Nei mesi di Maggio e Giugno sono state annunciate, da parte di Microsoft, varie novità riguardanti Microsoft Intune. La nostra community, tramite questi articoli, vuole fornire una panoramica complessiva delle principali novità, in modo da rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per effettuare maggiori approfondimenti.
La novità di maggiore rilevanza introdotta nel mese di Giugno riguarda l’evoluzione della gestione dei dispositivi Android personali (BYOD; nell’ambito del percorso di evoluzione di Intune verso l’utilizzo delle Android Management API, Microsoft ha introdotto aggiornamenti significativi per migliorare sia l’esperienza di registrazione dei dispositivi sia il modo in cui le policy vengono distribuite, applicate e monitorate. Si tratta di un cambiamento importante perché modernizza la gestione dei dispositivi Android con profilo di lavoro e la rende più coerente con gli altri scenari Android Enterprise già supportati da Intune, come i dispositivi aziendali Fully Managed e Dedicated.
Il primo aggiornamento riguarda la registrazione via Web (Web enrollment), pensata per semplificare il processo di enrollment e migliorare l’esperienza utente: attraverso questo nuovo processo di registrazione, gli utenti non devono necessariamente installare un’app per avviare la registrazione del dispositivo in Intune. Il processo viene gestito attraverso un’esperienza Web più lineare e immediata. Questa impostazione è attivabile a livello tenant, accedendo alla sezione Devices > Device Onboarding > Enrollment > Android> Personally owned devices with a work profile ed attivando l’opzione Use web enrollment for all users enrolling into Android personally-owned work profile management:

Il secondo aggiornamento riguarda la nuova modalità con cui Intune distribuisce e monitora le policy su questa tipologia di dispositivi: all’interno della Service Release 2606, Microsoft ha introdotto una soluzione più moderna per la gestione delle configurazioni e dei criteri sui dispositivi Android con profilo di lavoro su Android Management API. La migrazione verso questa nuova modalità può essere attivata su gruppi specifici in quanto, allo stato attuale, viene attivata attraverso la distribuzione di uno specifico profilo di configurazione; accedendo alla sezione Devices > Manage devices > Configuration > Create > New policy > Android Enterprise sarà possibile selezionare l’opzione Move to Android Management API.

Una volta selezionata tale opzione, sarà sufficiente completare il wizard di creazione andando a selezionare il gruppo Entra ID designato per la ricezione della nuova policy.
Un’altra interessante novità, rilasciata nella service release 2605, risulta essere l’introduzione di nuova funzionalità riguardante la gestione delle multi-identità presenti sui device mobili: la funzionalità Multiple Managed Accounts consente agli utenti di aggiungere e gestire più account aziendali all’interno della stessa applicazione.
Questa novità permette di utilizzare più identità gestite nella medesima app, senza la necessità di cambiare dispositivo o ricorrere a configurazioni separate; le app protection policies vengono, di conseguenza, applicate in modo indipendente a ciascun account, consentendo di definire livelli di protezione differenti in base all’organizzazione.
La funzionalità Multiple Managed Accounts risulta particolarmente utile in scenari in cui gli utenti devono operare su più ambienti, come ad esempio: consulenti oppure utenti che gestiscono più cassette postali.
Allo stato attuale, questa funzionalità risulta essere supportata in Microsoft Teams su device (versione 8.10.0 o successive) ma Microsoft ha già annunciato che sarà presto disponibile il supporto ad altre piattaforme ed app.
Le Service Release 2605 e 2606 hanno introdotto altre interessanti novità, tra cui spiccano:
- Nella funzionalità Remote Help, è stato introdotto il supporto alle sessioni RemoteApp su Azure Virtual Desktop;
- Rilascio della nuova versione (2512) delle baseline relative a Microsoft 365 Apps for Enterprise;
- Disponibilità di Trustd Mobile come nuovo partner nelle soluzioni di mobile threat defense (MTD) integrabili con Intune.
- Introdotti ulteriori miglioramenti nell’interfaccia grafica della nuova sezione Devices all’interno della console;
- Introdotto il supporto a Red Hat Enterprise Linux 9.7 per l’implementazione di Microsoft Tunnel;
- Introdotto il supporto a WPA3-Personal come opzione di sicurezza nella configurazione dei profili Wi-Fi per dispositivi iOS/iPadOS;
- Possibilità di rinnovo “in-place” di una Cloud PKI Issuing CA (in precedenza, il rinnovo, richiedeva la creazione di una nuova CA e l’aggiornamento dei profili SCEP);
- Possibilità di aggiornamento automatico delle app distribuite attraverso Enterprise App Management (a fronte della disponibilità di una versione nel catalogo EAM, Intune aggiorna automaticamente l’app sui dispositivi);
Nei prossimi paragrafi verrà fornita una panoramica delle altre principali novità introdotte nelle ultime due release di Microsoft Intune.
App management
Nuove protected app
Le seguenti protected app risultano essere state aggiunte su Microsoft Intune:
- Caju AI (Caju AI)
- eYACHO for Biz 7 Intune (MetaMoJi Corporation)
- eYACHO Viewer 7 Intune (MetaMoJi Corporation)
- Harvey AI (Harvey AI)
- Notta for Intune (Notta)
- SwiftConnect Mobile (SwiftConnect)
- ChatGPT (OpenAI)
Nuovo requisito HTTPS per la distribuzione delle app Win32
Microsoft Intune richiede ora che il contenuto delle app Win32 venga distribuito tramite HTTPS; questa modifica è particolarmente rilevante per le organizzazioni che utilizzano Microsoft Connected Cache e che non hanno ancora configurato i propri cache node per supportare la distribuzione dei contenuti tramite HTTPS.
A fronte dell’introduzione di questo nuovo requisito, se i nodi non risultano essere configurati in HTTPS, i client effettueranno il download direttamente da Intune/CDN e, di conseguenza, le richieste non passeranno attraverso i cache node.
Questo comportamento può avere un impatto significativo sull’infrastruttura di rete, poiché potrebbe aumentare il traffico Internet in uscita ed il consumo di banda; a tal proposito, risulta necessario verificare la configurazione dei propri nodi ed abilitare il supporto HTTPS, così da continuare a beneficiare della cache locale e ridurre il carico sulla connettività Internet.
Device configuration
Disattivazione temporanea delle app su Managed Home Screen
Per i dispositivi che utilizzano Managed Home Screen, è ora possibile silenziare temporaneamente le applicazioni ogni volta che MHS richiede l’autenticazione dell’utente, ad esempio durante la fase di accesso o nella schermata di inserimento del PIN di sessione; quando questa funzionalità è attiva, le app non sono in grado di avviare attività, mostrare notifiche – toast – finestre di dialogo. Questo comportamento riduce il rischio che un’app possa interferire con il processo di autenticazione o consentire un potenziale bypass del PIN di sessione.
Strict Tunnel Mode per Microsoft Tunnel su dispositivi Android
Con il rilascio della Service Release 2605, Microsoft ha introdotto, nella soluzione Microsoft Tunnel, il supporto alla modalità Strict Tunnel Mode per dispositivi Android Enterprise: quando questa modalità risulta abilitata, tutto il traffico di rete generato dal dispositivo viene reindirizzato all’interno del tunnel VPN. Nel caso in cui la connessione VPN non dovesse essere disponibile o dovesse interrompersi, il traffico di rete viene bloccato (fino al ripristino della connessione) impedendo alle applicazioni di accedere ad Internet.
È importante sottolineare come è comunque consentito agli IT admin di definire un elenco di esclusioni per consentire a specifiche applicazioni di bypassare il tunnel e connettersi direttamente alla rete, indipendentemente dallo stato della connessione VPN.
Nuovi settings per la gestione di device Android attraverso Settings Catalog
Nel mese di giugno, all’interno della sezione Settings Catalog, sono stati introdotti ulteriori settings per permettere una migliore gestione dei dispositivi Android:
- Fully Managed, Dedicated, Corporate-owned with work profile
- Applications > Block apps from exposing app functions
- Connectivity > Allow selection of a preferential network service
- Connectivity > Block airplane mode
- Connectivity > Block cellular 2G
- Connectivity > Block configuring cell broadcasts
- Connectivity > Block configuring mobile networks
- Connectivity > Block configuring VPN
- Connectivity > Block network reset
- Connectivity > Block outgoing calls
- Connectivity > Block SMS
- Connectivity > Block ultra wideband
- Connectivity > Select minimum Wi-Fi security level
- General > Block printing
- General > Block setting user icon
- General > Block setting wallpaper
- General > Block users from adding eSIM profiles
- Corporate-owned with work profile
- Applications > Block widgets from work profile apps
Nuovi settings per la gestione di Microsoft Edge su Windows via Settings Catalog
La versione 2605 di Intune ha introdotto una serie di configurazioni per la gestione del browser Microsoft Edge attraverso la modalità Settings Catalog; di seguito è possibile trovare le nuove impostazioni introdotte in tale release:
- Microsoft Edge > Startup, home page and new tab page > Configure whether the Discover or Work feed tabs are shown on the New Tab Page
- Consente di definire se nella Nuova scheda di Microsoft Edge devono essere visualizzate le schede Discover e/o Work.
- Microsoft Edge – Default Settings (users can override) > Set the default New Tab Page feed tab to Work or Discover
- Imposta quale scheda del feed, tra Work e Discover, deve essere mostrata come predefinita nella Nuova scheda.
- Microsoft Edge > Identity and sign-in > Allow M365 authentication popups in work profiles
- Permette ai popup di autenticazione Microsoft 365 di bypassare il blocco popup nei profili di lavoro, così da completare correttamente l’accesso ai servizi aziendali.
- Microsoft Edge > Automatically open Copilot side pane with contextual insights for links opened from Outlook
- Consente ad Edge di aprire automaticamente il pannello laterale di Copilot quando l’utente apre link provenienti da mail dello stesso tenant, mostrando insight contestuali.
- Microsoft Edge > Enable the extended lifetime option for SharedWorkers
- Permette a Microsoft Edge di mantenere attivo temporaneamente uno SharedWorker anche dopo la chiusura delle schede che lo utilizzavano, così da completare attività in background.
- Microsoft Edge > List of URL patterns for which developer tools are allowed to be opened
- Definisce un elenco di URL sui quali è consentito l’utilizzo degli strumenti di sviluppo di Microsoft Edge.
- Microsoft Edge > List of URL patterns for which developer tools are blocked
- Definisce un elenco di URL sui quali gli strumenti di sviluppo sono bloccati. Se almeno un frame della pagina corrisponde a un pattern configurato, gli strumenti di sviluppo vengono bloccati per l’intera pagina.
- Microsoft Edge > Maximum number of concurrent connections to the proxy server for WebSocket requests
- Imposta il numero massimo di connessioni simultanee verso un proxy server per le richieste WebSocket.
- Microsoft Edge > Controls the availability of browsing with Copilot in Microsoft Edge
- Controlla la disponibilità della funzionalità Browsing with Copilot, che può essere utilizzata solo sui domini consentiti dalle relative policy di allowlist e bloccata sui domini configurati in blocklist.
- Microsoft Edge > Browsing with Copilot Allowed URLs
- Definisce l’elenco degli URL sui quali gli utenti possono utilizzare la funzionalità Browsing with Copilot.
- Microsoft Edge > Browsing with Copilot Blocked URLs
- Definisce l’elenco degli URL sui quali Browsing with Copilot deve essere bloccato.
- Microsoft Edge > Enable the Copilot new tab page
- Abilita la nuova pagina Nuova scheda di Copilot in Microsoft Edge for Business, che integra ricerca, chat, schede personalizzate e suggerimenti contestuali.
- Microsoft Edge > Manageability > Allow MAM enrollment when managed device has Purview DLP policy configured
- Consente l’enrollment Mobile Application Management (MAM) di Microsoft Edge su dispositivi gestiti anche quando sono configurate policy Microsoft Purview Data Loss Prevention (DLP)
Device security
Multi Admin Approval esteso alle chiamate API eseguite tramite automazione
Le policy Multi Admin Approval (MAA) vengono ora applicate anche alle chiamate API effettuate tramite Microsoft Graph API e non più soltanto alle azioni amministrative eseguite in modo interattivo dal portale; ciò significa che, se nel tenant sono configurate policy di accesso MAA e vengono automatismi per modificare risorse protette, anche queste operazioni sono ora soggette allo stesso flusso di approvazione previsto per le attività manuali degli amministratori.
Nel caso in cui non sia possibile adeguare il codice, in particolare per applicazioni che utilizzano token di autenticazione applicativa, Microsoft ha introdotto la possibilità di escludere specifiche applicazioni delle policy MAA; questa configurazione può essere gestita tramite un nuovo tab Exclusions disponibile nel wizard di creazione delle policy.
Autorizzazioni sicurezza avanzate per le app Mobile Threat Defense su Android
La Service Release 2605 ha visto l’introduzione di nuova categoria di ruoli dedicata alla funzionalità Mobile Threat Defense (MTD) all’interno della sezione dedicata ai connettori Mobile Threat Defense; questa nuova categoria consente di concedere autorizzazioni di sicurezza avanzate a una singola app MTD.
Quando questa opzione viene abilitata, l’app Mobile Threat Defense selezionata riceve specifiche esenzioni che permettono all’app stessa di continuare a funzionare senza interruzioni, evitando che venga limitata dal sistema operativo o da azioni manuali dell’utente.
Le esenzioni attualmente disponibili sono:
- Suspension: l’app viene protetta dalla sospensione, impedendo che il sistema possa sospenderne l’esecuzione;
- Hibernation: l’app non può entrare in stato di ibernazione, garantendo una maggiore continuità operativa;
- Power restrictions: l’app è esentata dalle restrizioni legate al risparmio energetico, come standby, e può avviare servizi in foreground anche quando opera in background;
- User controls: gli utenti non possono cancellare i dati dell’app né forzarne l’arresto.
Queste esenzioni consentono all’app MTD di mantenere una protezione continua contro le minacce, senza essere interrotta da ottimizzazioni del sistema, restrizioni energetiche o interventi dell’utente.
N.B.: è importante sottolineare come, per ogni tenant, solo un partner MTD può disporre di queste autorizzazioni avanzate
Inoltre, per Microsoft Defender for Endpoint, è disponibile una seconda opzione denominata Automatically launch Microsoft Defender for Endpoint during setup on Android COBO and COPE devices che, se abilitata, permette all’app Defender for Endpoint di avviarsi automaticamente durante la fase di configurazione del device.
Valutazione di Intune
Per testare e valutare in modo gratuito i servizi offerti da Intune è possibile accedere a questa pagina.

