Come consuetudine della nostra community, questo articolo riporta tutte le principali novità riguardanti la soluzione Microsoft Intune rilasciate negli ultimi due mesi; sarà possibile avere una panoramica complessiva delle principali novità rilasciate, in modo da rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per effettuare maggiori approfondimenti.
La principale novità introdotta nella service release 2601 è legata agli ultimi annunci fatti da parte di Microsoft durante l’ultima edizione di Microsoft Ignite: nel corso delle sessioni, Microsoft ha annunciato l’introduzione di un nuovo panel all’interno dell’admin console denominato Admin tasks: questa interfaccia è stata pensata per offrire una vista centralizzata delle attività di sicurezza e delle richieste di elevazione dei privilegi; inoltre, consente agli amministratori di gestire le attività che richiedono attenzione da un’unica vista, senza dover navigare tra sezioni diverse della console.
Il nodo Admin tasks, ora in General Availability, è disponibile all’interno della sezione Tenant Administration e, al momento, permette di visualizzare le seguenti attività:
- Richieste di elevazione dei privilegi su Endpoint Privilege Management;
- Attività di sicurezza relativi a Microsoft Defender;
- Richieste di approvazione relative alla funzionalità Multi-admin approval.
Un’altra interessante novità è la possibilità di utilizzare la funzionalità Multi-admin approval per autorizzare le modifiche (creazione, modifica o cancellazione) su Configuration Profile basati su Settings Catalog e sulle Compliance Policy; questa nuova funzionalità permette ora di finalizzare un processo di autorizzazione a più livelli per le organizzazioni che lo necessitano.
Le Service Release 2601 e 2602 hanno inoltre introdotto altre interessanti novità, tra cui spiccano:
- Avvio nell’utilizzo degli IP Azure Fornt Door (AFD) da parte del servizio Microsoft Intune (vedi riferimento); per le organizzazioni che utilizzano filtri su indirizzi ip, Azure Service tag, ecc… risulta necessario aggiornare le configurazioni per consentire l’accesso agli IP/URL indicati da Microsoft al seguente link.
- Fine del supporto per le policy MDM di gestione degli aggiornamenti sui sistemi Apple; a partire dalla versione 26 per iOS/iPadOS/maOS, Apple ha deprecato tali configurazioni pertanto sarà necessario utilizzare le nuove configurazioni basate su Declerative Device Management (DDM) presenti all’interno della sezione Settings Catalog.
- Introduzione della funzionalità Endpoint Privilege Management (EPM) – soluzione per controllare l’elevazione dei privilegi su utenti standard – anche in ambiente Azure Virtual Desktop (AVD) single-session; questa novità permetterà ad utenti standard connessi su host AVD di poter eseguire processi in contesto amministrativo.
- Possibilità di utilizzare gli Assignement Filters durante la distribuzione delle policy di tipo Settings Catalog (basate su DDM).
Nei prossimi paragrafi verrà fornita una panoramica delle altre principali novità introdotte nelle ultime 2 release di Microsoft Intune.
App management
Nuove protected app
Le seguenti protected app risultano essere state aggiunte su Microsoft Intune:
- Jump (Accio Inc.)
- Mijn InPlanning (Intus Workforce Solutions) – Android
- Clarity Express for Intune (Rego Consulting Corporation)
- Datadog (Datadog Inc.)
- Qlik Analytics (Qlik)
- Tier1 for Intune (SS&C Technologies, Inc.) – iOS
Device management
Supporto Device Management Type all’interno dei filtri
Gli assignment filters in Microsoft Intune sono una funzionalità che consente di applicare policy e configurazioni in modo mirato, basandosi su criteri dinamici; a differenza dei Dynamic groups in Entra ID, i filtri permettono di definire regole basate su attributi del dispositivo, come sistema operativo, versione, ecc… e vengono processati real time contrariamente ai gruppi dinamici che richiedono un tempo variabile per popolarsi.
Con il rilascio della Service Release di Gennaio, è stato introdotto l’attributo Device Management Type per i dispositivi Android e iOS: attraverso questo filtro, è quindi possibile suddividere i device in base alle differenti tipologie di enrollment:
- Android
- Corporate-owned dedicated devices (Entra ID Shared mode)
- Corporate-owned dedicated devices
- Corporate-owned work profile
- Corporate-owned fully managed
- Personally-owned work profile
- iOS/iPadOS
- Automated Device Enrollment
- Automated Device Enrollment (senza user affinity)
- Account Driven User Enrollment
- Device Enrollment (Company Portal e Web Enrollment)
Questa funzionalità verrà rilasciata gradualmente e sarà resa disponibile a tutti i clienti verso fine marzo 2026.
N.B.: Se si utilizzano i valori legacy nei filtri (Android Enterprise e Managed), questi vengono automaticamente mappati ai nuovi valori disponibili per la rispettiva piattaforma; affinché il mapping automatico funzioni correttamente, i dispositivi devono essere registrati su Entra ID e disporre di device ID. Se i dispositivi non soddisfano questi requisiti, i filtri di assegnazione non corrisponderanno alle tipologie più granulari.
Integrazione con Zimperium Mobile Threat Defense
Con questa novità, Microsoft Intune introduce l’integrazione con Zimperium Mobile Threat Defense permettendo di sincronizzare l’inventario dei certificati presenti sui dispositivi iOS e iPadOS gestiti. In questo modo diventa più semplice individuare situazioni di rischio legate a certificati apparentemente legittimi ma potenzialmente dannosi. La nuova configurazione offre anche un controllo più granulare sulla condivisione di queste informazioni, inclusi i casi che riguardano dispositivi personali.
A fronte della configurazione del connettore, è possibile impostare i seguenti settings:
- Enable Certificate Sync for iOS/iPadOS devices – questa configurazione permette a Zimperium di richiedere, attraverso Intune, la lista dei certificate installati sui device iOS/iPadOS in modo tale da poter essere utilizzati per analizzare eventuali minacce.
- Send full certificate inventory data on personally-owned iOS/iPadOS devices – questo settings definisce quali dati relativi all’inventario dei certificati Intune può condividere con questa soluzione di Mobile Threat Defense sui dispositivi personali. Le informazioni vengono trasmesse quando il partner avvia la sincronizzazione dei dati sui certificati e richiede l’elenco dei certificati presenti sul device.
Quando la sincronizzazione risulta attiva, vengono condivise queste informazioni:
- Account ID
- Entra ID Device ID
- Device Owner
- Certificate List
- Common Name
- Data
- Is Identity
Device configuration
Nuovi settings per la gestione di device Apple nella sezione Settings Catalog
I Settings Catalog sono una funzionalità di Microsoft Intune che permette agli amministratori IT di gestire e configurare in modo centralizzato le impostazioni di dispositivi Windows, macOS, iOS/iPadOS; questa funzionalità consente attraverso un’unica interfaccia di cercare e applicare i vari settings, raggruppandoli per categorie.
In questi ultimi due mesi, sono stati introdotti settings all’interno della sezione Settings Catalog focalizzati ad una migliore gestione dei device Apple; qui sotto sono riportate le principali sezioni sulle quali sono state introdotte le nuove configurazioni:
iOS/iPadOS
- AirPlay:
- Device Name
- Restrictions:
- Rating Apps Exempted Bundle IDs
macOS
- AirPlay:
- Device Name
- Microsoft Defender
Nuovi settings per la gestione dei sistemi Windows nella sezione Settings Catalog
Sempre all’interno della sezione Settings Catalog, Microsoft ha introdotto nuove configurazioni dedicate ai sistemi Windows: di seguito riportiamo i principali settigs introdotti nelle ultime release del prodotto:
- Microsoft Edge
- Allow sharing tenant-approved browsing history with Microsoft 365 Copilot Search
- Enable RAM (memory) resource controls
- Specifies whether to opt out of Local Network access restrictions
- Experience > Disable Share App Promotions: questo settings permette di controllare la visualizzazione delle app promozionali nel menu di condivisione di Windows. Se la policy viene abilitata, Windows non mostrerà applicazioni promozionali nella Share Sheet.
- Licensing > Enable ESU Subscription Check: questa policy consente di abilitare o disabilitare il controllo della sottoscrizione agli Extended Security Updates (ESU) di Windows 10; se attivata, il dispositivo verifica lo stato della sottoscrizione ESU associata all’utente Microsoft Entra ID connesso.
- Windows AI
- Disable Agent Workspaces
- Disable Agent Connectors
- Disable Remote Agent Connectors
- Agent Connector Minimum Policy: definisce il valore minimo della policy che regola il modo in cui i connettori dell’agente vengono eseguiti sul dispositivo.
- Google Chrome: introdotti i nuovi ADMX per gestire il browser fino alla versione 141.0.7390.108.
- Firewall > Enable Audit Mode: se questa policy viene abilitata, la funzionalità Windows Firewall presente sul device target verrà configurata in audit mode.
- Microsoft Visual Studio > Copilot settings > Disable agent mode: questa impostazione di Copilot è stata aggiornata per includere il supporto alla localizzazione; inoltre questa configurazione consente di impedire agli utenti di utilizzare la modalità agente di GitHub Copilot.
- Windows Components > Internet Explorer > Internet Control Panel > Security Page:
- Turn on automatic detection of intranet: consente di applicare in modo automatico le regole di mapping quando il computer è membro di un dominio; in questo modo, l’ambiente intranet viene identificato senza richiedere configurazioni manuali aggiuntive.
- Intranet Sites: Include all sites that bypass the proxy server: quando questa policy viene abilitata, i siti esclusi dal passaggio attraverso il proxy vengono classificati automaticamente come risorse appartenenti all’Intranet.
Device security
Nuova funzionalità Windows Autopatch Update Readiness
Nella Service Release 2602, Microsoft ha introdotto una nuova funzionalità denominata Windows Autopatch Update Readiness: questa nuova feature è pensata per aiutare gli amministratori IT a verificare in modo proattivo se i dispositivi Windows gestiti con Intune sono realmente pronti a ricevere gli aggiornamenti.
L’obiettivo è quello di individuare in anticipo eventuali criticità, lacune di configurazione o condizioni che potrebbero causare il fallimento degli update, passando così da un approccio reattivo a un modello di gestione più proattivo.
La soluzione mette a disposizione i seguenti strumenti:
- Windows Autopatch management status report: questa funzionalità offre una vista completa a livello tenant di tutti i dispositivi Windows gestiti con Microsoft Intune e del relativo stato di gestione degli aggiornamenti; il report non si limita a visulizzare i device gestiti attraverso Windows Autopatch, ma include anche quelli gestiti tramite Update Ring e device che, pur presenti nell’ambiente, risultano al momento non gestiti dal punto di vista degli update. Il valore principale di questo report è la possibilità di avere un inventario centralizzato e coerente dell’intero parco macchine, così da verificare che ogni dispositivo sia correttamente preso in carico.
- Device update journey: questo strumento introduce una visibilità molto più dettagliata sul ciclo di vita dell’aggiornamento del singolo dispositivo; invece di limitarsi a stati generici come In Progress, questa funzionalità mostra in modo più preciso le varie fasi degli aggiornamenti, dalla disponibilità fino all’installazione completata o all’eventuale errore. Questo approccio consente di capire con maggiore chiarezza in quale punto del processo un aggiornamento si blocca e quali possono essere le cause del problema.
- Centralized alerting framework: vengono raccolte in un’unica interfaccia tutti gli avvisi generati da Windows Autopatch in modo tale da semplificare le troubleshooting e/o di monitoring. Questo riduce l’effort da parte degli amministratori IT nel dover individuare i problemi in diverse sezioni nell’interfaccia di amministrazione, in quanto, le informazioni necessarie risultano consolidate all’interno di un’unica vista che include errori di configurazione, gap di readiness e conflitti tra policy. Inoltre, ogni alert non si limita a segnalare il problema, ma fornisce anche indicazioni di remediation più chiare, aiutando l’IT a ridurre il tempo necessario per identificare la causa e intervenire.
- Update readiness checker: l’update readiness checker è uno strumento pensato per eseguire una valutazione preventiva dello stato di preparazione agli aggiornamenti. Si tratta quindi di un controllo proattivo che permette di capire in anticipo quali endpoint potrebbero incontrare problemi durante il rollout. Le verifiche effettuate coprono diversi aspetti tecnici, tra cui connettività, spazio su disco, presenza di eventuali safeguard hold, ecc… Quando il sistema rileva condizioni potenzialmente critiche, il dispositivo viene classificato come At Risk, consentendo agli IT admin di intervenire prima che l’update venga distribuito.
Monitor e troubleshooting
Miglioramenti relativi alla funzionalità Device Query
La funzionalità Device Query consente agli amministratori di interrogare e analizzare i dati relativi ai dispositivi gestiti; si tratta di uno strumento utile per costruire query mirate su singoli device o su insiemi di dispositivi, con l’obiettivo di ottenere informazioni di dettaglio sui propri endpoint.
Nelle ultime due release di prodotto, la funzionalità Device Query è stata aggiornata con diverse migliorie che rendono la creazione delle query più flessibile: tra le novità più rilevanti, c’è l’introduzione di nuovi operatori come leftsemi, rightsemi, leftanti e rightanti, che ampliano le possibilità di correlazione tra le varie viste.
Un’altra novità molto interessante riguarda i risultati restituiti dalle query: quando un’operazione coinvolge un dispositivo, sia in una query diretta sia tramite join con altre entità, il device compare ora come link cliccabile. Questo consente di accedere più rapidamente alla relativa scheda di dettaglio, velocizzando le attività di analisi.
Microsoft ha inoltre rivisto il comportamento delle join per semplificare la sintassi; in particolare, non è più supportato l’uso di on Device.DeviceId nelle operazioni di join ma risulta necessario utilizzare direttamente on Device oppure omettere del tutto la clausola on quando la join riguarda l’entità dispositivo. Un altro cambiamento riguarda il modo in cui viene referenziato il dispositivo all’interno di operatori come distinct, summarize e order by: non è più possibile richiamare genericamente Device. Le query devono ora indicare esplicitamente una proprietà specifica del dispositivo, rendendo così i comandi più chiari.
Infine, Microsoft ha aggiornato anche la gestione degli errori, introducendo messaggi più chiari e descrittivi per aiutare gli IT admin a identificare più facilmente eventuali problemi di sintassi o configurazioni non valide.
Supporto a Windows 11 25H2 nei report di readiness e compatibilità
I report Windows feature update compatibility risks e Windows feature update device readiness includono ora Windows 11 25H2 tra i sistemi operativi selezionabili come target; selezionando la versione 25H2 nel campo Select target OS, gli amministratori IT possono ottenere analisi aggiornate per valutare in anticipo il livello di preparazione dei dispositivi e individuare eventuali rischi di compatibilità prima della distribuzione della Feature Update.
Valutazione di Intune
Per testare e valutare in modo gratuito i servizi offerti da Intune è possibile accedere a questa pagina.