Microsoft Intune: le novità di Luglio-Agosto

Davide SalsiEnterprise Mobility, Microsoft Intune, What’s New in Microsoft Intune

Anche nel corso dei mesi estivi, Microsoft ha annunciato novità riguardanti Intune e, come di consueto, la nostra community rilascia questo riepilogo in modo tale rimanere così sempre aggiornati su questi argomenti e fornirvi una panoramica complessiva delle principali novità introdotte su Microsoft Intune.

Tra le principali novità introdotte nella release di luglio è opportuno segnalare il rilascio in General Availability della funzionalità Platform Single Sign On dedicata ai sistemi macOS: questa funzionalità consente di sincronizzare le credenziali dell’account locale con un Identity provider, come ad esempio Microsoft Entra ID; la password dell’account locale viene poi sincronizzata automaticamente, in modo tale che la password presente in Entra ID e quella locale coincidano.

Attraverso il supporto del Kerberos Ticket Granting Tickets (TGTs), è ora possibile accedere alle risorse Active Directory on-premise e Microsoft Entra ID dai dispositivi macOS sfruttando l’estensione Apple Kerberos SSO.

Per maggiori informazioni su questa funzionalità, è possibile fare riferimento all’articolo specifico presente al seguente link.

 

Anche il mese di agosto, ha visto il rilascio di una funzionalità particolarmente interessante in ottica di migrazione dei device: stiamo parlando di Windows Backup for Organizations.

Windows Backup for Organizations è una funzionalità disponibile attualmente in Public Preview che offre la possibilità agli IT admin di salvare le configurazioni presenti sui sistemi Windows 10/11 e ripristinarle su un sistema Entra ID joined.

All’interno della sezione Devices > Windows > Configuration sulla console di Microsoft Intune, è possibile creare una nuova policy di tipologia Settings Catalog che consente di attivare questa funzionalità semplicemente selezionando l’opzione sotto riportata:

 

Figura 1 – Configurazione Windows Backup for Organizations

 

Inoltre, nelle Service Release di luglio e agosto sono state introdotte altre novità, tra cui è opportuno citare:

  • Il supporto per la registrazione di device Linux con OS Ubuntu 22.04 – 24.04 LTS e il contestuale termine del supporto per la versione 20.04 LTS.
  • La possibilità di sfruttare più variabili all’interno delle App Configuration Policy; queste variabili includono: nome del device, MEID, Serial Number, nome account, employee ID, ecc…
  • L’introduzione di nuovi network endpoint utilizzati dalla funzionalità Microsoft Tunnel; a tal proposito, risulta necessario procedere con l’aggiornamento alla versione di Marzo 2025 o successive.

 

Nei prossimi paragrafi verrà fornita una panoramica delle altre principali novità introdotte nelle ultime 2 release di Microsoft Intune.

 

App management

Nuove funzionalità disponibili per l’app Microsoft Managed Home Screen

Con il rilascio della Service Release 2508, sono state introdotte due nuove funzionalità per l’applicazione Managed Home Screen (MHS); questa app viene tipicamente utilizzata per la configurazione dei dispositivi kiosk in ambiente Android (Dedicated Device). Le due nuove funzionalità risultano essere:

  • Offline mode: consente agli utenti di accedere alle app anche quando il dispositivo risulta essere offline o non è in grado di connettersi alla rete. È possibile configurare un tempo di tolleranza superato il quale viene richiesto agli utenti di accedere per ripristinare la connettività;
  • App access without sign in: consente agli utenti di avviare app specifiche dalla schermata di accesso di MHS tramite l’apposita barra superiore, indipendentemente dalla connettività. Questa funzionalità è utile per le app che devono essere immediatamente disponibili, come ad esempio strumenti di emergenza;

Queste funzionalità sono disponibili per dispositivi registrati in modalità Dedicated with Microsoft Entra shared mode e possono essere configurate tramite gli appositi profili di Device Configuration.

 

Nuove protected app

Le seguenti protected app risultano essere state aggiunte su Microsoft Intune:

  • Avenza Maps for Intune (Avenza Systems Inc.)
  • Datasite for Intune (Datasite) – Android
  • Dialpad (Dialpad, Inc.)
  • Dialpad Meetings ( Dialpad, Inc.)
  • Omega 365 ( Omega 365 Core AS)
  • Symphony Messaging Intune ( Symphony Communication Services, LLC)
  • Zoho Projects – Intune (Zoho Corporation) – Android
  • Vault CRM (Veeva Systems Inc.) – iOS
  • Workvivo (Workvivo)

 

Device management

Supporto multipiattaforma per Device Cleanup rules

Nella Service Release 2507, il Product Group di Intune ha introdotto una interessante novità legata alle regole di pulizia automatica (Device Cleanup rules); è ora possibile definire regole di pulizia in base alla piattaforma ad esempio Windows, macOS, Android, ecc..

 

 

Tale modifica consente quindi di rendere maggiormente specifica e granulare la cancellazione dei dispositivi obsoleti da Microsoft Intune.

 

Nuove Graph permission

Nel mese di Luglio,Microsoft ha rilasciato due nuove permission per interrogare i dati attraverso le chiamate Graph; queste nuove permission andranno a sostituire due permessi già esistenti:

  • Read.All
  • ReadWrite.All

 

Allo stato attuale, queste permission risultano necessarie per le seguenti chiamate Graph:

  • ~/deviceManagement/deviceShellScripts
  • ~/deviceManagement/deviceHealthScripts
  • ~/deviceManagement/deviceComplianceScripts
  • ~/deviceManagement/deviceCustomAttributeShellScripts
  • ~/deviceManagement/deviceManagementScripts

A partire da inizio settembre 2025, le due nuove permission andranno a sostituire le precedenti utilizzate (DeviceManagementConfiguration.Read.All e DeviceManagementConfiguration.ReadWrite.All) che non risulteranno più funzionanti.

 

Device configuration

Nuovi settings per la gestione di device macOS su Settings Catalog

Nelle release di luglio e agosto, all’interno della sezione Settings Catalog, sono stati introdotti nuovi settings per applicare le opportune configurazioni sui dispositivi Apple. Qui sotto riportiamo le sezioni coinvolte:

  • macOS
    • Authentication > Extensible Single Sign On Kerberos > Allow Platform SSO Auth Fallback
    • Declarative Device Management (DDM) > Safari Settings > Allow History Clearing
    • Declarative Device Management (DDM) > Safari Settings > Allow Private Browsing
    • Declarative Device Management (DDM) > Safari Settings > Allow Summary
    • Declarative Device Management (DDM) > Safari Settings > Page Type
    • Declarative Device Management (DDM) > Safari Settings > Homepage URL
    • Declarative Device Management (DDM) > Safari Settings > Extension Identifier
    • Restrictions > Allow Safari History Clearing
    • Restrictions > Allow Safari Private Browsing

 

  • iOS/iPadOS
    • Cellular Private Network > Cellular Data Preferred
    • Cellular Private Network > CSG Network Identifier
    • Cellular Private Network > Data Set Name
    • Cellular Private Network > Enable NR Standalone
    • Cellular Private Network > Geofences
    • Cellular Private Network > Network Identifier
    • Cellular Private Network > Version Number
    • Declarative Device Management (DDM) > Audio Accessory Settings > Temporary Pairing Disabled
    • Declarative Device Management (DDM) > Audio Accessory Settings > Temporary Pairing Unpairing Time
    • Declarative Device Management (DDM) > Audio Accessory Settings > Unpairing Policy
    • Declarative Device Management (DDM) > Audio Accessory Settings > Unpairing Hour
    • Declarative Device Management (DDM) > Safari Settings> Accept Cookies
    • Declarative Device Management (DDM) > Safari Settings> Allow Disabling Fraud Warning
    • Declarative Device Management (DDM) > Safari Settings> Allow History Clearing
    • Declarative Device Management (DDM) > Safari Settings> Allow JavaScript
    • Declarative Device Management (DDM) > Safari Settings> Allow Private Browsing
    • Declarative Device Management (DDM) > Safari Settings> Allow Popups
    • Declarative Device Management (DDM) > Safari Settings> Allow Summary
    • Declarative Device Management (DDM) > Safari Settings> Page Type
    • Declarative Device Management (DDM) > Safari Settings> Homepage URL
    • Declarative Device Management (DDM) > Safari Settings> Extension Identifier
    • Restrictions > Allow Safari History Clearing
    • Restrictions > Allow Safari Private Browsing
    • Restrictions > Denied ICCIDs For iMessage And FaceTime
    • Restrictions > Denied ICCIDs For RCS

 

Controllo granulare per gruppi specifici nella funzionalità Managed Installer

Sono stati introdotti significativi miglioramenti alla nostra funzionalità Managed Installer, ampliando le possibilità di configurazione e controllo; queste migliorie rappresentano un passo importante verso una gestione più flessibile e personalizzata delle policy di sicurezza

Managed Installer è una funzionalità di sicurezza integrata in App Control for Business (aka Windows Defender Application Control – WDAC) che permette di autorizzare automaticamente l’esecuzione di applicazioni che risultano essere state installate da strumenti di gestione come, ad esempio, Microsoft Configuration Manager o Microsoft Intune.

La principale novità introdotta consiste nella possibilità di indirizzare le policy verso gruppi specifici di utenti e dispositivi, utilizzando configurazioni multiple e distinte. Precedentemente, queste policy potevano essere indirizzate esclusivamente a livello di tenant, applicandosi a tutti i dispositivi Windows gestiti; questa limitazione impediva pertanto una gestione differenziata in base alle esigenze dell’organizzazione.

 

Device security

Configurazione Local Account e gestione password su dispositivi macOS

Per permettere una migliore gestione e, soprattutto, protezione dei dispositivi macOS, nel mese di luglio, il Product Group ha introdotto un’importante novità legata ai dispositivi macOS versione 12 o successive; durante il processo di provisioning via Automated Device Enrollment (ADE), è possibile configurare la policy di enrollement per:

  • Configurare gli account utente e amministratore locale su un device macOS sfruttando le seguenti variabili:
    • Username: {{serialNumber}} – {{partialupn}} – {{managedDeviceName}} – {{onPremisesSamAccountName}}
    • Full name: {{username}} – {{serialNumber}} – {{onPremisesSamAccountName}}
  • Consentire la creazione di una password casuale composta da 15 caratteri alfanumerici, univoca e sicura per l’account amministratore. La password viene poi cambiata automaticamente ogni sei mesi.

 

Miglioramenti nella soluzione Endpoint Privilege Management

Nela release di luglio, è stata introdotta una nuova funzionalità all’interno della soluzione Endpoint Privilege Management (EPM); nel dettaglio:

  • È possibile utilizzare caratteri wildcard nel nome file o nel percorso all’interno delle Elevation Rules; di seguito, riportiamo le azioni consentite:
    • è possibile utilizzare caratteri wildcard solo nel nome del file e non nell’estensione;
    • è possibile utilizzare il carattere ? per sostituire un singolo carattere all’interno del nome del file (es: VSCodeUserSetup-?????-1.??.?.exe);
    • è possibile utilizzare il carattere * per sostituire una stringa di caratteri.

Per maggiori informazioni sulla funzionalità Endpoint Privilege Management (EPM), è possibile consultare il nostro articolo al seguente link.

 

Estensione di Multi-admin Approval su RBAC e Remote Action

Multi-Administrator approval è una funzionalità di sicurezza presente su Microsoft Intune che introduce un sistema di controllo a doppia autorizzazione per le operazioni critiche; questo meccanismo richiede che qualsiasi modifica venga prima proposta da un amministratore e successivamente approvata da un secondo amministratore, creando così un livello di protezione aggiuntivo contro modifiche non autorizzate o accidentali.

Nel mese di agosto, questa funzionalità è stata estesa anche alle azioni riguardanti Role-based Access Control (RBAC) e Remote Wipe; se abilitata, qualsiasi modifica ai ruoli, incluse le modifiche alle autorizzazioni dei ruoli, ai gruppi di amministratori o alle assegnazioni dei gruppi di membri, richiede l’approvazione di un secondo amministratore prima che venga applicata. La medesima logica di funzionamento avviene anche per l’azione remota di Wipe in modo tale da evitare cancellazioni accidentali e non autorizzate di dispositivi gestiti.

 

Monitor e troubleshooting

Aggiornamento reportistica

A partire dalla release 2508, sono state introdotti nuovi report relativi allo stato di aggiornamento dei dispositivi Apple; questi report basati sull’infrastruttura integrata di Apple in modo tale da consentire una visualizzazione “near real-time” sullo stato di aggiornamento dei device; di seguito riportiamo le novità introdotte a livello di reportistica:

  • iOS software updates: selezionando il device interessato, all’interno della sezione Monitor, è disponibile un nuovo report che consente di visualizzare lo stato di aggiornamento del sistema interessato.
  • Apple software update failures: all’interno della sezione Devices > Monitor, è presente questo report che permette di visualizzare le cause legate alla mancata installazione del/degli update e il timestamp dell’ultimo fallimento.
  • Apple software update report: questo report disponibile all’interno della sezione Reports > Device management > Apple updates mostra i dettagli sugli aggiornamenti (in corso, in sospeso, ecc…) per tutti i dispositivi Apple gestiti.
  • macOS Updates Summary – iOS Updates Summary – iPadOS Updates Summary: questi report permettono di avere una panoramica degli aggiornamenti per i vari dispositivi Apple. Il report risulta essere disponibile all’interno della sezione Reports > Device management > Apple updates.

 

Valutazione di Intune

Per testare e valutare in modo gratuito i servizi offerti da Intune è possibile accedere a questa pagina.