Microsoft Intune: le novità di Marzo-Aprile

Davide SalsiEnterprise Mobility, Microsoft Intune, What’s New in Microsoft Intune

Per rimanere costantemente aggiornati sulle novità riguardanti Microsoft Intune, la nostra community rilascia periodicamente questo riepilogo, che consente di avere una panoramica delle principali novità introdotte. In questo articolo troverete le novità, riportate in modo sintetico, e accompagnate dai riferimenti necessari per poter effettuare ulteriori approfondimenti.

Nel mese di aprile, Microsoft ha introdotto delle significative novità nella gestione dei dispositivi Android, rendendo l’amministrazione dei device ancora più efficiente e versatile. Tra le principali feature introdotte spiccano:

 

  • Configurazione attraverso Settings Catalog

La configurazione dei dispositivi Android Enterprise attraverso i Settings Catalog rappresenta un approccio moderno nella gestione di questi device, offrendo agli amministratori IT una vasta gamma di impostazioni personalizzabili in un’interfaccia intuitiva e similare alle altre piattaforme di dispositivi come iOS/iPadOS, macOS e Windows. I Settings Catalog consentono di selezionare rapidamente le configurazioni necessarie grazie a filtri e ricerche che semplificano notevolmente l’individuazione delle policy desiderate.

 

  • Enrollment time-grouping:

Con l’introduzione della funzionalità di Enrollment Time Grouping per i dispositivi Android Enterprise, è stato ottimizzato il processo di configurazione iniziale di questi dispositivi: questa funzionalità, precedentemente disponibile solamente per i sistemi Windows, consente di impostare un gruppo Entra ID statico direttamente all’interno del profilo di registrazione, permettendo ai dispositivi di essere aggiunti a tale gruppo durante la fase di enrollment. In questo modo, le applicazioni e le policy configurate per quel gruppo vengono distribuite immediatamente al momento della registrazione, riducendo significativamente il delay tra l’enrollment e la configurazione del device. In precedenza, i dispositivi venivano assegnati a gruppi Entra ID dinamici in base a determinati criteri e questo poteva comportare ritardi (fino a otto ore) prima che le policy/applicazioni venissero applicate.

 

  • Naming convention:

La funzionalità di device name template per i dispositivi Android Enterprise di proprietà aziendale consente agli amministratori IT di definire una naming convention all’interno del profilo di registrazione basandosi su alcune variabili come Serial Number, tipologia del device, owner del device, ecc…; in precedenza, i device venivano registrati sulla piattaforma Microsoft Intune utilizzando una naming convention di default basata su nome utente, data di registrazione, ecc..

Questa funzionalità risulta particolarmente utile per le aziende che gestiscono un gran numero di dispositivi dato che consente di implementare una naming convention coerente e significativa, facilitando l’identificazione dei dispositivi Android all’interno della console.

 

Tra le novità di maggiore interesse rilasciate negli ultimi due mesi, spicca sicuramente l’introduzione del supporto alla funzionalità Hotpatch sui device Windows gestiti da Microsoft Intune; l’introduzione di questa funzionalità segna una pietra miliare nella gestione degli aggiornamenti di sicurezza in ambienti aziendali. Hotpatch consente l’applicazione di aggiornamenti di sicurezza mensili (Quality Update) senza la necessità di riavviare i dispositivi, con l’obiettivo di mantenere elevati standard di protezione limitando al contempo l’impatto sulla produttività degli utenti.

Per poter sfruttare la funzionalità Hotpatch, i device devono rispettare i suguenti prerequisiti:

  • Windows 11 24H2 o version successive;
  • Funzionalità VBS (Virtualization-based security) abilitata;
  • Ultima Baseline Release applicate*;
  • Licenza Windows 11 Enterprise E3, E5, F3, A3, A5 o Windows 365 Enterprise;
  • CPU x64 Intel o AMD (ARM in Public Preview);

 

*: le Baseline update sono gli aggiornamenti rilasciati nei mesi di Gennaio – Aprile – Luglio – Ottobre che necessitano di un riavvio per essere applicate e che consentono di sfruttare Hotpatch per i successivi update.

 

L’attivazione della funzionalità Hotpatch è molto semplice: è necessario accedere alla sezione Devices > Windows updates > Quality updates e premere sul pulsante Create > Windows quality update policy.

Una volta inserito il nome ed un’eventuale descrizione procedere con il wizard ed, all’interno della sezione Settings, impostare il toggle When available, apply without restarting the device (“hotpatch”) su Allow.

 

Figura 1 – Attivazione Hotpatch

 

I vantaggi derivanti dall’adozione di questa funzionalità, come anticipato in precedenza, sono molteplici; i più importanti sono sicuramente:

  • Protezione immediata: gli aggiornamenti hanno effetto immediato dopo l’installazione;
  • Sicurezza costante: i dispositivi ricevono lo stesso livello di patch degli altri sistemi non gestiti con Hotpatch;
  • Riduzione downtime: gli utenti possono continuare a lavorare senza interruzioni legate ai continui riavvi;

 

Oltre alle novità sopra citate, le Service Release 2503 e 2504 hanno introdotto ulteriori aggiornamenti, tra cui:

  • Rilascio della nuova versione del template di Device Configuration dedicato alla funzionalità Delivery Optimization per consentire l’utilizzo dei medesimi settings presenti sui Settings Catalog;
  • Supporto di Remote Help su Azure Virtual Desktop multi-session;
  • Supporto di Endpoint Privilege Management (EPM) su dispositivi basati su ARM 64-bit;
  • Termine del supporto per i profili di configurazione custom su dispositivi Android Enterprise registrati in modalità Personal (Personally-owned with work profile).

 

Riportiamo qui sotto le altre importanti novità introdotte negli ultimi mesi.

 

App Management

Nuove protected app

Le seguenti protected app risultano essere state aggiunte su Microsoft Intune:

  • FileOrbis for Intune (FileOrbis FZ LLC);
  • PagerDuty for Intune (PagerDuty, Inc.);
  • io (Outreach Corporation);
  • FacilyLife (Apleona GmbH);
  • Intapp 2.0 (Intapp, Inc.);
  • DealCloud (Intapp, Inc.);
  • Lemur Pro for Intune (Critigen LLC);

 

 

Introduzione della funzionalità Relationship viewer

La funzionalità Relationship viewer consente di visualizzare, attraverso un apposito diagramma di flusso, le varie relazioni che sono presenti tra le varie app distribuite attraverso Intune, comprese dipendenze e supersedence.

 

Figura 2 – Relationship viewer

 

Per accedere a queste informazioni, è necessario accedere alla sezione Relationship viewer presente selezionando la Win32 app o l’Enterprise Catalog App interessata.

 

Supporto per le funzionalità di intelligenza artificiale su device Apple

Nelle ultime release, all’interno delle app protection policy, sono state introdotti nuovi settings per la gestione delle funzionalità di Apple AI (Genmoji, strumenti di scrittura e acquisizione dello schermo); allo stato attuale, queste funzionalità di Apple AI sono bloccate di default quando l’impostazione Send Org data to other apps è configurata su un valore diverso da All apps.

Queste configurazioni sono supportate dalle app aggiornate alla versione 19.7.12 o successiva per Xcode 15 e alla versione 20.4.0 o successiva per Xcode 16.

 

Disponibilità di nuovi settings per il salvataggio dei dati aziendali sulle app protection policy

Sono stati introdotti nuovi settings per il salvataggio dei dati aziendali quando si utilizzano le App Protection Policy sui dispositivi Android o iOS; oltre alle opzioni di archiviazione già presenti (come Storage, Photo Library, ecc…), è ora possibile selezionare iManage ed Egnyte come opzioni di salvataggio dei dati presenti nella app protette. È semplicemente necessario selezionare questi servizi nell’elenco disponibile all’interno dell’opzione Allow user to save copies to selected services (questa opzione risulta disponibile una volta che l’opzione Save copies of org data è impostata su Block).

 

Figura 3 – Nuovi settings per salvataggio dati aziendali

 

Device configuration

Nuovi settings per la gestione di device macOS/iOS/iPadOS attraverso Settings Catalog

Nei mesi di marzo e aprile, all’interno della sezione Settings Catalog, sono stati introdotti ulteriori settings per permettere una migliore gestione dei dispositivi Apple:

  • macOS
    • Login > Login Window > Show Input Menu
    • Remote Desktop > Remote Desktop
    • Restrictions > Allow Apple Intelligence Report
    • Restrictions > Allow Mail Smart Replies
    • Restrictions > Allow Notes Transcription
    • Restrictions > Allow Safari Summary
  • iOS/iPadOS
    • Restrictions > Allow Apple Intelligence Report
    • Restrictions > Allow Default Calling App Modification
    • Restrictions > Allow Default Messaging App Modification
    • Restrictions > Allow Mail Smart Replies
    • Restrictions > Allow Notes Transcription
    • Restrictions > Allow Safari Summary

 

Inoltre, nella release 2503, il Product Group ha introdotto alcuni settings per permettere una migliore gestione degli aggiornamenti sui device Apple attraverso la funzionalità Declerative Device Management; all’interno della sezione Settings Catalog, sono stati introdotti i seguenti settings per consentire di mantenere aggiornata all’ultima versione dell’OS i propri device iOS, iPadOS e macOS:

  • Declarative device management > Software Update Enforce Latest
    • Enforce Latest Software Update Version: se impostato a True, i dispositivi verranno aggiornati all’ultima versione del sistema operativo disponibile. Questa operazione utilizza la configurazione di Software Update Enforcement e costringerà i dispositivi a riavviarsi e installare l’aggiornamento una volta scaduta la scadenza.
    • Delay In Days: specifica il numero di giorni che devono trascorrere prima che l’aggiornamento venga applicato forzatamente. Questo ritardo si basa sulla data di pubblicazione da parte di Apple del nuovo aggiornamento.
    • Install Time: specifica l’ora locale del dispositivo per l’applicazione degli aggiornamenti (questa impostazione utilizza il formato a 24 ore).

 

Device management

Disponibilità di nuovi settings per la gestione delle funzionalità Windows LAPS

All’interno della sezione Settings Catalog, sono stati introdotti nuovi settings dedicati alla gestione delle funzionalità Windows LAPS presente su Windows; questi nuovi settings sono:

  • Automatic Account Management Enabled: permette di abilitare/disabilitare la gestione automatica degli account;
  • Automatic Account Management Randomize Name: configura se il nome dell’account gestito automaticamente usa un suffisso numerico casuale ogni volta che la password viene ruotata;
  • Automatic Account Management Name Or Prefix: permette di configurare il nome o il prefisso dell’account admin locale gestito;
  • Automatic Account Management Enable Account: permette di definire se l’account gestito dovrà essere abilitato/disabilitato;
  • Automatic Account Management Target: permette di definire quale sarà l’account admin gestito automaticamente (sarà possibile scegliere il built-in account o un nuovo account admin generato in base alle configurazioni riportate sopra);
  • Passphrase Length: permette di definire la lunghezza della passphrase che viene utilizzata come password dell’admin locale;

 

Sempre all’interno di questa sezione, sono state introdotte nuove opzioni per le seguenti configurazioni:

  • Password Complexity:
    • Passphrase (long words)
    • Passphrase (short words)
    • Passphrase (short words with unique prefixes)
  • Post Authentication Actions:
    • Reset the password, logoff the managed account, and terminate any remaining processes (al termine del grace period, la password dell’account gestito viene reimpostata, tutte le sessioni interattive che utilizzano l’account gestito vengono chiuse e tutti i processi attivi vengono terminati).

 

Device security

Disponibilità di nuovi settings per le Security Baseline di Windows versione 24H2

L’ultima versione (24H2) delle Security Baseline di Windows è stata aggiornata introducendo una serie di nuovi settings per la gestione dei servizi Lanman Server, Lanman Workstation e Defender.

È importante sottolineare come questi nuovi settings vengono applicati in base alla natura della policy stessa:

  • Policy esistente: per applicare i nuovi settings, è necessario procedere con l’editing della policy attraverso l’apposito pulsante Edit e successivamente premere il pulsante Save.
  • Nuova policy: le nuove policy includo nativamente i nuovi settings implementati.

 

Per completezza di informazioni, riportiamo qui sotto i nuovi settings aggiunti:

  • Lanman Server:
    • Audit Client Does Not Support Encryption (valore default: Enabled)
    • Audit Client Does Not Support Signing (valore default: Enabled)
    • Audit Insecure Guest Logon (valore default: Enabled)
    • Auth Rate Limiter Delay In Ms (valore default: 2000)
    • Enable Auth Rate Limiter (valore default: Enabled)
    • Max SMB 2 Dialect (valore default: SMB 3.1.1)
    • Min SMB 2 Dialect (valore default: SMB 3.0.0)
  • Lanman Workstation:
    • Audit Insecure Guest Logon (valore default: Enabled)
    • Audit Server Does Not Support Encryption (valore default: Enabled)
    • Audit Server Does Not Support Signing (valore default: Enabled)
    • Max SMB 2 Dialect (valore default: SMB 3.1.1)
    • Min SMB 2 Dialect (valore default: SMB 3.0.0)
    • Require Encryption (valore default: Disabled)
    • Enable Mailslots (valore default: Disabled)
  • Defender
    • Enable Dynamic Signature Dropped Event Reporting (valore default: Enabled)

 

Supporto nell’utilizzo di parametri all’interno delle Elevation Rule basate su file

All’interno di Endpoint Privilege Management (EPM), le regole di elevazione dei privilegi basate su file ora supportano argomenti; ciò significa che, quando una regola di elevazione dei privilegi è configurata per definire uno o più parametri, EPM consente l’esecuzione di tale file in contesto elevato solo quando viene utilizzato uno degli argomenti definiti.

EPM blocca l’elevazione dei privilegi del file nel caso in cui venga utilizzato un altro parametro non esplicitamente riportato nella regola; l’utilizzo di argomenti in tali regole può aiutare a definire come e per quale scopo questi processi devono essere eseguiti in modo amministrativo.

 

Utilizzo di Security Copilot all’interno della funzionalità Multiple Device Query

Un’altra novità rilasciata nella release 2503 di Microsoft Intune è la possibilità di utilizzare l’assistente virtuale Copilot per eventuali suggerimenti nella predisposizione di query KQL da utilizzare nella funzionalità Device Query su più dispositivi; questa nuova feature permette di rendere le interrogazioni più immediate e fruibili.

 

Figura 4 – Utilizzo Copilot su Multiple Device Query

 

Per maggiori dettagli su Device Query, potete fare riferimento al nostro articolo disponibile al seguente link.

 

Valutazione di Intune

Per testare e valutare in modo gratuito i servizi offerti da Intune è possibile accedere a questa pagina.