Quest’ultima parte dell’anno è stata caratterizzata dal rilascio di interessanti novità da parte di Microsoft in merito alla soluzione Microsoft Intune. Questo articolo riporta tutte le principali novità riguardanti la soluzione rilasciate nell’ultimo bimestre; sarà quindi possibile avere una panoramica complessiva delle principali novità rilasciate, in modo da rimanere sempre aggiornati su questi argomenti.
Tra le funzionalità più rilevanti introdotte con le Service Release 2311 e 2312, si evidenziano le seguenti novità:
- Il rilascio in General Availability (GA) della funzionalità di Shared device mode su dispositivi iOS e iPadOS: attraverso questa feature, è possibile dotare i frontline workers di un dispositivo condiviso al quale poter accedere con le proprie credenziali in caso di necessità.
- L’aggiornamento delle Security Baseline relative ai prodotti Microsoft 365 Apps for Enterprise e Microsoft Edge.
- L’aggiornamento delle Feature Update policy per permettere, attraverso un’unica policy, di distribuire Windows 11 sui dispositivi idonei all’aggiornamento, garantendo al tempo stesso che i device non idonei siano comunque aggiornati all’ultima build di Windows 10; questo aggiornamento fa sì che gli amministratori non debbano creare o gestire gruppi di dispositivi in base all’idoneità.
- Il rilascio della funzionalità MAM for Windows anche per gli scenari governativi americani ma, soprattutto, per Intune gestito da 21Vianet in Cina: con questa funzionalità, su dispositivi Windows non registrati su Intune è possibile proteggere le informazioni aziendali applicando delle policy di protezione dell’app Microsoft Edge (per maggiori informazioni a riguardo, potete consultare il nostro articolo disponibile al seguente link).
Di seguito, riportiamo le altre novità di maggiore interesse introdotte in questi due mesi.
App management
Introdotto stato di Grace Period all’interno dell’app Company Portal per device Android
L’app Company Portal per Android e Android AOSP permette ora di visualizzare lo stato di Grace Period per i dispositivi che non soddisfano i requisiti di conformità ma sono ancora entro il periodo di grace period specificato. Attraverso questa informazione, l’utente è in grado di visualizzare la data entro la quale il suo device deve risultare conforme e gli step necessari per applicare le opportune remediation. Se l’utente non applicherà le opportune modifiche entro la data specificata, il dispositivo verrà contrassegnato come non compliant.
Nuove protected app
Le seguenti protected app risultano essere state aggiunte su Microsoft Intune:
- Hey DAN for Intune by Civicom, Inc.
- Microsoft Azure by Microsoft Corporation
- KeePassium for Intune by KeePassium Labs
- Akumina EXP by Akumina Inc.
Configurazione offline caching per l’app Microsoft 365 (Office) su dispositivi Android
Nel caso in cui si sia impostata l’opzione Save As to Local Storage a Block all’interno di una App Protection Policy (per inibire il salvataggio in locale delle informazioni), è possibile utilizzare una Configuration Key all’interno dell’App Configuration Policy per attivare o disattivare l’offline caching. Tale configurazione è disponibile solamente per l’app Microsoft 365 (Office) su Android.
Introduzione di nuove configurazioni per la Managed Home Screen
Nel mese di Novembre, sono stati introdotti, in Public Preview, alcuni nuovi settings per la configurazione dell’app Managed Home Screen; questa app viene utilizzata su dispositivi Android Enterprise registrati in modalità dedicated per rendere il device un dispositivo kiosk.
Oltre ad alcune modifiche all’interfaccia utente, è stata introdotta una nuova barra di navigazione in cui gli amministratori possono configurare gli attributi di identificazione del dispositivo da visualizzare; inoltre, gli utenti potranno accedere alle impostazioni e visualizzare eventuali notifiche quando vengono richieste le autorizzazioni.
Infine, all’interno dell’app protection policy, sono state introdotte le seguenti opzioni per la configurazione dell’app:
- Enable updated user experience
- Top Bar Primary Element
- Top Bar Secondary Element
- Top Bar User Name Style
Maggiori informazioni per la configurazione dell’app Managed Home Screen, sono disponibili al seguente link.
Device management
Possibilità di utilizzare variabili all’interno delle email di notifica
Con il rialascio della release di dicembre, è possibile utilizzare delle variabili all’interno delle email di notifica all’utente dal momento in cui il dispositivo assegnato risulta non conforme con le regole aziendali; sarà quindi possibile utilizzare variabili come {{username}} e/o {{devicename}} per personalizzare le mail che verranno inviate all’utente.
Questa funzionalità è disponibile su tutte le piattaforme attualmente gestite da Microsoft Intune.
Aggiornamento report relativo al connettore di Microsoft Defender for Endpoint
È stato aggiornato il report relativo al connettore di Microsoft Defender for Endpoint rendendo l’interfaccia similare a quella dei nuovi report presenti nella soluzione; inoltre, è stato incluso il numero di dispositivi che sono stati onboardati in MDE sulla base delle rispettive policy CSP.
Device configuration
Nuovi settings per la gestione di device macOS, iOS e iPadOS
Anche nelle release di novembre e dicembre, all’interno della sezione Settings Catalog, sono stati introdotti nuovi settings per applicare le opportune configurazioni sui dispositivi Apple. Qui sotto riportiamo le sezioni coinvolte:
- iOS/iPadOS
- Managed Settings > Data roaming
- Managed Settings > Personal hotspot
- Managed Settings > Diagnostic submission
Nuovi settings per la gestione della funzionalità Windows Subsystem for Linux
Nella release 2311, all’interno della sezione Settings Catalog, sono stati introdotti nuovi settings per permettere agli IT admin di gestire in modo centralizzato la funzionaltà Windows Subsystem for Linuxg; nel dettaglio, sono stati introdotti i seguenti settings:
- Allow kernel debugging
- Allow custom networking configuration
- Allow custom system distribution configuration
- Allow kernel command line configuration
- Allow custom kernel configuration
- Allow WSL1
- Allow the Windows Subsystem for Linux
- Allow the Inbox version of the Windows Subsystem For Linux
- Allow user setting firewall configuration
- Allow nested virtualization
- Allow passthrough disk mount
- Allow the debug shell
Device security
Nuovi settings per la gestione della componente Defender su sistemi Windows e Linux
In ottica di uniformare la gestione e la messa in sicurezza di tutte le tipologie di endpoint gestite da Intune, negli ultimi mesi, sono state introdotte una serie di nuovi settings per la gestione della componente Microsoft Defender antivirus sui sistemi Windows e Linux; riportiamo qui sotto l’elenco delle nuove configurazioni disponibili per i due sistemi operativi:
- Linux:
- cloudblocklevel
- scanarhives
- scanafterdefinitionupdate
- maximumondemandscanthreads
- behaviormonitoring
- enablefilehashcomputation
- networkprotection
- enforcementlevel
- nonexecmountpolicy
- unmonitoredfilesystems
- Windows
- RandomizeScheduleTaskTimes – questa impostazione consente la randomizzazione dell’ora di inizio della scansione sui dispositivi
- SchedulerRandomizationTime – impostando questa impostazione è possibile impostare i limiti per l’ora di inizio casuale
Defender for Endpoint security settings management disponibile in GA per sistemi Linux e macOS
La funzionalità Defender for Endpoint security settings management consente di veicolare profili di configurazione legati alla sicurezza attraverso Intune senza la necessità di dover eseguire l’enrollment di tali dispositivi; le configurazioni verranno applicate una volta che il dispositivo avrà effettuato l’onboarding in Microsoft Defender for Endpoint. Ora tale funzionalità risulta essere stata rilasciata in GA per i sistemi Linux e macOS.
Nuove regole di Windows Firewall per la gestione della componente Hyper-V
Nella release 2311, sono stati introdotti nuovi settings relativi al profilo Windows Firewall; le nuove impostazioni possono essere utilizzate per gestire la componente Hyper-V.
Alla categoria Firewall sono state aggiunte le seguenti impostazioni:
- Target – quando l’opzione Target è impostata su Windows Subsystem for Linux, i seguenti sotto-settings vengono applicati:
- Enable Public Network Firewall
- Enable Private Network Firewall
- Allow Host Policy Merge
- Enable Domain Network Firewall
- Enable Loopback
Esclusioni proxy su profilo VPN per Microsoft Tunnel
Su dispositivi Android Enterprise, è ora possibile configurare un elenco di esclusioni proxy durante la configurazione di un profilo VPN per Microsoft Tunnel; con l’introduzione di questa modifica, gli IT admin sono in grado di escludere specifici domini dalla configurazione del proxy senza l’utilizzo di un proxy PAC (Proxy Auto-Configuration). L’elenco di esclusioni è disponibile sia con Microsoft Tunnel che con Microsoft Tunnel per MAM ed è supportato negli ambienti che utilizzano un singolo proxy (nel caso in cui si utilizzino più server proxy, è necessario continuare ad utilizzare un file .PAC).
Metrica relativa allo stato del certificato TLS utilizzato da Microsoft Tunnel
Con il rilascio della Service Release di dicembre, è stata aggiunta una nuova metrica relativa alla funzionalità Microsoft Tunnel per determinare lo stato di revoca del certificato TLS; questa nuova metrica segnala lo stato del certificato TLS accedendo all’OCSP (Online Certificate Status Protocol) o all’indirizzo CRL come indicato nel certificato. Accendendo alla sezione Tenant administration > Microsoft Tunnel Gateway > Health status > <servername> > Health check, è possibile visualizzare i seguenti stati:
- Healthy: il certificato non risulta revocato;
- Warning: non è possibile verificare lo stato di revoca del certificato;
- Unhealthy: il certificato risulta revocato e deve essere aggiornato;
Valutazione di Intune
Per testare e valutare in modo gratuito i servizi offerti da Intune è possibile accedere a questa pagina.