Microsoft Intune: le novità di Marzo-Aprile

Davide SalsiEnterprise Mobility, Microsoft Intune, What’s New in Microsoft Intune

Per rimanere costantemente aggiornati sulle novità riguardanti Microsoft Intune, la nostra community rilascia periodicamente questo riepilogo, che consente di avere una panoramica delle principali novità introdotte. In questo articolo troverete le novità, riportate in modo sintetico, e accompagnate dai riferimenti necessari per poter effettuare ulteriori approfondimenti.

 

La novità di maggiore rilevanza introdotta nella release di Marzo (2603 Service Release) riguarda l’attivazione lato tenant della funzionalità Windows Hotpatch; a partire dalla Security Update di Maggio 2026, tutti i device compatibili che risultano essere gestiti attraverso Windows Autopatch attiveranno automaticamente questa funzionalità.

Windows Hotpatch è una funzionalità pensata per semplificare la gestione degli aggiornamenti di sicurezza, consentendo di applicare patch idonee al sistema operativo senza richiedere un riavvio immediato del dispositivo; attraverso l’adozione di questa funzionalità, è possibile ridurre l’impatto degli aggiornamenti sull’utente finale, che può continuare a lavorare senza interruzioni in quanto gli update vengono applicati “a caldo”.

All’interno di questo processo, possiamo trovare due tipologie di aggiornamenti che avranno impatti e finalità diversi:

  • Baseline update: aggiornamenti cumulativi che Microsoft rilascia periodicamente su base trimestrale per i dispositivi abilitati a Hotpatch. Questi update servono a creare o aggiornare la base di riferimento del sistema operativo, includendo tutte le correzioni necessarie fino a quel momento; poiché modificano componenti del sistema, richiedono il riavvio del dispositivo.
  • Hotpatch update: aggiornamenti mirati a correggere bug di sicurezza senza richiedere un riavvio immediato; questi update vengono distribuiti tra una baseline e l’altra e si appoggiano proprio alla baseline installata in precedenza per essere correttamente applicati.

 

Di seguito, riportiamo uno schema di come vengono applicati gli aggiornamenti Hotpatch nel corso dell’anno:

Figura 1 – Schedulazione rilascio hotfix Windows Hotpatch

 

Figura 2 – Tabella riepilogativa rilasci Windows Hotpatch

 

Per poter usufruire di Windows Hotpatch, è necessario soddisfare i seguenti requisiti:

  • una delle seguenti licenze: Windows 11 Enterprise E3/E5, Windows 11 Education A3/A5, Microsoft 365 Business Premium, Windows 365 Enterprise.
  • Windows 11 versione 24H2 o versioni successive;
  • il device deve essere allineato alla baseline Hotpatch più recente (le baseline vengono rilasciate periodicamente come aggiornamenti cumulativi standard e richiedono il riavvio).
  • Virtualization-Based Security (VBS) attivo sul dispositivo.

 

Un’altra interessante novità introdotta nella Service Release 2604 riguarda l’aggiornamento dell’interfaccia grafica relativa ai device; accedendo alla sezione Devices > All Devices, attraverso l’apposito toggle, sarà possibile testare in preview la nuova veste grafica relativa ai dispositivi:

Figura 3 – Attivazione nuova interfaccia grafica Device

 

Questo aggiornamento introduce un’esperienza completamente ridisegnata pensata per rendere la gestione dei device più chiara ed immediata; uno degli aspetti più interessanti di questa nuova interfaccia, è l’approccio orientato alla visione completa ed uniforme del singolo dispositivo, in modo tale da fornire una struttura più standardizzata tra piattaforme diverse, pur adattandosi alle funzionalità specifiche di ciascun sistema operativo.

Figura 4 – Nuova interfaccia grafica Device

 

La nuova veste è composta anche da quattro nuovi tab per rendere maggiormente fruibili le informazioni presenti:

  • Device action status: questa sezione consente di seguire lo stato delle azioni richieste, verificare quelle in corso e consultare rapidamente quelle completate di recente; ciò rende più semplice comprendere cosa stia succedendo sul device in tempo reale, soprattutto in scenari di troubleshooting o nella gestione operativa day-by-day.
Figura 5 – Sezione Device action status

 

  • Tools and reports: La sezione dedicata a Tools and reports sostituisce la precedente scheda Overview e raccoglie funzionalità di monitoraggio e gestione che prima erano distribuite in diverse aree della console; in questo spazio, vengono riportate le informazioni principali come lo stato di conformità, la corretta/errata applicazione delle policy di configurazione e delle app, e strumenti operativi come le remediation, la raccolta delle chiave di recovery di BitLocker o la local admin password e le tutte le informazioni di inventario. Il risultato è una gestione più coerente e meno frammentata, particolarmente utile per chi amministra ambienti con molti dispositivi o piattaforme differenti.
Figura 6 – Sezione Tools and reports

 

  • Properties: all’interno di questa sezione, sono state raccolte tutte le proprietà modificabili del device, con una vista specifica per l’editing e una maggiore evidenza degli scope tag associati.
Figura 7 – Sezione Properties

 

  • Device details: l’ultima sezione Device details, che prende il posto della precedente sezione Hardware, offre invece una panoramica delle informazioni fisiche del dispositivo e dei principali dettagli di gestione legati a Intune e Microsoft Entra.
Figura 8 – Sezione Device details

 

Altre novità di particolare rilevanza introdotte nelle ultime due Service Release sono:

  • Il rilascio della nuova versione 25H2 delle Security Baseline per Windows 11 e della nuova versione (139) delle Security Baseline per Microsoft Edge.
  • Supporto delle versioni Red Hat Enterprise Linux (RHEL) 9 LTS, RHEL 10 LTS e Ubuntu 26.04 LTS; il supporto per le versioni 8 LTS (RHEL) e 22.04 LTS (Ubuntu) termineranno rispettivamente a fine luglio 2026 e agosto 2026.
  • Aggiornamento degli endpoint Remote Help per una migliore connettività: per un’esperienza ottimale, Microsoft raccomanda di aggiornare le firewall rule includendo il nuovo endpoint: *.trouter.communications.svc.cloud.microsoft. Utilizzando questo endpoint, sarà possibile usufruire di un nuovo log log per visualizzare informazioni relative alle notifiche inviate attraverso il nuovo canale.
  • Aggiornamento del connettore Teamviewer per migliorare l’integrazione sul portale Microsoft Intune e l’affidabilità durante il processo di connessione remota.
  • Dismissione del connettore Intune Data Warehouse (beta) connector v1 per Power BI; per evitare la perdita di informazioni sui report che utilizzano tale connettore, risulta necessario procedere con la migrazione verso i connettori Intune connector v2 o OData Feed.
  • Supporto per la registrazione dei device visionOS e tvOS in modalità userless (senza affinità utente-dispositivo); per poter usufruire di questa modalità di registrazoine, risulta necessario avere a disposizione il piano Microsoft Intune Plan 2.
  • Il Change Review Agent mostra ora raccomandazioni basate sul rischio direttamente nella sezione Multi-Admin Approval per quanto riguarda gli script PowerShell, consentendo di aprire e completare il relativo flusso di approvazione senza uscire dalla sezione dedicata.

 

Nei prossimi paragrafi verrà fornita una panoramica delle altre principali novità introdotte.

 

App management

Nuove protected app e nuove OEMConfig app

Le seguenti protected app risultano essere state aggiunte su Microsoft Intune:

  • PerfectServe Clinical Collab (PerfectServe)
  • Synigo Pulse (Synigo B.V.)
  • DeepL for Intune (DeepL SE)
  • Foxit PDF Editor (Foxit Software Inc.)
  • EasyPlant QC Inspections (Technip Energies) – Android
  • Harvey AI (Harvey AI Corporation) – iOS
  • Continia Expense App (Continia Software A/S)

 

Inoltre, nella release di marzo, è stata rilasciata la seguente OEMConfig app per device Android Enterprise:

  • Inventus | com.inventus.oemconfig.gen

 

Upload diretto delle Line-of-business app Android sul portale Microsoft Intune

Con il rilascio della Service Release 2604, è ora possibile caricare direttamente le Line-of-business app relative ad Android (file apk) sul portale Microsoft Intune; in precedenza, per device Android Enterprise, era necessario pubblicare le app private attraverso il portale Managed Google Play.

Al momento, questo tipo di funzionalità risulta essere disponibile per device Android Enterprise registrati nelle modalità Fully Managed o Dedicated.

 

Device management

Nuove azioni remote per la sospensione ed il ripristino della Managed Home Screen

All’interno della Service Release 2604, sono state introdotte due nuove remote action che consentono di sospendere momentaneamente e, successivamente, ripristinare la Managed Home Screen impostata su dispositivi Android Enterprise registrati in modalità Dedicated (kiosk).

Attraverso l’utilizzo della remote action Suspend Managed Home Screen, è possibile consentire all’utente utilizzatore (tendenzialmente un frontline worker) di uscire dall’interfaccia kiosk ed accedere alla schermata di default per un periodo definito di tempo, senza la necessità di rimuovere la policy di configurazione e/o fornire il PIN di sblocco dell’interfaccia.

Una volta terminato il periodo impostato o a fronte dell’esecuzione della remote action Restore Managed Home Screen, il device tornerà ad essere nuovamente configurato in modalità kiosk.

 

Figura 9 – Sospensione/Ripristino Managed Home Screen

 

Device configuration

Nuovi settings per la gestione di device Apple su Settings Catalog

Anche in questi mesi sono stati introdotti settings all’interno della sezione Settings Catalog, focalizzati ad una migliore gestione dei device Apple; qui sotto sono riportate le principali sezioni sulle quali sono state introdotte le nuove configurazioni:

  • iOS/iPadOS
    • Declarative Device Management (DDM) > External Intelligence Settings > Allow Sign In
    • Declarative Device Management (DDM) > External Intelligence Settings > Allowed Workspace IDs
    • Declarative Device Management (DDM) > Intelligence Settings > Allow Apple Intelligence Report
    • Declarative Device Management (DDM) > Intelligence Settings > Allow Genmoji
    • Declarative Device Management (DDM) > Intelligence Settings > Allow Image Playground
    • Declarative Device Management (DDM) > Intelligence Settings > Allow Image Wand
    • Declarative Device Management (DDM) > Intelligence Settings > Allow Personalized Handwriting Results
    • Declarative Device Management (DDM) > Intelligence Settings > Allow Visual Intelligence Summary
    • Declarative Device Management (DDM) > Intelligence Settings > Allow Writing Tools
    • Declarative Device Management (DDM) > Intelligence Settings > Mail > Allow Smart Replies
    • Declarative Device Management (DDM) > Intelligence Settings > Mail > Allow Summary
    • Declarative Device Management (DDM) > Intelligence Settings > Notes > Allow Transcription
    • Declarative Device Management (DDM) > Intelligence Settings > Notes > Allow Transcription Summary
    • Declarative Device Management (DDM) > Intelligence Settings > Safari > Allow Summary
    • Declarative Device Management (DDM) > Intelligence Settings > Force On Device Only Dictation
    • Declarative Device Management (DDM) > Intelligence Settings > Force On Device Only Translation
    • Declarative Device Management (DDM) > Keyboard Settings > Allow Definition Lookup
    • Declarative Device Management (DDM) > Keyboard Settings > Allow Auto Correction
    • Declarative Device Management (DDM) > Keyboard Settings > Allow Dictation
    • Declarative Device Management (DDM) > Keyboard Settings > Allow Predictive Text
    • Declarative Device Management (DDM) > Keyboard Settings > Allow Slide To Type
    • Declarative Device Management (DDM) > Keyboard Settings > Allow Spell Check
    • Declarative Device Management (DDM) > Keyboard Settings > Allow Text Replacement
    • Declarative Device Management (DDM) > Keyboard Settings > Allow Math Keyboard Suggestions
    • Declarative Device Management (DDM) > Siri Settings > Allow User Generated Content
    • Declarative Device Management (DDM) > Siri Settings > Allow While Locked
    • Declarative Device Management (DDM) > Siri Settings > Force Profanity Filter
  • macOS
    • Declarative Device Management (DDM) > External Intelligence Settings > Allow Sign In
    • Declarative Device Management (DDM) > External Intelligence Settings > Allowed Workspace IDs
    • Declarative Device Management (DDM) > Intelligence Settings > Allow Apple Intelligence Report
    • Declarative Device Management (DDM) > Intelligence Settings > Allow Genmoji
    • Declarative Device Management (DDM) > Intelligence Settings > Allow Image Playground
    • Declarative Device Management (DDM) > Intelligence Settings > Allow Writing Tools
    • Declarative Device Management (DDM) > Intelligence Settings > Mail > Allow Smart Replies
    • Declarative Device Management (DDM) > Intelligence Settings > Mail > Allow Summary
    • Declarative Device Management (DDM) > Intelligence Settings > Notes > Allow Transcription
    • Declarative Device Management (DDM) > Intelligence Settings > Notes > Allow Transcription Summary
    • Declarative Device Management (DDM) > Intelligence Settings > Safari > Allow Summary
    • Declarative Device Management (DDM) > Intelligence Settings > Force On Device Only Dictation
    • Declarative Device Management (DDM) > Keyboard Settings > Allow Definition Lookup
    • Declarative Device Management (DDM) > Keyboard Settings > Allow Dictation
    • Declarative Device Management (DDM) > Keyboard Settings > Allow Math Keyboard Suggestions
    • Declarative Device Management (DDM) > Siri Settings > Force Profanity Filter

 

Nuovi settings per la gestione di device Windows su Settings Catalog

Con il rilascio della Service Release 2603, sono stati aggiunti nuovi settings per la gestione di alcune funzionalità del sistema operativo Windows all’interno della sezione Settings Catalog; qui sotto sono riportati le nuove configurazioni:

  • Connectivity
    • Disable Cross Device Resume: questo criterio consente di disattivare la funzionalità che consente a Windows di suggerire agli utenti di continuare un’attività su un altro dispositivo, ad esempio un telefono (come la navigazione tra file o l’utilizzo di app supportate) avviata da un PC. Se viene configurata in modalità Disabled, l’utente non riceverà alcuna notifica/messaggio per riprendere l’attività dal telefono.
  • Windows AI
    • Remove Microsoft Copilot App: questo setting permette di disinstallare l’app Microsoft Copilot dai dispositivi. Questa azione verrà eseguita solo se saranno soddisfatte le seguenti condizioni:
      • Sul device, risultano installate sia l’app Microsoft 365 Copilot che l’app Microsoft Copilot;
      • L’app Microsoft Copilot non è stata installata dall’utente e non risulta essere stata aperta negli ultimi 14 giorni.

 

Configurazione Credential Manager su device Android Enterprise

Per device Android Enterprise versione 14 o successive, è ora possibile controllare quali applicazioni fungeranno da Credential Manager a livello di sistema sui dispositivi gestiti in quanto, per impostazione predefinita, Android impedisce alle app di terze parti di fornire credenziali; i provider di credenziali sono responsabili del riempimento automatico delle password e dell’archiviazione delle chiavi di accesso.

Per configurare le autorizzazioni, è necessario accedere alla sezione Apps > Configuration > Create > Managed devices, selezionare Android Enterprise come piattaforma e come Profile Type selezionare il profilo in questione; successivamente, attraverso la voce Select app, selezionare l’app che fungerà da Credential Manager (Microsoft Authenticator risulta essere autorizzato automaticamente) e, nella sezione Credential Manager, impostare il toggle Allow this app to act as a credential provider su Enabled.

Figura 10 – Gestione Credential Provider

 

Questa impostazione permette di:

  • consentire ad app specifiche di fungere da Credential Manager;
  • abilitare l’accesso basato su passkey su tutti i dispositivi Android Enterprise gestiti;
  • mantenere il controllo sulle fonti considerate attendibili sui dispositivi aziendali e personali.

 

Nuova funzionalità Recovery lock per device macOS

Sui dispositivi macOS, è ora possibile configurare una password di ripristino che impedisce agli utenti di avviare i dispositivi aziendali in modalità di ripristino, reinstallare macOS e bypassare la gestione remota.

Attraverso i Settings Catalog, è possibile configurare questa funzionalità attraverso le seguenti impostazioni:

  • Turn on the recovery lock feature: questo setting permette di attivare la funzionalità Recovery lock;
  • Configure a password rotation schedule: attraverso questa impostazione, è possibile definire uno scheduling per il cambio automatico della password.

Inoltre, attraverso l’apposita azione remota Rotate Recovery lock passcode, è possibile ruotare forzatamente la password per un dispositivo specifico. Per visualizzare la password di Recovery Lock, è necessario accedere al dispositivo interessato e, all’interno della sezione Tools and reports, premere sul riquadro Passwords and keys.

Figura 11 – Accesso Recovery Lock password

 

Successivamente, sarà necessario premere sul pulsante Show Recovery Lock Passcode per visualizzare la rispettiva password.

 

Figura 12 – Visualizzazione Recovery Lock password

 

Device security

Nuove funzionalità sull’elevazione dei privilegi in Endpoint Privilege Management (EPM) nella modalità Support Approved

Nel mese di aprile, è stata rilasciata una nuova funzionalità sull’elevazione dei privilegi in Endpoint Privilege Management (EPM) nella modalità Support Approved; questa modalità permette di inviare una richiesta di elevazione agli amministratori di Intune che possono approvare o declinare.

Prima del rilascio della Service Release 2604, le richieste di elevazione dei privilegi dei file che richiedevano l’approvazione erano supportate solo dal Primary User o dall’utente che aveva registrato il dispositivo; ora, il nuovo aggiornamento supporta la richiesta da parte di tutti gli utenti di un dispositivo.

Per maggiori dettagli sulla funzionalità Endpoint Privilege Management, è disponibile al seguente link un articolo dedicato all’interno della nostra community.

 

Role Based Access Control

Scoped permissions for Role-based access control (public preview)

Il Product Group di Intune ha reso disponibile in public preview una nuova funzionalità per la componente RBAC basata sulle autorizzazioni con ambito, rendendo la configurazione del controllo degli accessi più precisa; una volta abilitata la funzionalità Scoped permissions non risulta possibile effettuare rollback (in futuro, questo tipo di configurazione sarà abilitata di default per tutti i tenant).

In precedenza, quando un IT admin aveva più assegnazioni che utilizzavano tag di ambito diversi per la stessa categoria, Intune effettuava un merge tra le autorizzazioni assegnate, il che poteva inavvertitamente concedere un accesso più ampio di quello previsto. A fronte dell’attivazione delle Scoped permissions, le autorizzazioni di ciascuna assegnazione si applicano solo nel contesto del proprio tag, in modo che gli amministratori ricevano esattamente le permission previste.

Per aiutare gli amministratori in questa transizione, Microsoft ha messo a disposizione un nuovo report denominato Permissions Assessment Report: attraverso questo report, è possibile visualizzare in dettaglio le autorizzazioni correnti del tenant e visualizzare come cambieranno dopo l’abilitazione delle Scoped permissions.

 

Valutazione di Intune

Per testare e valutare in modo gratuito i servizi offerti da Intune è possibile accedere a questa pagina.