Microsoft Intune - Discover the latest innovations in endpoint management

Transcript

1. Microsoft Intune: Discover the latest innovations in endpoint management Nicola

   Ferrini Microsoft MVP NicolaFerrini.it nicolaferrini nicolaferrini

2. Agenda Novità in Microsoft Intune (marzo 2024 - marzo 2025)

   Endpoint Privilege Management Remote Help App Management Copilot Integration Security Baselines Endpoint Analytics Windows Autopilot Android

3. Scenario attuale di Microsoft Intune Novità 2024-2025 Microsoft Intune è

   la piattaforma cloud-based per la gestione moderna di dispositivi e applicazioni. Nel 2024-2025, le novità si sono concentrate su: Automazione e AI Sicurezza Zero Trust Esperienza utente migliorata https://learn.microsoft.com/en-us/mem/intune-service/fundamentals/what-is-intune

4. Microsoft Intune plans Intune Plan 1 (7,50 €) Incluso nei

   piani EMS E3 or Microsoft 365 E3, ME5, F1, F3 e Business Premium  Cross-platform endpoint management  Endpoint security built in  Endpoint analytics  App protection policies  Shared device management  Device compliance  Risk and app based conditional access  Proactive remediation  Integrated Microsoft 365 and security Intune Suite (9,40 €) Da aggiungere a Intune Plan 1 per utilizzare queste soluzioni*  Remote Help  Endpoint Privilege Management  Advanced Analytics  Enterprise Application Management  Cloud PKI  All Intune Plan 2 features Prerequisito  Intune Plan 1 Intune Plan 2 (3,70 €) Da aggiungere a Intune Plan 1 per utilizzare queste funzionalità  Tunnel for Mobile App Management  Mobile firmware update management  Specialty device management  Multiple managed accounts (future) Prerequisito  Intune Plan 1 *Disponibile anche come add-ons aka.ms/IntuneSuitePricing

5. Endpoint Privilege Management (EPM) Endpoint Privilege Management (EPM) consente di

   fornire privilegi locali in modo controllato. Permette di: Ridurre l’uso di account admin locali Elevare app specifiche su richiesta Automatizzare l’approvazione tramite policy https://learn.microsoft.com/en-us/mem/intune-service/protect/epm-overview

6. Supporto EPM per dispositivi ARM64 (marzo 2025) Endpoint Privilege Management

   (EPM) ora supporta dispositivi Windows ARM64 Funziona su device come Surface Pro X e altri basati su ARM Le regole di elevazione possono essere applicate come sui dispositivi x64 https://learn.microsoft.com/en-us/mem/intune-service/protect/epm-overview

7. Novità EPM – Creazione semplificata delle regole (agosto 2024) Ora

   è possibile creare una regola di elevazione direttamente: Dalla richiesta utente Dalla sezione Reporting Riduce tempi e complessità nella gestione dei privilegi. https://learn.microsoft.com/en-us/mem/intune-service/protect/epm-overview

8. Novità EPM – Controlli più granulari delle regole (marzo 2025)

   1. Controllo granulare degli argomenti • Possibilità di definire parametri di comando consentiti • Elevazione permessa solo se gli argomenti sono nella allow list • Blocchi automatici per argomenti non autorizzati 2. Regole di negazione (deny rules) • Blocco di file specifici dall’elevazione, a prescindere dalle regole standard • Eventi bloccati visibili nei report EPM

9. Novità EPM – Security Copilot (febbraio 2025) È possibile utilizzare

   Copilot per esaminare le richieste di elevazione dei privilegi L’opzione Analyze with Copilot istruisce Security Copilot nel verificare l’hash dei file attraverso un prompt su Microsoft Defender Threat Intelligence in modo tale da valutare i potenziali indicatori di compromissione dei file. Alcuni dei risultati restituiti nell’interfaccia di amministrazione possono includere: • La reputazione dei file; • Informazioni sull’attendibilità dell’editore; • Il Risk Score per l’utente che richiede l’elevazione dei file; • Il Risk Score del dispositivo da cui è stata inviata l’elevazione.

10. Remote Help Enhancements Remote Help consente agli admin di connettersi

    in remoto ai dispositivi gestiti per fornire supporto tecnico. Integrazione nativa in Intune Autenticazione basata su Microsoft Entra ID Audit dei log delle sessioni https://learn.microsoft.com/en-us/mem/intune-service/fundamentals/remote-help

11. Novità Remote Help – Azure Virtual Desktop multi-session (marzo 2025)

    Remote Help ora supporta: Sessioni multi-utente su una singola VM in Azure Virtual Desktop (AVD) Gli operatori possono connettersi alla singola sessione utente https://learn.microsoft.com/en-us/mem/intune-service/fundamentals/remote-help

12. Novità App Management (febbraio 2025) Miglioramenti nella gestione delle app:

    Visualizzazione avanzata dei token VPP (Volume Purchase Program) per i dispositivi Apple Più controllo su assegnazione e tracciamento di app iOS/macOS https://learn.microsoft.com/en-us/mem/intune/apps/vpp-apps-ios

13. Copilot for Intune (luglio 2024) Copilot for Security è stato

    introdotto nella 2404 Service Release e permette di avere: • Descrizione delle impostazioni • Riepilogo delle policy • Dettaglio sui dispositivi gestiti Copilot ora può generare query KQL (Kusto Query Language) dalla 2407 Service Release per: Analizzare dati dal blade Devices Supportare IT Admin nell’uso di Intune Data Warehouse Ridurre errori nella scrittura delle query https://learn.microsoft.com/en-us/mem/intune-service/copilot/copilot-intune-overview

14. Microsoft Cloud PKI (agosto 2024) Sono state introdotte le seguenti

    nuove azioni su Microsoft Cloud PKI: Delete: permette di rimuovere una Certification Authority (CA) Pause: permette di sospendere l’utilizzo di un CA Revoke: permette di revocare il certificato di una CA https://learn.microsoft.com/en-us/intune/intune-service/protect/microsoft-cloud-pki-overview

15. Security Baselines – Overview Le Security Baselines forniscono policy predefinite

    per proteggere i dispositivi. Basate su best practices Microsoft Personalizzabili Distribuibili via Settings Catalog Un buon punto di partenza per creare e distribuire rapidamente un profilo di configurazione sicuro https://learn.microsoft.com/en-us/mem/intune/protect/security-baselines

16. Novità – Security Baselines aggiornate (febbraio 2025) Nuove versioni disponibili

    per: Windows 10 e 11 (Windows version 24H2) Microsoft Edge v128 HoloLens 2 (standard e advanced) Tutte basate su Settings Catalog per maggiore flessibilità. https://learn.microsoft.com/en-us/mem/intune/protect/security-baselines

17. Novità di LAPS (marzo 2025) Novità di LAPS in Microsoft

    Intune: Gestione automatica degli account (automatic account management) Lunghezza passphrase (passphrase length) Complessità password (password complexity) Azioni post autenticazione (post authentication actions) https://learn.microsoft.com/it-it/intune/intune-service/protect/windows-laps-overview

18. Endpoint analytics - Overview Endpoint analytics ha l’obiettivo di migliorare

    la produttività degli utenti e ridurre i costi di supporto IT fornendo insight sull’esperienza utente Affrontare i pain point degli utenti finali – inclusi quelli che non vengono segnalati Rilevare e risolvere proattivamente i problemi di supporto comuni prima che gli utenti finali si accorgano della presenza di un problema Rimuovere i blocchi alla produttività e ottimizzare i PC aziendali https://learn.microsoft.com/it-it/intune/analytics/overview

19. Endpoint Analytics – Resource Performance Report (agosto 2024) Nuovo report

    sulle performance hardware: CPU, RAM, disco Score di performance Raccomandazioni per miglioramenti https://learn.microsoft.com/en-us/mem/analytics/resource-performance-report

20. Application Control CSP Configuration Service Provider Per impedire l'esecuzione di

    app indesiderate nei dispositivi Windows gestiti, è possibile usare le App Control for Business policies Nuova policy “ApplicationControl” CSP Sostituisce “AppLocker” CSP per dispositivi gestiti Basata su Smart App Control Definisce quali app possono essere eseguite Maggiore controllo in scenari Zero Trust https://learn.microsoft.com/en-us/mem/intune/protect/endpoint-security-app-control-policy https://learn.microsoft.com/en-us/windows/client-management/mdm/

21. Windows Autopilot OEM-optimized Windows 10 or Windows 11 Software Settings

    Updates Features User data Ready for productive use

22. Windows Autopilot scenarios User-driven mode with Microsoft Entra join Join

    device to Microsoft Entra Enroll into Intune/MDM; makes a connection between device and user who runs the OOBE Requirements:  Windows 10 1809 or later  Windows 11  Internet connection User-driven mode with Microsoft Entra hybrid join Enroll to Intune/MDM Perform Microsoft Entra registration, join to device to AD Requirements:  Windows 10 1809 and above  Windows 11  Internet connection  Reachable AD infra  Setup of Domain Join configuration profile in Intune  Intune Connector for Active Directory Self-deploy mode Microsoft Entra join No need to provide credentials, automatically joins Microsoft Entra, targeted to kiosks and shared devices Requirements:  Windows 10 1809 and above  Windows 11  Windows Holographic, version 2004 or later  Internet connection  TPM 2.0 and device attestation Windows Autopilot for existing devices Windows 7 to Windows 10 or Windows 11 Configuration Manager task sequence, followed by Windows Autopilot user-driven mode Requirements:  Windows 10 1903 and above or Windows 11 OS image imported into Configuration Manager  Currently supported version of Configuration Manager  Windows ADK Pre-provisioning White glove partners or IT staff can pre-provision a Windows 10 or Windows 11 PC to be fully configured and business-ready for an org or user​ Requirements:  Windows 10 1903 and above  Windows 11  Physical devices that support TPM 2.0 and device attestation (VMs are not supported)  Ethernet connectivity (Wi-Fi is not supported)

23. Novità Windows Autopilot (settembre 2024) Windows Autopilot device preparation (Autopilot

    v2) Distribuzione delle configurazioni Impostazioni di sicurezza e installazione delle applicazioni Enrollment Time Grouping Monitoraggio e reporting https://learn.microsoft.com/en-us/autopilot/device-preparation/overview

24. Novità Windows Autopilot (gennaio 2025) Il connettore Intune per Active

    Directory ora supporta: Account con privilegi minimi Sicurezza migliorata nei deployment ibridi Molto atteso! Riduce l’uso di account ad alto privilegio durante il join ibrido Entra ID. https://learn.microsoft.com/en-us/intune/intune-service/fundamentals/whats-new

25. Altre novità utili (dicembre 2024) Fine del supporto per i

    modelli amministrativi durante la creazione di un nuovo profilo di configurazione Intune supporta Ubuntu 24.04 LTS Device Inventory per Windows https://learn.microsoft.com/en-us/mem/intune-service/fundamentals/whats-new

26. Altre novità utili (ottobre-novembre 2024) La versione minima del sistema

    operativo per i dispositivi Android è Android 10 e include: • Android Enterprise personally-owned work profile • Android Enterprise corporate owned work profile • Android Enterprise fully managed • App protection policies (APP) • App configuration policies (ACP) for managed apps Supporto per l’enrollment di dispositivi Windows 365 Link • Nessuna app o dati locali • Sicurezza by design • Download notturno degli aggiornamenti • Configurazione dispositivo semplice https://learn.microsoft.com/en-us/intune/intune-service/fundamentals/whats-new

27. Device Staging per dispositivi Android Enterprise (maggio 2024) Dalla versione

    2405 di Microsoft Intune è disponibile una nuova modalità di enrollment per i dispositivi Android Fully Managed (profilo Corporate-owned fully managed user e profilo Corporate-owned with work profile). Il Device Staging si compone di 3 fasi: 1. Inizio da parte dell’amministratore 2. Provisioning da parte del fornitore/amministratore 3. Accesso dell’utente

28. Cosa ci aspetta? Public preview Expand endpoint visibility across device

    platforms - Microsoft Intune Blog Stay ahead of evolving threats with the latest AI in Intune - Microsoft Intune Blog Fortify your security posture with Microsoft Intune and Windows - Microsoft Intune Blog

29. Conclusioni Intune Suite Gestione avanzata integrata: EPM, Analytics, Remote Help

    Copilot in Intune AI per semplificare policy, troubleshooting e insight Supporto esteso Gestione potenziata per macOS, Linux e dispositivi non-Windows Più sicurezza e controllo Integrazione con Defender, nuove policy BYOD e compliance Gestione moderna e intelligente Esperienza utente migliorata, IT più efficiente https://learn.microsoft.com/en-us/intune/intune-service/fundamentals/whats-new

30. Azure Virtual Desktop & Windows 365 Italian User Group Microsoft

    Security Italian User Group MEM Italian User Group