Category Archives: Intune

Intune: nuova esperienza full screen in arrivo

Microsoft sta distribuendo le esperienze aggiornate di creazione e modifica della UI su Intune all’interno del portale di Azure.
Questa nuova esperienza, semplificherà i workflow esistenti utilizzando un formato condensato all’interno di un’unica sezione.
L’aggiornamento abolirà le complessità o qualsiasi flow di creazione e modifica che richieda ai professionisti IT di dover andare nel dettaglio.
Anche l’esperienza di creazione workflow sarà aggiornata ad includere gli Assignments, ad eccezione delle App assignment.

L’esperienza full screen sarà distribuita ad Intune sia tramite portal.azure.com che tramite devicemanagement.microsoft.com nel corso dei prossimi mesi.

Qui sotto troviamo un esempio di un flow vecchio.

Intune: nuova esperienza full screen in arrivo

Con la distribuzione dell’aggiornamento 1905, le sezione qui sopra, sarà in full screen nella console.

Intune: nuova esperienza full screen in arrivo

Nell’esperienza full screen, potete creare profili o policy ed assegnarle agli utenti o gruppi nello stesso flow.
Le assegnazioni delle app, in ogni caso, sono escluse da questa distribuzione.

Dopo aver completato i passaggi indicati dal wizard ed aver creato le policy, vedrete un pagina di riepilogo.
Per tornare alla schermata precedente e modificare un profilo già creato, potete cliccare su profile name > Properties e modificare ognuna delle sezioni della schermata qui sopra.

Intune: nuova esperienza full screen in arrivo


Le informazioni presenti in questo post, sono prese dall’articolo: New Full screen experience coming to Intune.

Microsoft annuncia una gestione dei BitLocker migliorata

Microsoft annuncia una migliorata gestione dei BitLocker

Durante la seconda metà dell’anno, Microsoft aggiungerà funzionalità per la gestione dei BitLocker sia cloud che on-premises in ambienti enterprise via Microsoft Intune e System Center Configuration Manager (SCCM).
BitLocker è una funzionalità di encryption full-volume con supporto per l’algoritmo di encryption XTS-AES che permette agli utenti Windows di effettuare la crittografia degli hard drive dei loro computer e di unità rimovibili.

Microsoft ha dichiarato che le nuove alternative aggiunte alla gestione di Bitlocker per ambienti corporate promuovono ulteriormente la robustezza richiesta per gestire in maniera appropriata gli endpoint di tipo enterprise.

Microsoft annuncia una migliorata gestione dei BitLocker

Gestione BitLocker standard
La Microsoft BitLocker Administration and Monitoring (MBAM) fornisce un’interfaccia di amministrazione semplice da utilizzare ed on-premises creata appositamente per la gestione della BitLocker Drive Encryption che rappresenta lo standard delle aziende enterprise dal 2011.

Redmond ha annunciato che la “MBAM esaurirà il supporto mainstream a partire dal 9 Luglio 2019 ed entrerà nel supporto esteso fino al 9 Luglio 2024” con le nuove funzionalità di gestione dei BitLocker non incluse nell’ultima versione MBAM rilasciata.
In ogni caso, come spiegato da Microsoft, MBAM rimarrà uno strumento di gestione di Bitlocker supportato per i clienti che non vogliono passare alle nuove piattaforme di gestione Microsoft Intune o System Center Configuration Manager.

Gestione di tipo cloud-based
Microsoft Azure Active Directory e l’interfaccia di gestione di tipo cloud-based di Microsoft Intune, supporteranno BitLocker per le edizioni Windows 10 Pro, Windows 10 Enterprise, e Windows 10 Education.

La piattaforma di gestione di Bitlocker di Microsoft Intune è già disponibile, con funzionalità quali “compliance reporting, encryption configuration, con feature quali key retrieval e rotation” già aggiunte alla roadmap di sviluppo.

Microsoft annuncia una migliorata gestione dei BitLocker

Seguendo l’aggiunta delle extra feature e delle funzionalità alla soluzione Microsoft Intune BitLocker, la nuova piattaforma di gestione, molto presto supererà le possibilità offerte da MBAM.

“Windows AutoPilot offre un moderno approccio di provisioning in grado di assicurare che BitLocker venga abilitato senza interruzioni sui dispositivi Windows, integrandosi con Azure Active Directory per fornire un dispositivo compliant al primo logon” ha dichiarato Microsoft.

Qui sotto alcune funzionalità che saranno incluse in Intune cloud-based BitLocker management:
– Report di disponibilità e compliance: report di encryption dedicati che aiutano gli amministratori a comprendere lo stato di criptazione dei loro dispositivi;
– Configurazione: configurazione granulare di BitLocker che permette agli amministratori di gestire i dispositivi al livello di sicurezza desiderato;
– Compliance: possibilità di fare leva sulle policy di compliance di Intune;
– Key recovery auditing: report su chi ha avuto accesso alle informazioni chiave di recovery all’interno di Azure AD (in arrivo nel corso del 2019);
– Key recovery: vi permette di recuperare le chiavi nella console di Microsoft Intune (Self-service in arrivo più avanti nel corso del 2019);
– Key management: abilita le chiavi di recupero di tipo single-use sui dispositivi Windows, assicurando che le chiavi siano distribuite all’accesso dal client o on-demand da azioni remote di Intune (in arrivo più avanti nel corso del 2019);
– Migrazione da MBAM al cloud management (in arrivo nel corso del 2019).

Gestione on-premises SCCM-based in arrivo a Giugno
Le aziende che stanno già utilizzando la gestione MBAM on-premises BitLocker e che non hanno la possibilità di scegliere l’opzione Microsoft Intune cloud-based, potranno passare alla nuova SCCM-powered a partire da Giugno 2019.

Microsoft ha spiegato che il Configuration Manager rilascerà una preview del prodotto per le funzionalità di BitLocker management, seguita da una general availability più avanti nel corso del 2019.
Solo nel caso della piattaforma di gestione cloud-base di Intune, la gestione SCCM BitLocker sarà disponibile per le edizioni Windows 10 Pro, Windows 10 Enterprise e Windows 10 Education ma arriverà presto anche il supporto per Windows 7, Windows 8 e Windows 8.1.

Le funzionalità che saranno incluse in Configuration Manager (SCCM) BitLocker management sono:
– Provisioning: la soluzione di provisioning assicurerà che BitLocker sia un’esperienza senza interruzioni all’interno della console SCCM mentre conserverà la portata di MBAM;
– Preparazione del Trusted Platform Module (TPM): gli amministratori potranno aprire la console di amministrazione di TPM per le versioni 1.2 e 2.0;
– Impostazione della configurazione di BitLocker: tutti i valori specifici delle configurazioni MBAM che impostate, saranno disponibili dalla console SCCM;
– Encryption: l’encryption permetterà agli amministratori di determinare gli algoritmi con cui crittografare il device, i dischi obiettivo di encryption e le linee guida che gli utenti devono fornire per poter avere accesso ai dischi;
– Applicazione delle policy: gli amministratori potranno obbligare gli utenti ad essere compliant con le nuove policy di sicurezza prima di poter accedere al dispositivo;
I nuovi utenti potranno impostare un pin/password su dispositivi TPM e non-TPM: gli amministratori potranno personalizzare il profilo di sicurezza dell’organizzazione sulla base dei dispositivi;
– Auto sblocco: si tratta delle policy necessarie a specificare se sbloccare solo un drive OS, o tutte le unità collegate, quando un utente sblocca un’unità OS.
– Portale di Helpdesk con auditing: un portale di helpdesk permette alle altre risorse nell’azienda, oltre all’admin SCCM, di fornire supporto con il key recovery.
– Key rotation: questa funzionalità permette agli amministratore di utilizzare una chiave monouso per sbloccare il dispositivo BitLocker encrypted;
– Compliance reporting: il SCCM reporting includerà tutti i report rilevati di recente in MBAM o dalla console SCCM.


Le informazioni presenti a questo post, sono prese dall’articolo: Microsoft Announces Enhanced Enterprise BitLocker Management.

Microsoft Intune: preview del supporto per i dispositivi aziendali Android completamente gestiti

Microsoft Intune annuncia la preview del supporto per i dispositivi aziendali Android completamente gestiti

La scorsa settimana, Microsoft ha rilasciato la preview per gli scenari di gestione all’interno di Intune dei dispositivi Android aziendali (formalmente chiamati Corporate Owned, Business Only (COBO) completamente gestiti. Si tratta della nuovissima aggiunta di Intune alla lista di funzionalità di Android Enterprise management, preceduta dai profili di lavoro e dai dispositivi kiosk.

I dispositivi Android completamente gestiti rappresentano uno degli scenari di gestione all’interno del set di soluzioni Android di tipo enteprise che abilita scenari di produttività per gli utenti su dispositivi corporate mentre permette agli amministratori IT di gestire l’intero dispositivo con un set esteso di controlli in materia di policy.
Va a complemento del set di soluzioni sui dispositivi Android Enterprise rilasciato lo scorso anno che si focalizzava sui task workers e sugli utenti senza device. Le funzionalità di policy avanzata in scenari totalmente gestiti sono pensati soltanto per i dispositivi aziendali ed è per questo che vi sono più controlli ed impostazioni disponibili rispetto ad un dispositivo personale con profili professionali. Combinando le funzionalità di questi tre set di soluzioni, ora potete avere maggiore controllo sull’orizzonte di dispositivi Android.

Abbiamo detto che i dispositivi Android completamente gestiti rappresentano uno degli scenari di gestione all’interno del set di soluzioni Android di tipo enteprise. Oltre alle potenzialità elencate nel paragrafo precedente, vi permettono di lavorare su dispositivi personali con profili aziendali. I dispositivi fully managed sono dispositivi Android di proprietà aziendale associati ad un singolo utente. Questi device sono assegnati alle persone per far sì che possano svolgere il loro lavoro.

Cosa comprende la preview?
La preview si focalizza sugli scenari di registrazione dei dispositivi totalmente gestiti, sulla configurazione e sulla distribuzione delle app.
L’obiettivo di Microsoft è infatti quello di mostrare le potenzialità dei dispositivi Android completamente gestiti, di raccogliere i feedback dei clienti e fare un po’ di rodaggio prima di pubblicare la versione in general availability su Intune.

La preview supporta i seguenti scenari di gestione completa dei dispositivi Android su Intune:
Registrazione del dispositivo utilizzando NFC, token, QR code e Zero Touch;
Configurazione del dispositivo per gruppi di utenti;
Distribuzione e configurazione delle app per i gruppi di utenti.

Ci sono invece alcuni scenari che non sono supportati da questa preview ma saranno completati in general availability.
Tra questi:
Conditional access
Compliance dei dispositivi
Policy di protezione delle app
Targeting dei device group
Gestione dei certificati
Registrazione Knox Mobile
App Company Portal per scenari di tipo end-user.

Gli scenari qui sopra elencati, potrebbero non funzionare come dovrebbero su dispositivi completamente gestiti Android durante la fase di preview.

Registrazione dei dispositivi Android completamente gestiti
Iniziamo dalla registrazione poichè si tratta del primo passaggio che amministratori IT ed utenti devono intraprendere per portare il dispositivo sotto la gestione dell’IT.
L’amministratore IT abilita la registrazione per i dispositivi fully managed all’interno del tenant Intune.
Questo genera un singolo token di registrazione ed un QR code da utilizzare per l’enrollment dei dispositivi completamente gestiti Android nel tenant. Quest’unico token è valido per tutti i vostri utenti e non ha scadenza: tenete presente che è specifico per Microsoft Intune e non per il vostro tenant. Un utente ha bisogno sia del token di registrazione che di credenziali valide per autenticarsi e registrare un dispositivo nel tenant della vostra azienda.
Il token può poi essere ovviamente disabilitato dall’amministratore IT per impedire la registrazione di dispositivi completamente gestiti.

Microsoft Intune annuncia la preview del supporto per i dispositivi aziendali Android completamente gestiti
Abilita la registrazione dei dispositivi aziendali completamente gestiti per generare un QR code necessario per l’enrollment.

I dispositivi Android fully managed supportano una varietà di metodi di registrazione, quali NFC, token entry, QR code e Zero Touch.
Queste tipologie di enrollment possono essere intraprese su un dispositivo nuovo o ripristinato per far sì che il dispositivo venga registrato, viene stabilita l’affinità dell’utente ed applicate le policy di configurazione del dispositivo quando il device viene impostato per la prima volta.

Le opzioni di enrollment per i dispositivi Android, le trovate all’interno della seguente documentazione: Registrare dispositivi Android.

Nella breve clip qui sotto, invece,il workflow di registrazione in azione:

Configurazione dei dispositivi Android completamente gestiti
Le impostazioni dei dispositivi che vengono applicate in Intune sono supportate dalla gestione dei dispositivi fully managed. Questo significa che gli amministratori IT hanno la possibilità di configurare un maggior numero di impostazioni avanzate a livello di dispositivo su un dispositivo completamente gestito che su un profilo lavorativo. Ad esempio, permettere l’installazione delle app solo da Google Play, bloccare la disinstallazione di app gestite, non permettere agli utenti di resettare i dispositivi aziendali, controllare il comportamento degli aggiornamenti di sistema e molto altro.

Considerate che i dispositivi dedicati o le impostazioni kiosk non sono applicabili sui dispositivi Android completamente gestiti.
Questa preview supporta il targeting delle policy di configurazione dei dispositivi. Implementare le policy di configurazione dei dispositivi a gruppi di dispositivi potrebbe non funzionare come dovrebbe durante la preview.

Distribuzione e configurazione delle app per i dispositivi Android completamente gestiti
Come per gli scenari esistenti di device Android enterprise in Intune (work profile e dispositivi dedicati), le app vengono distribuite ai dispositivi Android fully managed via Google Play.
Inoltre, potete utilizzare le policy di configurazione delle app per fornire le impostazioni alle app gestite. Allo stesso modo, potete configurare l’email o le impostazioni della VPN.

La preview supporta l’implementazione delle app ai soli gruppi di utenti. Il deployment delle app a gruppi di dispositivi potrebbe quindi non funzionare correttamente durante questa fase di preview.

Next step
Microsoft è al lavoro per creare il supporto per Android fully managed per le seguenti caratteristiche chiave di Intune che verranno annunciate quando Android completamente gestito entrerà nella fase di general availability:

Conditional Access e policy di compliance;
Policy di protezione delle app;
Registrazione dei dispositivi mobili KNOX;
Gestione dei certificati;
Targeting dei dispositivi di gruppo per profili e app;
Interfaccia utente dedicata per configurazione di email, Wi-Fi o VPN;
Una nuova app end-user.

Problematiche note
Per completare la registrazione dei dispositivi, potreste dover cliccare sulla voce “Please click here to continue…”: durante l’enrollment di un dispositivo completamente gestito, vi si potrebbe presentare la seguente schermata.

Microsoft Intune: preview del supporto per i dispositivi aziendali Android completamente gestiti

Supporto dei clienti alla preview
Attenzione che le funzionalità in preview sono implementate agli standard di produzione di Microsoft Intune.
In ogni caso, non tutte le funzionalità di Intune possono essere utilizzate sui dispositivi utente Android completamente gestiti durante la fase di preview (come indicato nei paragrafi precedenti). Le funzionalità di preview sono completamente supportate attraverso i soliti canali di supporto di Intune e sono chiaramente indicati dalla dicitura “preview” nella console di Intune.

Feedback
Non appena avrete testato i vari scenari dei dispositivi Android completamente gestiti, rilasciate i vostri commenti e feedback in merito alle nuove funzionalità.

Potete farlo all’interno della Microsoft Intune Feedback.

Documentazione
Trovate alcune risorse aggiuntive (in italiano) ai seguenti articoli:
Registrare i dispositivi Android dedicati o completamente gestiti
Configurare la registrazione in Intune di dispositivi Android completamente gestiti

Microsoft Intune: supporto per i dispositivi Android di tipo enterprise

Siamo felici di annunciarvi il supporto per la gestione dei i dispositivi Android di tipo enterprise.
Intune consente di distribuire app e impostazioni dei dispositivi in modalità tutto schermo di Android.

Questo tipo di dispositivi viene usato per un singolo scopo, ad esempio la firma digitale, la stampa di biglietti o la gestione di inventari. Gli amministratori bloccano l’utilizzo di un dispositivo per un set limitato di app e collegamenti Web. Viene anche impedito agli utenti di aggiungere altre app o eseguire altre azioni sul dispositivo.

Microsoft Intune’s enterprise mobility management fornisce un’esperienza di gestione totalmente sicura ed affidabile per tutti questi device.

I dispositivi gestiti in questo modo vengono registrati su Intune senza un account e non sono associati ad alcun utente finale. Non sono progettati per le app a uso personale che richiedono dati account specifici dell’utente.
Infatti, si registrano su Intune utilizzando i nuovi metodi di enrollment, come lo scanning del codice QR o la funzionalità Android zero touch.
Gli amministratori IT, configurano questi dispositivi per utilizzarli in ambienti protetti, non permettendo agli utenti di accedere alle impostazioni, di installare applicazioni o modificare le funzioni del dispositivo che potrebbero interferire con le operazioni considerate affidabili.

Questa funzionalità enterprise per Android, è supportata da una vasta gamma di dispositivi dell’ecosistema Android ed offre ai consumatori grande flessibilità nello scegliere i dispositivi meglio adatti al compito da svolgere.

Le aziende possono utilizzare Intune per ottimizzare il remote management e fornire una serie di strumenti per i device assolutamente coerenti.
Inoltre, possono fare leva sulla flessibilità ed utilizzare Google Play Store per distribuire e configurare le app. Intune fornisce un device management assolutamente affidabile e altamente performante, aumentando l’uptime delle applicazioni che guidano il vostro business ed assicurando alti livelli di soddisfazione ai vostri utenti.

Microsoft Intune permette alle aziende di ottenere di più dai loro dispositivi Android grazie alla:
1. Gestione moderna e semplificata dei dispositivi unita ad un provisioning moderno;
2. Distribuzione semplificata delle app in totale sicurezza;
3. Schermata home personalizzabile e user-friendly.

1. Gestione semplificata dei dispositivi e modern provisioning
I dispositivi purpose-built solitamente vengono distribuiti in location remote e in maniera consequenziale per le varie filiali di un negozio oppure in siti remoti in cui lo staff tecnico non è disponibile. Gli IT hanno perciò bisogno di una soluzione robusta ed affidabile in cui i dispositivi possano essere spediti anche a migliaia di km di distanza, vengano collegati da linee di business ed inizino ad essere operativi senza che sia necessario altro supporto tecnico. Grazie ad Intune, potete configurarli in maniera semplice da remoto.

Altri vantaggi della soluzione:
Vasto range di scelta del device– il supporto per le funzionalità Android di tipo enteprise permette ai clienti di trarre vantaggio dalla vasta scelta relativa a prezzo, personalizzazione e robustezza, offrendo un elevato numero di funzionalità per l’interno ecosistema;
Onboarding semplificato– la distribuzione di dispositivi di questo tipo, può essere avviata in diversi modi. A seconda dell’infrastruttura, i dispositivi possono essere distribuiti attraverso la scansione di un codice QR, inserendo una stringa token o sfruttando il sistema di provisioning offerto da Google Zero Touchh. L’onboarding rapido è possibile poichè non è necessario inserire username e password. In questo modo sarà facile e veloce implementare diversi nuovi dispositivi in un sito remoto senza che sia necessaria alcuna azione da parte dell’utente.

enrollment dei dispositivi con scansione del codice QR

2. Distribuzione semplificata delle app in totale sicurezza
Intune semplifica la possibilità di trasformare un dispositivo aziendale Android enterprise di tipo standard in un dispositivo purpose-built con una configurazione da remoto delle app strettamente necessarie perchè quel dispositivo funzioni correttamente.
Le capacità di distribuzione delle app su dispositivi Android enterprise è possibile grazie all’integrazione di Intune con Google Play Store.

I vantaggi principali di una configurazione di questo tipo sono i seguenti:
Installazione ed aggiornamento delle app automatici – gli amministratori IT possono avviare l’installazione delle app senza che l’utente se ne accorga e senza che sia necessario il suo intervento;
Configurazione gestita delle app – per quanto riguarda le app all’interno di Google Play Store, il quale supporta le opzioni di configurazione gestita, potete usare Intune per navigare, specificare e gestire le impostazioni di configurazione ed i permessi di runtime;
Targeting device-based – considerato che questi dispositivi non sono associati ad un’identità utente, l’individuazione di app e policy viene fatta utilizzando gruppi di dispositivi. I clienti Azure Active Directory potrebbero utilizzare gruppi dinamici di device per semplificare ulteriormente l’automazione di individuazione di app e policy basata sul profilo di enrollment del dispositivo.

3. Schermata Home personalizzata
Potete configurare e customizzare la vostra esperienza limitandola a specifiche app o link web grazie all’app Managed Home Screen.
Basata sulla popolare app Microsoft Launcher, il Managed Home Screen permette ad Intune di fornire un esperienza altamente produttiva.
Questa app di tipo enterprise, distribuita dagli amministratori ai dispositivi gestiti Android di tipo enterprise, porta ad un’esperienza utente ad alto rendimento per tutti i dispositivi purpose-built.

Home screen personalizzato

Distribuire Office 365 ProPlus con Microsoft Intune

Microsoft ha lavorato duramente nell’ultimo periodo con i team di Office 365 e di Windows 10 per creare Microsoft 365, una soluzione moderna che vi permette di collaborare con i vostri colleghi ed essere ancora più creativi e produttivi: tutto questo in massima sicurezza.
Siamo perciò felici di annunciarvi l’ultimissima novità: la possibilità di distribuire le applicazioni Office 365 ProPlus su dispositivi Windows 10 direttamente dal cloud con Intune. Questo sviluppo segna il primo passo verso funzionalità di deployment di ProPlus semplici e enterprise-ready attraverso Intune con ulteriori miglioramenti in arrivo per il futuro.

Microsoft ha lavorato per semplificare all’utente la possibilità di selezionare un’ app Office 365 ProPlus specifica (utilizzando Click-to-Run o la tecnologia C2R), distribuirla sui dispositivi in cui è in esecuzione Windows 10 Creators Update e visualizzare le metriche di deployment attraverso il nuovo portale Intune su Azure.
Tutto questo si integra perfettamente con Windows AutoPilot: in questo modo gli utenti saranno in grado di avere dispositivi sempre pronti all’uso semplicemente fornendo le loro credenziali aziendali durante OOBE mentre Azure AD e Intune lavorano in background per registrare il device, impiegare le configurazioni necessarie e, adesso, anche installare le app Office 365 ProPlus.

Implementare Office 365 ProPlus con Microsoft Intune

Vediamo ora come configurare il deployment di Office 365 ProPlus con Intune.

Esperienza di amministrazione semplificata
Attraverso il nuovo portale Intune, è ora più semplice aggiungere e personalizzare il deployment di Office 365 ProPlus.
Dopo aver scelto il tipo di app ‘Office 365 ProPlus Suite (Windows 10)’, potete personalizzare il deployment dell’app di Office in tre semplici step.

1. Scegliete le applicazioni che volete installare sui dispositivi utente.

2. Configurate le informazioni sulla suite dell’applicazione. Potreste, ad esempio, voler inserire una breve descrizione di quale app della suite rendere disponibile nell’Intune Company Portal.

implementare Office 365 ProPlus attraverso il nuovo portale di Intune

3. Infine, configurate alcune impostazioni di installazione, come l’architettura di sistema o l’update channel.

implementare Office 365 ProPlus attraverso il nuovo portale di Intune

I vostri utenti finali potranno installare le app di Office attraverso l’Intune Company portal se li avete abilitati, altrimenti beneficeranno di un’installazione silenziosa.
Una volta installato Office sulle loro macchine, potranno accedere ed attivare il prodotto provando le ultimissime funzionalità: Office sarà sempre aggiornato all’ultima versione disponibile.

Attualmente questa tipologia di deployment di Office 365 ProPlus è supportato esclusivamente per i dispositivi senza una versione esistente di Office.
Per i dispositivi che invece hanno all’interno una versione di Office, è raccomandabile eliminarle prima di procedere con l’iscrizione. Microsoft sta lavorando con i team di Windows e Office su futuri miglioramenti per permettere anche ai dispositivi che hanno all’interno Office il supporto per il deployment.

La nuova esperienza è già disponibile. Per le istruzioni passo per passo, visitate la Documentazione ufficiale.