Category Archives: Intune

Microsoft Intune: preview del supporto per i dispositivi aziendali Android completamente gestiti

Microsoft Intune annuncia la preview del supporto per i dispositivi aziendali Android completamente gestiti

La scorsa settimana, Microsoft ha rilasciato la preview per gli scenari di gestione all’interno di Intune dei dispositivi Android aziendali (formalmente chiamati Corporate Owned, Business Only (COBO) completamente gestiti. Si tratta della nuovissima aggiunta di Intune alla lista di funzionalità di Android Enterprise management, preceduta dai profili di lavoro e dai dispositivi kiosk.

I dispositivi Android completamente gestiti rappresentano uno degli scenari di gestione all’interno del set di soluzioni Android di tipo enteprise che abilita scenari di produttività per gli utenti su dispositivi corporate mentre permette agli amministratori IT di gestire l’intero dispositivo con un set esteso di controlli in materia di policy.
Va a complemento del set di soluzioni sui dispositivi Android Enterprise rilasciato lo scorso anno che si focalizzava sui task workers e sugli utenti senza device. Le funzionalità di policy avanzata in scenari totalmente gestiti sono pensati soltanto per i dispositivi aziendali ed è per questo che vi sono più controlli ed impostazioni disponibili rispetto ad un dispositivo personale con profili professionali. Combinando le funzionalità di questi tre set di soluzioni, ora potete avere maggiore controllo sull’orizzonte di dispositivi Android.

Abbiamo detto che i dispositivi Android completamente gestiti rappresentano uno degli scenari di gestione all’interno del set di soluzioni Android di tipo enteprise. Oltre alle potenzialità elencate nel paragrafo precedente, vi permettono di lavorare su dispositivi personali con profili aziendali. I dispositivi fully managed sono dispositivi Android di proprietà aziendale associati ad un singolo utente. Questi device sono assegnati alle persone per far sì che possano svolgere il loro lavoro.

Cosa comprende la preview?
La preview si focalizza sugli scenari di registrazione dei dispositivi totalmente gestiti, sulla configurazione e sulla distribuzione delle app.
L’obiettivo di Microsoft è infatti quello di mostrare le potenzialità dei dispositivi Android completamente gestiti, di raccogliere i feedback dei clienti e fare un po’ di rodaggio prima di pubblicare la versione in general availability su Intune.

La preview supporta i seguenti scenari di gestione completa dei dispositivi Android su Intune:
Registrazione del dispositivo utilizzando NFC, token, QR code e Zero Touch;
Configurazione del dispositivo per gruppi di utenti;
Distribuzione e configurazione delle app per i gruppi di utenti.

Ci sono invece alcuni scenari che non sono supportati da questa preview ma saranno completati in general availability.
Tra questi:
Conditional access
Compliance dei dispositivi
Policy di protezione delle app
Targeting dei device group
Gestione dei certificati
Registrazione Knox Mobile
App Company Portal per scenari di tipo end-user.

Gli scenari qui sopra elencati, potrebbero non funzionare come dovrebbero su dispositivi completamente gestiti Android durante la fase di preview.

Registrazione dei dispositivi Android completamente gestiti
Iniziamo dalla registrazione poichè si tratta del primo passaggio che amministratori IT ed utenti devono intraprendere per portare il dispositivo sotto la gestione dell’IT.
L’amministratore IT abilita la registrazione per i dispositivi fully managed all’interno del tenant Intune.
Questo genera un singolo token di registrazione ed un QR code da utilizzare per l’enrollment dei dispositivi completamente gestiti Android nel tenant. Quest’unico token è valido per tutti i vostri utenti e non ha scadenza: tenete presente che è specifico per Microsoft Intune e non per il vostro tenant. Un utente ha bisogno sia del token di registrazione che di credenziali valide per autenticarsi e registrare un dispositivo nel tenant della vostra azienda.
Il token può poi essere ovviamente disabilitato dall’amministratore IT per impedire la registrazione di dispositivi completamente gestiti.

Microsoft Intune annuncia la preview del supporto per i dispositivi aziendali Android completamente gestiti
Abilita la registrazione dei dispositivi aziendali completamente gestiti per generare un QR code necessario per l’enrollment.

I dispositivi Android fully managed supportano una varietà di metodi di registrazione, quali NFC, token entry, QR code e Zero Touch.
Queste tipologie di enrollment possono essere intraprese su un dispositivo nuovo o ripristinato per far sì che il dispositivo venga registrato, viene stabilita l’affinità dell’utente ed applicate le policy di configurazione del dispositivo quando il device viene impostato per la prima volta.

Le opzioni di enrollment per i dispositivi Android, le trovate all’interno della seguente documentazione: Registrare dispositivi Android.

Nella breve clip qui sotto, invece,il workflow di registrazione in azione:

Configurazione dei dispositivi Android completamente gestiti
Le impostazioni dei dispositivi che vengono applicate in Intune sono supportate dalla gestione dei dispositivi fully managed. Questo significa che gli amministratori IT hanno la possibilità di configurare un maggior numero di impostazioni avanzate a livello di dispositivo su un dispositivo completamente gestito che su un profilo lavorativo. Ad esempio, permettere l’installazione delle app solo da Google Play, bloccare la disinstallazione di app gestite, non permettere agli utenti di resettare i dispositivi aziendali, controllare il comportamento degli aggiornamenti di sistema e molto altro.

Considerate che i dispositivi dedicati o le impostazioni kiosk non sono applicabili sui dispositivi Android completamente gestiti.
Questa preview supporta il targeting delle policy di configurazione dei dispositivi. Implementare le policy di configurazione dei dispositivi a gruppi di dispositivi potrebbe non funzionare come dovrebbe durante la preview.

Distribuzione e configurazione delle app per i dispositivi Android completamente gestiti
Come per gli scenari esistenti di device Android enterprise in Intune (work profile e dispositivi dedicati), le app vengono distribuite ai dispositivi Android fully managed via Google Play.
Inoltre, potete utilizzare le policy di configurazione delle app per fornire le impostazioni alle app gestite. Allo stesso modo, potete configurare l’email o le impostazioni della VPN.

La preview supporta l’implementazione delle app ai soli gruppi di utenti. Il deployment delle app a gruppi di dispositivi potrebbe quindi non funzionare correttamente durante questa fase di preview.

Next step
Microsoft è al lavoro per creare il supporto per Android fully managed per le seguenti caratteristiche chiave di Intune che verranno annunciate quando Android completamente gestito entrerà nella fase di general availability:

Conditional Access e policy di compliance;
Policy di protezione delle app;
Registrazione dei dispositivi mobili KNOX;
Gestione dei certificati;
Targeting dei dispositivi di gruppo per profili e app;
Interfaccia utente dedicata per configurazione di email, Wi-Fi o VPN;
Una nuova app end-user.

Problematiche note
Per completare la registrazione dei dispositivi, potreste dover cliccare sulla voce “Please click here to continue…”: durante l’enrollment di un dispositivo completamente gestito, vi si potrebbe presentare la seguente schermata.

Microsoft Intune: preview del supporto per i dispositivi aziendali Android completamente gestiti

Supporto dei clienti alla preview
Attenzione che le funzionalità in preview sono implementate agli standard di produzione di Microsoft Intune.
In ogni caso, non tutte le funzionalità di Intune possono essere utilizzate sui dispositivi utente Android completamente gestiti durante la fase di preview (come indicato nei paragrafi precedenti). Le funzionalità di preview sono completamente supportate attraverso i soliti canali di supporto di Intune e sono chiaramente indicati dalla dicitura “preview” nella console di Intune.

Feedback
Non appena avrete testato i vari scenari dei dispositivi Android completamente gestiti, rilasciate i vostri commenti e feedback in merito alle nuove funzionalità.

Potete farlo all’interno della Microsoft Intune Feedback.

Documentazione
Trovate alcune risorse aggiuntive (in italiano) ai seguenti articoli:
Registrare i dispositivi Android dedicati o completamente gestiti
Configurare la registrazione in Intune di dispositivi Android completamente gestiti

Microsoft Intune: supporto per i dispositivi Android di tipo enterprise

Siamo felici di annunciarvi il supporto per la gestione dei i dispositivi Android di tipo enterprise.
Intune consente di distribuire app e impostazioni dei dispositivi in modalità tutto schermo di Android.

Questo tipo di dispositivi viene usato per un singolo scopo, ad esempio la firma digitale, la stampa di biglietti o la gestione di inventari. Gli amministratori bloccano l’utilizzo di un dispositivo per un set limitato di app e collegamenti Web. Viene anche impedito agli utenti di aggiungere altre app o eseguire altre azioni sul dispositivo.

Microsoft Intune’s enterprise mobility management fornisce un’esperienza di gestione totalmente sicura ed affidabile per tutti questi device.

I dispositivi gestiti in questo modo vengono registrati su Intune senza un account e non sono associati ad alcun utente finale. Non sono progettati per le app a uso personale che richiedono dati account specifici dell’utente.
Infatti, si registrano su Intune utilizzando i nuovi metodi di enrollment, come lo scanning del codice QR o la funzionalità Android zero touch.
Gli amministratori IT, configurano questi dispositivi per utilizzarli in ambienti protetti, non permettendo agli utenti di accedere alle impostazioni, di installare applicazioni o modificare le funzioni del dispositivo che potrebbero interferire con le operazioni considerate affidabili.

Questa funzionalità enterprise per Android, è supportata da una vasta gamma di dispositivi dell’ecosistema Android ed offre ai consumatori grande flessibilità nello scegliere i dispositivi meglio adatti al compito da svolgere.

Le aziende possono utilizzare Intune per ottimizzare il remote management e fornire una serie di strumenti per i device assolutamente coerenti.
Inoltre, possono fare leva sulla flessibilità ed utilizzare Google Play Store per distribuire e configurare le app. Intune fornisce un device management assolutamente affidabile e altamente performante, aumentando l’uptime delle applicazioni che guidano il vostro business ed assicurando alti livelli di soddisfazione ai vostri utenti.

Microsoft Intune permette alle aziende di ottenere di più dai loro dispositivi Android grazie alla:
1. Gestione moderna e semplificata dei dispositivi unita ad un provisioning moderno;
2. Distribuzione semplificata delle app in totale sicurezza;
3. Schermata home personalizzabile e user-friendly.

1. Gestione semplificata dei dispositivi e modern provisioning
I dispositivi purpose-built solitamente vengono distribuiti in location remote e in maniera consequenziale per le varie filiali di un negozio oppure in siti remoti in cui lo staff tecnico non è disponibile. Gli IT hanno perciò bisogno di una soluzione robusta ed affidabile in cui i dispositivi possano essere spediti anche a migliaia di km di distanza, vengano collegati da linee di business ed inizino ad essere operativi senza che sia necessario altro supporto tecnico. Grazie ad Intune, potete configurarli in maniera semplice da remoto.

Altri vantaggi della soluzione:
Vasto range di scelta del device– il supporto per le funzionalità Android di tipo enteprise permette ai clienti di trarre vantaggio dalla vasta scelta relativa a prezzo, personalizzazione e robustezza, offrendo un elevato numero di funzionalità per l’interno ecosistema;
Onboarding semplificato– la distribuzione di dispositivi di questo tipo, può essere avviata in diversi modi. A seconda dell’infrastruttura, i dispositivi possono essere distribuiti attraverso la scansione di un codice QR, inserendo una stringa token o sfruttando il sistema di provisioning offerto da Google Zero Touchh. L’onboarding rapido è possibile poichè non è necessario inserire username e password. In questo modo sarà facile e veloce implementare diversi nuovi dispositivi in un sito remoto senza che sia necessaria alcuna azione da parte dell’utente.

enrollment dei dispositivi con scansione del codice QR

2. Distribuzione semplificata delle app in totale sicurezza
Intune semplifica la possibilità di trasformare un dispositivo aziendale Android enterprise di tipo standard in un dispositivo purpose-built con una configurazione da remoto delle app strettamente necessarie perchè quel dispositivo funzioni correttamente.
Le capacità di distribuzione delle app su dispositivi Android enterprise è possibile grazie all’integrazione di Intune con Google Play Store.

I vantaggi principali di una configurazione di questo tipo sono i seguenti:
Installazione ed aggiornamento delle app automatici – gli amministratori IT possono avviare l’installazione delle app senza che l’utente se ne accorga e senza che sia necessario il suo intervento;
Configurazione gestita delle app – per quanto riguarda le app all’interno di Google Play Store, il quale supporta le opzioni di configurazione gestita, potete usare Intune per navigare, specificare e gestire le impostazioni di configurazione ed i permessi di runtime;
Targeting device-based – considerato che questi dispositivi non sono associati ad un’identità utente, l’individuazione di app e policy viene fatta utilizzando gruppi di dispositivi. I clienti Azure Active Directory potrebbero utilizzare gruppi dinamici di device per semplificare ulteriormente l’automazione di individuazione di app e policy basata sul profilo di enrollment del dispositivo.

3. Schermata Home personalizzata
Potete configurare e customizzare la vostra esperienza limitandola a specifiche app o link web grazie all’app Managed Home Screen.
Basata sulla popolare app Microsoft Launcher, il Managed Home Screen permette ad Intune di fornire un esperienza altamente produttiva.
Questa app di tipo enterprise, distribuita dagli amministratori ai dispositivi gestiti Android di tipo enterprise, porta ad un’esperienza utente ad alto rendimento per tutti i dispositivi purpose-built.

Home screen personalizzato

Distribuire Office 365 ProPlus con Microsoft Intune

Microsoft ha lavorato duramente nell’ultimo periodo con i team di Office 365 e di Windows 10 per creare Microsoft 365, una soluzione moderna che vi permette di collaborare con i vostri colleghi ed essere ancora più creativi e produttivi: tutto questo in massima sicurezza.
Siamo perciò felici di annunciarvi l’ultimissima novità: la possibilità di distribuire le applicazioni Office 365 ProPlus su dispositivi Windows 10 direttamente dal cloud con Intune. Questo sviluppo segna il primo passo verso funzionalità di deployment di ProPlus semplici e enterprise-ready attraverso Intune con ulteriori miglioramenti in arrivo per il futuro.

Microsoft ha lavorato per semplificare all’utente la possibilità di selezionare un’ app Office 365 ProPlus specifica (utilizzando Click-to-Run o la tecnologia C2R), distribuirla sui dispositivi in cui è in esecuzione Windows 10 Creators Update e visualizzare le metriche di deployment attraverso il nuovo portale Intune su Azure.
Tutto questo si integra perfettamente con Windows AutoPilot: in questo modo gli utenti saranno in grado di avere dispositivi sempre pronti all’uso semplicemente fornendo le loro credenziali aziendali durante OOBE mentre Azure AD e Intune lavorano in background per registrare il device, impiegare le configurazioni necessarie e, adesso, anche installare le app Office 365 ProPlus.

Implementare Office 365 ProPlus con Microsoft Intune

Vediamo ora come configurare il deployment di Office 365 ProPlus con Intune.

Esperienza di amministrazione semplificata
Attraverso il nuovo portale Intune, è ora più semplice aggiungere e personalizzare il deployment di Office 365 ProPlus.
Dopo aver scelto il tipo di app ‘Office 365 ProPlus Suite (Windows 10)’, potete personalizzare il deployment dell’app di Office in tre semplici step.

1. Scegliete le applicazioni che volete installare sui dispositivi utente.

2. Configurate le informazioni sulla suite dell’applicazione. Potreste, ad esempio, voler inserire una breve descrizione di quale app della suite rendere disponibile nell’Intune Company Portal.

implementare Office 365 ProPlus attraverso il nuovo portale di Intune

3. Infine, configurate alcune impostazioni di installazione, come l’architettura di sistema o l’update channel.

implementare Office 365 ProPlus attraverso il nuovo portale di Intune

I vostri utenti finali potranno installare le app di Office attraverso l’Intune Company portal se li avete abilitati, altrimenti beneficeranno di un’installazione silenziosa.
Una volta installato Office sulle loro macchine, potranno accedere ed attivare il prodotto provando le ultimissime funzionalità: Office sarà sempre aggiornato all’ultima versione disponibile.

Attualmente questa tipologia di deployment di Office 365 ProPlus è supportato esclusivamente per i dispositivi senza una versione esistente di Office.
Per i dispositivi che invece hanno all’interno una versione di Office, è raccomandabile eliminarle prima di procedere con l’iscrizione. Microsoft sta lavorando con i team di Windows e Office su futuri miglioramenti per permettere anche ai dispositivi che hanno all’interno Office il supporto per il deployment.

La nuova esperienza è già disponibile. Per le istruzioni passo per passo, visitate la Documentazione ufficiale.

L’unione fa la forza: Intune e Azure Active Directory per migliorare l’accesso degli utenti

L’Intune Managed Browser per dispositivi iOS ed Android gioca un ruolo fondamentale nell’assicurare che i tuoi dati siano al sicuro anche sui dispositivi mobili.
Cosa ti permette di fare? Visualizzare e navigare in modo sicuro fra le pagine web che contengono dati sensibili dell’azienda fornendoti un’esperienza web totalmente protetta.
Oggi siamo felici di annunciare una serie di miglioramenti che semplificano ancor più l’accesso degli utenti alle web app e alle risorse di cui hanno bisogno ovunque si trovino.
Queste nuove esperienze sono possibili grazie all’integrazione di Intune Managed Browser con Azure Active Directory Application Proxy e il portale MyApps.

Accesso sicuro alle web app con Managed Browser e Application Proxy
L’ Azure AD Application Proxy ti permette di fornire ai tuoi utenti accesso sicuro alle web app on-premises anche da remoto.
È semplice da utilizzare e configurare, non richiede cambiamenti nell’infrastruttura di rete e ti permette di proteggere le tue applicazioni con tutte le funzioni di sicurezza proprie di Azure AD. Quando darai accesso agli utenti che lavorano da remoto, attraverso l’Application Proxy potrai creare una URL con cui gli utenti accederanno alle risorse interne.
In alcuni casi può succedere che URL interne ed esterne siano differenti e che gli utenti debbano quindi ricordarsele entrambe.
Aumentano poi le difficoltà quando le applicazioni sono collegate le une alle altre con URL interne: questo potrebbe causare la rottura del link quando vi si accede da internet in determinate circostanze. Link rotti o che non funzionano possono causare l’interruzione della produttività non permettendoci di accedere alle risorse di cui abbiamo bisogno.

La nuova integrazione tra Intune Managed Browser e Azure AD Application Proxy risolve questo problema.
Ora, indipendentemente da dove si trovino, gli utenti possono accedere alle loro app, precedentemente abilitate dagli IT, semplicemente digitando l’URL interna nel Managed Browser. Questo semplifica il processo per tutti, assicurando agli utenti l’accesso alle web app di cui hanno bisogno per la buona riuscita del loro lavoro.

Qui sotto un semplice diagramma di quello che accade in background per assicurare la buona riuscita dell’esperienza:

Integrazione di Intune e Azure Active Directory

Le policy di Intune App Protection e Managed Browser assicurano che i link nelle email funzionino, anche all’esterno della tua rete
Abbiamo tutti, almeno una volta, cliccato su link interni alle email che non funzionano.
Questo solitamente accade perché il link in questione rimanda ad un sito interno al quale non è possibile accedere se ci si trova all’esterno della rete.
E questo è un altro scenario spiacevole che può essere facilmente risolto con il Managed Browser e la sua integrazione con Azure AD Application Proxy.
Configurando le policy di Intune App Protection per Outlook aprirete automaticamente i link con il Managed Browser: in questo modo, i link presenti nelle mail funzioneranno indipendentemente dalla posizione dell’utente.

Esempio di link interno alle email che funzionano con Managed Browser e Azure AD Application Proxy

MyApps e Managed Browser semplificano la ricerca delle applicazioni
Finalmente, trovare ed avere accesso alle applicazioni, sia che siano on-premises pubblicate con Application Proxy sia che siano applicazioni cloud integrate con Azure AD, è più semplice che mai grazie al Managed Browser.
L’esperienza MyApps è ora integrata nel Managed Browser per permettere agli utenti di trovare ed avere facilmente accesso alle loro applicazioni mentre beneficiano d tutte le funzionalità che il Managed Browser offre.

Gli utenti avranno rapido accesso alle MyApps nella loro homepage Managed Browser con il minor numero di click possibile per raggiungere qualsiasi applicazione a cui debbano avere accesso.
Inoltre, il Managed Browser supporta il singolo sign-on, funzione largamente apprezzata da tutti per l’accesso alle applicazioni integrate con Azure AD.

Accesso alle applicazioni da mobile con Managed Browser