Microsoft Intune: le novità di Gennaio-Febbraio

Davide SalsiEnterprise Mobility, What's New

Come consuetudine della nostra community, questo articolo riporta tutte le principali novità riguardanti la soluzione Microsoft Intune rilasciate negli ultimi due mesi; sarà possibile avere una panoramica complessiva delle principali novità rilasciate, in modo da rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per effettuare maggiori approfondimenti.

La principale novità introdotta nella Service Release 2301 (attualmente in preview) risulta essere la possibilità di utilizzare la soluzione Microsoft Tunnel su dispositivi iOS e iPadOS non registrati su Microsoft Intune per l’accesso alle risorse aziendali on-premise; questa funzionalità permette quindi di accedere via device mobili a risorse interne senza la necessità di doverle pubblicare verso l’esterno.

 

Figura 1 – Overview flusso Microsoft Tunnel

 

Questa funzionalità non è limitata solamente ai sistemi Apple, infatti è possibile sfruttare Microsoft Tunnel per MAM anche su device Android.

Un’altra interessante novità introdotta sempre nella release di Gennaio è la nuova interfaccia dedicata al troubleshooting: infatti, accedendo alla sezione Troublehsooting + support, sarà possibile attivarla e testarla semplicemente cliccando sull’apposito pulsante Try it now all’interno della sezione Troubleshooting preview.

 

Figura 2 – Nuova interfaccia Troubleshooting

 

Una volta attivata la nuova interfaccia, saranno disponibili maggiori dettagli su utenti e device come ad esempio:

  • Un riepilogo delle policy di configurazione, di compliance e dello stato di distribuzione delle applicazioni.
  • Dettagli sulla diagnostica del device e sui dispositivi disabilitati.
  • Dettagli sui dispositivi offline che non comunicano con il servizio Microsoft Intune per più di tre giorni.
Figura 3 – Overview nuova sezione Troubleshooting

 

I mesi di Gennaio e Febbraio hanno visto l’introduzione di altre interessanti novità tra cui spiccano:

  • Il rilascio in Generally Available delle policy per la gestione degli aggiornamenti dei device con sistema operativo macOS.
  • Progressivo rilascio in Generally Available della funzionalità di supersedence delle Win32 app per consentire l’aggiornamento o la sostituzione di applicazioni.
  • Il rilascio in Generally Available delle notifiche via mail o via push (Enrollment notification) a fronte della registrazione di un nuovo device.
  • Possibilità di eseguire il download dei dati di diagnostica generati durante il processo di provisioning via Windows Autopilot.
  • Supporto a device HTC Vive Focus 3 e possibilità di effettuare azioni bulk su dispositivi Android AOSP (Android Open Source Project).

Nei prossimi paragrafi verrà fornita una panoramica delle altre principali novità introdotte negli ultimi due mesi in modo tale da avere i riferimenti necessari per gestire al meglio i propri endpoint.

 

App management

Nuove protected app

Le seguenti protected app risultano essere state aggiunte su Microsoft Intune:

  • Voltage SecureMail (Voltage Security);
  • Egnyte for Intune (Egnyte);

 

 

Visualizzazione delle app relative a Configuration Manager sul Company Portal

All’interno della sezione Tenant Administration > Customization, è possibile configurare la soluzione Microsoft Intune per visualizzare o nascondere nell’app Company Portal le applicazioni distribuite attraverso Configuration Manager.

 

Figura 4 – Visualizzazione app Configuration Manager su Company Portal

 

Questo permette di erogare un unico catalogo software indipendentemente dallo strumento di gestione utilizzato.

 

Blocco pagine web su Managed Home Screen

Su dispositivi Android Enterprise registrati nella modalità Dedicated, è ora possibile configurare la Managed Home Screen per bloccare l’aggiunta di pagine Web del browser; questo tipo di blocco è possibile impostarlo attraverso la distribuzione di una App Configuration Policy utilizzando la chiave block_pinning_browser_web_pages_to_MHS.

 

Device configuration

Impostazioni DFCI (Device Firmware Configuration Interface) su device Fujitsu

È ora possibile gestire la configurazione del BIOS/UEFI attraverso la creazione di profili DFCI anche su dispositivi Fujitsu; quest’ultimo vendor si unisce ai già presenti Acer, Panasconic e Microsoft.

 

Nuovi settings per la gestione di device macOS e iOS/iPadOS su Settings Catalog

Anche nelle release di Gennaio e Febbraio, all’interno della sezione Settings Catalog, sono stati introdotti numerosi settings per applicare le opportune configurazioni. Qui sotto riportiamo le sezioni coinvolte:

  • macOS:
    • File Vault > User Enters Missing Info
    • Login > Service Management – Managed Login Items > Team Identifier
    • Microsoft Office > Microsoft Office > Office Activation Email Address
    • Networking > Domains > Cross Site Tracking Prevention Relaxed Domains
  • iOS/iPadOS/macOS:
    • Accounts > Subscribed Calendars > Account Description
    • Accounts > Subscribed Calendars > Account Host Name
    • Accounts > Subscribed Calendars > Account Password
    • Accounts > Subscribed Calendars > Account Use SSL
    • Accounts > Subscribed Calendars > Account Username
    • Networking > Domains > Cross Site Tracking Prevention Relaxed Domains
    • Restrictions > Rating Region

 

Possibilità di utilizzare la modalità di join come parametro nei filtri

Il rilascio della Service Release 2301 ha introdotto la possibilità di utilizzare la modalità di join ad Azure AD (Azure AD Join, Hybrid Azure AD Join e Azure AD Registered) come parametro nei filtri; attraverso l’utilizzo della proprietà deviceTrustType sarà possibile quindi filtrare le distribuzioni di app e policy in base a come il device risulta essere stato registrato in AAD.

 

Nuovo tab per visualizzare le assegnazioni dei filtri creati

Attraverso l’utilizzo del nuovo tab Associated Assignments (Devices > Filters > <nomefiltro>), è possibile visualizzare in quali policy/app viene utilizzato il filtro selezionato e i gruppi che ricevono l’assegnazione del filtro.

 

Disattivazione Activation Lock su device supervised

 Nella release di Febbraio, è stata introdotta una nuova azione remota denominata Disable Activation Lock che permette su device iOS e iPadOS registrati in modalità supervised di disattivare la funzionalità Activation Lock; attraverso questa funzionalità, è quindi possibile bypassare Activation Lock senza richiedere username o password.

Maggiori informazioni sulla funzionalità Activation Lock, sono disponibili al seguente link.

 

Device management

Visualizzazione scadenza Grace Period dall’app Intune su device Android

Sui dispositivi Android, l’app Microsoft Intune permette di visualizzare lo stato di Grace Period del device in modo tale da tenere conto dei dispositivi che non soddisfano i requisiti di conformità ma sono ancora entro il periodo di tolleranza specificato. Gli utenti ora sono in grado di visualizzare la data di scadenza di questo periodo di tolleranza e che azioni intraprendere per riportare il device in uno stato di compliance; nel caso in cui non vengano eseguite tali operazioni entro la data specificata, il dispositivo verrà categorizzato come non conforme.

 

Supporto Printer Protection su Defender for Endpoint

La funzionalità di Printer Protection (disponibile in Microsoft Defender for Endpoint su sistemi Windows 10/11) permette di gestire le stampanti all’interno di Intune; nel dettaglio, Printer Protection consente di impedire agli utenti di stampare tramite una stampante di rete non aziendale o una stampante USB non approvata in modo tale da ridurre ulteriormente la perdita di informazioni/dati aziendali.

 

Device security

Supporto ASR rules all’interno della funzionalità Security Management e possibilità di rimozione dei device

La funzionalità Security Management, disponibile su dispositivi con a bordo Microsoft Defender for Endpoint, consente di distribuire configurazioni di sicurezza via Microsoft Intune senza richiedere la completa registrazione del device sul portale,

A partire dalla release di Gennaio è possibile applicare policy di Attack Surface Reduction oltre alle già disponibili policy Antivirus, EDR (Endpoint detection and response) e firewall.

 

Figura 5 – Overview Security Management

 

Un’altra funzionalità introdotta in questi mesi è la possibilità di rimuovere direttamente dalla console di Intune i dispositivi caricati attraverso la soluzione Security Management; risulta infatti disponibile la nuova remote action Delete che consente agli amministratori IT di cancellare i dispositivi registrati.

 

Nuova soluzione di Mobile Threat Defense (MTD)

Nella release 2301, è stata introdotta l’integrazione con la soluzione MTD SentinelOne; sarà quindi possibile controllare l’accesso alle risorse aziendali basandosi sul rischio calcolato da device che utilizzano questo tipo di soluzione.

 

Nuova policy per la gestione degli aggiornamenti di Microsoft Defender

Il rilascio della Service Release 2302 ha introdotto una nuova policy per la gestione degli aggiornamenti di Microsoft Defender; il nuovo profilo di configurazione Defender Update controls consente di impostare il canale di rilascio mediante il quale i dispositivi ricevono gli aggiornamenti di Defender compresi gli aggiornamenti delle signature, gli aggiornamenti mensili della piattaforma e gli aggiornamenti mensili dell’engine.

Queste impostazioni possono essere veicolate anche attraverso i Settings Catalog.

 

Monitor e troubleshooting

Aggiornamento reportistica e miglioramenti interfaccia

A partire da queste release, sono state effettuate attività di revisione ed aggiornamento sulla parte di reportistica e di gestione del tenant. Nel dettaglio:

  • È stato introdotto un nuovo report denominato Devices without compliance policy che permette di visualizzare eventuali sistemi sui quali non risultano distribuite policy di compliance.
  • È stata introdotta una nuova sezione denominata Issues in your environment that require action (Tenant administration > Tenant status > Service health and message center page) che permette di visualizzare segnalazioni relative a problematiche presenti nel proprio ambiente e che richiedono un intervento/azione per poter essere risolte.

 

Figura 6 – Sezione Issues in your environment that require action

 

  • È stata migliorata l’interfaccia per la visualizzazione dei Certificate connector;
  • All’interno dell’area Tenant administration > Connectors and tokens > Microsoft Endpoint Configuration Manager, è stata introdotta una nuova sezione che permette di visualizzare, selezionando il proprio site di riferimento, suggerimenti e approfondimenti inerenti alla propria infrastruttura Configuration Manager.
Figura 7 – Dettagli connettore Microsoft Configuration Manager

 

Miglioramenti sulla raccolta dei dati di diagnostica

Nella ultime release, sono stati introdotti alcuni miglioramenti legati alla raccolta dei dati di diagnostica sui dispositivi gestiti attraverso Microsoft Intune come ad esempio:

  • Possibilità di accedere e scaricare i log inviati dall’app Company Portal da dispositivi Android e Windows;
  • Possibilità di accedere e scaricare i log generati all’interno dei seguenti path dal tool WinGet durante l’installazione di Win32 app su device Windows 10/11:
    • %TEMP%\winget\defaultstate*.log
    • Microsoft-Windows-AppXDeployment/Operational
    • Microsoft-Windows-AppXDeploymentServer/Operational

 

Scripting

Preview del contenuto degli script Powershell utilizzati su Endpoint Analytics

Dalla release 2301, è possibile visualizzare un’anteprima del contenuto degli script PowerShell utilizzati dalla funzionalità Proactive Remediation su Endpoint Analytics. Il contenuto sarà in sola lettura, pertanto, non sarà possibile modificarne il contenuto.

 

Valutazione di Intune

Per testare e valutare in modo gratuito i servizi offerti da Intune è possibile accedere a questa pagina.