Microsoft Intune: le novità di Maggio-Giugno

Davide SalsiEnterprise Mobility, Microsoft Intune, What’s New in Microsoft Intune

Nei mesi di Maggio e Giugno sono state annunciate, da parte di Microsoft, varie novità riguardanti Microsoft Intune. La nostra community, tramite questi articoli, vuole fornire una panoramica complessiva delle principali novità, in modo da rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per effettuare maggiori approfondimenti.

 

La novità di maggiore rilevanza introdotta nella release di Giugno risulta essere il supporto per le estensioni .msi (Windows Installer) e .ps1 (Powershell) sulla soluzioni Endpoint Privilege Management (EPM).

Attraverso EPM, un amministratore IT è in grado di autorizzare l’esecuzione di determinati processi da parte di utenti che non detengono privilegi elevati; ciò avviene attraverso la definizione di policy di sicurezza che determinano chi può accedere a determinati privilegi e su quali processi. Queste politiche di sicurezza possono essere basate su una serie di fattori, come l’hash del file o il certificato con cui è stato firmato l’eseguibile.

Per maggiori dettagli su questa funzionalità, è possibile consultare il nostro articolo al seguente link.

 

Ad inizio maggio, è stata introdotta una nuova funzionalità su Intune riguardante i sistemi macOS: Platform SSO. La funzionalità Platform Single Sign-On consente di sincronizzare le credenziali dell’account locale con un Identity provider, come ad esempio Microsoft Entra ID; la password dell’account locale viene sincronizzata automaticamente, in modo che la password presente in Entra ID e quella locale coincidano.

Per sfruttare al meglio questa funzionalità, è necessario aver installata la versione 5.2404.0 (o successive) dell’app Company Portal su dispositivi macOS 14.0 (o versioni successive).

Anche in questo caso, per maggiori dettagli, è disponibile un articolo specifico al seguente link.

 

Le Service Release 2405 e 2406 hanno introdotto altre interessanti novità, tra cui spiccano:

  • Possibilità di distribuire Feature Update per sistemi Windows 11 in modalità opzionale;
  • Rilascio della nuova versione (24H1) delle baseline relative a Microsoft Defender for Endpoint;
  • Introdotti vari miglioramenti nell’interfaccia grafica della console Microsoft Intune admin center;
  • Introdotto un nuovo report Managed Apps che fornisce dettagli sulle app distribuite via Enterprise App Catalog per uno specifico device;
  • Possibilità di visualizzazione della Certification Authority key type (CA keys) utilizzata per il signing e l’encryption in un’infrastruttura Cloud PKI;
  • Possibilità di visualizzare le azioni di Delete eseguite sui device attraverso il report Device Actions (presente all’interno della sezione Devices > Monitor).

 

Nei prossimi paragrafi verrà fornita una panoramica delle altre principali novità introdotte nelle ultime due release di Microsoft Intune.

 

App management

Nuove protected app

Le seguenti protected app risultano essere state aggiunte su Microsoft Intune:

  • Atom Edge – iOS (Arlanto GmbH)
  • HP Advance for Intune (HP Inc.)
  • IntraActive (Fellowmind)
  • Microsoft Azure – Android (Microsoft Corporation)
  • Mobile Helix Link for Intune (Mobile Helix)
  • VPSX Print for Intune (Levi, Ray & Shoup, Inc.)
  • app (Fellow Insights Inc)
  • Unique Moments (Unique AG)

 

Device configuration

Disattivazione localizzazione su device Android Enterprise

Attraverso l’utilizzo di Device Configuration Policy (Devices > Configuration > Create > Android Enterprise for platform > Fully Managed, Dedicated, and Corporate-Owned Work Profile > Device Restrictions for profile type > General), è possibile gestire la localizzazione sui device Android Enterprise: impostando l’opzione Location a Block, verrà disattivata la funzionalità di localizzazione del dispositivo e, di conseguenza, tutti i servizi con dipendenze da tale servizio verranno impattati (compresa l’azione remota Locate device).

Per impostazione predefinita, l’OS potrebbe consentire l’utilizzo della posizione sul device.

 

Nuovi settings per la gestione di device macOS/iOS/iPadOS attraverso Settings Catalog

Nei mesi di maggio e giugno, all’interno della sezione Settings Catalog, sono stati introdotti ulteriori settings per permettere una migliore gestione dei dispositivi Apple:

  • macOS
    • Microsoft AutoUpdate (MAU) > Microsoft Teams (work or school)
    • Microsoft AutoUpdate (MAU) > Microsoft Teams classic
    • Microsoft Defender > Features > Use Data Loss Prevention
    • Microsoft Defender > Features > Use System Extensions
    • Privacy > Privacy Preferences Policy Control > Bluetooth Always

 

  • iOS/iPadOS
    • Restrictions > Allow Web Distribution App Installation
    • System Configuration > Font > Font
    • System Configuration > Font > Name

 

Nuovi settings per la gestione degli aggiornamenti su iOS e iPadOS via Settings Catalog

La versione 2406 di Intune permette di gestire gli aggiornamenti software di device iOS e iPadOS utilizzando il protocollo Declarative Device Management (DDM) di Apple via Settings Catalog (Devices > Configuration profiles > Create profile > iOS/iPadOS > Settings catalog for profile type > Declarative device management (DDM) > Software Updates). Qui sotto, è possibile trovare le configurazioni disponibili per quanto riguarda i Software Update:

  • Details URL: URL della pagina Web che mostra i dettagli dell’aggiornamento;
  • Target Build Version: versione della build di destinazione a cui aggiornare il dispositivo, ad esempio 20A242 o 20A242a;
  • Target Date Time: data/ora locale che specifica quando forzare l’installazione dell’aggiornamento;
  • Target OS Version: versione del sistema operativo di destinazione a cui aggiornare il dispositivo, ad esempio 16.1 o 16.1.1;

 

Device enrollment

Nuova funzionalità Enrollment time grouping

Con il rilascio della nuova modalità di provisioning di Windows Autopilot denominata Device Preparation, è stata introdotta anche una nuova funzionalità chiamata Enrollment time grouping; questa nuova feature permette di raggruppare più velocemente i device durante la registrazione. Una volta configurato, Intune aggiunge dispositivi al gruppo appropriato senza richiedere inventari o valutazioni dinamiche. Per configurare l’Enrollment time grouping, è necessario creare un gruppo di sicurezza Microsoft Entra statico, impostare come owner del gruppo il Service Principal Intune Autopilot ConfidentialClient ed assegnare il gruppo al profilo di registrazione.

Durante il processo di provisioning, Intune provvederà ad aggiungere i device al gruppo di sicurezza statico in modo tale da distribuire le app ed i profili assegnati.

 

Device Staging per dispositivi Android Enterprise

Per dispositivi Android Enterprise Corporate-owned with work profile o Fully Managed, è disponibile una nuova modalità di registrazione su Intune che permette agli amministratori IT di pre-caricare su Intune i dispositivi Android e velocizzare così il processo di enrollment.

Una volta creato un nuovo profilo di Device Staging, il reparto IT sarà in grado di avviare la procedura di registrazione senza la presenza dell’utente e configurare preventivamente il device con app e profili di configurazione.

Una volta che l’utente finale riceverà il dispositivo, dovrà solamente avviare l’app Intune ed inserire le proprie credenziali in modo tale da finalizzare il processo di registrazione.

 

Monitor e troubleshooting

Visualizzazione Recovery key su app e web site Company Portal

Con il rilascio della release di giugno, gli utenti in possesso di dispositivi iOS e macOS sono in grado di visualizzare la chiave di recovery di BitLocker o FileVault direttamente dall’app o dal sito Company Portal (quest’ultimo anche direttamente dal device Windows).

È possibile inibire la visualizzazione della Recovery key andando a configurare il setting Restrict non-admin users from recovering the BitLocker keys for their owned device dal portale Microsoft Entra ID.

 

Nuova versione del report Windows hardware attestation

All’interno della sezione Reports > Device Compliance > Reports, è stata rilasciata una nuova versione del report Windows hardware attestation che permette di visualizzare i valori relativi alla funzionalità Windows Device Health Attestation (DHA); questa funzionalità garantisce che la fase di avvio del dispositivo non sia compromessa e che il dispositivo si avvii in uno stato attendibile.

 

Role-based access control

Nuovi permessi RBAC per Endpoint Security policy

Sono stati introdotti alcuni permessi granulari per le Endpoint Security policy in modo tale da consentire l’assegnazione dei soli permessi strettamente necessari allo svolgimento delle attività operative.

Ogni nuova autorizzazione supporta i seguenti diritti per la relativa policy:

  • Assign
  • Create
  • Delete
  • Read
  • Update
  • View Reports

 

Revisione permessi per le enrollment platform restrictions

Sono stati aggiornati i permessi per tutte le enrollment platform restrictions; i ruoli di Global Admin e Intune Service Admin sono ora in grado di creare, modificare, eliminare e ridefinire la priorità delle enrollment platform restrictions. Per tutti gli altri ruoli predefiniti, le restrizioni sono di sola lettura.

 

Valutazione di Intune

Per testare e valutare in modo gratuito i servizi offerti da Intune è possibile accedere a questa pagina.