Si è conclusa da qualche settimana l’ultima edizione di Microsoft Ignite, la principale conferenza Microsoft dedicata ai professionisti IT, dove sono state annunciate una serie di novità molto interessanti riguardanti la famiglia Microsoft Intune; infatti, una delle principali novità risulta essere per l’appunto il rebranding dedicato alle soluzioni di endpoint management.
Microsoft Intune sarà il nuovo nome dedicato alla suite di prodotti per la gestione degli endpoint (di cui farà parte anche Configuration Manager) che andrà a sostituire il precedente Microsoft Endpoint Manager.
In questo articolo, verrà fornita una panoramica delle altre principali novità introdotte negli ultimi 2 mesi in modo tale da avere i riferimenti necessari per gestire al meglio i propri endpoint.
Un’altra novità molto interessante che sarà disponibile a partire da Marzo 2023 risulta essere il lancio di un nuovo piano denominato Advanced Endpoint Management che renderà disponibili una serie di funzionalità avanzate che consentiranno di migliorare ulteriormente la user-experience dell’utente finale e semplificare le operazioni di gestione da parte degli IT Admin.
All’interno di questo piano saranno inclusi:
- Remote Help: soluzione per il controllo remoto dei sistemi Windows che, a partire da Marzo 2023, vedrà l’introduzione anche nel controllo dei device Android.
- Microsoft Tunnel for MAM (Mobile Application Management): attraverso tale soluzione, sarà possibile accedere alla risorse on-premise (senza la necessità di esporle all’esterno) da parte di dispositivi mobili non registrati su Microsoft Intune.
- Endpoint Privilege Management: con Endpoint Privilege Management, gli IT Admin saranno in grado di delegare agli utenti l’esecuzione di determinati task in contesto amministrativo senza la necessità di elevare tali account ad amministratori locali.
- Advanced Endpoint Analytics: le nuove funzionalità avanzate aiuteranno gli amministratori IT a comprendere, anticipare e migliorare ulteriormente le esperienze tecnologiche dei propri dipendenti, indipendentemente da dove lavorano.
Tra le principali novità introdotte nelle ultime due release è opportuno segnalare la possibilità di gestire dispositivi Linux attraverso Microsoft Intune; è possibile gestire device con OS Ubuntu Desktop 22.04 or 20.04 LTS e utilizzare così le seguenti funzionalità:
- Utilizzo di Conditional Access policy su Microsoft Edge.
- Applicazione di Compliance Policy verificando le seguenti caratteristiche:
- Versione distro
- Encryption dei volumi
- Password
- Applicazione di Custom Compliance Policy basate su shell script.
Sempre in ottica di una gestione unificata di tutti gli endpoint presenti nelle varie aziende, con la release 2210, è stata inoltre resa disponibile la registrazione di dispositivi Chrome OS; con l’introduzione di tale piattaforma, sono stati coperti praticamente tutti i tipi di sistemi operativi presenti sul mercato.
Le altre novità di maggiore rilevanza rilasciate nei mesi di settembre e ottobre risultano essere:
- Il rilascio in Generally Available della funzionalità di gestione dei device RealWear che eseguono Android Open Source Project (AOSP); attraverso tale funzionalità, è possibile ricevere notifiche sullo stato di conformità del dispositivo.
- Possibilità di utilizzo dei filtri anche nell’assegnazione di App Configuration Policy.
- Possibilità di utilizzare il valore $null nella predisposizione dei filtri.
- Rilascio della nuova versione di Remote Help (4.0.1.13) per la risoluzione di alcuni bug.
- Fine del supporto per dispositivi con sistema operativo Windows 8.1.
- Fine del supporto per dispositivi con versione macOS antecedente la 11.6 (Big Sur).
App management
Nuove protected app
Le seguenti protected app risultano essere state aggiunte su Microsoft Intune:
- RingCentral for Intune (RingCentral, Inc).
- MangoApps, Work from Anywhere (MangoSpring, Inc).
- MyITOps for Intune (MyITOps, Ltd).
- MURAL – Visual Collaboration (Tactivos, Inc).
Nuove tipologie di app
A partire dalla release 2209, è possibile distribuire due nuove tipologie di app: Web clip (per device iOS/iPadOS) e Web link (per device Windows); a differenza della tipologia Web Link già esistente, queste due nuove app si applicano solamente sulle specifiche piattaforme a cui fanno riferimento.
Device configuration
Nuove impostazioni per la schermata di blocco su device Android
Su dispositivi Android Enterprise di tipologia corporate, è possibile consentire all’utente la visualizzazione di determinate informazioni relative al supporto che potrebbero essere utili in caso di problematiche: attraverso il setting Lock Screen Message disponibile nelle Device Restriction policy (Devices > Configuration profiles > Android Enterprise > Fully managed, dedicated, and corporate-owned work profile for platform > Device restrictions > Custom support information), è possibile impostare un messaggio che sarà visualizzato nella schermata di blocco.
All’interno del messaggio, è possibile specificare anche determinate variabili, come:
- {{AADDeviceId}}: Azure AD device ID
- {{AccountId}}: Account ID
- {{DeviceId}}: Device ID
- {{DeviceName}}: Nome device
- {{domain}}: Nome dominio
- {{EASID}}: Exchange Active Sync ID
- {{IMEI}}: IMEI
- {{mail}}: Email address
- {{MEID}}: MEID
- {{partialUPN}}: Prefisso UPN
- {{SerialNumber}}: Serial number
- {{SerialNumberLast4Digits}}: Ultimi 4 caratteri del SN
- {{UserId}}: User ID
- {{UserName}}: Nome utente
- {{userPrincipalName}}: UPN utente
Miglioramenti nei filtri presenti sui Settings Catalog
Con l’introduzione della release di settembre, durante la selezione delle impostazioni sui Settings Catalog per sistemi Windows 10/11, è possibile applicare dei filtri basandosi sul targeting di quel determinato settings; selezionando il filtro per User scope, saranno visibili solamente impostazioni per il contesto utente mentre, selezionando il filtro Device scope, saranno disponibili settings dedicati al dispositivo.
Impostazioni DFCI (Device Firmware Configuration Interface) su device Acer e introduzione nuovi settings
È ora possibile gestire la configurazione del BIOS/UEFI attraverso la creazione di profili DFCI anche su dispositivi Acer; nei prossimi mesi, i nuovi dispositivi Acer saranno abilitati per poter applicare questa tipologia di configurazioni.
Nella release di ottobre, sono stati inoltre aggiunti nuovi settings che è possibile configurare attraverso policy DFCI:
- Cameras
- Front camera
- Infrared camera
- Rear camera
- Radios:
- WWAN
- NFC
- Ports
- SD Card
Nuovi settings per la gestione di device macOS e iOS/iPadOS su Settings Catalog
Anche nelle release di settembre e ottobre, all’interno della sezione Settings Catalog, sono stati introdotti numerosi settings per applicare le opportune configurazioni. Qui sotto riportiamo le sezioni coinvolte:
- iOS/iPadOS
- Accounts > LDAP > LDAP Account Description
- Accounts > LDAP > LDAP Account Host Name
- Accounts > LDAP > LDAP Account Password
- Accounts > LDAP > LDAP Account Use SSL
- Accounts > LDAP > LDAP Account User Name
- Accounts > LDAP > LDAP Search Settings
- Networking > Cellular > Enable XLAT464
- Restrictions > Allow Rapid Security Response Installation
- Restrictions > Allow Rapid Security Response Removal
- macOS
- Privacy > Privacy Preferences Policy Control > Accessibility
- Privacy > Privacy Preferences Policy Control > Address Book
- Privacy > Privacy Preferences Policy Control > Apple Events
- Privacy > Privacy Preferences Policy Control > Calendar
- Privacy > Privacy Preferences Policy Control > Camera
- Privacy > Privacy Preferences Policy Control > File Provider Presence
- Privacy > Privacy Preferences Policy Control > Listen Event
- Privacy > Privacy Preferences Policy Control > Media Library
- Privacy > Privacy Preferences Policy Control > Microphone
- Privacy > Privacy Preferences Policy Control > Photos
- Privacy > Privacy Preferences Policy Control > Post Event
- Privacy > Privacy Preferences Policy Control > Reminders
- Privacy > Privacy Preferences Policy Control > Screen Capture
- Privacy > Privacy Preferences Policy Control > Speech Recognition
- Privacy > Privacy Preferences Policy Control > System Policy All Files
- Privacy > Privacy Preferences Policy Control > System Policy Desktop Folder
- Privacy > Privacy Preferences Policy Control > System Policy Documents Folder
- Privacy > Privacy Preferences Policy Control > System Policy Downloads Folder
- Privacy > Privacy Preferences Policy Control > System Policy Network Volumes
- Privacy > Privacy Preferences Policy Control > System Policy Removable Volumes
- Privacy > Privacy Preferences Policy Control > System Policy Sys Admin Files
- Privacy > Privacy Preferences Policy Control > System Policy App Bundles
- Restrictions > Allow Rapid Security Response Installation
- Restrictions > Allow Rapid Security Response Removal
Applicazione automatica degli scope tags su Group Policy Analytics
Con il rilascio della Service Release di ottobre, a fronte dell’importazione della/delle GPO esportate, verranno automaticamente assegnati a tali oggetti gli scope tags associati all’amministratore che li ha impostati.
Per esempio, se un amministratore ha assegnato uno scope tag “HQ” al suo ruolo e effettua l’importazione di una GPO su Group Policy Analytics, quest’ultima avrà assegnato lo scope tag “HQ” e solamente altri amministratori con il medesimo scope tag saranno in grado di visualizzare l’oggetto importato.
Device management
Visualizzazione conteggio utenti/device durante la distribuzione
A fronte della selezione di un determinato gruppo Azure AD durante l’assignement di una policy e/o di un’app, è possibile visualizzare il numero di dispositivi e/o utenti che saranno oggetto della distribuzione; questo aiuterà gli IT admin nel determinare gli impatti che potrebbe avere tale distribuzione.
Visualizzazione data di scadenza del grace period
All’interno dell’app Company Portal su device Windows o sul portale web, è ora possibile visualizzare la data di scadenza del Grace Period su dispositivi che non risultano essere conformi con le policy aziendali; al termine della data indicata, se i dispositivi non avranno applicato tutte le remediation del caso, saranno categorizzati come non compliant e quindi potenzialmente non saranno in grado di accedere alle risorse aziendali.
Gestione degli aggiornamenti su device macOS
Nella release di ottobre, è stata introdotta la possibilità di gestire le seguenti tipologie di aggiornamenti su dispositivi macOS registrati nella modalità Automated Device Enrollment (ADE):
- Critical updates
- Firmware updates
- Configuration file updates
- OS updates
- Built-in apps updates
Come per i dispositivi Windows, ora è possibile gestire i comportamenti del motore di aggiornamento di questi dispositivi; è quindi possibile applicare i seguenti settings:
- Download and install: gli aggiornamenti vengono scaricati e installati in base all’attuale stato del device.
- Download only: gli aggiornamenti vengono scaricati ma non installati.
- Install immediately: gli aggiornamenti vengono scaricati, installati e viene notificata all’utente la finestra di countdown per procedere con il riavvio del device.
- Notify only: gli aggiornamenti vengono scaricati e viene notificata all’utente la disponibilità attraverso l’App Store.
- Install later: gli aggiornamenti vengono scaricati ma l’installazione viene posticipata.
- Not configured: non viene applicata nessuna configurazione alla componente di aggiornamento mantenendo lo stato di default.
Nuove informazioni per device iOS/iPadOS
All’interno della sezione Hardware, presente a fronte della selezione di un dispositivo registrato sul portale Microsoft Intune, sono state introdotte due nuove informazioni per dispositivi iOS/iPadOS:
- Battery level: fornisce il livello di batteria del dispositivo (valore da 0 a 100); a fronte della mancata rilevazione di tale informazione verrà visualizzato il valore null.
- Resident users: permette di visualizzare il numero di utenti presenti su un dispositivo iPad registrato nella modalità Shared; anche in questo caso, a fronte della mancata rilevazione di tale informazione, verrà visualizzato il valore null.
Device enrollment
Visualizzazione conteggio utenti/device durante la distribuzione
Con l’introduzione della release 2209, gli amministratori IT sono in grado di inviare delle notifiche personalizzate e dei messaggi di posta elettronica agli utenti che hanno effettuato l’enrollment dei device su Microsoft Intune.
È possibile utilizzare queste notifiche per informare l’utente di verificare l’enrollment di un nuovo dispositivo e, eventualmente, intervenire in caso di errore. Tali notifiche posso risultare utili durante l’ingresso in azienda di un nuovo dipendente (per maggiori informazioni sulla funzionalità, fare riferimento al seguente link).
Nuova modalità di registrazione per device iOS/iPadOS: Just in Time registration
Annunciata durante l’ultima edizione di Microsoft Ignite, la modalità di registrazione Just in time consente di registrare device iOS/iPadOS sfruttando l’integrazione presente in Setup Assistant con modern authentication rimuovendo così la necessità di disporre dell’app Company Portal.
La registrazione JIT riduce il numero di richieste di autenticazione mostrate agli utenti durante il processo di onboarding, offrendo così una migliore user experience.
Questa funzionalità risulta essere in public preview e disponibile per device con versione iOS/iPadOS 13.0 registrati nella modalità Apple Automated Device Enrollment.
Device security
Applicazione Compliance Policy su All devices
Durante l’assegnazione di una Compliance Policy, è ora possibile selezionare l’opzione All devices per fare in modo che tale policy venga applicata a tutti i dispositivi caratterizzati dalla piattaforma interessata; in precedenza, era necessario creare un gruppo dinamico Azure AD che contenesse tutti i device interessati.
Nuovo partner mobile threat defense: Trend Micro
Su Intune, è ora possibile sfruttare l’integrazione con Trend Micro Mobile Security as a Service come mobile threat defense partner per controllare l’accesso alle risorse aziendali da dispositivi mobili basandosi sul livello di rischio.
Esclusioni per regole all’interno delle policy di Attack Surface Reduction
Quando durante la creazione o modifica di una policy di Attack Surface Reduction, viene modificato un setting che supporta le esclusioni diventa disponibile la nuova opzione di esclusione per regole. Ogni esclusione specificata all’interno dell’opzione ASR Only Per Rule Exclusions della regola verrà applicata solamente alla singola ASR rule.
È possibile continuare a configurare le esclusioni a livello globale che si applicano a tutte le ASR rules usando il setting Attack Surface Reduction Only Exclusions.
Gruppo di settings riutilizzabili su profili Device Control e regole Microsoft Defender Firewall
In public preview, sono stati resi disponibili gruppi di settings riutilizzabili per quanto riguarda i profili di Device Control e le regole per la gestione del firewall di Windows.
Nel primo caso, il gruppo di settings consiste in una raccolta di impostazioni che supportano la gestione dell’accesso in lettura, scrittura ed esecuzione per dischi rimovibili; nel secondo caso, invece, consiste in un insieme di indirizzi IP remoti e FQDN definiti una sola volta e utilizzabili con uno o più profili di regole firewall.
Per maggiori informazioni sui reusable groups of settings, fare riferimento al seguente link.
Autorizzazione per utilizzo certificati in modalità silent su device Android
Su dispositivi Android Enterprise registrati nelle modalità, Fully Managed, Dedicated e Corporate-Owned con work profile, è possibile consentire alle app autorizzate di utilizzare i certificati impostati senza richiedere l’approvazione dell’utente; questa opzione risulta essere disponibile durante il processo di creazione del certificate profile all’interno della sezione Apps impostando l’opzione Grant silently for specific apps (require user approval for other apps) a Certificate access.
Miglioramenti nelle notifiche su Remote Help
All’interno del messaggio di notifica che viene generato a fronte di un collegamento via Remote Help a un device non compliant, è stato inserito un link che consente all’addetto/amministratore IT di visualizzare i dettagli sulla mancata conformità del dispositivo.
Valutazione di Intune
Per testare e valutare in modo gratuito i servizi offerti da Intune è possibile accedere a questa pagina.