Anche nei mesi estivi, Microsoft ha annunciato novità riguardanti Intune e, come di consueto, la nostra community rilascia questo riepilogo in modo tale rimanere così sempre aggiornati su questi argomenti e fornirvi una panoramica complessiva delle principali novità introdotte su Microsoft Intune.
Tra le principali novità introdotte nella release di luglio è opportuno segnalare il rilascio in General Availability della funzionalità Settings insight: questa funzionalità permette di avere informazioni dettagliate rispetto ai vari settings impostati con un confronto rispetto ad aziende simili.
Al momento, questa funzionalità risulta disponibile nelle Security Baseline relative a Microsoft Edge e Microsoft 365 Apps for Enterprise.
Anche il mese di agosto, ha visto il rilascio in General Availability di una delle funzionalità più interessanti in ottica di migrazione verso una gestione moderna degli endpoint: stiamo parlando di Group Policy Analytics.
Group Policy Analytics è un tool disponibile all’interno della console Microsoft Intune admin center che offre la possibilità di analizzare le proprie GPO presenti nella propria infrastruttura on-premise e convertirle in policy lato Intune (via Settings Catalog).
Inoltre, la Service Release 2308 ha introdotto alcune interessanti novità, tra cui spiccano:
- Il rilascio in General Availability della funzionalità Just in time registration and compliance remediation: su dispositivi iOS/iPadOS durante il processo di registrazione via Setup Assistant con modern authentication, è ora possibile sfruttare la modalità di provisioning presente built-in sul device senza dover installare e utilizzare l’app Company Portal.
- Il rilascio in General Availability della funzionalità Awaiting final configuration: durante il processo di registrazione in modalità automated device enrollment, il device risulterà bloccato fino a quando non saranno state applicate tutti i profili di configurazioni necessari.
- Possibilità di utilizzare la funzionalità Remote Help su dispositivi Android Enterprise (Samsung e Zebra) registrati nella modalità dedicated (kiosk).
- Il rilascio in General Availability del profilo Defender Update controls: attraverso questo profilo, su dispositivi Windows 10/11 e Windows Server, è possibile definire il canale che il sistema utilizzerà per effettuare l’aggiornamento della componente Microsoft Defender. Tale canale verrà utilizzato per il download di: signature, aggiornamenti mensile relativi alla piattaforma e aggiornamenti mensili relativi al motore AV.
Nei prossimi paragrafi verrà fornita una panoramica delle altre principali novità introdotte nelle ultime 2 release di Microsoft Intune.
App management
Supporto API Google Play Android Management
Con l’introduzione della release 2307, Microsoft ha introdotto il supporto alle Google Play Android Management API rendendo più semplice il processo di autorizzazione e sincronizzazione delle app dal Play Store gestito: ad esempio, per aggiungere una nuova app, sarà sufficiente selezionare (attraverso l’apposito pulsante) l’app di vostro interesse senza necessità di autorizzazione.
Distribuzione di PKG non gestiti su device macOS
È ora possibile caricare e distribuire applicazioni custom per macOS in formato PKG anche se questi non risultano firmati digitalmente; la procedura risulta essere la medesima utilizzata per la distribuzione delle altre app semplicemente accedendo alla sezione Apps > macOS > Add > macOS app (PKG).
Nuovi settings per la distribuzione di web clip
Su Intune, a fronte dell’aggiunta di web clip su device iOS e iPadOS, è ora possibile impostare alcuni nuovi settings, come:
- Full screen: impostando questo parametro a Yes, la web clip verrà avviata in modalità a tutto schermo senza un browser e non sarà possibile visualizzare URL e preferiti;
- Ignore manifest scope: se impostato a Yes, sarà possibile navigare su siti esterni attraverso la web clip senza visualizzare l’interfaccia di Safari;
- Precomposed: impedisce al launcher delle applicazioni di Apple (SpringBoard) di modificare l’icona aggiungendo l’effetto lucentezza.
- Target application bundle identifier: permette di specificare App bundle identifier (identificativo dell’app).
Per quanto riguarda i dispositivi macOS, con il rilascio della release di agosto, è ora possibile distribuire web clip sul Dock di tali dispositivi.
Modificati alcuni default nei settings dedicati agli script Powershell
Per far sì che venga applicato il principio “security-by-default”, sono stati modificati alcuni settings durante la creazione/distribuzione degli script Powershell attraverso Intune:
- Di default, gli script verranno eseguiti nel contesto utente (Run this script using the logged on credentials impostato a Yes);
- Verrà richiesto che gli script siano firmati digitalmente (Enforce script signature check impostato a Yes);
Queste configurazioni verranno applicate solamente ai nuovi script che verranno creati e non a quelli esistenti.
Nuove protected app
Le seguenti protected app risultano essere state aggiunte su Microsoft Intune:
- Dooray! for Intune;
- VerityRMS (Mackey LLC);
Blocco accesso al Microsoft Store pubblico su device Windows
Nel mese di agosto, è stato rilasciato un nuovo settings per bloccare l’accesso al Microsoft Store da dispositivi Windows: attraverso l’opzione Turn off the Store application, gli IT admin saranno in grado di bloccare l’accesso allo store pubblico Microsoft (anche attraverso l’accesso via winget) consentendo comunque all’utente di poter installare le applicazioni gestite dello Store attraverso l’app Company Portal.
Il precedente setting Only display the private store within the Microsoft Store app non impedisce all’utente finale di accedere direttamente al Microsoft Store utilizzando le API Winget; a tal proposito, si consiglia l’adozione del nuovo setting se si vuole evitare l’installazione di applicazioni non gestite.
Disinstallazione Win32 app e Microsoft Store app attraverso Company Portal
Ora gli utenti sono in grado di procedere in autonomia con la disinstallazione di Win32 app oppure di applicazioni del Microsoft Store se queste risultano essere state distribuite in modalità Available (cioè in modo non mandatorio); tale attività può essere effettuata attraverso l’applicazione Company Portal.
Configurazione tempo di installazione per Win32 app
Su Intune, è possibile impostare un tempo di installazione (espresso in minuti) per distribuire le app Win32; se l’installazione dell’app richiede più tempo rispetto al tempo di installazione impostato, l’installazione dell’app terminerà in errore. Il tempo massimo configurabile risulta essere 1440 minuti (1 giorno).
Aggiunto check per il rilevamento dell’integrità del dispositivo sui device Samsung Knox
Con il rilascio della release di agosto, è possibile aggiungere un ulteriore check sullo stato di integrità del dispositivo sui device Samsung Knox. All’interno delle App Protection Policy, è possibile richiedere che il rilevamento delle manomissioni e l’attestazione del dispositivo vengano eseguiti sui dispositivi Samsung compatibili.
Device management
Modifiche al comportamento della richiesta di autorizzazione per le notifiche Android
Nella Service Release 2308, il Product Group di Intune ha aggiornato il modo in cui le app Microsoft su Android gestiscono le autorizzazioni di notifica; tali modifiche si sono rese necessarie per allinearsi alle recenti modifiche apportate da Google alla piattaforma Android.
A seguito di tali modifiche, le autorizzazioni di notifica vengono concesse come segue:
- Su dispositivi Android 12 e versioni precedenti, per impostazione predefinita, le app possono inviare notifiche agli utenti.
- Su dispositivi Android 13 e versioni successive, le autorizzazioni di notifica variano a seconda dell’API a cui è destinata l’app.
- API 32 e versioni precedenti: Google ha aggiunto una notifica di autorizzazione che viene visualizzata quando l’utente apre l’app. Le app di gestione possono comunque configurare le app in modo che vengano concesse automaticamente le autorizzazioni.
- API 33 e versioni successive: sono gli sviluppatori delle app che definiscono quando vengono visualizzate le notifiche di autorizzazione. Le app di gestione possono comunque configurare le app in modo che vengano concesse automaticamente le autorizzazioni.
Tale modifica avrà un impatto sull’app Company Portal utilizzata per la gestione dei profili di lavoro: gli utenti visualizzano una richiesta di autorizzazione all’interno del profilo personale quando aprono l’app per la prima volta.
Tale comportamento non viene riscontrato sul profilo di lavoro in quanto le autorizzazioni vengono automaticamente consentite.
Device configuration
Supporto del MAC address nel servizio Compliance Retrieval
Con il rilascio della Service Release 2307, è stato introdotto il supporto del MAC address all’interno del servizio Compliance Retrieval; la versione iniziale del servizio includeva solamente il supporto per l’utilizzo dell’attributo Intune device ID con l’intento di eliminare la necessità di gestire identificatori interni come serial number e/o MAC address. Con il rilascio di questo aggiornamento, le organizzazioni che preferiscono utilizzare i MAC address rispetto all’autenticazione tramite certificato possono continuare a farlo durante l’implementazione del servizio Compliance Retrieval.
Maggiori informazioni su tale servizio sono disponibili al seguente link.
Nuovi settings per la gestione di device macOS su Settings Catalog
Anche nelle release di luglio e agosto, all’interno della sezione Settings Catalog, sono stati introdotti nuovi settings per applicare le opportune configurazioni sui dispositivi Apple. Qui sotto riportiamo le sezioni coinvolte:
- macOS
- Microsoft AutoUpdate (MAU) > Current Channel (Monthly)
- Microsoft Defender > User interface preferences > Control sign-in to consumer version
- Microsoft Office > Microsoft Outlook > Disable ‘Do not send response’
- User Experience > Dock > MCX Dock Special Folders
- Authentication > Extensible Single Sign On (SSO) > Account Display Name
- Authentication > Extensible Single Sign On (SSO) > Additional Groups
- Authentication > Extensible Single Sign On (SSO) > Administrator Groups
- Authentication > Extensible Single Sign On (SSO) > Authentication Method
- Authentication > Extensible Single Sign On (SSO) > Authorization Right
- Authentication > Extensible Single Sign On (SSO) > Group
- Authentication > Extensible Single Sign On (SSO) > Authorization Group
- Authentication > Extensible Single Sign On (SSO) > Enable Authorization
- Authentication > Extensible Single Sign On (SSO) > Enable Create User At Login
- Authentication > Extensible Single Sign On (SSO) > Login Frequency
- Authentication > Extensible Single Sign On (SSO) > New User Authorization Mode
- Authentication > Extensible Single Sign On (SSO) > Account Name
- Authentication > Extensible Single Sign On (SSO) > Full Name
- Authentication > Extensible Single Sign On (SSO) > Token To User Mapping
- Authentication > Extensible Single Sign On (SSO) > User Authorization Mode
- Authentication > Extensible Single Sign On (SSO) > Use Shared Device Keys
- Login > Login Window > Autologin Password
- Login > Login Window > Autologin Username
- Restrictions > Allow ARD Remote Management Modification
- Restrictions > Allow Bluetooth Sharing Modification
- Restrictions > Allow Cloud Freeform
- Restrictions > Allow File Sharing Modification
- Restrictions > Allow Internet Sharing Modification
- Restrictions > Allow Local User Creation
- Restrictions > Allow Printer Sharing Modification
- Restrictions > Allow Remote Apple Events Modification
- Restrictions > Allow Startup Disk Modification
- Restrictions > Allow Time Machine Backup
- Security > Passcode > Password Content Description
- Security > Passcode > Password Content Regex
- Microsoft Defender > Tamper protection > Process’s arguments
- Microsoft Defender > Tamper protection > Process path
- Microsoft Defender > Tamper protection > Process’s Signing Identifier
- Microsoft Defender > Tamper protection > Process’s Team Identifier
- Microsoft Defender > Tamper protection > Process exclusions
- iOS/iPadOS
- Restrictions > Allow iPhone Widgets On Mac
Device security
Supporto della Tamper Protection su Azure Virtual Desktop (AVD) multi-session
È ora possibile utilizzare le Endpoint Security policy per gestire la funzionalità Tamper Protection sulle VM Azure Virtual Desktop (AVD) multi-session.
Per attivare questa funzionalità, è necessario che venga effettuato preventivamente l’onboarding di tali device su Microsoft Defender for Endpoint.
Nuovi settings per le antivirus policy su piattaforma macOS
Per permettere una migliore gestione e, soprattutto, protezione dei dispositivi macOS, negli ultimi due mesi, il Product Group ha introdotto molteplici settings relativi alle antivirus policy; riportiamo qui sotto le nuove configurazioni disponibili e le relative sezioni interessate:
- Antivirus engine:
- Degree of parallelism for on-demand scans: specifica il grado di parallelismo per le scansioni su richiesta. Ciò corrisponde al numero di thread utilizzati per eseguire la scansione e influisce sull’utilizzo della CPU, nonché sulla durata della scansione su richiesta.
- Enable file hash computation: permette di abilitare o disabilitare la funzionalità di calcolo dell’hash del file. Quando questa funzionalità è abilitata, Windows Defender calcolerà gli hash per i file sottoposti a scansione.
- Run a scan after definitions are updated: specifica se avviare una scansione dopo il download dei nuovi aggiornamenti di Security Intelligence.
- Scanning inside archive files: se impostato a True, Defender decomprimerà gli archivi ed eseguirà la scansione dei file al loro interno.
- Network protection:
- Enforcement level: permette di specificare se la componente di Network Protection deve essere disabilitata, in audit mode o enforced.
- Tamper protection:
- Enforcement level: permette di specificare se la componente di Tamper Protection deve essere disabilitata, in audit mode o enforced.
- User interface preferences:
- Control sign-in to consumer version: specifica se gli utenti possono accedere alla versione consumer di Microsoft Defender.
- Show/hide status menu icon: permette di visualizzare o nascondere l’icona del menu di stato.
- User initiated feedback: consente agli utenti di inviare feedback a Microsoft accedendo all’apposita sezione Guida > Invia feedback.
Miglioramenti nella soluzione Endpoint Privilege Management
Nelle ultime due release del prodotto, sono state introdotte nuove funzionalità all’interno della soluzione Endpoint Privilege Management (EPM); nel dettaglio:
- È possibile utilizzare il modulo Powershell EpmTools per recuperare informazioni inerenti alle elevation rules ed effettuare attività di troubleshooting su EPM;
- È stato introdotto un nuovo setting denominato Child process behavior che consente di specificare il comportamento che EPM deve adottare nei confronti del/dei processi figlio creati dal processo gestito; queste le opzioni disponibili:
- Consentire l’esecuzione in contesto elevato di tutti i processi figlio creati dal processo gestito;
- Consentire a un processo figlio di essere eseguito con privilegi elevati solo quando corrisponde alla regola che gestisce il processo padre.
- Bloccare l’esecuzione in contesto elevato a tutti i processi figlio (tali processi verranno eseguiti in contesto standard);
- È stato rilasciato un nuovo report denominato Elevation report by applications (Endpoint security > Endpoint Privilege Management > Reports) che permette di visualizzare tutte le escalation di privilegi gestite e non gestite raggruppate per applicazione.
Per maggiori informazioni sulla funzionalità Endpoint Privilege Management (EPM), è possibile consultare il nostro articolo al seguente link.
Monitor e troubleshooting
Aggiornamento reportistica
A partire da queste release, sono state effettuate attività di revisione ed aggiornamento sulla parte di reportistica. Nel dettaglio:
- La sezione relativa alla compliance è stata completamente aggiornata per fornire maggiori informazioni sullo stato di conformità dei dispositivi; inoltre, sono stati rilasciati in Public Preview i seguenti report: Setting compliance (preview) e Policy compliance (preview) con lo scopo di:
- Fornire maggiori informazioni riguardo ai dispositivi Linux;
- Fornire dettagli approfonditi attraverso nuovi report specifici di drill-down;
- Semplificare la visualizzazione dei dispositivi; ad esempio, mostrando solo una volta il device anche se questo viene utilizzato da più utenti (in precedenza il dispositivo poteva comparire più volte all’interno del medesimo report).
- È stata introdotta la possibilità di visualizzare le applicazioni identificate su dispositivi Android Enterprise registrati in modalità corporate: all’interno della sezione Apps > Monitor > Discovered apps, gli amministratori IT saranno in grado di visualizzare nome e versione delle applicazioni identificate come installate su tali device.
Role-based access control
Introdotto nuovo permesso per le risorse Android for work
Nel mese di agosto, è stato introdotto un nuovo permesso denominato Update Enrollment Profile che consente di delegare, attraverso Role-based Access Control (RBAC), la gestione e conseguente modifica degli enrollment profile dedicati a dispositivi Android (Android Enterprise e Android AOSP).
Valutazione di Intune
Per testare e valutare in modo gratuito i servizi offerti da Intune è possibile accedere a questa pagina.