Come consuetudine della nostra community, questo articolo riporta tutte le principali novità riguardanti la soluzione Microsoft Intune rilasciate negli ultimi 2 mesi; sarà possibile avere una panoramica complessiva delle principali novità rilasciate, in modo da rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per effettuare maggiori approfondimenti.
A febbraio, sono state rilasciate tre interessanti funzionalità riguardanti la famiglia Microsoft Intune Suite: Enterprise App Management, Advanced Analytics e Cloud PKI.
Enterprise App Management offre un catalogo di app preconfezionate in modo tale da semplificare il processo di predisposizione, distribuzione e aggiornamento delle applicazioni di terze parti; questa funzionalità consente di ridurre drasticamente i tempi di preparazione delle app e, allo stesso tempo, garantisce uno strato software sempre aggiornato riducendo eventuali superfici di attacco causate da applicazioni vulnerabili.
La procedura di distribuzione delle app presenti su Enterprise App Management è semplice e si riduce in pochi passi:
- Accedere alla console Microsoft Intune admin center con credenziali amministrative;
- Selezionare Apps – Windows;
- Premere sul pulsante Add;
- Dal menu a tendina, selezionare l’opzione Enterprise App Catalog app
- Premere Select;
- Selezionare l’app e la versione interessata dall’elenco di app disponibili;
- Completare il processo attraverso i pulsanti Next;
- Una volta ultimata la pacchettizzazione, sarà possibile finalizzare la procedura distribuendo l’applicazione ad un gruppi Entra ID o a tutti i dispositivi/utenti;
Advanced Analytics permette di avere a disposizione le informazioni necessarie per misurare come l’azienda sta lavorando e la qualità dell’esperienza utente che si sta fornendo ai propri dipendenti; migliorando la produttività degli utenti, Advanced Analytics consente di ridurre i costi IT dovuti a rallentamenti/problemi sui device.
Oltre alle informazioni raccolte da Endpoint Analytics, attraverso questa nuova funzionalità, è possibile visualizzare:
- Report sullo stato della batteria
- Questo report fornisce informazioni inerenti allo stato delle batterie nei device aziendali e sulla sua influenza sull’esperienza utente. Questo report ha lo scopo di aiutare gli IT admin nella gestione delle risorse hardware.
- Device query
- Questa funzionalità offre agli amministratori la possibilità di eseguire query real-time sui device Windows (utilizzando il linguaggio KQL) in modo tale da recuperare informazioni di inventario come, ad esempio, stato di cifratura dei volumi, aggiornamenti installati, chiavi di registry ed eventi di sistema.
Per maggiori informazioni su tale funzionalità, è disponibile un articolo dedicato al seguente link.
- Questa funzionalità offre agli amministratori la possibilità di eseguire query real-time sui device Windows (utilizzando il linguaggio KQL) in modo tale da recuperare informazioni di inventario come, ad esempio, stato di cifratura dei volumi, aggiornamenti installati, chiavi di registry ed eventi di sistema.
Cloud PKI è una componente di Intune Suite che permette di semplificare la gestione dei certificati consentendone l’emissione, il rinnovo e la revoca su multi-piattaforma: Windows, iOS, macOS e Android; il vantaggio principale di questa soluzione è quello di consentire una progressiva rimozione dei server on-premise legati all’infrastruttura PKI con la conseguente riduzione dei costi legati all’hardware ed a servizi come Network Device Enrollment Service (NDES) e reverse proxy.
Le Service Release 2401 e 2402 hanno introdotto altre interessanti novità, tra cui spiccano:
- Possibilità di distribuire Line-of-Business app (LOB) firmate nelle estensioni appx, .msix, .appxbundle e .msixbundle su dispositivi Surface Hub;
- Aumentato a 8GB il limite nella dimensione dei DMG e PKG che è possibile caricare su Intune e distribuire sui device macOS gestiti;
- Possibilità di effettuare il reset del PIN da parte dell’utente su applicazioni protette da App Protection Policy ove viene richiesto un codice per l’accesso;
- Possibilità di applicare App Protection Policy su app BlackBerry Protect Mobile (Cylance AI);
- Possibilità di importare fino a 20 ADMX/ADML su Microsoft Intune (il limite in precedenza era di 10);
- Rilasciati in General Availability gli scenari Pre-provisioning e Self-Deploying relativi alla soluzione Windows Autopilot;
- Possibilità di utilizzare i filtri nell’assegnazione delle policy relative a Endpoint Privilege Management (EPM);
Nei prossimi paragrafi verrà fornita una panoramica delle altre principali novità introdotte nelle ultime 2 release di Microsoft Intune.
App management
Nuove protected app
Le seguenti protected app risultano essere state aggiunte su Microsoft Intune:
- PrinterOn Print (PrinterOn, Inc.);
- Align for Intune (MFB Technologies, Inc.);
- Bob HR (Hi Bob Ltd);
- ePRINTit SaaS (ePRINTit USA LLC);
- Microsoft Copilot (Microsoft Corporation)
Configurazione app di default per invio messaggi SMS e MMS
Attraverso un’apposita App Protection Policy, è possibile definire con quale applicazione devono essere inviati i messaggi SMS e/o MMS; quando un utente premere su un numero di telefono per inviare un messaggio SMS e/o MMS, l’App Protection Policy reindirizza l’utente all’app configurata.
Nuovi permessi disponibili all’interno delle App Configuration Policy per device Android
Sfruttando le App Configuration Policy, è possibile configurare questi ulteriori permessi per le applicazioni installate su dispositivi Android:
- Allow background body sensor data
- Media Video (read)
- Media Images (read)
- Media Audio (read)
- Nearby Wifi Devices
- Nearby Devices
Device configuration
Disattivazione localizzazione su device Android Enterprise
Attraverso l’utilizzo di Device Configuration Policy (Devices > Configuration > Create > Android Enterprise for platform > Fully Managed, Dedicated, and Corporate-Owned Work Profile > Device Restrictions for profile type > General), è possibile gestire la localizzazione sui device Android Enterprise: impostando l’opzione Location a Block, verrà disattivata la funzionalità di localizzazione del dispositivo e, di conseguenza, tutti i servizi con dipendenze da tale servizio verranno impattati (compresa l’azione remota Locate device).
Per impostazione predefinita, l’OS potrebbe consentire l’utilizzo della posizione sul device.
Nuovi settings per la gestione di device macOS/iOS/iPadOS attraverso Settings Catalog
Nei mesi di gennaio e febbraio, all’interno della sezione Settings Catalog, sono stati introdotti ulteriori settings per permettere una migliore gestione dei device Apple:
- macOS
- Full Disk Encryption > FileVault > Force Enable In Setup Assistant
- Restrictions > Force Classroom Unprompted Screen Observation
- iOS/iPadOS
- Restrictions > Allow Live Voicemail
- Restrictions > Force Classroom Unprompted Screen Observation
- Restrictions > Force Preserve ESIM On Erase
Nella release 2402, è stata inoltre rilasciata in General Availability la funzionalità Await final configuration che consente di bloccare l’interfaccia fino a quando la configurazione attraverso Setup Assistant non risulta finalizzata; questa funzionalità permette agli IT Admin di assicurarsi che tutte le configurazioni vengano correttamente applicate prima che il device venga consegnato all’utente finale.
Configurazione MAC Address Randomization su dispositivi Android
Con il rilascio della Service Release di febbario, attraverso l’utilizzo di Device Configuration Policy (Devices > Configuration > Create > Android Enterprise for platform > Fully Managed, Dedicated, and Corporate-Owned Work Profile > Wi-Fi), è possibile attivare/disattivare il MAC Address Randomization; quando ci si collega ad una rete Wi-Fi, i dispositivi presentano un MAC Address generato in modo randomico invece dell’indirizzo fisico. Nel caso in cui si utilizzi un controllo nell’accesso alla rete (NAC), risulta necessario gestire questo tipo di configurazione per consentire al device di presentarsi sempre con lo stesso MAC Address.
Le configurazioni disponibili sono:
- Use device default: Intune non modifica i settings presenti pertanto, di default, viene presentato un MAC Address random; nel caso in cui l’utente effettui modifiche a tale configurazione, queste saranno persistenti.
- Use randomized MAC: attraveso questa opzione, Intune forza l’utilizzo di un MAC Address random e, nel caso in cui l’utente non apporti modifiche, queste verranno ripristinate al valore corretto alla successiva sincronizzazione.
- Use device MAC: a fronte della connessione con la rete Wi-Fi, il device presenterà sempre il proprio MAC Address fisico; nel caso in cui l’utente non apporti modifiche, queste verranno ripristinate al valore corretto alla successiva sincronizzazione.
Disattivazione Windows Copilot attraverso Settings Catalog
Sfruttando la funzionalità Settings Catalog, è possibile disattivare Windows Copilot in modo tale che gli utenti non siano in grado di utilizzare l’assistente AI di Microsoft. Nel caso in cui si attivi l’opzione Windows AI > Turn Off Copilot in Windows (User) verrà disattivata tale funzionalità e la rispettiva icona non sarà visibile nella task bar.
Device enrollment
Configurazione local account su dispositivi macOS
Durante la fase di enrollment di dispositivi macOS 10.11 (e versioni successive) attraverso Setup Assistant, è possibile consentire la configurazione del local primary account in modo tale da rendere il processo di provisioning più semplice e lineare, sgravando al tempo stesso l’IT da attività onerose in termini di tempo.
Questa opzione risulta disponibile solamente per dispositivi registrati attraverso Apple Automated Device Enrollment ed a fronte della selezione di un profilo con User-affinity.
Device management
Nuova interfaccia dedicata alla sezione Device
In queste settimane, è stata introdotta progressivamente la nuova interfaccia dedicata ai dispositivi sul portale Microsoft Intune:
I miglioramenti introdotti sono ad esempio:
- Una nuova struttura di navigazione incentrata sullo scenario;
- Integrazione con la sezione di reporting in modo tale da non dover effettuare cambi di pagina;
- Visualizzazione più coerente durante le ricerche, gli ordinamenti e i filtri.
Approvazione massiva dei driver
Con il rilascio della Service Release 2402, all’interno della sezione dedicata all’aggiornamento dei driver, è ora possibile approvare, mettere in pausa o rifiutare più aggiornamenti di driver contemporaneamente.
Quando si approvano i driver in blocco, è anche possibile impostare la data in cui i driver saranno disponibili in modo tale che questi vengano installati congiuntamente.
Device security
Supporto policy Defender Update control per device gestiti attraverso Security Settings Management
Su dispositivi gestiti attraverso la modalità Microsoft Defender for Endpoint Security Settings Management (per maggiori informazioni su tale modalità, fare riferimento al seguente link), è possibile utilizzare le policy Defender Update in modo tale da configurare su che canale attestare i dispositivi e, di conseguenza, definire la frequenza di aggiornamento delle signature.
Monitor e troubleshooting
Aggiornamento reportistica
A partire da queste release, sono state effettuate attività di revisione ed aggiornamento sulla parte di reportistica. Nel dettaglio:
- È stata introdotta una nuova lista di report all’interno della sezione Devices > Monitor riguardanti la configurazione, la compliance e la registrazione dei dispositivi.
- È stato introdotto un nuovo report all’interno della sezione Devices > Monitor riguardanti le Device actions.
- A fronte dell’export dei dati presenti su un report, viene mantenuto il filtro di visualizzazione applicato; ad esempio, se durante la visualizzazione del report viene eseguita una ricerca, i dati esportati conterranno solo le informazioni basate sulla ricerca condotta.
Log di dettaglio relativi a Microsoft Tunnel Server
Attraverso l’utilizzo dell’opzione Send logs (Tenant administration > Microsoft Tunnel Gateway > %servername% > Logs > Send verbose server logs), è possibile raccogliere log di dettaglio relativi alla soluzione Microsoft Tunnel:
Una volta premuto il pulsante Send Logs, vengono generate le seguenti azioni:
- Intune raccoglie ed invia i log a livello di default prima di attivare la generazione dei log dettagliati.
- Viene abilitata per 8 ore la raccolta dei log dettagliati (livello 4) per fornire il tempo necessario a riprodurre la problematica.
- Dopo 8 ore, Intune invia i log di dettaglio raccolti e ripristina il livello di default (livello 0). Se in precedenza è stato impostato un livello di dettaglio diverso dal default, è possibile ripristinarlo una volta completata la raccolta e il caricamento dei log.
Valutazione di Intune
Per testare e valutare in modo gratuito i servizi offerti da Intune è possibile accedere a questa pagina.