Microsoft Intune: le novità di Novembre-Dicembre 2022

Davide SalsiEnterprise Mobility, What's New

Il 2022 ormai volge al termine e quest’ultima parte dell’anno è stata caratterizzata dal rilascio di interessanti novità da parte di Microsoft in merito alla soluzione Microsoft Intune; come già anticipato, Microsoft Intune è il nuovo nome dedicato alla suite di prodotti per la gestione degli endpoint (di cui fa parte anche Configuration Manager) che ha sostituito il precedente Microsoft Endpoint Manager.

Come consuetudine della nostra community, questo articolo riporta tutte le principali novità riguardanti la soluzione rilasciate nell’ultimo bimestre; sarà possibile avere una panoramica complessiva delle principali novità rilasciate, in modo da rimanere sempre aggiornati su questi argomenti.

Una delle novità di maggiore rilievo è la possibilità di distribuire le Microsoft Store apps via Intune sfruttando la funzionalità winget, il nuovo Windows Package Manager.

E’ possibile quindi aggiungere, distribuire e configurare le app disponibili sul Microsoft Store. Il nuovo tipo di app di Microsoft Store viene implementato tramite Windows Package Manager; questo tipo di app presenta un catalogo ampliato di app, che include sia app Universal Windows Platform (UWP) che app Win32.

Figura 1 – Nuova modalità di distribuzione Microsoft Store app
Figura 2 – Tipologia Microsoft Store app

Sempre in questo periodo, è stata rilasciata una delle più interessanti novità annunciate ad Ignite 2022 nella gestione e messa in sicurezza dei device mobile: è ora possibile utilizzare la funzionalità Microsoft Tunnel anche su dispositivi Android Enterprise non registrati su Microsoft Intune.

Microsoft Tunnel è la soluzione di Microsoft che permette l’accesso alle risorse on-premise da parte di device Android o iOS; l’introduzione di tale soluzione in azienda permette agli utenti di essere ugualmente produttivi ovunque essi si trovino e da qualsiasi tipo di device si colleghino.

Con una sempre più forte espansione nell’utilizzo di device BYOD (Bring-your-own-device) per accedere alle risorse aziendali, Microsoft ha esteso tale funzionalità, in precedenza circoscritta ai soli device enrolled, anche a device non registrati; tale funzionalità denominata Microsoft Tunnel for Mobile Application Management (MAM) richiede la presenza sui device Android delle seguenti app: Microsoft Edge, Microsoft Defender for Endpoint e Company Portal (o Portale aziendale).

Inoltre, sarà necessario prevedere sul portale Microsoft Intune le seguenti configurazioni:

  • App Configuration policy per managed apps:
    • Una per configurare Microsoft Defender come app Tunnel;
    • Una per configurare Microsoft Edge ad utilizzare Microsoft Tunnel;
  • App protection policy per attivare l’avvio automatico della connessione Microsoft Tunnel.

Per maggiori dettagli sulla soluzione Microsoft Tunnel, potete fare riferimento al seguente articolo disponibile su Cloud Community.

Nei prossimi paragrafi verrà fornita una panoramica delle altre principali novità introdotte nelle ultime due release di Microsoft Intune.

Tenant administration

Organizational messages per Windows 11 (Public Preview)

Il rilascio della Service Release 2211 ha introdotto una funzionalità molto interessante che permette agli amministratori IT di inviare messaggi ai propri utenti per informarli di effettuare determinate azioni o aiutarli nel seguire determinate procedure aziendali; allo stato attuale, tale funzionalità risulta essere utilizzabile solo su sistemi Windows 11 versione 22H2.

I messaggi che possono essere utilizzati sono attualmente 3:

  • Taskbar messages: pop-up sulla barra delle applicazioni;
  • Notifications area messages: pop-up nell’area di notifica (o Notifications Area);
  • Get started app messages: messaggio all’interno dell’app Get Started;

Oltre alla tipologia di messaggi da inviare agli utenti, è possibile configurare:

  • Logo aziendale;
  • Custom URL;
  • Finestra di consegna e la relativa frequenza;

Access Policy per approvazione modifiche

Per ridurre al minimo il rischio di modifiche non controllate e potenzialmente dannose, è possibile usare le Access Policy di Intune per richiedere l’uso di un secondo account amministratore per approvare una modifica prima che questa venga applicata.

Una volta creata una Access Policy, è possibile definire un gruppo di utenti che saranno responsabili dell’approvazione delle modifiche: qualsiasi attività sulla risorsa protetta (come creazione, eliminazione o modifica) non verrà applicata fino a quando un membro del gruppo sopra citato non approverà (o eventualmente rifiuterà) la modifica.

Le Access Policy possono essere applicate alle seguenti risorse:

  • App deployment;
  • Windows script deployment;
  • macOS script deployemnt;

App management

Organizzazione delle Managed Google Play app

A partire dalla Service release 2211, è possibile personalizzare la visualizzazione delle app distribuite attraverso il Managed Google Play Store; le applicazioni possono essere organizzate in modo tale da rendere maggiormente fruibile l’elenco delle app disponibili.

All’interno dell’apposita sezione sul Managed Google Play, è possibile creare nuove collection ed impostare un ordine di visualizzazione di quest’ultime e delle app in esse presenti.

Figura 3 – Creazione collection su Managed Google Play Store

Una volta applicati i settings, lato device, le applicazioni saranno visibili sulla base della configurazione desiderata:

Figura 4 – Suddivisione app su dispositivo Android

Nuove protected app

Le seguenti protected app risultano essere state aggiunte su Microsoft Intune:

  • Varicent (Varicent US OpCo Corporation);
  • myBLDNG (Bldng.ai)
  • Enterprise Files for Intune (Stratospherix Ltd)
  • ArcGIS Indoors for Intune (ESRI)
  • Meetings by Decisions (Decisions AS)
  • Idenprotect Go (Apply Mobile Ltd)

Device configuration

Impostazioni DFCI (Device Firmware Configuration Interface) su device Panasonic

Oltre alla configurazione di dispositivi Acer, nella release 2211 della soluzione, è stata aggiunta la possibilità di gestire la configurazione del BIOS/UEFI attraverso la creazione di profili DFCI su dispositivi Panasonic.

Nuovi settings per la gestione di device macOS e iOS/iPadOS su Settings Catalog

Anche nelle release di novembre e dicembre, all’interno della sezione Settings Catalog, sono stati introdotti numerosi settings per applicare le opportune configurazioni. Qui sotto riportiamo le sezioni coinvolte:

  • macOS:
    • Networking > DNS Settings > DNS Protocol
    • Networking > DNS Settings > Server Addresses
    • Networking > DNS Settings > Server Name
    • Networking > DNS Settings > Server URL
    • Networking > DNS Settings > Supplemental Match Domains
    • Networking > DNS Settings > On Demand Rules
    • Networking > DNS Settings > Action
    • Networking > DNS Settings > Action Parameters
    • Networking > DNS Settings > DNS Domain Match
    • Networking > DNS Settings > DNS Server Address Match
    • Networking > DNS Settings > Interface Type Match
    • Networking > DNS Settings > SSID Match
    • Networking > DNS Settings > URL String Probe
    • Networking > DNS Settings > Prohibit Disablement
    • File Vault > File Vault Options > Block FV From Being Disabled
    • File Vault > File Vault Options > Block FV From Being Enabled
    • File Vault > Defer
    • File Vault > Defer Don’t Ask At User Logout
    • File Vault > Defer Force At User Login Max Bypass Attempts
    • File Vault > Enable
    • File Vault > Show Recovery Key
    • File Vault > Use Recovery Key
    • File Vault > File Vault Recovery Key Escrow > Device Key
    • File Vault > File Vault Recovery Key Escrow > Location
    • Restrictions > Allow Air Play Incoming Requests
    • Restrictions > Allow Bluetooth Modification
  • iOS/iPadOS/macOS:
    • Web > Web Content Filter > Allow List Bookmarks
    • Web > Web Content Filter > Auto Filter Enabled
    • Web > Web Content Filter > Deny List URLs
    • Web > Web Content Filter > Filter Browsers
    • Web > Web Content Filter > Filter Data Provider Bundle Identifier
    • Web > Web Content Filter > Filter Data Provider Designated Requirement
    • Web > Web Content Filter > Filter Grade
    • Web > Web Content Filter > Filter Packet Provider Bundle Identifier
    • Web > Web Content Filter > Filter Packet Provider Designated Requirement
    • Web > Web Content Filter > Filter Packets
    • Web > Web Content Filter > Filter Sockets
    • Web > Web Content Filter > Filter Type
    • Web > Web Content Filter > Organization
    • Web > Web Content Filter > Password
    • Web > Web Content Filter > Permitted URLs
    • Web > Web Content Filter > Plugin Bundle ID
    • Web > Web Content Filter > Server Address
    • Web > Web Content Filter > User Defined Name
    • Web > Web Content Filter > User Name
    • Web > Web Content Filter > Vendor Config

Sempre attraverso Settings Catalog, è possibile creare una policy che consenta l’apertura automatica di app, documenti e folder una volta che l’utente ha effettuato login: Devices > Configuration profiles > Create profile > macOS for platform > Settings catalog > Login > Service Management.

Queste impostazioni possono impedire agli utenti di disabilitare il managed login e gli elementi in background sui propri dispositivi.

 

Nuova impostazione per la complessità del PIN su device Android Enterprise versione 12+

Per far fronte al ritiro da parte di Google dei settings Required password type e Minimum password length su dispositivi Android Enterprise con versione superiore alla 12 e registrati nella modalità Personally-owned con work profile, nella release di novembre, è stato aggiunto un nuovo setting denominato Password complexity che permette di impostare il PIN nelle seguenti modalità:

  • None: Intune non eseguirà alcuna modifica all’impostazione;
  • Low: PIN con numerazione ripetuta (4444) o con sequenza numerica (1234, 4321, 2468) sono bloccati.
  • Medium: PIN con numerazione ripetuta (4444) o con sequenza numerica (1234, 4321, 2468) sono bloccati e la lunghezza dovrà essere di almeno 4 caratteri.
  • High: PIN con numerazione ripetuta (4444) o con sequenza numerica (1234, 4321, 2468) sono bloccati e la lunghezza dovrà essere di almeno 8 caratteri (lunghezza di 6 caratteri per password alfanumeriche).

Se si continua a utilizzare le impostazioni Required password type e Minimum password length su Android 12 e versioni successive senza impostare il nuovo settings, i nuovi dispositivi potrebbero impostare di default il livello di Password complexity a High.

Monitor and troubleshooting

Verifica stato di connessione con i Cloud PC

Attraverso la console di Microsoft Intune, nella sezione Devices > Windows 365 > Azure network connections > <nome_connessione> > Overview, è possibile verificare lo stato di connettività verso i Cloud PC in modo tale da determinare se i nostri utenti stanno riscontrando problemi di connessione ai propri Cloud PC.

Conclusioni

Tra le altre novità di maggiore rilevanza rilasciate nei mesi di novembre e dicembre è opportuno segnalare:

  • Il rilascio in Generally Available delle policy e dei report dedicati alla gestione dei Feature Updates e Quality Updates (expedited updates) su sistemi Windows 10/11.
  • Possibilità di disattivazione della funzionalità Chat su Remote Help attraverso apposito settings sulla console.
  • Possibilità di estendere la validità del token per la registrazione di dispositivi Android Enterprise Dedicated fino ad un massimo di 65 anni.
  • Possibilità di applicare le software update policy a tutti i dispositivi macOS supervised (in precedenza, solo i dispositivi registrati tramite Automated Device Enrollment (ADE) erano in grado di ricevere queste policy).

Per testare e valutare in modo gratuito i servizi offerti da Intune è possibile accedere a questa pagina.