Device Query ed Endpoint Analytics: inventario real-time dei sistemi Windows su Microsoft Intune

La gestione degli endpoint è diventata una componente cruciale nelle strategie IT moderne, soprattutto in un’epoca dove la forza lavoro è sempre più distribuita e connessa da qualsiasi parte del mondo; al giorno d’oggi, oltre alla pura gestione dei device, le aziende si trovano a dover gestire e migliorare al tempo stesso la produttività dei propri dipendenti.

La sfida di oggi è prevenire in modo proattivo problemi che potrebbero verificarsi e che potrebbero incidere negativamente sulla produttività: con la soluzione Endpoint Analytics, gli IT admin sono in grado di identificare problemi hardware, applicativi o legati a policy che possono rallentare i dispositivi e conseguentemente attuare attività di remediation prima che questi generino disservizi.

I benefici derivanti dall’utilizzo di Endpoint Analytics possono quindi essere sintetizzati come segue:

  • Visibilità: è necessario capire come funziona effettivamente la propria azienda basandosi sull’esperienza degli utenti (employee experience), su come condividono le informazioni, come eseguono riunioni o come comunicano tra di loro. Oltre all’esperienza utente, viene fornita anche un’esperienza tecnologica (Technology experience) che permette di avere informazioni riguardanti lo stato dei device, della connessione di rete e sul funzionamento delle applicazioni utilizzate.
  • Approfondimenti: identificare le opportunità per migliorare l’esperienza lavorativa.
  • Azioni: apportare gli opportuni accorgimenti e verificare come le misure adottate abbiano migliorato la produttività.

 

Per intercettare tempestivamente le problematiche che potrebbero avere un impatto negativo sulla produttività, è di fondamentale importanza avere accesso in tempo reale ai dati sullo stato e sulla configurazione dei propri dispositivi; in questo articolo, approfondiremo la soluzione di Device Query che permette di raccogliere questo tipo di informazioni sfruttando la soluzione Endpoint Analytics.

 

Panoramica e requisiti

Microsoft, come uno dei leader nel campo dell’Unified Endpoint Management, offre soluzioni per la gestione degli endpoint sia lato cloud con Microsoft Intune che lato on-premise con Microsoft Configuration Manager (aka SCCM).

Uno dei compiti fondamentali delle soluzioni di endpoint management è la possibilità di inventariare lo strato hardware e software presente sui dispositivi Windows; questi dati forniscono informazioni importanti riguardo lo stato, l’utilizzo e la sicurezza dei dispositivi stessi.

 

Entrambe le piattaforme di gestione offrono strumenti per l’inventario hardware e software ma, al tempo stesso, presentano approcci e funzionalità differenti.

Microsoft Configuration Manager fornisce un inventario completo che include anche informazioni su componenti hardware specifiche come porte USB, schede grafiche, schede di rete, ecc…; inoltre, gli amministratori dell’infrastruttura Configuration Manager possono predisporre inventari personalizzati per raccogliere dati specifici come ad esempio chiavi di registry.

D’altro canto, Configuration Manager richiede una infrastruttura on-premise e una manutenzione costante da parte dell’IT (es: mantenimento della matrice di supporto per il rilascio delle varie release di Windows), il che può comportare effort e di conseguenza costi aggiuntivi.

Fino a poco tempo fa, Microsoft Intune era in grado di fornire solo alcune informazioni riguardo allo stato ed alla configurazione degli endpoint utente, come ad esempio versione del sistema operativo, versione del TPM, ecc..; con il recente rilascio della soluzione Intune Advanced Analytics, anche Microsoft Intune ha esteso il proprio raggio d’azione riguardo ai dati di inventario: parte integrante di tale servizio è infatti la funzionalità Device Query che offre agli amministratori la possibilità di eseguire query real-time sui device Windows utilizzando il linguaggio KQL (Kusto Query Language).

Questa funzionalità fornisce informazioni di inventario aggiuntive come, ad esempio, lo stato di cifratura dei volumi, l’elenco degli aggiornamenti installati, le informazioni sullo stato di servizi e processi e altro, fino a consentire l’interrogazione di chiavi di registry e gli eventi di sistema.

 

A tal proposito, i vantaggi di Device Query si possono riassumere in questi semplici punti:

  • Interrogazione di dati live sui dispositivi gestiti;
  • Possibilità di verificare remotamente la configurazione del device (es: processi attivi, chiavi di registry, stato dei servizi);
  • Crittografia di tutte le query e dei risultati forniti;

 

Per poter utilizzare le funzionalità Intune Advanced Analytics, tra queste Device Query, è necessario acquistare una di queste licenze in quanto non risulta essere inclusa nel piano standard di Intune:

  • Microsoft Intune Suite: include (oltre ad Advanced Analytics) una serie di funzionalità avanzate inerenti alla gestione degli endpoint come Enterprise App Management, Endpoint Privilege Management, ecc…
  • Intune Advanced Analytics add-on: include le funzionalità Intune Advanced Analytics e Advanced Endpoint Analytics.

 

Figura 1 – Funzionalità e prezzi di Intune Suite

 

Nei prossimi paragrafi, andremo ad approfondire gli step necessari per utilizzare Device Query e forniremo esempi per raccogliere alcuni importanti dati di inventario.

 

Funzionamento della soluzione

Il primo passo per poter iniziare ad utilizzare la soluzione consiste nell’eseguire l’enroll dei dispositivi su Endpoint Analytics (per maggiori informazioni, fare riferimento al seguente link) e, contestualmente, assegnare all’utente una delle licenze sopra riportate.

Una volta completata tale procedura, sarà possibile visualizzare i dati raccolti semplicemente accedendo alle proprietà del device interessato:

  • Accedere alla console Microsoft Intune admin center con credenziali amministrative;
  • Selezionare Devices – Windows;
  • Dall’elenco dei dispositivi, selezionare il device interessato;
  • Selezionare l’opzione Device query
Figura 2 – Device Query

 

  • All’interno del campo dedicato, inserire la query necessaria per interrogare i dati inventariati.

 

Esempi di query

Stato di encryption dei volumi

EncryptableVolume

 

Elenco delle hotfix installate

WindowsQfe

| order by HotFixId asc

 

Elenco degli eventi di errore presenti nel repository System

WindowsEvent(‘System’, 7d)

| where Level == ‘ERROR’

| order by LoggedDateTime desc

 

Elenco dei servizi attivi sul device

WindowsService

| where State == ‘RUNNING’

 

Elenco dei certificati in scadenza (30 giorni)

Certificate

| project SubjectName, ValidFromDateTime, ValidToDateTime, CommonName

| where ValidToDateTime > now() and ValidToDateTime < now() + 30d

 

Elenco dei processi con elevato utilizzo di memoria

Process

| summarize AvgMemoryUsageBytes=avg(WorkingSetSizeBytes), MaxMemoryUsageBytes=max(WorkingSetSizeBytes), MinMemoryUsageBytes=min(WorkingSetSizeBytes) by ProcessName

| order by AvgMemoryUsageBytes desc

| project ProcessName, AvgMemoryUsageBytes, MaxMemoryUsageBytes, MinMemoryUsageBytes

 

Riferimenti

Si riportano alcuni utili riferimenti alle documentazioni ufficiali:

 

Conclusioni

Come riportato in precedenza, uno dei compiti fondamentali delle soluzioni di endpoint management è la possibilità di inventariare lo strato hardware e software presente sui dispositivi Windows; questi dati forniscono informazioni importanti riguardo lo stato, l’utilizzo e la sicurezza dei dispositivi stessi.

L’accesso in tempo reale a questi dati è fondamentale per gli IT admin per intercettare tempestivamente le problematiche, e soluzioni come Device Query offrono le informazioni necessarie per raggiungere questo obiettivo.