Microsoft Intune: le novità di Marzo-Aprile

Come consuetudine della nostra community, questo articolo riporta tutte le principali novità riguardanti la soluzione Microsoft Intune rilasciate negli ultimi 2 mesi; sarà possibile avere una panoramica complessiva delle principali novità rilasciate, in modo da rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per effettuare maggiori approfondimenti.

La principale novità introdotta a Marzo risulta essere la funzionalità Microsoft Endpoint Privilege Management; questa soluzione consente di gestire i privilegi degli utenti standard consentendogli di effettuare operazioni che richiedono diritti amministrativi.

Figura 1 – Endpoint Privilage Management

 

Per maggiori dettagli su questa funzionalità, potete consultare l’articolo dedicato disponibile sul nostro sito.

 

Un’altra interessante novità rilasciata nel mese di Aprile è la soluzione Windows LAPS con conseguente gestione attraverso Microsoft Intune; Windows LAPS è una soluzione di gestione delle password che consente di controllare le password degli account amministratore locale per i dispositivi Windows. Le password sono generate dinamicamente e anche costantemente aggiornate in base alle policy adottate. A differenza del suo predecessore, la nuova versione di LAPS consente di salvare le password, non solo all’interno dell’infrastruttura Active Directory, ma anche su Azure Active Directory.

Per maggiori dettagli su questa funzionalità, potete consultare l’articolo dedicato disponibile sul nostro sito.

 

Sempre nel corso di questi 2 mesi, è stata introdotta la possibilità di utilizzare la nuova interfaccia dedicata ai dispositivi sul portale Microsoft Intune:

Figura 2 – Nuova interfaccia Devices

 

I miglioramenti introdotti sono ad esempio:

  • Una nuova struttura di navigazione incentrata sullo scenario;
  • Integrazione con la sezione di reporting in modo tale da non dover effettuare cambi di pagina;
  • Visualizzazione più coerente durante le ricerche, gli ordinamenti e i filtri.

 

Riportiamo qui sotto le altre importanti novità introdotte negli ultimi mesi.

 

App management

Miglioramenti nella distribuzione delle app per i sistemi Windows

Nel corso del mese di Marzo, sono state introdotte varie migliorie riguardanti la distribuzione delle applicazioni per sistemi Windows 10/11; nel dettaglio:

  • È stata rimossa la limitazione che prevedeva la distribuzione di app in modalità available ai soli gruppi di utenti; a tal proposito, è quindi possibile distribuire in modo non forzato le applicazioni Win32 a gruppi di dispositivi.
  • È possibile distribuire in contesto di sistema le Universal Windows Platform (UWP) app attraverso il nuovo Microsoft Store. Se un’app viene distribuita in contesto system, questa sarà installata automaticamente per tutti gli utenti.
  • Introdotte le seguenti versioni minime per l’installazione delle Win32 app:
    • Windows 10 21H2
    • Windows 10 22H2
    • Windows 11 21H2
    • Windows 11 22H2
  • Durante la configurazione di un profilo dedicato all’Enrollment Status Page (ESP) è disponibile un nuovo toogle che consente di installare tutte le applicazioni required durante la fase di pre-provisioning. Nel caso in cui si dovesse verificare un errore di installazione di un’app, ESP procede nel processo di installazione ad eccezione delle app specificate nel profilo ESP. Per abilitare questa funzione, è necessario modificare il profilo ESP impostando a Yes l’opzione Only fail selected apps in technician phase (questa opzione è visibile solamente se il setting Block device use until required apps are installed if they are assigned to the user/device risulta essere impostato a Selected).
  • Nella Service Release 2303, è stato aggiunto il supporto delle nuove Microsoft Store app all’interno dell’Enrollment Status Page.

 

Gestione dei certificati Root su Intune App SDK di Android

Attraverso l’utilizzo di una App Configuration Policy, è possibile distribuire certificati Trusted Root interni su dispositivi Android non gestiti; sfruttando la funzionalità Microsoft Tunnel for MAM, questa configurazione permette quindi di accedere correttamente e in modo sicuro a siti web o applicazioni interne.

 

Aggiornamento app DMG

È possibile aggiornare le app macOS con estensione DMG direttamente dal portale Microsoft Intune; semplicemente modificando l’app esistente ed eseguendo l’upload della nuova versione, sarà possibile procedere con l’update dell’applicazione sui dispositivi macOS.

 

Modifiche nella gestione del backup delle app su iCloud e nell’aggiornamento delle app VPP

Nella Service Release 2304, è stato inserito un nuovo setting a livello di deployment della singola app, che permette di consentire o impedire il backup delle app gestite su iCloud; impedire il backup delle app gestite garantirà che queste app possano essere distribuite correttamente tramite Intune quando il dispositivo viene registrato e ripristinato dal backup.

L’impostazione Prevent iCloud app backup è disponibile all’interno della sezione dedicata all’Assignement:

Figura 3 – Backup app gestite su iCloud

 

Per le app acquistate via Volume Purchase Program (VPP), è ora possibile inibire l’aggiornamento automatico dell’app attraverso l’apposito setting denominato Prevent automatic updates (Apps > iOS/iPadOS/macOS > <VPP app> > Properties > Assignments > AAD group > App settings).

 

Nuove protected app

Le seguenti protected app risultano essere state aggiunte su Microsoft Intune:

  • EVALARM (GroupKom GmbH)
  • ixArma (INAX-APPS)
  • Seismic | Intune (Seismic Software, Inc.)
  • Microsoft Viva Engage (Microsoft)
  • ixArma (INAX-APPS)
  • myBLDNG (Bldng.ai)
  • RICOH Spaces V2 (Ricoh Digital Services)
  • Firstup – Intune (Firstup, Inc.)

 

Device configuration

Nuovi settings per la gestione di device macOS

Anche nelle release di marzo e aprile, all’interno della sezione Settings Catalog, sono stati introdotti numerosi settings per applicare le opportune configurazioni. Qui sotto riportiamo le sezioni coinvolte:

  • macOS:
    • Microsoft Defender > Tamper protection > Enforcement level
    • Microsoft Office > Microsoft OneDrive > Automatic upload bandwidth percentage
    • Microsoft Office > Microsoft OneDrive > Automatically and silently enable the Folder Backup feature (aka Known Folder Move)
    • Microsoft Office > Microsoft OneDrive > Block apps from downloading online-only files
    • Microsoft Office > Microsoft OneDrive > Block external sync
    • Microsoft Office > Microsoft OneDrive > Disable automatic sign in
    • Microsoft Office > Microsoft OneDrive > Disable download toasts
    • Microsoft Office > Microsoft OneDrive > Disable personal accounts
    • Microsoft Office > Microsoft OneDrive > Disable tutorial
    • Microsoft Office > Microsoft OneDrive > Display a notification to users once their folders have been redirected
    • Microsoft Office > Microsoft OneDrive > Enable Files On-Demand
    • Microsoft Office > Microsoft OneDrive > Enable simultaneous edits for Office apps
    • Microsoft Office > Microsoft OneDrive > Force users to use the Folder Backup feature (aka Known Folder Move)
    • Microsoft Office > Microsoft OneDrive > Ignore named files
    • Microsoft Office > Microsoft OneDrive > Include ~/Desktop in Folder Backup (aka Known Folder Move)
    • Microsoft Office > Microsoft OneDrive > Include ~/Documents in Folder Backup (aka Known Folder Move)
    • Microsoft Office > Microsoft OneDrive > Open at login
    • Microsoft Office > Microsoft OneDrive > Prevent users from using the Folder Backup feature (aka Known Folder Move)
    • Microsoft Office > Microsoft OneDrive > Prompt users to enable the Folder Backup feature (aka Known Folder Move)
    • Microsoft Office > Microsoft OneDrive > Set maximum download throughput
    • Microsoft Office > Microsoft OneDrive > Set maximum upload throughput
    • Microsoft Office > Microsoft OneDrive > SharePoint Prioritization
    • Microsoft Office > Microsoft OneDrive > SharePoint Server Front Door URL
    • Microsoft Office > Microsoft OneDrive > SharePoint Server Tenant Name
    • Microsoft AutoUpdate (MAU) > [targeted app] > Update channel override

Sono stati inoltre introdotti due nuovi settings per la gestione degli aggiornamenti relativi ai sistemi macOS:

  • Max User Deferrals (macOS 12 o versioni successive): se l’opzione All other updates risulta essere impostata a Install later, questo setting permette di definire il numero massimo di volte in cui un utente può posticipare un aggiornamento del sistema operativo prima che venga installato; la notifica sulla disponibilità degli aggiornamenti avverrà una volta al giorno.
  • Priority (macOS 12.3 o versioni successive): se l’opzione All other updates risulta essere impostata a Install later, questo setting permette di definire il livello di priorità (Low o High) nella pianificazione e nel download degli aggiornamenti.

Infine, anche su device macOS, è ora possibile utilizzare l’opzione Disable Activation Lock (già disponibile su iOS e iPadOS) per bypassare la funzionalità Activation Lock senza richiedere username o password.

 

Esecuzione script Bash su device Linux

Nella Service Release 2303, è stata introdotta la possibilità di aggiungere script Bash in modo tale da poter configurare dispositivi Linux (Devices > Linux > Configuration Scripts); è possibile specificare il contesto con cui verrà eseguito lo script (utente o sistema), la frequenza di esecuzione e quanti retry saranno consentiti.

 

Aggiunta account Google su dispositivi Android Enterprise Personally owned con work profile

Attraverso l’utilizzo di un’apposita Device Configuration Policy (Devices > Device configuration > Create profile > Android Enterprise for platform > Personally-Owned Work Profile > Device restrictions > Work profile settings), è possibile gestire le tipologie di account che si possono aggiungere sul dispositivo gestito. In precedenza, l’unica opzione disponibile era quella di autorizzare o bloccare l’aggiunta di account aggiuntivi, mentre adesso risultano disponibili le seguenti opzioni:

  • Block all accounts types: Inibisce all’utente la possibilità di aggiungere o rimuovere account all’interno del profilo di lavoro. Per esempio, l’utente non è in grado di aggiungere un utente all’interno dell’app Gmail nel caso in cui questa risulti distribuita nel profilo di lavoro.
  • Allow all accounts types: Quest’opzione permette all’utente di aggiungere qualsiasi tipo di account, compresi account Google. Questi account non saranno però in grado di installare applicazioni attraverso il Managed Google Play Store (richiesto Google Play app versione 80970100 o successiva).
  • Allow all accounts types, except Google accounts (default): L’opzione di default, consente l’aggiunta di altri account a esclusione di quelli Google.

 

Nuovo profilo per la configurazione di Application Guard

Nella Service Release 2304, è possibile creare profili di App and Browser Isolation attraverso una nuova modalità; oltre alla nuova User Experience, sono stati modificati/inseriti i seguenti settings come:

  • Block external content from non-enterprise approved sites: questa configurazione è stata rimossa in quanto relaitva alla versione legacy di Microsoft Edge;
  • Clipboard file type: questa configurazione è stata aggiunta con l’introduzione della nuova modalità e permette di definire il tipo di contenuto che può essere copiato dall’host verso Application Guard e viceversa.

Device enrollment

Nuovo setting per finalizzazione configurazione durante la procedura di enrollment attraverso Setup Assistant

Durante la procedura di registrazione di device Apple nella modalità supervised (sfruttando i profili Apple Device Enrollment), è possibile attivare un nuovo setting denominato Await final configuration (Devices > iOS/iPadOS > iOS/iPadOS enrollment > Enrollment program tokens > Create profile) che consente di bloccare la schermata di Setup Assistant fino a quando non risulta essere stata finalizzata la configurazione del dispositivo.

Questa configurazione risulta essere molto utile per prevenire la modifica di settings da parte dell’utente prima che vengano applicati le varie policy.

 

Possibilità di creare più profili di registrazione nella modalità Android Fully Managed

Con il rilascio della release 2303, è stato introdotto il supporto per la creazione di più profili di registrazione (e di conseguenza generazione di più token) dedicati alla registrazione di device Android nella modalità Fully Managed.

Di conseguenza, sarà possibile creare differenti gruppi Azure AD dinamici o filtri basandosi sulla proprietà EnrollmentProfileName.

 

Nuova modalità di registrazione Azure AD Shared per device iPad (public preview)

Nel corso del mese di aprile, verrà progressivamente rilasciata una nuova modalità di registrazione condivisa per quanto riguarda i dispositivi iPad; questa nuova modalità di registrazione consentirà, attraverso un provisioning zero-touch, di registrare i dispositivi in modalità Azure AD shared.

Per maggiori informazioni su questo tipo di registrazione, sono disponibili al seguente link.

 

Device management

Miglioramenti nella configurazione delle Endpoint Security Firewall Policy

Nei mesi di Marzo e Aprile sono state introdotti alcuni miglioramenti legati alle policy di configurazione di Microsoft Defender Firewall all’interno della sezione Endpoint Security; nel dettaglio:

  • È stata introdotta la possibilità di configurare alcune opzioni legate al logging delle connessioni generate (queste configurazioni risultano disponibili per ogni profilo del firewall); le opzioni sono:
    • Enable Log Success Connections
    • Log File Path
    • Enable Log Dropped Packets
    • Enable Log Ignored Rules
Figura 4 – Opzioni logging profili firewall

 

  • Sono stati introdotti due nuovi settings legati a network list manager; network list manager permette di determinare quando è possibile utilizzare quando un dispositivo Azure AD si trova nelle subnet del proprio dominio on-prem in modo tale che le regole firewall possano essere applicate correttamente. Le opzioni introdotte sono:
    • Allowed Tls Authentication Endpoints
    • Configured Tls Authentication Network Name
  • È stata introdotta la possibilità di configurare regole in ingresso e uscita relative al protocollo ICMP (Internet Control Message Protocol).
  • È stata introdotta la possibilità di utilizzare il setting PolicyAppID in modo tale da poter applicare regole firewall a un’applicazione o a un gruppo di applicazioni sfruttando i criteri WDAC per definire tali applicazioni; questa funzionalità può essere utilizzata dal momento in cui sono presenti policy WDAC che includono tag AppId.

 

Monitor e Troubleshooting

Aggiornamento reportistica

A partire da queste release, sono state effettuate attività di revisione ed aggiornamento sulla parte di reportistica. Nel dettaglio:

  • È stata introdotta la possibilità di visualizzare i dispositivi collegati in modalità Tenant Attach nei report di Endpoint Security presenti nella console; ad esempio, questi device saranno visibili all’interno dei report:
    • Unhealthy endpoints (Endpoint Security – Antivirus)
    • Active malware operational (Endpoint Security – Antivirus)
    • Antivirus agent status (Reports – Microsoft Defender Antivirus)
    • Detected malware (Reports – Microsoft Defender Antivirus)
Figura 5 – Endpoint Security report con device Tenant Attach

 

  • Sono stati introdotti due nuovi stati legati agli organizational message per monitorare direttamente dall’interfaccia di amministrazione l’eventuale presenza di messaggi in stato pending o falliti:
    • Pending: Il messaggio non è stato ancora pianificato ed è attualmente in corso.
    • Failed: Il messaggio non è stato pianificato a causa di un errore del servizio.
  • Sono stati rilasciati in General Availability i report Windows feature update device readiness report (fornisce informazioni – per device – relative a eventuali problemi di compatibilità legati all’aggiornamento dell’OS) e Windows feature update compatibility risks report (fornisce una overview delle problematiche di compatibilità presenti per una specifica versione di OS).

 

Raccolta log di diagnostica legati a Endpoint Privilege Management

A fronte del rilascio della funzionalità Endpoint Privilege Management, è stato aggiornato il processo di raccolta dei dati di diagnostica per includere anche le informazioni legate a tale funzionalità; nel dettaglio sono stati inclusi:

  • Chiavi di registry:
    • HKLM\SOFTWARE\Microsoft\EPMAgent
  • Comandi:
    • %windir%\system32\pnputil.exe /enum-drivers
  • File:
    • %ProgramFiles%\Microsoft EPM Agent\Logs\*.*
    • %windir%\system32\config\systemprofile\AppData\Local\mdm\*.log

 

Role-based access control

Revisione permission dedicate agli organizational message

A partire dalla release di Aprile, sono state effettuate attività di revisione delle permission relative agli organizational message. Nel dettaglio:

  • È stata introdotta una nuova permission (Assign) che permette di definire chi può assegnare un organizational message a un determinato gruppo Azure AD.
  • È stata introdotta una nuova permission (Update organizational message control) che permette di definire chi può modificare il toogle relativo agli organizational message per consentire o bloccare i messaggi diretti Microsoft.

 

Valutazione di Intune

Per testare e valutare in modo gratuito i servizi offerti da Intune è possibile accedere a questa pagina.