Microsoft Intune: le novità di Settembre-Ottobre

Davide SalsiEnterprise Mobility, Microsoft Intune, What’s New in Microsoft Intune

Per rimanere costantemente aggiornati sulle novità riguardanti Microsoft Intune, la nostra community rilascia periodicamente questo riepilogo, che consente di avere una panoramica delle principali novità introdotte. In questo articolo troverete le novità, riportate in modo sintetico, e accompagnate dai riferimenti necessari per poter effettuare ulteriori approfondimenti.

La novità di maggiore rilevanza introdotta nella release di settembre risulta essere la disponibilità all’interno delle Security Baseline di poter mantenere o ignorare eventuali personalizzazioni: con questa modifica, quando si aggiorna una Security Baseline creata dopo maggio 2023 a una versione più recente della stessa baseline, sono ora disponibili due opzioni:

  • Keep customizations: Intune applica tutte le personalizzazioni effettuate in precedenza alle impostazioni della baseline originale che si sta aggiornando al nuovo modello; il risultato è che la nuova policy manterrà tutte le modifiche effettuate in precedenza in modo tale da evitare revisioni successive.
  • Discard customizations: Intune crea una nuova istanza “predefinita” che utilizza la nuova versione della Security Baseline; a tal proposito, non verrà applicata nessuna personalizzazione alle impostazioni presenti.

 

Anche il mese di ottobre ha visto il rilascio di interessanti novità, tra cui spicca la possibilità di collezionare le proprietà di System Info attraverso la funzionalità Properties Catalog; attraverso questa modifica, sarà possibile collezionare informazioni di dettaglio sui sistemi Windows come ad esempio: dettagli hardware, dettagli sul dominio di riferimento, ecc…

 

Le Service Release 2509 e 2510 hanno inoltre introdotto altre interessanti novità, tra cui spiccano:

  • Il rilascio di nuovi settings catalog dedicati alla nuova build 25H2 di Windows 11.
  • La fine del supporto per la registrazione di dispositivi con versioni del sistema operativo antecedenti iOS/iPadOS 17 e macOS 14.
  • Il rilascio di nuove funzionalità relativa a Copilot per Microsoft Intune:
    • Copilot Chat è stato integrato direttamente nell’intestazione della console di Microsoft Intune admin center in modo tale da essere accessibile in qualsiasi schermata.
    • È stata definita una casella di prompt dinamica dove vengono forniti suggerimenti in tempo reale e prompt pertinenti alla richiesta. Inoltre, Copilot Chat conserva la cronologia delle conversazioni e rimane contestuale mentre ci si sposta nell’interfaccia di amministrazione; questo approccio permette di ridurre al minimo i prompt ripetitivi.
    • Copilot ora supporta la gestione di Windows 365 Cloud PC in modo tale da consentire agli amministratori IT di accedere ad informazioni importanti, come lo stato delle licenze, la qualità della connessione, i dettagli di configurazione e le metriche.
    • Sono stati introdotti nuovi prompt per consentire la visualizzazione di informazioni relative a: Windows Autopilot – Endpoint Privilege Management – Advanced Analytics – Update per device Apple e Android.
  • La disponibilità all’interno della funzionalità Enterprise App Catalog di utilizzare script Powershell per l’installazione delle app come metodo alternativo all’utilizzo di una command line.

 

Nei prossimi paragrafi verrà fornita una panoramica delle altre principali novità introdotte nelle ultime 2 release di Microsoft Intune.

 

App management

Nuove protected app

Le seguenti protected app risultano essere state aggiunte su Microsoft Intune:

  • Total Triage (CareXM)
  • Intapp (Intapp Inc.)
  • ANDPAD (ANDPAD Inc.)
  • ANDPAD CHAT (ANDPAD Inc.)
  • ANDPAD Inspection (ANDPAD Inc.)
  • ANDPAD Blueprint (ANDPAD Inc.)

 

Device management

Supporto Multi Admin Approval per gestione Device Category

Per consentire un maggiore controllo ed evitare così modifiche non autorizzate o accidentali nella creazione e/o modifica di Device Category, è ora possibile abilitare la funzionalità Multi Admin Approval: attraverso questo processo di doppia autorizzazione, eventuali modifiche, inclusa la creazione o eliminazione, richiedono l’approvazione di un secondo amministratore prima che la modifica venga applicata.

 

Integrazione con Intel vPro Fleet Service

Con il rilascio della Service Release 2509, è stata integrata in Microsoft Intune la soluzione Intel vPro Fleet Service: attraverso un’interfaccia integrata con Entra ID, tale soluzione consente agli IT admin di gestire, ripristinare e risolvere i problemi dei dispositivi Intel vPro in modo sicuro anche quando il sistema operativo non risponde o il device risulta spento.

 

Figure 1 – Intel vPro Fleet Services

 

Attraverso il controllo remoto di tastiera, video e mouse (KVM), all’interno di Intel vPro, gli amministratori IT sono in grado di accedere ai device con un’esperienza simile a quella di trovarsi di fronte al dispositivo stesso.

Riassumendo, le funzionalità principali risultano essere:

  • Ripristino del BIOS e del sistema operativo a livello hardware tramite Intel Active Management Technology (AMT).
  • Sicurezza e controllo degli accessi migliorati attraverso l’integrazione con Entra ID.
  • Compatibilità con i dispositivi Intel vPro (2018 o successivi).

 

Device configuration

Nuovi settings per la gestione di device Android nella sezione Settings Catalog

I Settings Catalog sono una funzionalità di Microsoft Intune che permette agli amministratori IT di gestire e configurare in modo centralizzato le impostazioni di dispositivi Windows, macOS, iOS/iPadOS e, di recente, anche per i dispositivi Android; questa funzionalità consente attraverso un’unica interfaccia di cercare e applicare i vari settings, raggruppandoli per categorie.

In questi ultimi due mesi, sono stati introdotti settings all’interno della sezione Settings Catalog focalizzati ad una migliore gestione dei device Android; qui sotto sono riportate le principali sezioni sulle quali sono state introdotte le nuove configurazioni:

  • Applications:
    • Allow installation from unknown sources
    • App auto-updates (work profile-level)
  • General:
    • Block roaming data services
    • Block Bluetooth configuration
    • Block Wi-Fi Direct
    • Block Wi-Fi access point configuration
    • Default permission policy
    • Block access to camera
    • Allow access to developer settings
    • Block beaming data from apps using NFC (work-profile level) – deprecato su A10
    • Block factory reset
    • Block tethering and access to hotspots
    • Block volume changes
    • Hide organization name
    • Allow copy and paste between work and personal profiles
    • Allow network escape hatch
    • Allow USB storage
    • Block access to status bar
    • Block date and time changes
    • Block location
    • Block microphone adjustment
    • Block mounting of external media
    • Block notification windows
    • Block screen capture (work profile-level)
    • Block Wi-Fi setting changes
    • Block private space
    • USB access
  • System Security:
    • Require threat scan on apps
    • Require Common Criteria mode
    • Users and accounts:
    • User can configure credentials (work profile-level)
    • Block account changes

 

Nuovi settings per la gestione di iOS/iPadOS/macOS nella sezione Settings Catalog

Anche nelle release di settembre e ottobre, all’interno della sezione Settings Catalog, sono stati introdotti nuovi settings per applicare le opportune configurazioni sui dispositivi Apple. Qui sotto riportiamo le sezioni coinvolte:

  • macOS
    • Authentication > Extensible Single Sign On Kerberos > Use Platform SSO TGT
    • Restrictions > Allow Call Recording
    • Restrictions > Allow Live Voicemail
    • Web > Web Content Filter > Safari History Retention Enabled
  • iOS/iPadOS
    • Managed Settings > Default Applications > Calling
    • Managed Settings > Default Applications > Messaging
    • Restrictions > Allowed Camera Restriction Bundle IDs
    • Web > Web Content Filter > Safari History Retention Enabled

 

Inoltre, con il rilascio di iOS 26, iPadOS 26 e macOS 26, Apple ha marcato come deprecato i comandi ed i payload legacy per l’aggiornamento dell’OS; per far fronte a tale modifica, Intune interromperà il supporto su:

  • iOS/iPadOS update policies
  • macOS update policies
  • Software update settings presenti in:
    • iOS/iPadOS templates > Device restrictions
    • iOS/iPadOS settings catalog > Restrictions
    • macOS templates > Device restrictions
    • macOS settings catalog > Restrictions
    • macOS settings catalog > Software update
  • Reports:
    • iOS/iPadOS update installation failures
    • macOS update installation failures
    • macOS per-device software updates;

 

Tutte queste configurazioni sono già disponibili attraverso la nuova modalità di gestione denominata Declarative Device Management (DDM).

 

Device security

Aggiornamento Vulnerability Remediation Agent

Nel mese di settembre, è stato aggiornato il Vulnerability Remediation Agent per Security Copilot con le seguenti funzionalità:

  • RBAC per Microsoft Defender: sono state aggiornate le linee guida per RBAC in modo tale da riflettere la modalità di implementazione di RBAC su Microsoft Defender XDR. Nel momento in cui si utilizzano configurazioni RBAC granulari, è necessario assicurarsi che l’identità dell’agente sia limitata su Microsoft Defender in modo tale da includere tutti i gruppi di dispositivi pertinenti; in questo modo, l’agente non può accedere o generare report su dispositivi al di fuori del suo ambito assegnato.
  • Identità dell’agente: è possibile modificare manualmente l’account utilizzato dall’agente come identità (Settings > Choose another identity). È opportuno assicurarsi che il nuovo account disponga di autorizzazioni sufficienti per accedere ai dati relativi al Microsoft Defender Vulnerability Remediation.

 

Nuova modalità di elevazione dei privilegi in Endpoint Privilege Management

Nella Service Release 2510, è stata introdotta una nuova modalità di elevazione dei privilegi in Endpoint Privilege Management (EPM) denominata Elevate as current user. Questa opzione consente di eseguire file o processi con privilegi elevati utilizzando il contesto dell’utente connesso invece di un account virtuale. Questo tipo di configurazione consente una gestione più coerente delle variabili di ambiente, dei profili utente e delle impostazioni personalizzate, migliorando così la compatibilità con applicazioni e l’auditing; inoltre, poiché l’identità dell’utente rimane invariata durante l’elevazione, è possibile sfruttare Multi Factor Authentication per una maggiore sicurezza.

 

Monitor e troubleshooting

Aggiornamento reportistica

A partire da queste release, sono state effettuate attività di revisione ed aggiornamento sulla parte di reportistica. Nel dettaglio:

  • È stato rilasciato un nuovo report per la funzionalità Enrollment Time Grouping denominato Enrollment time grouping failures (Devices > Monitor) che permette di visualizzare eventuali failure/errori (inclusi i dispositivi) nel processo di inserimento automatico dei device all’interno di gruppi Entra ID. All’interno di tale report, saranno presenti device Windows registrati attraverso Autopilot Device Preparation e device Android registrati in una delle modalità corporate.
  • È stata rilasciata una nuova dashboard per la funzionalità Endpoint Privilege Management (EPM) che fornisce informazioni dettagliate sulle elevazioni dei privilegi e sulle rispettive tendenze; queste informazioni permettono agli IT admin di identificare gli utenti che potrebbero essere pronti per essere declassati ad utente standard.

 

Valutazione di Intune

Per testare e valutare in modo gratuito i servizi offerti da Intune è possibile accedere a questa pagina.