Microsoft Intune: le novità di Luglio-Agosto

Anche nei mesi estivi, Microsoft ha annunciato novità riguardanti Intune e, come di consueto, la nostra community rilascia questo riepilogo in modo tale rimanere così sempre aggiornati su questi argomenti e fornirvi una panoramica complessiva delle principali novità introdotte su Microsoft Intune.

Tra le principali novità introdotte nella release di luglio è opportuno segnalare la possibilità di utilizzare Copilot in Intune per la generazione di query KQL; all’interno della sezione Device Query, sarà ora possibile chiedere a Copilot informazioni sui device in linguaggio naturale che verranno tradotte in apposite query KQL.

 

Figura 1 – Query KQL con Copilot

 

Figura 2 – Generazione query KQL processi attivi

 

Un’altra interessante novità introdotta sempre nella release 2407 è la possibilità di rimuovere applicazioni e configurazioni dai dispositivi iOS/iPadOS e Android Enterprise (corporate); attraverso l’azione remota Remove apps and configuration, un amministratore IT è in grado di rimuovere app e/o profili di configurazione da un device senza dover modificare gli assignement presenti.

 

Figura 3 – Remove apps and configuration

 

Una volta selezionata l’azione remota sarà possibile indicare, attraverso l’apposito pulsante Add, quale applicazione o profilo dovrà essere rimosso in modo amministrativo:

 

Figura 4 – Rimozione applicazione da device gestito

 

Le applicazioni e/o i profili rimossi verranno ripristinati automaticamente entro 8-24 ore nel caso in cui un amministratore non proceda manualmente con l’azione di ripristino.

 

Anche il mese di agosto, ha visto il rilascio di una novità molto interessante e utile per chi utilizza Endpoint Privilege Management come strumento per la gestione dei privilegi sulle postazioni di lavoro (per maggiori informazioni sulla soluzione, è disponibile un articolo dedicato al seguente link): è ora possibile creare delle policy di elevazione dei privilegi (Elevation Rules) direttamente da una richiesta di approvazione (Support Approval) oppure dal report Elevation report.

Una volta selezionato il file all’intero della richiesta di approvazione o nel dettaglio del report, sarà possibile attraverso l’opzione Create a rule with these file details creare automaticamente una Elevation Rule oppure modificarne una già presente.

 

Figura 5 – Creazione Elevation rule da richiesta di approvazione

 

Figura 6 – Creazione nuova regola o modifica regola esistente

 

Inoltre, le Service Release 2407 e 2408 hanno introdotto ulteriori novità, tra cui:

  • L’introduzione di un nuovo log (log) contenente tutte le informazioni di dettagli riguardanti le attività di deployment delle applicazioni eseguite dal servizio Intune Management Extension (IME);
  • L’introduzione di ulteriori applicazioni all’interno del catalogo disponibile con la funzionalità Enterprise App Catalog;
  • La possibilità di utilizzare un account Entra ID per connettere il proprio tenant con il proprio Managed Google Play account (requisito per la registrazione dei device Android su Intune);
  • La possibilità di eseguire l’enrollment di device Red Hat Enterprise Linux versioni 8 e 9;
  • Il rilascio della nuova versione (24H1) delle baseline relative a Windows 365 Cloud PC;
  • Il consolidamento delle policy di Windows Credential Guard e Windows Hello for Business all’interno di un unico profilo denominato Account Protection;

 

Nei prossimi paragrafi verrà fornita una panoramica delle altre principali novità introdotte nelle ultime due release di Microsoft Intune.

 

App Management

Nuove protected app

Le seguenti protected app risultano essere state aggiunte su Microsoft Intune:

  • Asana: Work in one place (Asana, Inc.)
  • Goodnotes 6 (Time Base Technology Limited)
  • Riskonnect Resilience (Riskonnect, Inc.)
  • Beakon Mobile App (Beakon Mobile Team)
  • HCSS Plans: Revision control (Heavy Construction Systems Specialists, Inc.)
  • HCSS Field: Time, cost, safety (Heavy Construction Systems Specialists, Inc.)
  • Synchrotab for Intune (Synchrotab, LLC)
  • Singletrack for Intune (Singletrack)
  • 365Pay (365 Retail Markets)
  • Island Browser for Intune (Island Technology, Inc.)
  • Exchange (Spire Innovations, Inc.)
  • Exchange (Spire Innovations, Inc.)

 

Distribuzione PKG e DMG in modalità available

È ora possibile distribuire applicazioni per macOS in formato PKG e DMG in modalità Available; attraverso tale modalità, l’utente sarà in grado di installarsi autonomamente applicazioni che sono state rese disponibili sul Company Portal.

Questa funzionalità richiede che l’agent Intune per macOS risulti essere aggiornato alla versione 2407.005 e l’app Company Portal alla versione 5.2406.2.

 

Miglioramenti relativi all’app Managed Home Screen

L’applicazione Microsoft Managed Home Screen permette di fornire un’esperienza multiutenza gestita su dispositivi Android Enterprise registrati nella modalità Dedicated (Kiosk).

Con il rilascio della versione 2407, sono state introdotte alcune novità focalizzate al miglioramento nella fruibilità dei dispositivi da parte dei front-line worker: ad esempio, è ora possibile abilitare, attraverso la configuration key virtual_app_switcher_type, un nuovo pulsante per facilitare la navigazione tra le applicazioni aperte. Questo pulsante può essere configurato per essere reso visibile e/o spostato nelle modalità floating o swipe-up.

Inoltre, all’interno dell’app Microsoft Managed Home Screen nella sezione Device Information, è ora possibile visualizzare il MAC address del dispositivo.

Con il rilascio della Service Release 2408, è possibile sfruttare l’applicazione Microsoft Managed Home Screen come launcher su dispositivi Android Enterprise registrati in modalità Fully Managed (in precedenza era possibile utilizzarla solo su device registrati in modalità Dedicated).

 

Device enrollment

Nuovo report e azioni remote per Windows enrollment attestation

Nella Service Release 2407, è stato introdotto un nuovo report sullo stato di attestazione del dispositivo in Microsoft Intune per scoprire se un dispositivo è stato attestato e registrato in modo sicuro; attraverso questo report, è possibile eseguire un’azione remota per forzare l’attestazione del device.

Allo stato attuale, queste funzionalità risultano essere in Public Preview.

 

Modifiche nell’enrollment di dispositivi Apple e introduzione nuove funzionalità

Con il rilascio delle ultime Service Release, il Product Group di Intune ha aggiornato le modalità di registrazione dei dispositivi Apple; tali modifiche si sono rese necessarie per migliorare la user experience e rendere maggiormente sicuro il processo di enrollment.

Una delle novità di maggiore rilevanza introdotte riguardo alla user experience è sicuramente la possibilità di utilizzare le funzionalità just-in-time (JIT) registration e JIT compliance remediation su tutte le modalità di registrazione dei dispositivi iOS e iPadOS; una volta configurate queste funzionalità, sarà possibile sostituire l’app Company Portal per la registrazione e per i controlli di conformità.

È inoltre stato modificato il processo di registrazione dei device Apple per fare in modo che la registrazione su Entra ID avvenga dopo l’enrollment su Intune.

Questa modifica non ha impatto sui device esistenti mentre per le nuove registrazioni, l’utente dovrà necessariamente ritornare sul Company Portal per finalizzare la registrazione.

Per rendere maggiormente sicuro il processo di enrollment e supportare l’attestazione dei device su Intune, Microsoft sta progressivamente implementando una modifica all’infrastruttura per supportare il protocollo Automated Certificate Management Environment (ACME) nelle registrazioni in modalità Device Enrollment e Apple Configurator. A fronte della registrazione di nuovi dispositivi Apple, il profilo di gestione riceve un certificato ACME anziché un certificato SCEP. ACME offre una protezione migliore di SCEP contro l’emissione di certificati non autorizzati tramite meccanismi di convalida e processi automatizzati, in modo tale da ridurre errori nella gestione dei certificati.

 

La Service Release 2408 ha visto il rilascio della modalità di enrollment User Enrollment (account-driven): questo nuovo metodo di registrazione utilizza la registrazione just-in-time, rimuovendo così la necessità di utilizzare l’app Company Portal. Gli utenti saranno quindi in grado di avviare l’enrollment direttamente dalle Impostazioni rendendo l’esperienza utente più veloce ed efficiente.

 

Device management

Nuove proprietà all’interno della sezione filtri

È stata rilasciata in preview una nuova proprietà all’interno dei filtri denominata operatingSystemVersion; a fronte del rilascio in GA, questa nuova proprietà andrà a sostituire l’attuale OSVersion.

Questa nuova proprietà consentirà di utilizzare più operatori di confronto rispetto all’attuale proprietà, come ad esempio: GreaterThan, GreaterThanOrEquals, LessThan, LessThanOrEquals.

Nella modalità MDM, è possibile utilizzare questa proprietà per i seguenti sistemi operativi:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows

Mentre per la modalità MAM, *non* sono supportati i sistemi macOS.

 

Inoltre, nella Service Release 2408, è stata introdotta una nuova proprietà cpuArchitecture per dispositivi Windows e macOS che permette di assegnare applicazioni e configurazioni in base all’architettura del processore.

 

Device configuration

Nuovi settings per la gestione di device macOS su Settings Catalog

Anche nelle release di luglio e agosto, all’interno della sezione Settings Catalog, sono stati introdotti nuovi settings per applicare le opportune configurazioni sui dispositivi Apple. Qui sotto riportiamo le sezioni coinvolte:

  • macOS
    • Privacy > Privacy Preferences Policy Control > Bluetooth Always
    • Authentication > Extensible Single Sign On (SSO) > Platform SSO > Authentication Grace Period
    • Authentication > Extensible Single Sign On (SSO) > Platform SSO > FileVault Policy
    • Authentication > Extensible Single Sign On (SSO) > Platform SSO > Non Platform SSO Accounts
    • Authentication > Extensible Single Sign On (SSO) > Platform SSO > Offline Grace Period
    • Authentication > Extensible Single Sign On (SSO) > Platform SSO > Unlock Policy
    • Authentication > Extensible Single Sign On Kerberos > Allow Password
    • Authentication > Extensible Single Sign On Kerberos > Allow SmartCard
    • Authentication > Extensible Single Sign On Kerberos > Identity Issuer Auto Select Filter
    • Authentication > Extensible Single Sign On Kerberos > Start In Smart Card Mode
    • Declarative Device Management (DDM) > Disk Management > External Storage
    • Declarative Device Management (DDM) > Disk Management > Network Storage
    • Declarative Device Management (DDM) > Safari Extension Settings > Managed Extensions
    • Declarative Device Management (DDM) > Safari Extension Settings > Allowed Domains
    • Declarative Device Management (DDM) > Safari Extension Settings > Denied Domains
    • Declarative Device Management (DDM) > Safari Extension Settings > Private Browsing
    • Declarative Device Management (DDM) > Safari Extension Settings > State
    • Declarative Device Management (DDM) > Software Update Settings > Allow Standard User OS Updates
    • Declarative Device Management (DDM) > Software Update Settings > Automatic Actions > Download
    • Declarative Device Management (DDM) > Software Update Settings > Automatic Actions > Install OS Updates
    • Declarative Device Management (DDM) > Software Update Settings > Automatic Actions > Install Security Update
    • Declarative Device Management (DDM) > Software Update Settings > Deferrals > Major Period In Days
    • Declarative Device Management (DDM) > Software Update Settings > Deferrals > Minor Period In Days
    • Declarative Device Management (DDM) > Software Update Settings > Deferrals > System Period In Days
    • Declarative Device Management (DDM) > Software Update Settings > Notifications
    • Declarative Device Management (DDM) > Software Update Settings > Rapid Security Response > Enable
    • Declarative Device Management (DDM) > Software Update Settings > Rapid Security Response > Enable Rollback
    • Restrictions > Allow Genmoji
    • Restrictions > Allow Image Playground
    • Restrictions > Allow iPhone Mirroring
    • Restrictions > Allow Writing Tools
    • System Policy > System Policy Control > Enable XProtect Malware Upload

 

  • iOS/iPadOS
    • Restrictions > Allow Auto Dim
    • Declarative Device Management (DDM) > Safari Extension Settings > Managed Extensions > Allowed Domains
    • Declarative Device Management (DDM) > Safari Extension Settings > Managed Extensions > Denied Domains
    • Declarative Device Management (DDM) > Safari Extension Settings > Managed Extensions > Private Browsing
    • Declarative Device Management (DDM) > Safari Extension Settings > Managed Extensions > State
    • Declarative Device Management (DDM) > Software Update Settings > Automatic Actions > Download
    • Declarative Device Management (DDM) > Software Update Settings > Automatic Actions > Install OS Updates
    • Declarative Device Management (DDM) > Software Update Settings > Deferrals > Combined Period In Days
    • Declarative Device Management (DDM) > Software Update Settings > Notifications
    • Declarative Device Management (DDM) > Software Update Settings > Rapid Security Response > Enable
    • Declarative Device Management (DDM) > Software Update Settings > Rapid Security Response > Enable Rollback
    • Declarative Device Management (DDM) > Software Update Settings > Recommended Cadence
    • Restrictions > Allow ESIM Outgoing Transfers
    • Restrictions > Allow Personalized Handwriting Results
    • Restrictions > Allow Video Conferencing Remote Control
    • Restrictions > Allow Genmoji
    • Restrictions > Allow Image Playground
    • Restrictions > Allow Image Wand
    • Restrictions > Allow iPhone Mirroring
    • Restrictions > Allow Writing Tools

 

Nuovi settings per il trasferimento dati della clipboard

All’interno della sezione Settings Catalog relativa ai sistemi Windows, sono stati introdotti nuovi settings per il trasferimento dei dati della clipboard; nel dettaglio, all’interno del path Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Device and Resource Redirection, sono state aggiunte le seguenti impostazioni:

  • Restrict clipboard transfer from server to client
  • Restrict clipboard transfer from server to client (User)
  • Restrict clipboard transfer from client to server
  • Restrict clipboard transfer from client to server (User)

 

Device security

Nuove azioni su Microsoft Cloud PKI

Sono state introdotte le seguenti nuove azioni su Microsoft Cloud PKI:

  • Delete: permette di rimuovere una Certification Authority (CA);
  • Pause: permette di sospendere l’utilizzo di un CA;
  • Revoke: permette di revocare il certificato di una CA;

 

Nuovo setting all’interno delle Attack Surface Reduction rules

Nella Service Release 2407, è stato introdotto un nuovo settings denominato Allow Storage Card all’interno della nuova categoria System; questa impostazione controlla se all’utente è consentito o negato l’utilizzo di schede di memoria come unità per l’archiviazione dei dati.

 

Nuovo setting per configurazione ora di installazione aggiornamenti su dispositivi Apple

Per una migliore gestione degli aggiornamenti su dispositivi Apple, è stato introdotto un nuovo setting che permette di specificare l’ora in cui gli aggiornamenti del sistema operativo vengono installati in base al fuso orario locale. Ad esempio, se il setting Target Date Time viene impostato alle ore 17:00, l’applicazione dell’aggiornamento verrà pianificata per le ore 17:00 nel fuso orario locale del dispositivo (in precedenza, questa impostazione utilizzava il fuso orario del browser in cui era configurata la policy).

 

Monitor e troubleshooting

Introduzione sezione Resource Performance su Endpoint Analytics

A partire dalla release di agosto, è stata introdotta una nuova sezione all’interno di Endpoint Analytics denominata Resource performance: tale sezione risulta molto utile per determinare picchi di CPU e/o RAM su dispositivi Windows 10 e Windows 11 fisici.

 

Figura 7 – Nuovo report Resource performance

 

Questa sezione risulta disponibile per chi ha acquistato la licenza Intune Suite oppure l’add-on per la funzionalità Advanced Analytics.

 

Valutazione di Intune

Per testare e valutare in modo gratuito i servizi offerti da Intune è possibile accedere a questa pagina.