Nei mesi di Maggio e Giugno sono state annunciate, da parte di Microsoft, varie novità riguardanti Microsoft Intune. La nostra community, tramite questi articoli, vuole fornire una panoramica complessiva delle principali novità, in modo da rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per effettuare maggiori approfondimenti.
La novità di maggiore rilevanza introdotta nella release di Maggio risulta essere la disponibilità della funzionalità di inventario disponibile sui dispositivi iOS, iPadOS e Android. Attraverso questa funzionalità, è possibile ottenere maggiori informazioni sui dispositivi registrati sulla piattaforma Microsoft Intune:
Il mese di Giugno ha visto inoltre il rilascio in una Public Preview limitata di un’altra interessante funzionalità denominata Vulnerability Remediation Agent: questo agente, basato sull’Intelligenza Artificiale, rappresenta un’importante evoluzione nella gestione delle vulnerabilità grazie all’integrazione con Microsoft Security Copilot.
Vulnerability Remediation Agent sfrutta i dati provenienti da Microsoft Defender Vulnerability Management per identificare le vulnerabilità note (CVEs) presenti sui dispositivi gestiti, fornendo un’analisi dell’impatto e suggerimenti di mitigazione direttamente all’interno del portale di Intune. L’analisi dei dati di sicurezza, la loro prioritizzazione in base al rischio e la proposta di azioni correttive dettagliate e complete consente ai team IT e security di ridurre drasticamente i tempi necessari per individuare, valutare e correggere le minacce, migliorando così la postura di sicurezza complessiva dell’organizzazione.
Altre interessanti novità introdotte in questi mesi sono ad esempio:
- Miglioramenti nella reportistica attraverso il nuovo sistema Policy Reporting Service (PRS) V3.
- Inserimento di una nuova colonna Attest Status all’interno del report Windows hardware attestation report in modo tale da fornire maggiori informazioni su eventuali errori durante la fase di attestation.
- Introduzione di due nuovi attributi G={{GivenName}} e SN={{SurName}} da utilizzare nei profili SCEP e PKCS per il rilascio di certificati S\MIME.
Nei prossimi paragrafi verrà fornita una panoramica delle altre principali novità introdotte negli ultimi 2 mesi in modo tale da avere i riferimenti necessari per gestire al meglio i propri endpoint.
App Management
Nuove protected app
Le seguenti protected app risultano essere state aggiunte su Microsoft Intune:
- Windows App (Microsoft Corporation)
- Microsoft Clipchamp (Microsoft Corporation)
- Datasite for Intune (Datasite)
- Mijn InPlanning (Intus Workforce Solutions)
- Nitro PDF Pro (Nitro Software, Inc.)
- SMART TeamWorks (SMART Technologies ULC)
- 4CEE Connect (4CEE Development)
- Mobile Helix Link for Intune (Mobile Helix)
Utilizzo di Enterprise App Catalog app in Windows Autopilot
Il processo di Windows Autopilot ora supporta l’utilizzo di Enterprise App Catalog app durante il processo di provisioning; è possibile utilizzare questa tipologia di app per forzare la procedura a rimanere nell’Enrollment Status Page o nella fase di Device Preparation fino a quando non risulta completato il processo di installazione di queste applicazioni.
La funzionalità Enterprise App Management è una funzionalità compresa nel licensing di Intune Suite (o attraverso add-on dedicato) che consente di semplificare la gestione delle applicazioni aziendali: attraverso l’Enterprise App Catalog, gli IT admin possono accedere a una raccolta di applicazioni Win32, sia Microsoft che di terze parti, già pronte per essere distribuite. Questa funzionalità consente di risparmiare tempo e ridurre la complessità operativa, grazie alla precompilazione automatica dei parametri di installazione, come: command line, requisiti di sistema, detection di installazione, azioni post-installazione, ecc…. Inoltre, molte delle app presenti nel catalogo supportano l’aggiornamento automatico, garantendo così che i dispositivi aziendali siano sempre allineati con le versioni più recenti, senza interventi manuali da parte degli amministratori.
Gestione orientamento della Managed Home Screen su Android 16
A partire da Android 16, Android non impone più l’orientamento dello schermo sui dispositivi con display da 600 dp o dimensioni superiori; pertanto su questi dispositivi Android 16, questa modifica influisce sull’orientamento della Managed Home Screen che è determinato dall’impostazione di orientamento del dispositivo e non dalle impostazioni MHS configurate.
Supporto della piattaforma ARM per distribuzione Win32 app
A partire dalla Service Release 2505, durante la creazione di Win32 app è possibile selezionare la piattaforma ARM64 in modo tale da consentire la distribuzione di app sui sistemi Windows dove risulta installata questa versione del sistema operativo.
Questa impostazione risulta essere disponibile all’interno della sezione Requirements una volta selezionata l’opzione di selezione della piattaforma su cui si vuole installare l’app:
Device enrollment
Naming convention per registrazione device Android AOSP
Durante la fase di registrazione dei nuovi dispositivi Android AOSP (Open Source Project), è ora possibile specificare una naming convention da assegnare a questa tipologia di dispositivi: è possibile inserire testo statico e variabili predefinite come Serial Number, utente assegnatario, tipologia, ecc…
Device management
Nuovi settings per la gestione di device iOS, iPadOS e macOS attraverso Settings Catalog
Negli ultimi mesi, il Product Group ha introdotto alcuni settings per permettere una migliore gestione dei device Apple; all’interno della sezione Settings Catalog, sono stati introdotti i seguenti settings:
- macOS
- Authentication > Extensible Single Sign On (SSO) > Allow Device Identifiers In Attestation
- Microsoft Edge
- iOS/iPadOS
- Managed Settings > Idle Reboot Allowed
Device configuration
Disponibilità settings su profili DFCI (Device Firmware Configuration Interface) per device NEC
L’utilizzo di profili DFCI (Devices > Configuration profiles > Create profile > Windows 10 and later for platform > Templates > Device Firmware Configuration Interface), consente a Intune di inviare comandi alla componente UEFI (Unified Extensible Firmware Interface) attraverso il layer DFCI; questo layer rende la configurazione più resiliente agli attacchi malevoli e consente di bloccare le configurazioni gestite in modo tale che l’utente finale non possa modificarle. Nella release di maggio, è stato introdotto il supporto a specifici modelli NEC.
Introduzione nuove impostazioni per gestione Bluetooth su device Android
Nelle release 2506, è stata introdotta una nuova impostazione per il blocco della componente Bluetooth su device Android; all’interno della sezione Settings Catalog (Devices > Configuration > Create > New policy > Android Enterprise > Settings catalog), è possibile selezionare la nuova opzione Block Bluetooth che permette di disabilitare questa tecnologia sui device gestiti.
Inoltre, attivando l’opzione Block Bluetooth Configuration, è possibile inibire all’utente la possibilità di effettuare modifiche alle configurazioni Bluetooth.
Queste configurazioni risultano applicabili su tutte le tipologie di device Android registrati in modalità corporate:
- Android Enterprise Corporate-owned with Work profile
- Android Enterprise Fully managed
- Android Enterprise Dedicated devices
Device security
Identificazione device rooted attraverso Compliance Policy
Nel corso del mese di maggio, all’interno delle Compliance Policy, è stato introdotto un controllo che permette di identificare se un dispositivo aziendale Android è stato oggetto di un’azione di root; è possibile fare in modo che a fronte di tale condizione, il device venga identificato come non conforme.
In precedenza, tale controllo era limitato ai dispositivi Android registrati in modalità personale.
Nuova Endpoint Security policy per configurazione funzionalità EDR e AV su sistemi Linux
All’interno della sezione Endpoint Security, è stata introdotta una nuova policy denominata Microsoft Defender Global Exclusions (AV+EDR) per permettere la configurazione delle componenti EDR (Endpoint detection and response) e AV (antivirus) sui sistemi Linux sfruttando la funzionalità Security Settings Management.
Attraverso questa funzionalità, è possibile distribuire le seguenti configurazioni di sicurezza via Microsoft Intune senza richiedere la completa registrazione del device sul portale:
- Policy Antivirus.
- Policy EDR (Endpoint detection and response).
- Configurazioni firewall (comprese le regole).
Inoltre, è possibile gestire impostazioni di sicurezza su sistemi server (Windows e Linux) che nativamente non risultano essere supportati da Microsoft Intune.
Attraverso questa nuova Endpoint Security policy, è possibile definire esclusioni (come file path e processi) a livello globale in modo tale che si applichino sia al motore antivirus che a quello EDR.
Nuovo Elevation Type di tipo Deny su Endpoint Privilege Management
Endpoint Privilege Management (EPM) ha lo scopo di autorizzare l’esecuzione di determinati processi da parte di utenti che non detengono privilegi elevati; ciò avviene attraverso la definizione di policy di sicurezza che determinano chi può accedere a determinati privilegi e su quali processi.
Nella release 2505, è stata introdotta una nuova tipologia di Elevation Type in modalità Deny: una regola impostata su Deny impedisce l’esecuzione del file specificato in un contesto con privilegi elevati. Questo tipo di approccio può aiutare a garantire che determinati file, come software noti e potenzialmente dannosi, non possano essere eseguiti in un contesto con privilegi elevati.
Valutazione di Microsoft Intune
Per testare e valutare in modo gratuito i servizi offerti da Intune è possibile accedere a questa pagina.