno della sezione Devices > All Devices > <devicename> > Hardware, di poter visualizzare il rispettivo Product Name.

Nei prossimi paragrafi verrà fornita una panoramica delle altre principali novità introdotte nelle ultime 2 release di Microsoft Intune.

App Management

Installazione bulk delle applicazioni disponibili attraverso Company Portal

Su dispositivi Windows, è ora possibile eseguire la selezione multipla delle app disponibili sul Company Portal ed eseguire contestualmente l’installazione delle applicazioni selezionate. Attraverso il pulsante Multi-select view, sarà possibile installare più applicazioni senza la necessità di dover accedere ad ogni singola app oppure eseguire tasto destro su ognuna di esse.

Modifica comportamento nell’utilizzo dei dati biometrici

Per quanto riguarda i dispositivi Android, è in corso una modifica al comportamento derivante dalla richiesta di dati biometrici per la protezione delle app via App Protection Policy; la nuova configurazione prevede di richiedere all’utente l’utilizzo di dati biometrici forti e la richiesta di conferma del PIN a fronte del rilevamento di una modifica sui dati biometrici.

Dettagli su mancata compliance per device Android AOSP

Attraverso l’app Microsoft Intune, su dispositivi Android ASOP, è possibile visualizzare le motivazioni per cui il dispositivo è stato marcato come non-compliant. Queste informazioni risultano essere disponibili all’interno della sezione Device details; sempre da tale sezione, è possibile forzare un check sullo stato di compliance del dispositivo.

Nuove protected app

Le seguenti protected app risultano essere state aggiunte su Microsoft Intune:

  • Nexis Newsdesk Mobile (LexisNexis);
  • My Portal (MangoApps);
  • Re:Work Enterprise (9Folders, Inc.);

Device enrollment

Identificazione e gestione di modifiche hardware su device registrati via Windows Autopilot

A partire dalla release 2207, Microsoft Intune avviserà a fronte dell’identificazione di modifiche hardware su dispositivi registrati con Autopilot; sarà poi possibile rimuovere il dispositivo interessato dal servizio e registrarlo nuovamente in modo da tenere conto della modifica hardware.

Configurazione Zero-Touch enrollment da console

Con l’introduzione della release di Agosto, è ora possibile configurare lo Zero-Touch enrollment di dispositivi Android dalla console Microsoft Endpoint Manager admin center; questa funzionalità permetterà di eseguire il collegamento del proprio account Google dedicato a Zero-Touch con Intune, configurare dispositivi, aggiungere informazioni di supporto, ecc…

Device management

Punteggio suddiviso per modello su Endpoint Analytics

La soluzione Endpoint Analytics permette ora di visualizzare lo score suddiviso per modello; questo punteggio permetterà di determinare la user-experience sui vari modelli hardware presenti nella propria azienda.

Stato di escrow del Bootstrap token per device macOS

Per i dispositivi macOS registrati su Intune, è possibile visualizzare lo stato di escrow del Bootstrap token; questa informazione risulta essere disponibile all’interno della sezione Hardware di ogni device macOS alla voce Bootstrap token escrowed.

Attivazione Common Criteria mode su device Android Enterprise

Nella release di Luglio, è stato introdotto un nuovo settings denominato Common Creteria mode (all’interno della sezione System Security nelle Device Restriction policy) che consente di attivare un set di configurazioni di sicurezza elevati generalmente utilizzati su dispositivi contenenti dati altamente sensibili; queste configurazioni includono:

  • Crittografia AES-GCM delle chiavi Bluetooth Long Term;
  • Blocco della modalità di download del bootloader (metodo manuale per gli aggiornamenti software);
  • Azzeramento della chiave aggiuntiva a fronte dell’eliminazione della chiave;
  • Impedire connessioni Bluetooth non autenticate
  • Richiesta che gli aggiornamenti FOTA abbiano firma RSA-PSS a 2048 bit;

Questo settings può essere applicato su dispositivi Android versione 5.0 o successive registrati nelle modalità Fully Managed, Dedicated e Corporate-owned con work profile.

Visualizzazione contenuto di shell script e attributi custom per device macOS

È ora possibile visualizzare il contenuto di shell script e custom attribute una volta che questi risultano essere stati caricati su Intune; accendendo alla sezione Devices > macOS > Shell scripts (o Custom Attribute) e selezionando lo script/attributo interessato, sarà possibile visualizzarne il contenuto.

Figura 5 – Visualizzazione contenuto Shell script

Miglioramenti nella gestione di dispositivi Android AOSP

Negli ultimi mesi, il Product Group ha introdotto molteplici settings per permettere una migliore gestione dei dispositivi Android AOSP; su questa tipologia di dispositivi, è ora possibile eseguire remotamente (attraverso l’apposita remote action) il reset del passcode e utilizzare profili SCEP per il rilascio di certificati.

Device configuration

Nuovi settings per la gestione di device macOS e iOS/iPadOS su Settings Catalog

Anche nelle release di Luglio e Agosto, all’interno della sezione Settings Catalog, sono stati introdotti numerosi settings per applicare le opportune configurazioni. Qui sotto riportiamo le sezioni coinvolte:

  • iOS/iPadOS
    • App Management > App Lock
    • Authentication > Extensible Single Sign On
    • Authentication > Extensible Single Sign On > Extensible Single Sign On Kerberos
    • Networking > Domains
    • Networking > Network Usage Rules
    • Networking > Cellular
    • Printing > Air Print
    • Restrictions
    • System Configuration > Lock Screen Message
    • User Experience > Notifications
  • macOS
    • Authentication > Extensible Single Sign On
    • Authentication > Extensible Single Sign On > Extensible Single Sign On Kerberos
    • Restrictions
    • System configuration > System extensions

Per quanto riguarda i dispositivi macOS, nella release di Luglio, sono stati introdotti anche i seguenti settings per la gestione della componente Microsoft AutoUpdate:

  • Microsoft Auto Update:
    • Automatically acknowledge data collection policy
    • Days before forced updates
    • Deferred updates
    • Disable Office Insider membership
    • Enable AutoUpdate
    • Enable check for updates
    • Enable extended logging
    • Register app on launch
    • Update cache server
    • Update channel
    • Update check frequency (mins)
    • Updater optimization technique
    • Current Channel
    • Number of minutes for the final countdown timer

 

Nuova funzionalità di ricerca durante la creazione dei filtri

Durante il processo di creazione dei filtri, è possibile selezionare la voce Preview devices per visualizzare una lista di preview dei dispositivi che verranno inclusi nel filtro e che quindi corrispondono ai criteri impostati; a partire dalla versione 2207, è possibile eseguire una ricerca su questa lista utilizzando attributi come nome del dispositivo, versione OS, modello, vendor, UPN dell’utente primario e device ID.

Configurazione Proxy durante configurazione profili Wi-Fi su dispositivi Android

Sfruttando l’apposito Configuration Profile (Devices > Configuration profiles > Create profile > Android Enterprise > Fully Managed, Dedicated, and Corporate-Owned Work Profile for platform > Wi-Fi), è possibile creare profili Wi-Fi per device Android dove è possibile specificare un proxy in formato PAC file o attraverso l’inserimento manuale.

Device security

Disattivazione connessione UDP su Microsoft Tunnel Gateway

L’opzione Disable UDP Connections presente a fronte della modifica o creazione di una Server Configuration permette di disattivare le connessioni UDP da parte dei device verso il Tunnel Gateway server.

Una volta disattivato questo tipo di comunicazione, tutti i device che utilizzano l’app Microsoft Defender for Endpoint comunicheranno solamente via TCP.

Monitor e troubleshooting

Migliorata raccolta informazioni via remote action Collect Diagnostic

Nelle ultime release, sono state integrate le seguenti informazioni durante il processo di raccolta dei dati di diagnostica:

  • Files:
    • C:\Program Files\Microsoft Update Health Tools\Logs\*.etl
  • Registry Keys:
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CloudManagedUpdate
  • Event Viewer:
    • Microsoft-Windows-WMI-Activity/Operational
    • Microsoft-Windows-WinRM/Operational

Nuovo report legato alla compliance dei dispositivi

All’interno della sezione Reports > Device Compliance > Reports, è stato introdotto un nuovo report denominato Noncompliant devices and settings che permette di visualizzare:

  • Lista dei dispositivi non compliant;
  • Per ogni dispositivo, il/i settings che causano la mancata compliance del device;

Valutazione di Intune

Per testare e valutare in modo gratuito i servizi offerti da Intune è possibile accedere a questa pagina.