Microsoft Intune: le novità di Marzo-Aprile

Davide SalsiEnterprise Mobility, Microsoft Intune, What’s New in Microsoft Intune

Per rimanere costantemente aggiornati sulle novità riguardanti Microsoft Intune, la nostra community rilascia periodicamente questo riepilogo, che consente di avere una panoramica delle principali novità introdotte. In questo articolo troverete le novità, riportate in modo sintetico, e accompagnate dai riferimenti necessari per poter effettuare ulteriori approfondimenti.

Senza dubbio, la novità di maggiore rilevanza introdotta nella release di Aprile (2404 Service Release) riguarda l’introduzione di Copilot all’interno del portale di Microsoft Intune.

L’integrazione di Microsoft Intune con Copilot for Security offre ai professionisti IT un potente strumento per migliorare la gestione della sicurezza e dei dispositivi all’interno delle loro organizzazioni. Attraverso l’uso di insights basati sui dati e funzionalità avanzate, le organizzazioni possono ottenere una visione più chiara e dettagliata della loro infrastruttura IT e della loro security posture.

Copilot for Security permette quindi di visualizzare informazioni dettagliate sul proprio ambiente in ambito di device management: come ad esempio:

  • Descrizione delle impostazioni:
    • possibilità di visualizzare cosa fa ciascuna impostazione, come funziona, eventuali valori consigliati; inoltre è possibile verificare se il determinato setting è configurato in un’altra policy.
Figura 1 – Copilot (Descrizione delle impostazioni)
  • Riepilogo delle policy:
    • sulle policy esistenti, permette di recuperare in linguaggio naturale cosa fa la policy, gli utenti e i gruppi assegnati alla policy e le impostazioni nella policy.
Figura 2 – Copilot (Riepilogo delle policy)

 

  • Dettaglio sui dispositivi gestiti
    • possibilità di visualizzare informazioni di dettaglio sul device come proprietà hardware, configurazioni, device ID, data di enrollment, data di ultimo check-in, stato di compliance, ecc…
    • possibilità di confrontare le configurazioni e le proprietà tra due dispositivi.
Figura 3 – Copilot (Dettaglio dispositivi gestiti)

 

Altre novità di particolare rilevanza introdotte nelle ultime due Service Release sono:

  • Il rilascio della nuova versione 23H2 delle Security Baseline per Windows 10/11; queste baseline sono basate sulla versione 23H2 delle GPO presenti all’interno del Security Compliance Toolkit (SCT) disponibile sul sito Microsoft.
  • Supporto del formato HTML per le mail di mancata compliance che vengono inviate ai vari dispositivi gestiti.
  • Possibilità di distribuire aggiornamenti non di sicurezza attraverso gli expedite update; questo permette di rendere più veloce il processo di distribuzione degli aggiornamenti rispetto ai rilasci standard.
  • Possibilità di avere controllo completo su dispositivi macOS via Remote Help.
  • Introduzione di CrowdStrike Falcon come nuovo partner di Mobile Threat Defense (MTD) integrato con Intune.

 

Nei prossimi paragrafi verrà fornita una panoramica delle altre principali novità introdotte.

 

App management

Miglioramenti sulle app gestite per dispositivi Personally-owned

Nella Service Release di marzo, sono state introdotte alcune funzionalità relative alla gestione delle app per device personali che in precedenza risultavano disponibili solamente per dispositivi Android registrati in modalità corporate:

  • Available apps for device groups: è possibile rendere le app disponibili per gruppi di device mentre, in precedenza, era possibile renderle disponibili solo a gruppi di utenti;
  • Update priority setting: è possibile configurare la priorità di aggiornamento delle app presenti nel profilo di lavoro;
  • Required apps display as available in Managed Google Play: permette di rendere disponibili agli utenti le app required sul Managed Google Play;

 

Nuove protected app

Le seguenti protected app risultano essere state aggiunte su Microsoft Intune:

  • Cerby (Cerby, Inc.)
  • OfficeMail Go (9Folders, Inc.)
  • DealCloud (Intapp, Inc.)
  • Intapp 2.0 (Intapp, Inc.)
  • Asana: Work in one place (Asana, Inc.)
  • Freshservice for Intune (Freshworks, Inc.)
  • Kofax Power PDF Mobile (Tungsten Automation Corporation)
  • Remote Desktop (Microsoft Corporation)

 

Auto aggiornamento delle app available attraverso supersedence

La sostituzione delle Win32 app permette di sostituire le app distribuite come available attraverso l’aggiornamento automatico; ad esempio, se una Win32 app viene distribuita in modalità available e questa viene installata in autonomia dagli utenti, è ora possibile creare una nuova Win32 app per sostituire l’app precedente utilizzando l’aggiornamento automatico. Questa la funzionalità è disponibile come toggle nella sezione Available assignment all’interno del tab Assignements.

 

Device management

Nuovi settings per la definizione della compliance su device Android

All’interno della Service Release 2403, sono state introdotti nuovi settings per la definizione della compliance su device registrati nelle modalità Android Enterprise personally-owned con work profile e Android Enterprise corporate.

Per la prima modalità di registrazione, sono state introdotti vari check legati alla verifica della password per il profilo di lavoro, come:

  • Require a password to unlock work profile
  • Number of days until password expires
  • Number of previous passwords to prevent reuse
  • Maximum minutes of inactivity before password is required
  • Password complexity
  • Required password type
  • Minimum password length

Per le modalità di registrazione corporate (Fully managed, dedicated e corporate-owned con work profile), è stato introdotto un nuovo controllo legato all’integrità del dispositivo denominato Check strong integrity using hardware-backed security features che permette per l’appunto di verificare lo stato utilizzando l’attestazione della chiave supportata da hardware.

 

Nuova azione remota per gestione Config Refresh

Nella sezione Settings Catalog, è possibile configurare la funzionalità Configuration Refresh (o Config Refresh): questa funzionalità permette di impostare dopo quanto tempo le configurazioni veicolate da Intune devono essere riapplicate sui sistemi Windows senza la necessità che eseguano un check-in.

Con l’introduzione della remote action Pause configuration refresh è possibile bloccare momentaneamente questo comportamento (impostando un tempo massimo) in modo tale che gli amministratori IT possano eseguire le opportune azioni di troubleshooting e/o remediation; al termine del tempo impostato, tutti i settings verranno riapplicati nuovamente come da policy.

 

Device configuration

Nuovi settings per la gestione di device Apple su Settings Catalog

Anche in questi mesi sono stati introdotti settings all’interno della sezione Settings Catalog focalizzati ad una migliore gestione dei device Apple; qui sotto sono riportate le principali sezioni sulle quali sono state introdotte le nuove configurazioni:

  • iOS/iPadOS
    • Declarative Device Management (DDM) > Passcode > Maximum Passcode Age In Days
    • Declarative Device Management (DDM) > Passcode > Minimum Complex Characters
    • Declarative Device Management (DDM) > Passcode > Require Alphanumeric Passcode
  • macOS
    • Declarative Device Management (DDM) > Passcode > Change At Next Auth
    • Declarative Device Management (DDM) > Passcode > Custom Regex
    • Declarative Device Management (DDM) > Passcode > Failed Attempts Reset In Minutes
    • Declarative Device Management (DDM) > Passcode > Maximum Passcode Age In Days
    • Declarative Device Management (DDM) > Passcode > Minimum Complex Characters
    • Declarative Device Management (DDM) > Passcode > Require Alphanumeric Passcode
    • Full Disk Encryption > FileVault > Recovery Key Rotation In Months
    • Microsoft AutoUpdate (MAU) > Microsoft Teams (work or school)
    • Microsoft AutoUpdate (MAU) > Microsoft Teams classic
    • Microsoft Defender > Features > Use Data Loss Prevention
    • Microsoft Defender > Features > Use System Extensions

 

Nuovi settings per la gestione di device Windows su Settings Catalog

Con il rilascio della Service Release 2403, sono stati aggiunti nuovi settings per la gestione di alcune funzionalità del sistema operativo Windows all’interno della sezione Settings Catalog; qui sotto sono riportati le nuove configurazioni:

  • Delivery Optimization
    • DO Disallow Cache Server Downloads On VPN (blocca il download da un server Microsoft Connected Cache se il device risulta connesso in VPN)
    • DO Set Hours To Limit Background Download Bandwidth (specifica la larghezza di banda massima per il download in background)
    • DO Set Hours To Limit Foreground Download Bandwidth (specifica la larghezza di banda massima per il download in foreground)
    • DO Vpn Keywords (permette di specificare una oo più parole chiave da utilizzare per riconoscere la connessione VPN)
  • Messaging
    • Allow Message Sync (permette di eseguire il backup/restore dei messaggi di test sfruttando i servizi cloud di Microsoft)
  • Microsoft Defender Antivirus
    • Specify the maximum depth to scan archive files (permette di specificare il livello massimo di drill-down delle directory in cui i file di archivio (.zip o .cab) vengono decompressi durante la scansione)
    • Specify the maximum size of archive files to be scanned (dimensione massima dei file di archivio che vengono scansionati)

 

Aggiornamento filtri

La funzionalità filters ha subito alcuni aggiornamenti per renderla maggiormente fruibile; nel dettaglio sono state introdotte le seguenti novità:

  • possibilità di fruire dei filtri durante l’assegnazione delle app protection policies e delle app configuration policies per la gestione MAM di Windows;
  • possibilità di visualizzare i filtri per piattaforma, per Managed app o Managed devices;

 

Segnalazione di errore a fronte del superamento dimensione massima OEMConfig

A fronte della creazione di una policy OEMConfig per dispositivi Android Enterprise che supera la dimensione massima di 500 KB, sulla console Intune, viene visualizzato il seguente errore:

Profile is larger than 500KB. Adjust profile settings to decrease the size.

In precedenza, le custom policy che superavano i 500 KB venivano visualizzate in stato Pending.

 

Device security

Nuova modalità di elevazione dei privilegi su Endpoint Privilege Management (EPM)

All’inizio del mese di Aprile, è stata rilasciata una nuova modalità di elevazione dei privilegi su EPM denominata Support approved.

Rispetto alle precedenti modalità (automatica o confermata dall’utente), questa nuova modalità, permette di inviare una richiesta di elevazione agli amministratori di Intune che possono approvare o rigettare.

Quando la richiesta viene approvata, agli utenti viene notificato che l’applicazione può essere eseguita (con privilegi elevati) ed avranno a disposizione 24 ore dal momento dell’approvazione per procedere con l’azione prima che l’autorizzazione scada.

Per maggiori dettagli sulla funzionalità Endpoint Privilege Management, è disponibile al seguente link un articolo dedicato all’interno della nostra community.

 

Miglioramenti nella gestione di Microsoft Defender for Endpoint

Sono state apportate sostanziali modifiche nella sezione di Endpoint detection and response presente sul portale di Microsoft Intune per rendere la gestione di Microsoft Defender for Endpoint più semplice e intuitiva.

Oltre all’aggiornamento delle dashboard e della reportistica, è stata introdotta una nuova opzione Deploy preconfigured policy che consente di creare e distribuire policy per installare Microsoft Defender for Endpoint sui dispositivi applicabili.

Figura 4 – Deploy preconfigured policy

 

Nuova configurazione di enrollment per Windows Hello for Business

È stata resa disponibile una nuova configurazione di enrollment per Windows Hello for Business denominata Enable enhanced sign in security che impedisce agli utenti malevoli di accedere ai dati biometrici di un utente sfruttando periferiche esterne.

 

Cambiamenti nell’applicazione delle configurazioni dedicate alla funzionalità Windows Firewall

Sono state apportate sostanziali modifiche durante l’applicazione delle policy CSP dedicate alla funzionalità Windows Firewall.

In precedenza, a fronte di problemi su una specifica regola, il processo interrompeva l’elaborazione di quella regola e di tutte quelle successive senza tentare di applicarle; tuttavia, le regole applicate correttamente prima dell’errore rimanevano applicate al dispositivo. Questo comportamento portava ad una distribuzione parziale delle regole firewall sui vari sistemi Windows.

Con le modifiche apportate, quando una qualsiasi regola di uno specifico blocco non viene applicata al dispositivo, viene eseguito il rollback di tutte le regole dello stesso blocco applicate correttamente. Ciò garantisce che venga implementato il comportamento all-or-nothing (“tutto o niente”) in modo tale da impedire una distribuzione parziale delle regole firewall.

 

Monitor e troubleshooting

Nuovo report su stato distribuzione Windows Update

Nella release di aprile, è stato reso disponibile un nuovo report relativo a Windows Update: il report Windows update distribution permette di visualizzare, per ogni singola Quality Update, il numero di dispositivi aggiornati e la rispettiva percentuale di copertura.

È inoltre possibile effettuare un drill-down in modo tale da ottenere maggiori informazioni sullo stato di aggiornamento ed esportare tale lista per le opportune attività di troubleshooting.

Figura 5 – Report Windows update distribution

 

Valutazione di Intune

Per testare e valutare in modo gratuito i servizi offerti da Intune è possibile accedere a questa pagina.