Microsoft Intune: le novità di Settembre-Ottobre

Nei mesi di settembre e ottobre sono state annunciate, da parte di Microsoft, varie novità riguardanti Microsoft Intune. La nostra community, tramite questi articoli, vuole fornire una panoramica complessiva delle principali novità, in modo da rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per effettuare maggiori approfondimenti.

La novità di maggiore rilevanza introdotta nella release di settembre risulta essere la nuova funzionalità di update su Enterprise App Management che permette di aggiornare le app distribuite da catalogo semplicemente sfruttando un wizard step-by-step.

Attraverso l’apposito pulsante Update, è possibile procedere con la creazione di una nuova applicazione che farà riferimento alla nuova versione dell’app attualmente distribuita.

Figura 1 – Update app su Enterprise App Management

Durante il processo di creazione, verrà automaticamente identificata l’app superseded che verrà aggiornata dalla nuova versione.

Figura 2 – Superseded App
Figura 3 – Supersedence viewer

Le Service Release 2409 e 2410 hanno introdotto altre interessanti novità, tra cui spiccano:

  • La fine del supporto ad Ottobre 2024 delle versioni antecedenti Android 10 per la registrazione user-based su Intune (es: Android Enterprise Fully Managed, Personally-owned con work profile, Android AOSP user-based, ecc..).
  • Una nuova interfaccia grafica per l’applicazione Company Portal su Windows.

Nei prossimi paragrafi verrà fornita una panoramica delle altre principali novità introdotte nelle ultime due release di Microsoft Intune.

App management

Nuove protected app

Le seguenti protected app risultano essere state aggiunte su Microsoft Intune:

  • Notate for Intune (Shafer Systems, LLC);

Blocco accesso alle app aziendali durante l’orario non lavorativo

Sfruttando le app protection policy, è ora possibile inibire l’accesso alle app aziendali durante l’orario non lavorativo; le impostazioni dell’orario di lavoro consentono di applicare policy che limitano l’accesso alle app e disattivano le notifiche dei messaggi ricevute dalle app durante l’orario non lavorativo. Al momento, queste limitazioni sono disponibili per le app Microsoft Teams e Microsoft Edge.

Device enrollment

Nuove configurazioni disponibili nella procedura di enrollment dei device Apple

Con il rilascio della Service Release 2410, sono state introdotte nuove configurazioni relative a Setup Assistant che possono essere visualizzate o nascoste durante il processo di enrollment dei device Apple in Supervised mode:

  • macOS
    • Wallpaper: permette di mostrare o nascondere il riquadro di configurazione dello sfondo di macOS Sonoma che appare dopo un aggiornamento sui dispositivi che eseguono macOS 14.1 e versioni successive.
    • Lockdown mode: permette di mostrare o nascondere la schermata relativa alle modalità di blocco sui dispositivi che eseguono macOS 14.1 e versioni successive.
    • Intelligence: permette di mostrare o nascondere le impostazioni relative a Apple Intelligence su device con macOS 15 e versioni successive.

 

  • iOS/iPadOS
    • Emergency SOS: mostra o nasconde la schermata relativa alle impostazioni di sicurezza sui dispositivi con iOS/iPadOS 16 e versioni successive.
    • Action button: permette di mostrare o nascondere il riquadro di configurazione dell’action button su iOS/iPadOS 16 e versioni successive.
    • Intelligence: permette di mostrare o nascondere le impostazioni relative a Apple Intelligence su device con iOS/iPadOS 18 e versioni successive.

Device configuration

Nuovi settings per la gestione dei device Apple

Anche nelle release di settembre e ottobre, all’interno della sezione Settings Catalog, sono stati introdotti nuovi settings per applicare le opportune configurazioni sui dispositivi Apple. Qui sotto riportiamo le sezioni coinvolte:

  • macOS
    • Declarative Device Management (DDM) > Math Settings > Calculator > Basic Mode
    • Declarative Device Management (DDM) > Math Settings > Calculator > Math Notes Mode
    • Declarative Device Management (DDM) > Math Settings > Calculator > Programmer Mode
    • Declarative Device Management (DDM) > Math Settings > Calculator > Scientific Mode
    • Declarative Device Management (DDM) > Math Settings > System Behavior > Keyboard Suggestions
    • Declarative Device Management (DDM) > Math Settings > System Behavior > Math Notes
    • System Configuration > System Extensions > Non Removable From UI System Extensions
    • System Configuration > System Extensions > Non Removable System Extensions
  • iOS/iPadOS
    • Declarative Device Management (DDM) > Math Settings > Calculator > Basic Mode
    • Declarative Device Management (DDM) > Math Settings > Calculator > Math Notes Mode
    • Declarative Device Management (DDM) > Math Settings > Calculator > Programmer Mode
    • Declarative Device Management (DDM) > Math Settings > Calculator > Scientific Mode
    • Declarative Device Management (DDM) > Math Settings > System Behavior > Keyboard Suggestions
    • Declarative Device Management (DDM) > Math Settings > System Behavior > Math Notes
    • Web Content Filter > Hide Deny List URLs

 

Disponibilità nuovi settings su profili DFCI (Device Firmware Configuration Interface)

L’utilizzo di profili DFCI (Devices > Configuration profiles > Create profile > Windows 10 and later for platform > Templates > Device Firmware Configuration Interface), consente a Intune di inviare comandi alla componente UEFI (Unified Extensible Firmware Interface) attraverso il layer DFCI; questo layer rende la configurazione più resiliente agli attacchi malevoli e consente di bloccare le configurazioni gestite in modo tale che l’utente finale non possa modificarle. Nelle release di settembre, è stato introdotto il supporto ad alcuni device VAIO.

Fine supporto configurazioni per Android Device Admin da parte di Samsung

Samsung ha recentemente annunciato il termine del supporto su alcune configurazioni relative alla modalità di registrazione Android Device Administrator; al seguente link, vengono riportati i settings che risultano essere impattati.

Questa revisione ha un impatto sulle seguenti policy lato Intune:

  • Device restrictions profile;
  • Device compliance policy;
  • Trusted Certificate profile;

Device security

Aggiornamento nel processo di rilascio dei certificati attraverso Intune Certificate Connector

Con l’aggiornamento alla versione 6.2406.0.1001 del Microsoft Intune Certificate Connector, è stata aggiornata la procedura di rilascio dei certificati per includere un nuovo attributo OID contenente il SID dell’utente o del dispositivo; questa modifica si applica su tutti gli utenti e dispositivi sincronizzati con Active Directory.

Nuovi requisiti per certificati Simple Certificate Enrollment Protocol (SCEP)

Il Key Distribution Center (KDC) richiede che gli oggetti utente o dispositivo siano mappati su Active Directory per consentire l’autenticazione basata su certificato; ciò significa che il Subject Alternative Name (SAN) di un certificato SCEP deve possedere un attributo che mappa il SID dell’utente o del dispositivo in Active Directory. Questa mappatura riduce il rischio di spoofing del certificato e garantisce l’autenticazione con il KDC.

Per soddisfare i requisiti sopra citati, all’interno della configurazione di un profilo di configurazione SCEP, risulta necessario aggiungere un attributo URI e la variabile OnPremisesSecurityIdentifier al Subject Alternative Name.

Nuovo template per la funzionalità Personal Disk Encryption

La funzionalità Personal Disk Encryption (PDE), disponibile a partire da Windows 11, permette di cifrare le informazioni a livello di file e non a livello di volume come BitLocker. PDE utilizza la funzionalità Windows Hello for Business per collegare le chiavi di crittografia con le credenziali utente: quando un utente accede a un dispositivo usando Windows Hello for Business, le chiavi di decrittografia vengono rilasciate e i dati crittografati saranno accessibili all’utente.

A fronte della disconnessione da parte dell’utente, le chiavi vengono rimosse e i dati non saranno più accessibili (anche a fronte di un accesso da parte di un altro).

Con il rilascio della Service Release di settembre, all’interno della sezione Endpoint Security > Disk encryption, è stato reso disponibile un nuovo template per la gestione della funzionalità Personal Disk Encryption.

Valutazione di Intune

Per testare e valutare in modo gratuito i servizi offerti da Intune è possibile accedere a questa pagina.