Come consuetudine della nostra community, in questo articolo verrà fornita una panoramica complessiva delle principali novità rilasciate da Microsoft su Intune; lo scopo di questi articoli è appunto quello di permettere a chi ci segue di rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per effettuare maggiori approfondimenti.
La novità di maggiore rilevanza è sicuramente l’imminente introduzione della gestione di driver e firmware attraverso Microsoft Intune; tale funzionalità permetterà di semplificare il processo di aggiornamento di tali componenti sui sistemi Windows, sfruttando tutta una serie di vantaggi come:
- Identificazione più semplice: grazie all’intelligenza del motore di Windows Update, l’identificazione dei driver disponibili risulta semplificata demandando a Microsoft l’effort necessario per trovare i driver necessari da applicare sui propri dispositivi.
- Qualità degli aggiornamenti: utilizzando tale procedura, i driver scaricati risultano essere certificati e validati sfruttando la collaborazione tra Microsoft ed i principali vendor hardware.
- Controlli granulari: gli amministratori IT saranno in grado di controllare in modo granulare quali driver potranno essere distribuiti sui device; sarà inoltre possibile sospendere la distribuzione nel caso in cui si evidenzi un problema impattante post installazione di uno specifico driver.
Un’altra interessantissima novità rilasciata nel mese di giugno è la possibilità di applicare policy MAM (Mobile Application Management) su Microsoft Edge per Windows; combinando le funzionalità di App Protection Policy, Windows Defender e Conditional Access, è possibile garantire l’accesso ai dati aziendali solo da dispositivi personali considerati conformi e protetti.
Questo permetterà alle aziende di introdurre un ulteriore layer di sicurezza per proteggere le informazioni aziendali.
Il mese di maggio ha visto la fine della disponibilità del servizio Microsoft Store for Business/Education; infatti, a partire dalla release 2305, il connettore presente su Intune non risulta più accessibile e tutte le applicazioni create non sono più distribuibili su dispositivi e utenti. Le applicazioni attualmente distribuite non verranno rimosse.
Per la distribuzione delle app presenti sul Microsoft Store, risulta necessario utilizzare la nuova modalità disponibile sul portale Microsoft Intune. Per maggiori informazioni, fare riferimento al seguente link.
Altre interessanti novità introdotte in questi mesi sono ad esempio:
- Rinomina delle Proactive Remediations in Remediations e disponibilità di tale funzionalità all’interno della sezione Devices.
- Possibilità di avviare l’azione di Wipe (invece che Erase) su device macOS e configurazione del setting Obliteration Behavior (per maggiori informazioni su tale setting, è possibile fare riferimento al documento ufficiale Apple disponibile al seguente link).
- Differenziazione della piattaforma Windows Server (rispetto a sistemi Windows client) su Microsoft Intune per sistemi registrati attraverso la soluzione Security Management for Microsoft Defender for Endpoint.
- Rilascio di una nuova Security Baseline per la messa in sicurezza della suite Microsoft 365 Apps.
- Rilascio della nuova versione di Security Baseline per Microsoft Edge versione 112.
- Rilascio in General Availability della nuova interfaccia dedicata al Troubleshooting; all’interno di tale interfaccia, è stata introdotta anche la possibilità di eseguire il download dei log generati dall’app Company Portal su dispositivi mobili (Android, iOS, macOS).
Nei prossimi paragrafi verrà fornita una panoramica delle altre principali novità introdotte negli ultimi 2 mesi in modo tale da avere i riferimenti necessari per gestire al meglio i propri endpoint.
App management
Supporto dei filtri su App Protection Policy e App Configuratio Policy
A partire dal mese di maggio, è possibile utilizzare i filtri anche per policy MAM come App Protection Policy e App Configuration Policy; inoltre, per rendere maggiormente flessibile l’applicazione di tali policy, è stata modificata la modalità di assignement per dispositivi gestiti e non gestiti sfruttando la proprietà Device Management Type.
Oltre a quella sopra citata, sarà possibile utilizzare anche le seguenti proprietà:
- Device Manufacturer
- Device Model
- OS Version
- Application Version
- MAM Client Version
Nuove protected app
Le seguenti protected app risultano essere state aggiunte su Microsoft Intune:
- Achievers (Achievers Inc.)
- Vision for iPad (Trusted Services PTE. LTD.)
- Global Relay (Global Relay Communications Inc.)
- Incorta (BestBuy) (Incorta, Inc.)
- Island Enterprise Browser (Island)
- Klaxoon for Intune (Klaxoon)
- Idenprotect Go (Apply Mobile Ltd)
- LiquidText (LiquidText, Inc.)
- MyQ Roger: OCR scanner PDF (MyQ spol. s r.o.)
- CiiMS GO (Online Intelligence (Pty) Ltd)
- Vbrick Mobile (Vbrick Systems)
Device enrollment
Nuova modalità di registrazione dei device iOS e iPadOS
Nella release 2305, è stata introdotta una nuova modalità di registrazione di dispositivi iOS/iPadOS versione 15 o successive: la nuova modalità denominata Account driven User Enrollment permette di registrare il device sfruttando la funzionalità di registrazione just-in-time che non richiede l’installazione dell’app Company Portal. Sarà quindi possibile avviare il processo di registrazione direttamente dall’app Settings rendendo la procedura di enrollment più semplice e veloce.
Device management
Miglioramenti nella gestione di dispositivi Android AOSP (Android Open Source Project)
Nella release di maggio, sono stati introdotti miglioramenti legati alla gestione e configurazione dei dispositivi Android AOSP; nel dettaglio, sono state introdotte le seguenti funzionalità:
- Supporto per dispositivi HTC Vive XR Elite – Pico Neo 3 Pro – Pico 4;
Nuovi settings per la gestione di device macOS/iOS/iPadOS attraverso Settings Catalog
Negli ultimi mesi, il Product Group ha introdotto alcuni settings per permettere una migliore gestione dei device Apple; all’interno della sezione Settings Catalog, sono stati introdotti i seguenti settings:
- macOS
- Microsoft Defender > Antivirus engine > Scanning inside archive files
- Microsoft Defender > Antivirus engine > Enable file hash computation
- Authentication > Extensible Single Sign On (SSO) > Authentication Method
- Authentication > Extensible Single Sign On (SSO) > Denied Bundle Identifiers
- Authentication > Extensible Single Sign On (SSO) > Registration Token
- Full Disk Encryption > FileVault > Output path
- Full Disk Encryption > FileVault > Username
- Full Disk Encryption > FileVault > Password
- Full Disk Encryption > FileVault > UseKeyChain
- iOS/iPadOS
- Networking > Network Usage Rules > SIM Rules
Device configuration
Configurazione Quiet Time
Su dispositivi Android e iOS/iPadOS, gli IT Admin sono in grado di predisporre una nuova policy per limitare la ricezione di notifiche al di fuori dell’orario di lavoro; ad esempio, le mail di Microsoft Outlook e le notifiche su Teams saranno disattivate automaticamente.
Accedendo alla sezione Apps > Quiet time, sarà possibile procedere con la creazione di queste policy dove si potrà specificare giorni e orari prestabiliti per il suppress delle notifiche.
Disponibilità nuovi settings su profili DFCI (Device Firmware Configuration Interface)
L’utilizzo di profili DFCI (Devices > Configuration profiles > Create profile > Windows 10 and later for platform > Templates > Device Firmware Configuration Interface), consente a Intune di inviare comandi alla componente UEFI (Unified Extensible Firmware Interface) attraverso il layer DFCI; questo layer rende la configurazione più resiliente agli attacchi malevoli e consente di bloccare le configurazioni gestite in modo tale che l’utente finale non possa modificarle. Nelle release di maggio e giugno, è stato introdotto il supporto ad ulteriori device Dynabook e Asus.
Miglioramenti e introduzione di nuove funzionalità nel servizio Remote Help
Nelle release 2305 e 2306, sono stati introdotti una serie di miglioramenti relativi al servizio Remote Help, come ad esempio:
- Conditional Access: Gli IT Admin possono ora utilizzare la funzionalità di Conditional Access per Remote Help; ad esempio, è possibile richiedere Multi-factor authentication o limitare l’accesso solo da indirizzi IP specifici.
- Enhanced chat: è stata introdotta una nuova chat che mantiene un thread continuo di tutti i messaggi e che supporta caratteri speciali e lingue aggiuntive tra cui cinese e arabo.
- Audit log: oltre ai report delle sessioni esistenti, gli amministratori possono ora accedere agli eventi di auditing; questa funzione consente di intercettare eventi necessari al troubleshooting.
- Cambio modalità di connessione: durante la sessione, è possibile sfruttare tale funzionalità che permette di passare dal controllo completo alla modalità di sola visualizzazione.
Attivazione/Disattivazione Personal Data Encryption su Windows 11
All’interno della sezione Settings Catalog, sono stati introdotti gli opportuni settings per poter attivare o disattivare la funzionalità Personal Data Encryption (PDE); questa funzionalità, introdotta su Windows 11 22H2, permette di cifrare i singoli file/contenuti invece che cifrare l’intero disco come BitLocker.
Integrazione con il servizio Zebra Lifeguard Over-the-Air
A partire dalla release 2305, è possibile sfrutta l’integrazione tra Microsoft Intune ed il servizio Zebra Lifeguard Over-the-Air per distrbuire aggiornamenti di sistema o patch di sicurezza su dispositivi Zebra registrati su Intune. Proprio come il servizio Samsung E-FOTA per dispositivi Samsung, questa integrazione consente di definire la versione specifica di firmware che si vuole distribuire sui device e quando pianificare l’installazione; è inoltre possibile specificare alcuni requisiti necessari che devono essere soddisfatti per procedere con l’aggiornamento, come ad esempio: livello minimo di batteria, stato di carica, condizioni di rete, ecc…
Tale funzionalità al momento risulta essere in Public Preview.
Possibilità di definire una lista di domini Google autorizzati
Nei mesi scorsi, era stata introdotta una nuova funzionalità che consentiva, attraverso l’utilizzo di un’apposita Device Configuration Policy (Devices > Device configuration > Create profile > Android Enterprise for platform > Personally-Owned Work Profile > Device restrictions > Work profile settings), di gestire le tipologie di account da aggiungere sul dispositivo gestito (in precedenza, l’unica opzione disponibile era quella di autorizzare o bloccare l’aggiunta di account aggiuntivi).
Con il rilascio della release 2305, tale funzionalità è stata integrata con la possibilità di definire una lista di domini Google autorizzati: attraverso l’opzione Google domain allow-list, l’amministratore IT sarà in grado di importare o aggiungere una lista di domini che l’utente potrà aggiungere al suo dispositivo gestito.
Device security
Aggiornamento settings Microsoft Defender su Endpoint Security policy
Nel corso del mese di maggio, all’interno della sezione Endpoint Security, sono stati introdotti un serie di settings aggiuntivi per la configurazione della componente Microsoft Defender sui sistemi Windows 10/11, come ad esempio:
- Metered Connection Updates
- Disable Tls Parsing
- Disable Http Parsing
- Disable Dns Parsing
- Disable Dns Over Tcp Parsing
- Disable Ssh Parsing
- Platform Updates Channel
- Engine Updates Channel
- Security Intelligence Updates Channel
- Allow Network Protection Down Level
- Allow Datagram Processing On Win Server
- Enable Dns Sinkhole
Nuova Application Control policy su Endpoint Security
All’interno della sezione Endpoint Security, è stata introdotta una nuova sezione denominata Application Control dove poter applicare le seguenti configurazioni:
- Managed Installer: attivando questa configurazione, tutte le app distribuite attraverso l’Intune Managed Extension verranno contrassegnate come installate da Intune; questo tag risulta utile quando si utilizzano policy di Application Control per gestire l’esecuzione di determinate applicazioni su dispositivi gestiti.
- Application Control: permette di definire policy che consentono l’esecuzione di app attendibili sui dispositivi gestiti; le app attendibili sono app come quelle installate da un Managed Installer, dall’App Store o specificate attraverso un apposito file xml.
Opzione Run with elevated access disponibile nel menu contestuale principale di Windows 11
Endpoint Privilege Management ha lo scopo di autorizzare l’esecuzione di determinati processi da parte di utenti che non detengono privilegi elevati; ciò avviene attraverso la definizione di policy di sicurezza che determinano chi può accedere a determinati privilegi e su quali processi.
Nella release 2306, è stata introdotta l’opzione Run with elevated access all’interno del menu contestuale principale di Windows 11.
In precedenza, per accedere a tale opzione, l’utente doveva premere su Show more options per visualizzare il menu contestuale aggiuntivo.
Monitor and troubleshooting
Aggiornamento reportistica
A partire dalla release di maggio, sono state effettuate attività di revisione ed aggiornamento sulla parte di reportistica. Nel dettaglio:
- Sfruttando la nuova infrastruttura, è stata aggiornata la parte di reporting riguardante l’applicazione di policy MAM; tutte le informazioni riguardanti questo tipo di policy saranno disponibili all’interno della sezione Apps > Monitor.
- È stata aggiornata la parte di reporting riguardante la funzionalità Endpoint Privilege Management in modo tale da poter esportare gli eventi generati in formato csv.
Valutazione di Intune
Per testare e valutare in modo gratuito i servizi offerti da Intune è possibile accedere a questa pagina.