Microsoft Intune: le novità di Novembre-Dicembre

Davide SalsiEnterprise Mobility, Microsoft Intune, What’s New in Microsoft Intune

L’ultima parte dell’anno appena concluso è stata caratterizzata dal rilascio di interessanti novità da parte di Microsoft in merito alla soluzione Microsoft Intune. Questo articolo riporta tutte le principali novità riguardanti la soluzione rilasciate nell’ultimo bimestre; sarà quindi possibile avere una panoramica complessiva delle principali novità rilasciate, in modo da rimanere sempre aggiornati su questi argomenti.

Le novità di maggiore rilevanza introdotte nelle ultime service release sono legate agli ultimi annunci fatti da parte di Microsoft durante l’ultima edizione di Microsoft Ignite, la conferenza annuale organizzata da Microsoft e pensata principalmente per professionisti IT, sviluppatori e decision maker.

Nel corso delle sessioni tenute ad Ignite, Microsoft ha annunciato l’introduzione di un nuovo panel all’interno dell’admin console denominato Admin tasks: questa interfaccia è stata pensata per offrire una vista centralizzata delle attività di sicurezza e delle richieste di elevazione dei privilegi; inoltre, consente agli amministratori di gestire le attività che richiedono attenzione da un’unica vista, senza dover navigare tra sezioni diverse della console.

Il nodo Admin tasks è disponibile all’interno della sezione Tenant Administration ed, al momento, permette di visualizzare le seguenti attività:

  • Richieste di elevazione dei privilegi su Endpoint Privilege Management;
  • Attività di sicurezza relativi a Microsoft Defender;
  • Richieste di approvazione relative alla funzionalità Multi-admin approval.

Un’altra interessante novità, sempre annunciata ad Ignite, è l’introduzione di 3 nuovi agent AI relativi a Security Copilot che permettono di facilitare la gestione dello strumento in specifici scenari.

Gli agenti AI attualmente disponibili sono:

  • Change Review agent: consente di valutare le richieste relative alla funzionalità Multi-Admin Approval per gli script PowerShell; questo agente fornisce raccomandazioni basate sul rischio in modo tale da aiutare gli IT admin a comprendere il comportamento degli script ed eventuali rischi ad essi associati. Allo stato attuale, questo agente supporta i soli dispositivi Windows gestiti.
  • Device Offboarding agent: questo agent permette di identificare dispositivi obsoleti o non allineati tra Intune e Microsoft Entra ID; sfruttando, ove possibile, gli automatismi presenti nativamente su Intune, l’agent di device offboarding permette di mantenere un allineamento tra i device attivi e quelli dismessi ed eventualmente gestire i casi ambigui dal momento in cui la pulizia automatica non risulta sufficiente. L’agente supporta le seguenti piattaforme: Windows, iOS/iPadOS, macOS, Android e Linux.
  • Policy Configuration agent: l’agent in questione, sfruttando benchmark di settore, come ad esempio policy CIS (Center of Internet Security) oppure propria documentazione interna aziendale (che può essere caricata direttamente dal portale) permette di guidare l’amministratore IT nella creazione delle apposite policy di configurazione e/o conformità. Al momento, questo agente supporta i soli dispositivi Windows gestiti.

Le Service Release 2511 e 2512 hanno inoltre introdotto altre interessanti novità, tra cui spiccano:

  • Il rilascio di nuove funzionalità relativa a Security Copilot per Microsoft Intune:
    • All’interno della funzionalità Explorer, sono stati introdotti opzioni di filtro più avanzate durante la creazione delle query, permettendo ad esempio l’utilizzo di operatori, oltre alla possibilità di selezionare più valori in quei campi che in precedenza consentivano la selezione di una sola opzione, come ad esempio la piattaforma.
    • Sono stati introdotti nuovi prompt per consentire la visualizzazione di informazioni relative a: Utenti e gruppi – Role Based Access Control (RBAC) – Audit Logs.
  • Supporto della funzionalità Scope Tags sulle richieste di elevazione dei privilegi su Endpoint Privilege Management (EPM); questa novità consente di segregare la visualizzazione delle richieste in base al proprio ambito.
  • Possibilità di passaggio da un account Google Play gestito (già registrato sul tenant) ad un account Microsoft Entra ID per la gestione dei dispositivi Android Enterprise;
  • Disponibilità di iVerify Enterprise come nuovo partner nelle soluzioni di mobile threat defense (MTD) integrabili con Intune.

Nei prossimi paragrafi verrà fornita una panoramica delle altre principali novità introdotte nelle ultime 2 release di Microsoft Intune.

App management

Nuove opzioni di trasferimento dati nelle App Protection Policy per Windows

Sono state introdotte due nuove opzioni all’interno delle App Protection Policy per sistemi Windows per consentire agli amministratori IT un controllo più granulare sul trasferimento di dati da app gestite (Microsoft Edge) verso altre sorgenti; i due nuovi settings introdotti sono:

  • Org data destinations and any source: gli utenti sono in grado di incollare da qualsiasi origine nel contesto dell’organizzazione e possono tagliare/copiare solo nelle destinazioni dell’organizzazione.
  • Org data destinations and org data sources: gli utenti possono tagliare/copiare/incollare solo all’interno del contesto dell’organizzazione.

Device enrollment

Supporto al protocollo ACME per l’enrollment di iOS/iPadOS/macOS e nuove schermate su Setup Assistant

In vista del supporto alla funzionalità di Device Attestation, Microsoft ha avviato un rollout graduale che riguarda il supporto al protocollo Automated Certificate Management Environment (ACME) durante l’enrollment dei device Apple (iOS, iPadOS e macOS), sostituendo così i certificati SCEP; questa evoluzione permetterà di migliorare la sicurezza durante la fase di registrazione grazie a meccanismi di validazione più robusti. La modifica non comporta variazioni nell’esperienza utente e nell’interfaccia di amministrazione; ACME è disponibile per i metodi di registrazione Apple BYOD, Apple Configurator e ADE e può essere utilizzato su dispositivi:

  • iOS 16.0 o versioni successive;
  • iPadOS 16.1 o versioni successive;
  • macOS 13.1 o versioni successive.

Sempre nelle ultime release, è stata introdotta la possibilità di gestire la visualizzazione di 12 nuove schermate durante Setup Assistant; le schermate che potranno essere visualizzate/nascoste sono:

  • iOS/iPadOS:
    • App Store (iOS/iPadOS 14.3+)
    • Camera button (iOS/iPadOS 18+)
    • Web content filtering (iOS/iPadOS 18.2+)
    • Safety and handling (iOS/iPadOS 18.4+)
    • Multitasking (iOS/iPadOS 26+)
    • OS Showcase (iOS/iPadOS 26+)
  • macOS:
    • App Store (macOS 11.1+)
    • Get Started (macOS 15+)
    • Software update (macOS 15.4+)
    • Additional privacy settings (macOS 26+)
    • OS Showcase (macOS 26.1+)
    • Update completed (macOS 26.1+)
    • Get Started (macOS 15+)

Configurazione Windows Backup for Organization

Windows Backup for Organizations è una soluzione integrata in Microsoft Intune che consente alle aziende di ripristinare le impostazioni di Windows in modo semplice e veloce; il backup include configurazioni di sistema, preferenze utente e impostazioni aziendali, che vengono salvate in modo sicuro e associati all’identità del tenant.

Attraverso Windows Backup for organization, gli IT admin sono in grado di gestire in modo centralizzato quali impostazioni includere nel backup via Settings Catalog e abilitare il ripristino a livello di tenant.

Device management

Supporto Device Management Type all’interno dei filtri

Gli assignment filters in Microsoft Intune sono una funzionalità che consente di applicare policy e configurazioni in modo mirato, basandosi su criteri dinamici; a differenza dei Dynamic groups in Entra ID, i filtri permettono di definire regole basate su attributi del dispositivo, come sistema operativo, versione, ecc… e vengono processati real time contrariamente ai gruppi dinamici che richiedono un tempo variabile per popolarsi.

Con il rilascio della Service Release di Novembre, è stato introdotto l’attributo Device Management Type per i dispositivi Android: attraverso questo filtro, è quindi possibile suddividere i device in base alle differenti tipologie di enrollment:

  • Corporate-owned dedicated devices with Entra ID Shared mode
  • Corporate-owned dedicated devices without Entra ID Shared mode
  • Corporate-owned with work profile
  • Corporate-owned fully managed
  • Personally-owned device with a work profile
  • AOSP user-associated devices
  • AOSP userless devices

Device configuration

Nuovi settings per la gestione di device Android nella sezione Settings Catalog

I Settings Catalog sono una funzionalità di Microsoft Intune che permette agli amministratori IT di gestire e configurare in modo centralizzato le impostazioni di dispositivi Windows, macOS, iOS/iPadOS e, di recente, anche per i dispositivi Android; questa funzionalità consente attraverso un’unica interfaccia di cercare e applicare i vari settings, raggruppandoli per categorie.

In questi ultimi due mesi, sono stati introdotti settings all’interno della sezione Settings Catalog focalizzati ad una migliore gestione dei device Android; qui sotto sono riportate le principali sezioni sulle quali sono state introdotte le nuove configurazioni:

  • General:
    • Block Contact sharing via Bluetooth (work profile level)
    • Block searching of work contacts and displaying work contact caller-id in personal profile
    • Data sharing between work and personal profiles
    • Skip first use hints
    • Block assist content sharing with privileged apps (se impostata su True, questa impostazione impedisce che contenuti come screenshot e dettagli delle app vengano inviati a un’app “privilegiata” di assistenza AI.)
  • Work profile password:
    • Number of days until password expires
    • Number of passwords required before user can reuse a password
    • Number of sign-in failures before wiping device
    • Required password type
      • Minimum password length
      • Number of characters required
      • Number of lowercase characters required
      • Number of non-letter characters required
      • Number of numeric characters required
      • Number of symbol characters required
      • Number of uppercase characters required
    • Required unlock frequency

Device security

Blocco accesso a Microsoft Tunnel da device Android rooted

Microsoft ha introdotto un importante miglioramento alla sicurezza di Microsoft Tunnel per quanto riguarda l’accesso da dispositivi Android: i dispositivi che sono stati oggetto di root (rooted) vengono ora bloccati automaticamente dalla nuova versione dell’app Microsoft Defender. Quando viene rilevato questo scenario, il sistema interrompe immediatamente le connessioni VPN attive, impedisce nuovi accessi e notifica l’utente dello stato, classificando il device come ad alto rischio.

Valutazione di Intune

Per testare e valutare in modo gratuito i servizi offerti da Intune è possibile accedere a questa pagina.