Nei mesi di settembre e ottobre sono state annunciate, da parte di Microsoft, varie novità riguardanti Microsoft Intune. La nostra community, tramite questi articoli, vuole fornire una panoramica complessiva delle principali novità, in modo da rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per effettuare maggiori approfondimenti.
La novità di maggiore rilevanza introdotta nella release di settembre risulta essere la disponibilità via Settings Catalog della funzionalità Config Refresh: attraverso questa funzionalità è possibile impostare, per i dispositivi Windows, una cadenza per riapplicare le configurazioni distribuite in precedenza senza necessariamente che il device esegua un check-in verso Intune (di default viene effettuato ogni 8 ore).
Le impostazioni via Settings Catalog risultano essere le seguenti:
- Enable config refresh: permette di attivare/disattivare la funzionalità;
- Refresh cadence (minutes): permette di definire ogni quanti minuti il device deve effettuare il refresh delle configurazioni.
Al momento, questa funzionalità risulta essere disponibile solamente per le piattaforme Windows Insider Preview.
Sempre sul tema Settings Catalog, è stata introdotta la possibilità di esportare/importare le policy basate su questo tipo di funzionalità direttamente dal portale di Microsoft Intune (in precedenza era possibile effettuare questo tipo di operazione solamente via Graph).
Anche il mese di ottobre ha visto il rilascio di interessanti novità, tra cui spicca la possibilità di registrare su Intune dispositivi iOS e iPadOS utilizzando la registrazione via portale web senza la necessità di dover scaricare l’applicazione Company Portal dallo store: attraverso questa funzionalità, quando un utente tenta di accedere ad un’app di lavoro sul proprio iPhone o iPad personale, è possibile richiedere la registrazione del device e l’applicazione reindirizzerà l’utente al sito Web del Portale aziendale per la registrazione.
Le Service Release 2309 e 2310 hanno introdotto altre interessanti novità, tra cui spiccano:
- Il rilascio in General Availability (GA) della funzionalità MAM for Windows: su dispositivi Windows non registrati su Intune è possibile proteggere le informazioni aziendali applicando delle policy di protezione dell’app Microsoft Edge (per maggiori informazioni a riguardo, potete consultare il nostro articolo disponibile al seguente link).
- La fine del supporto ad Agosto 2024 della modalità di registrazione Device Administrator su dispositivi con accesso ai Google Mobile Services (GMS); per questo motivo Samsung ha deprecato la funzionalità Kiosk su questo tipo di piattaforma;
- L’introduzione della funzionalità Remote Help su dispositivi macOS: attraverso la web application Remote Help un amministratore IT è in grado di avviare una sessione di assistenza remota verso un device macOS gestito.
- Il supporto della funzionalità Endpoint Privilage Management su Windows 365.
- Il rebranding di Windows Defender Application Control (WDAC) in App Control for Business;
- La disponibilità all’interno della sezione Settings Catalog degli ADMX per la configurazione di FSLogix;
Nei prossimi paragrafi verrà fornita una panoramica delle altre principali novità introdotte nelle ultime 2 release di Microsoft Intune.
App management
Nuove protected app
Le seguenti protected app risultano essere state aggiunte su Microsoft Intune:
- BuddyBoard (Brother Industries, LTD);
- Microsoft Loop (Microsoft Corporation);
Distribuzione Line-of-Business su device Android AOSP
A partire dalla Service Release di ottobre, è possibile distribuire o rimuovere applicazioni LOB su dispositivi Android Open Source Project.
Esecuzione script pre e/o post installazione di PKG unmanaged
La possibilità di distribuire applicazioni in formato PKG su device macOS è utile per installare app e/o pacchetti di componenti non firmati digitalmente; è ora possibile aggiungere script pre e/o post installazione per personalizzare ulteriormente l’installazione.
Questa funzionalità non è mandatoria e richiede almeno la versione 2309.007 dell’agent Intune per macOS.
Device enrollment
Single Sign-On (SSO) durante la registrazione di dispositivi Android Enterprise Fully Managed o corporate-owned with work profile (COPE)
Con il rilascio della Service Release 2309, un utente è in grado di registrare dispositivi Android Enterprise nelle modalità Fully Managed o corporate-owned with work profile (COPE) autenticandosi una sola volta durante il processo di provisioning mentre tutte le altre richieste di autenticazione avverranno in SSO.
Device management
Aggiunta colonna data di scadenza Management certificate
Il management certificate è un certificato presente su tutti i dispositivi gestiti da Microsoft Intune che viene utilizzato per le comunicazioni con l’authority MDM; è ora possibile visualizzare la data di scadenza di tale certificato direttamente dalla console aggiungendo la colonna Management certificate expiration date.
Device configuration
Nuovi settings per la gestione di device macOS
Anche nelle release di settembre e ottobre, all’interno della sezione Settings Catalog, sono stati introdotti nuovi settings per applicare le opportune configurazioni sui dispositivi Apple. Qui sotto riportiamo le sezioni coinvolte:
- macOS
- Managed Settings > Bluetooth > Enabled
- Managed Settings > MDM Options > Activation Lock Allowed While Supervised
- Microsoft Defender > Cloud delivered protection preferences > Cloud Block Level
- Privacy > Privacy Preferences Policy Control > System Policy App Data
- Restrictions > Force On Device Only Dictation
- iOS/iPadOS
- Managed Settings > App Analytics > Enabled
- Managed Settings > Accessibility Settings > Bold Text Enabled
- Managed Settings > Accessibility Settings > Grayscale Enabled
- Managed Settings > Accessibility Settings > Increase Contrast Enabled
- Managed Settings > Accessibility Settings > Reduce Motion Enabled
- Managed Settings > Accessibility Settings > Reduce Transparency Enabled
- Managed Settings > Accessibility Settings > Text Size
- Managed Settings > Accessibility Settings > Touch Accommodations Enabled
- Managed Settings > Accessibility Settings > Voice Over Enabled
- Managed Settings > Accessibility Settings > Zoom Enabled
- Managed Settings > Software Update Settings > Recommendation Cadence
- Managed Settings > Time Zone > Time Zone
- Managed Settings > Bluetooth > Enabled
- Managed Settings > MDM Options > Activation Lock Allowed While Supervised
La versione 2310 di Intune permette di gestire gli aggiornamenti software e il passcode utilizzando il protocollo Declarative Device Management (DDM) di Apple attraverso i Settings Catalog (Devices > Configuration profiles > Create profile > iOS/iPadOS or macOS for platform > Settings catalog for profile type > Declarative device management). Qui sotto, è possibile trovare le configurazioni disponibili per quanto riguarda i Software Update:
- Details URL: URL della pagina Web che mostra i dettagli dell’aggiornamento;
- Target Build Version: versione della build di destinazione a cui aggiornare il dispositivo, ad esempio 20A242 o 20A242a;
- Target Local Date Time: data/ora locale che specifica quando forzare l’installazione dell’aggiornamento;
- Target OS Version: versione del sistema operativo di destinazione a cui aggiornare il dispositivo, ad esempio 16.1 o 16.1.1;
Per quanto riguarda invece la configurazione del passcode, questi sono i settings disponibili:
- Automatic Device Lock: periodo di tempo massimo in cui un utente può rimanere inattivo prima che il device venga bloccato automaticamente;
- Maximum Grace Period: periodo di tempo massimo durante il quale un utente può sbloccare il dispositivo senza passcode;
- Maximum Number of Failed Attempts: numero massimo di tentativi errati nell’inserimento del codice prima che vengano eseguite le seguenti azioni:
- iOS/iPadOS: wipe del device
- macOS: blocco del device
- Minimum Passcode Length: numero minimo di caratteri che un codice deve avere;
- Passcode Reuse Limit: numero di codici utilizzati in precedenza che non possono essere utilizzati;
- Require Complex Passcode: se impostato a True, è richiesto un passcode complesso (non sono ammessi caratteri ripetuti e caratteri crescenti o decrescenti, come 123 o CBA);
- Require Passcode on Device: se impostato a True, l’utente deve impostare un passcode per accedere al dispositivo;
Introduzione di Remote Launch e rilascio in GA di Remote Help su Android
Nella Service Release di settembre, è stata resa disponibile la funzionalità Remote Launch; attraverso Remote Launch, l’operatore HelpDesk può avviare Remote Help sul suo dispositivo e sul device dell’utente inviandogli una notifica. Ciò consente di connettersi rapidamente a una sessione senza la necessità di scambiare codici di sessione. Sempre sul tema Remote Help, è stata rilasciata in General Availability la funzionalità di controllo remoto per i dispositivi Android.
Rilascio in GA dell’integrazione Zebra Lifeguard Over-the-Air
È stata rilasciata in General Availability l’integrazione tra Intune ed il servizio Zebra Lifeguard Over-the-Air: questo servizio consente di fornire aggiornamenti del sistema operativo (incluse le patch di security) ai dispositivi Zebra registrati su Intune in modalità Dedicated o Fully Managed con versione Android 8 o versioni successive.
Con l’integrazione tra Intune e Zebra Lifeguard è possibile:
- selezionare la versione del firmware da distribuire;
- impostare una pianificazione e scaglionare download e installazioni degli aggiornamenti;
- impostare i requisiti minimi di batteria, stato di carica e condizioni di rete per l’avvio dell’aggiornamento;
Con il rilascio in GA, questa soluzione ora richiede una licenza aggiuntiva per il suo utilizzo che risulta essere inclusa nei piani Intune Plan 2 o Microsoft Intune Suite.
Autorizzazioni avanzate per le app distribuite attraverso Managed Google Play
Nelle app rilasciate attraverso Managed Google Play è possibile concedere alle app autorizzazioni avanzate; attraverso il seguente profilo di configurazione Devices > Configuration profile > Create profile > Android Enterprise for platform > Fully Managed, Dedicated, and Corporate-Owned Work Profile > Device Restrictions for profile type > Applications è possibile configurare i seguenti settings:
- Allow other apps to install and manage certificates: alle app selezionate viene concesso l’accesso all’installazione e alla gestione dei certificati;
- Allow this app to access Android security logs: all’app selezionata viene concesso l’accesso ai log di sicurezza;
- Allow this app to access Android network activity logs: all’app selezionata viene concesso l’accesso ai registri delle attività di rete.
Per utilizzare queste impostazioni, l’app gestita deve utilizzare i delegated scopes.
Blocco nell’utilizzo della stessa password per sblocco device e accesso work profile
Prima dell’introduzione della Service Release 2310, su dispositivi Android Enterprise Personally-owned con work profile, un utente era in grado di utilizzare la stessa password per sbloccare il device e per accedere al profilo di lavoro; impostando il setting One lock for device and work profile a Block, un amministratore IT è in grado di impedire all’utente di utilizzare la stessa password (di default, l’utente è in grado di applicare la medesima password).
Attualmente, se la password del profilo di lavoro non soddisfa i requisiti impostati, l’utente visualizzerà una notifica ma il device non verrà marcato come non compliant.
Device security
Supporto delle policy EDR su device macOS e Linux
È ora possibile utilizzare le Endpoint Security policy per gestire la funzionalità Endpoint detection and response (EDR) sui dispositivi macOS e Linux; a tal proposito, è stato rilasciato un nuovo profilo di configurazione che include i seguenti nuovi settings:
- Type of tag: il GROUP tag permette di contrassegnare il device con il valore specificato all’interno del campo [Value of tag]; il tag potrà essere utilizzato per filtrare o raggruppare i dispositivi.
- Value of tag: permette di configurare il valore del tag.
Monitor e troubleshooting
Aggiornamento reportistica
A partire da queste release, sono state effettuate attività di revisione ed aggiornamento sulla parte di reportistica. Nel dettaglio:
- È stato rilasciato un nuovo report per la funzionalità Endpoint Privilage Management denominato Elevation report by Publisher (Endpoint security > Endpoint Privilege Management > Reports) che permette di visualizzare tutte le attività di elevazione dei privilegi (gestite e non) raggruppate per il produttore dell’applicazione.
- Sono stati rilasciati in GA i report di compliance Setting compliance e Policy compliance.
- La sezione relativa agli Update Ring è stata completamente aggiornata utilizzando la nuova reportistica disponibile su Intune in modo tale da fornire maggiori informazioni come:
- Dettagli sulla policy come data di creazione e data di modifica;
- Conteggio dei vari stati dei dispositivi;
- Metriche di successo per ciascuna impostazione configurata in modo diverso rispetto a quelle predefinite;
Role-based access control
Aggiornamento sullo scope UpdateEnrollment
Nel mese di agosto, è stato introdotto un nuovo permesso denominato Update Enrollment Profile che consente di delegare, attraverso Role-based Access Control (RBAC), la gestione e conseguente modifica degli enrollment profile dedicati a dispositivi Android (Android Enterprise e Android AOSP).
Con l’introduzione di questo nuovo ruolo, è stato aggiornato anche lo scope UpdateOnboarding: tale impostazione è stata aggiornata per gestire o modificare solo l’associazione di Android Enterprise con il Managed Google Play ed altre configurazioni a livello di account. Tutti i ruoli a cui è stato associato tale scope avranno incluso automaticamente anche lo scope UpdateEnrollmentProfiles.
Valutazione Intune
Per testare e valutare in modo gratuito i servizi offerti da Intune è possibile accedere a questa pagina.