Microsoft Intune: le novità di Gennaio-Febbraio

Davide SalsiEnterprise Mobility, Microsoft Intune, What’s New in Microsoft Intune

Anche nei primi mesi del 2025, Microsoft ha annunciato novità riguardanti la soluzione Microsoft Intune e, come di consueto, la nostra community rilascia questo riepilogo in modo tale da fornirvi una panoramica complessiva delle principali novità e rimanere così sempre aggiornati su questi argomenti.

Tra le principali novità introdotte nelle ultime release spicca sicuramente il rilascio della funzionalità Device Query utilizzabile su molteplici device: la funzionalità Device Query offre agli amministratori la possibilità di eseguire query real-time sui device Windows utilizzando il linguaggio KQL (Kusto Query Language). Questa funzionalità fornisce informazioni di inventario come, ad esempio, stato di cifratura dei volumi, aggiornamenti installati ed al tempo stesso permette di interrogare il sistema raccogliendo chiavi di regitry ed eventi di sistema.

Un’altra novità introdotta particolarmente interessante in merito a questa funzionalità sono i suggerimenti sulle query in modo tale da rendere le interrogazioni più immediate e fruibili.

In precedenza, era possibile sfruttare la funzionalità Device Query interrogando direttamente i singoli device; con il rilascio della Service Release 2501, è possibile eseguire interrogazioni real-time su più dispositivi.

 

Figura 1 – Device Query su device multipli

Per maggiori dettagli su Device Query, potete fare riferimento al nostro articolo disponibile al seguente link.

 

Un’altra importante novità introdotta nella release 2502 è l’aggiornamento di sicurezza legato all’Intune Connector per Active Directory; come parte integrante dell’iniziativa Secure Future Initiative (SFI), l’aggiornamento prevede che il connettore utilizzi un Managed Service Account (MSA) invece che l’account LOCAL SYSTEM.

I MSA sono account di dominio gestiti che hanno una gestione automatica delle password e generalmente hanno permessi e privilegi minimi sufficienti per svolgere i loro compiti. I MSA possono essere utilizzati solo su una macchina in join al dominio e possono accedere solo alle risorse all’interno di quel dominio. I MSA possono eseguire servizi su un computer in modo sicuro, mantenendo la capacità di connettersi alle risorse di rete.

È importante sottolineare come, il vecchio connettore che utilizza l’account LOCAL SYSTEM non sarà più disponibile per il download in Intune e cesserà di essere supportato a fine maggio 2025; inoltre, a partire da tale data, Microsoft smetterà di accettare registrazioni derivanti dalla vecchia build.

 

Oltre alle novità sopra citate, le Service Release 2501 e 2502 hanno introdotto ulteriori aggiornamenti, tra cui:

  • Rilascio della nuova versione (24H2) delle baseline di sicurezza relative a Windows 10 e Windows 11 basate su Settings Catalog;
  • Rilascio della nuova versione delle Security Baseline relative a Microsoft Edge versione 128;
  • Rilascio della nuova versione delle baseline di sicurezza per i dispositivi Hololens 2;
  • Progressiva introduzione della live chat all’interno della console di amministrazione di Intune per richieste di supporto; allo stato attuale, la chat non risulta essere disponibile per tutti i tenant e/o per tutte le richieste.

 

Riportiamo qui sotto le altre importanti novità introdotte negli ultimi mesi.

 

App Management

Nuove protected app

Le seguenti protected app risultano essere state aggiunte su Microsoft Intune:

  • Applications Manager – Intune (ManageEngine);
  • MoveInSync (MoveInSync Technologies);

 

Disponibilità della colonna VPP token all’interno della sezione Apps

Per consentire una migliore fruibilità della app distribuite soprattutto in contesti eterogenei e multinazionali, all’interno della sezione Apps, è stata inserita la colonna VPP token name che consente di identificare rapidamente le app distribuite attraverso differenti token VPP; la colonna risulta disponibile all’interno delle sezioni All Apps e App configuration policies.

 

Device Configuration

Disponibilità di nuovi settings per la gestione delle funzionalità AI e Display mode presenti in Windows

All’interno della sezione Settings Catalog, sono stati introdotti nuovi settings dedicati alla gestione delle funzionalità di Artificial Intelligence presenti su Windows (come, ad esempio, Recall); questi nuovi settings sono:

  • Disable AI Data Analysis
  • Set Deny Uri List For Recall
  • Set Deny App List For Recall
  • Set Maximum Storage Space For Recall Snapshots
  • Set Maximum Storage Duration For Recall Snapshots

 

Sempre all’interno di questa sezione, è stato introdotto il setting Configure Multiple Display Mode che consente ai monitor di estendere o clonare il display automaticamente, senza la necessità di una configurazione manuale da parte dell’utente.

 

Disponibilità di nuove configurazioni relative alla Managed Home Screen

Con il rilascio della Service Release 2502, sono stati introdotte nuove configurazioni relative all’app Managed Home Screen.

All’interno della sezione Device Information, sono stati aggiunti alcuni dettagli utili relativi al dispositivo come: versione dell’OS, livello di patch di sicurezza e ultima volta che il device ha effettuato riavvio; inoltre, è stata introdotta la possibilità di consentire/bloccare la scelta della suoneria da parte dell’utente.

La novità di maggiore rilevanza, però, è sicuramente il supporto per l’autenticazione via QR code; questa funzionalità elimina la necessità per gli utenti di inserire nome utente e password durante le fasi di login.

A fronte della richiesta di autenticazione, attraverso la seguente procedura illustrata, sarà possibile accedere al device attraverso la scansione di un QR Code e l’inserimento di un PIN.

 

Figura 2 – Sign-in via QR Code

 

Nuovi settings per la gestione di device macOS/iOS/iPadOS attraverso Settings Catalog

Nei mesi di gennaio e febbraio, all’interno della sezione Settings Catalog, sono stati introdotti ulteriori settings per permettere una migliore gestione dei dispositivi Apple:

  • macOS
    • Networking > Domains > Cross Site Tracking Prevention Relaxed Apps
    • Restrictions > Allow Bookstore
    • Restrictions > Allow Bookstore Erotica
    • Restrictions > Allow Explicit Content
    • Restrictions > Rating Apps
    • Restrictions > Rating Movies
    • Restrictions > Rating Region
    • Restrictions > Rating TV Shows
    • System Configuration > File Provider > Management Allows Known Folder Syncing
    • System Configuration > File Provider > Management Known Folder Syncing Allow List

 

  • iOS/iPadOS
    • Managed Settings > Default Applications
    • Managed Settings > Wallpaper
    • Networking > Domains > Cross Site Tracking Prevention Relaxed Apps
    • Restrictions > Allowed External Intelligence Workspace IDs
    • Restrictions > Allow Notes Transcription Summary
    • Restrictions > Allow Satellite Connection
    • Restrictions > Allow Visual Intelligence Summary

 

Device Security

Disponibilità di nuovi settings per la gestione della funzionalità Device Control su Microsoft Defender

Attraverso Intune, è ora possibile gestire se attivare/disattivare la funzionalità Device Control disponibile su Microsoft Defender e quale dovrà essere il comportamento di default.

Il nuovo setting DeviceControlEnabled consente di definire se attivare o disattivare la funzionalità sui sistemi Windows (di default, la funzionalità risulta disattivata) mentre il setting DefaultEnforcement permette di definire la configurazione di Device Control sui dispositivi che non ricevono policy/regole (di default, non viene eseguito alcun blocco).

Entrambi i setting sono disponibili all’interno della sezione Settings Catalog oppure all’interno della sezione Attack Surface Reduction (selezionando il profilo Device Control).

 

Utilizzo di Security Copilot allìinterno della funzionalità Endpoint Privilege Management (EPM)

Nel caso in cui si sia sottoscritta una o più licenze per Microsoft Security Copilot, è possibile utilizzare Copilot per esaminare le richieste di elevazione dei privilegi all’interno della funzionalità Endpoint Privilege Manager (EPM).

L’opzione Analyze with Copilot istruisce Security Copilot nel verificare l’hash dei file attraverso un prompt su Microsoft Defender Threat Intelligence in modo tale da valutare i potenziali indicatori di compromissione dei file. Alcuni dei risultati restituiti nell’interfaccia di amministrazione possono includere:

  • La reputazione dei file;
  • Informazioni sull’attendibilità dell’editore;
  • Il Risk Score per l’utente che richiede l’elevazione dei file;
  • Il Risk Score del dispositivo da cui è stata inviata l’elevazione.

 

Monitor e Troubleshooting

Utilizzo di Support Assistant per la risoluzione delle problematiche

Il Support Assistant è disponibile in Intune in modo tale che si possa sfruttare l’intelligenza artificiale per migliorare l’esperienza di supporto e assistenza all’interno della console.

Questa nuova funzionalità è disponibile nell’interfaccia di amministrazione di Microsoft Intune selezionando Troubleshoot + support > Help and Support oppure selezionando il punto interrogativo vicino alla tua immagine del profilo. Attualmente, la funzionalità Support Assistant è in preview ed è possibile attivarla/disattivarla in qualsiasi momento.

 

Valutazione di Intune

Per testare e valutare in modo gratuito i servizi offerti da Intune è possibile accedere a questa pagina.