Microsoft Intune: le novità di Novembre-Dicembre

Il 2024 ormai volge al termine e quest’ultima parte dell’anno è stata caratterizzata dal rilascio di interessanti novità da parte di Microsoft in merito alla soluzione Microsoft Intune.

Come consuetudine della nostra community, questo articolo riporta tutte le principali novità riguardanti la soluzione rilasciate nell’ultimo bimestre; sarà possibile avere una panoramica complessiva delle principali novità rilasciate, in modo da rimanere sempre aggiornati su questi argomenti.

Una delle novità di maggiore rilievo rilasciata nel mese di dicembre è la possibilità di raccogliere dati di inventario aggiuntivi sui dispositivi Windows 10/11: attraverso una nuova tipologia di policy denominata Properties catalog, è possibile ottenere informazioni aggiuntive sui propri device gestiti come:

  • Stato di cifratura dei volumi;
  • Dettagli su scheda di rete, BIOS, CPU, ecc…;
  • Versione del sistema operativo;
  • Aggiornamenti OS applicati;
Figura 1 – Policy Properties Catalog

Una volta creata la nuova policy, sarà quindi possibile selezionare le informazioni che si vorranno raccogliere dall’apposito elenco; la collezione di tali informazioni e l’eventuale aggiornamento avverrà ciclicamente ogni 24 ore.

Figura 2 – Dettagli inventario hardware

Un’altra interessantissima novità rilasciata nel mese di novembre è senza dubbio l’introduzione del supporto per l’enrollment di dispositivi Windows 365 Link: Windows 365 Link è il primo dispositivo CloudPC progettato per connettersi in modo sicuro a Windows 365.

Windows 365 Link esegue un piccolo sistema operativo basato su Windows denominato Windows CPC; a tal proposito, è consentita l’applicabilità di un sottoinsieme di policy di configurazione per Windows, riducendo così al minimo l’effort di configurazione.

Questa nuova tipologia di device offre tutta una serie di vantaggi tra cui:

  • Nessuna app o dati locali, nessun modo per installare driver e nessun amministratore locale, riducendo così la superficie di attacco.
  • Prestazioni basate sul cloud, sicurezza by design e gestione IT semplificata.
  • I dispositivi Windows 365 Link scaricano gli aggiornamenti e li installano durante la notte, quando non sono in uso.
  • Configurazione semplice con possibilità di inviare il dispositivo agli utenti finali in modo tale che possano essere operativi in ​​pochi minuti.

Oltre alle novità sopra citate, le Service Release 2411 e 2412 hanno introdotto ulteriori aggiornamenti, tra cui:

  • L’introduzione del supporto per l’enrollment di dispositivi basati su Ubuntu 24.04 LTS;
  • La possibilità di applicare App Protection Policy per Microsoft Teams su dispositivi Apple VisionOS;
  • La possibilità di visualizzare l’ICCID su device Android registrati in modalità Fully Managed o Dedicated;
  • La possibilità di visualizzare le policy di Endpoint Security (come policy BitLocker, Windows LAPS, ecc…) all’interno della sezione Configuration dedicata a tutti i device;
Figura 3 – Vista unificata policy Intune

Nei prossimi paragrafi verrà fornita una panoramica delle altre principali novità introdotte nelle ultime due release di Microsoft Intune.

App management

Nuove protected app

Le seguenti protected app risultano essere state aggiunte su Microsoft Intune:

  • Microsoft Designer (Microsoft Corporation);

Device enrollment

Aggiornamenti nelle modalità di registrazione di device iOS

In occasione dell’evento WWDC 2024, Apple ha cessato il supporto per la modalità di provisioning user-enrollment basata sul profilo; come risultato di questa modifica, è stato aggiornato il comportamento che si verifica durante la registrazioni di dispositivi BYOD (Bring Your Own Device). Durante il processo di registrazione, quando l’utente seleziona l’opzione “I own this device”, Microsoft Intune effettua l’enrollment attraverso la modalità user-enrollment sull’account, proteggendo solo le app correlate al lavoro.

Non sono previsti cambiamenti per gli utenti che selezionano “My company owns this device” durante l’enrollment; come in precedenza, Intune effettuerà la registrazione attraverso la modalità device-enrollment proteggendo così l’intero dispositivo.

Device configuration

Disponibilità settings su profili DFCI (Device Firmware Configuration Interface) per device Samsung

L’utilizzo di profili DFCI (Devices > Configuration profiles > Create profile > Windows 10 and later for platform > Templates > Device Firmware Configuration Interface), consente a Intune di inviare comandi alla componente UEFI (Unified Extensible Firmware Interface) attraverso il layer DFCI; questo layer rende la configurazione più resiliente agli attacchi malevoli e consente di bloccare le configurazioni gestite in modo tale che l’utente finale non possa modificarle. Nella release di novembre, è stato introdotto il supporto ai device Samsung.

Fine supporto delle policy basate su Administrative Template

A partire dalla Service Release 2412, Microsoft ha cessato il supporto per le policy basate su Administrative Template; a tal proposito, non è più possibile creare nuove policy basate su questa tipologia.

Figura 4 – Ritiro policy Administrative Templates

È opportuno sottolineare come le policy basate sull’importazione di Administrative Template custom non risultano impattate da questa revisione.

Nuovi settings per la gestione di device macOS e iOS/iPadOS su Settings Catalog

Anche nelle release di novembre e dicembre, all’interno della sezione Settings Catalog, sono stati introdotti numerosi settings per applicare le opportune configurazioni. Qui sotto riportiamo le sezioni coinvolte:

  • macOS:
    • Restrictions > Allow External Intelligence Integrations
    • Restrictions > Allow External Intelligence Integrations Sign In
    • Restrictions > Allow Mail Summary
    • Restrictions > Allow Media Sharing Modification
    • Restrictions > Force Bypass Screen Capture Alert
  • iOS/iPadOS:
    • Restrictions > Allow Apps To Be Hidden
    • Restrictions > Allow Apps To Be Locked
    • Restrictions > Allow Call Recording
    • Restrictions > Allow Default Browser Modification
    • Restrictions > Allow External Intelligence Integrations
    • Restrictions > Allow External Intelligence Integrations Sign In
    • Restrictions > Allow Mail Summary
    • Restrictions > Allow RCS Messaging

Sempre su Settings Catalog, sono state deprecate le seguenti funzionalità per device macOS:

  • Networking > Firewall > Enable Logging
  • Networking > Firewall > Logging Option

Salvataggio dei certificati macOS all’interno del keychain dell’utente

È ora possibile archiviare i certificati di autenticazione macOS nel keychain dell’utente; questa modifica rafforza la sicurezza del sistema e migliora l’esperienza utente riducendo le richieste di certificato. Prima di questa modifica, Microsoft Intune archiviava automaticamente i certificati utente e dispositivo nel portachiavi di sistema. Questo aggiornamento risulta disponibile nei seguenti profili:

  • Simple Certificate Enrollment Protocol (SCEP);
  • Public Key Cryptography Standards (PKCS);
  • VPN , Wi-Fi e wired;

Stato di conformità della componente Windows Subsystem for Linux (WSL)

Con il rilascio della Service Release di novembre, è possibile verificare lo stato di conformità della componente Windows Subsystem for Linux (WSL) installata su device Windows 10/11; all’interno delle compliance policy per Windows 10/11, è possibile aggiungere un controllo sul nome della distribuzione e sul versioning.

Figura 5 – Policy di conformità per Windows Subsystem for Linux (WSL)

Nuovi settings per la configurazione della componente Wi-Fi su device Android

Attraverso l’apposito Configuration Profile (Devices > Manage devices > Configuration > Create > New Policy > Personally-Owned Work Profile > Wi-Fi), è possibile creare un nuovo profilo Wi-Fi di tipo basic contenente le seguenti nuove configurazioni:

  • Security type
    • Open (no authentication)
    • WEP-Pre-shared key
    • WPA-Pre-shared key
  • Proxy settings
    • Automatic
    • Proxy server URL

Monitor e troubleshooting

Remote action su Device Query

Con il rilascio della Service Release di novembre, dall’interfaccia Device Query è possibile eseguire azioni remote sul dispositivo in base ai risultati della query; questo tipo di aggiornamento consente una risoluzione dei problemi più rapida ed efficiente da parte degli operatori IT.

Valutazione di Intune

Per testare e valutare in modo gratuito i servizi offerti da Intune è possibile accedere a questa pagina.