In sviluppo per Microsoft Intune

Per facilitare la preparazione e la pianificazione, questo articolo elenca Intune aggiornamenti dell'interfaccia utente e funzionalità in fase di sviluppo ma non ancora rilasciate. Anche:

• Se prevediamo di dover intervenire prima di una modifica, pubblicheremo un post complementare nel centro messaggi di Office.
• Quando una funzionalità entra in produzione, indipendentemente dal fatto che sia disponibile in anteprima o a livello generale, la descrizione della funzionalità passa da questo articolo a Novità.
• Fare riferimento alla roadmap di Microsoft 365 per i risultati finali strategici e le sequenze temporali.

Questo articolo e l'articolo Novità vengono aggiornati periodicamente. Controllare di nuovo la disponibilità di altri aggiornamenti.

È possibile usare RSS per ricevere una notifica quando questo articolo viene aggiornato. Per altre informazioni, vedere Come usare la documentazione.

Microsoft Intune Suite

Supporto dei tag di ambito per i report Gestione privilegi endpoint

Si sta correggendo il funzionamento dei tag di ambito con i report di Gestione privilegi endpoint (EPM). Con questa modifica, i report EPM rispetteranno l'ambito assegnato ai visualizzatori di report e visualizzeranno i dettagli solo per gli utenti e i dispositivi che l'utente del report deve visualizzare.

Gestione dell’app

Più account gestiti per i criteri di protezione delle app

La funzionalità Multiple Managed Accounts (MMA) per Intune gestione di applicazioni mobili (MAM) consentirà agli utenti di aggiungere e gestire più account gestiti all'interno di una singola app. Con MMA, i criteri di protezione delle app verranno applicati in modo indipendente per ogni account, come definito dall'amministratore. Questa funzionalità sarà particolarmente utile per scenari come consulenti che lavorano tra organizzazioni, acquisizioni aziendali o utenti che gestiscono più cassette postali all'interno dello stesso tenant.

Registrazione dei dispositivi

Completare la registrazione SSO della piattaforma durante la registrazione automatica dei dispositivi macOS

Nei dispositivi macOS registrati con registrazione automatica dei dispositivi (ADE) è possibile abilitare e completare la registrazione del dispositivo Platform SSO:

• In un criterio del catalogo delle impostazioni aggiungere e configurare l'impostazione Enable Registration During Setup , salvare i criteri e assegnarli a un gruppo statico.

• Configurare i criteri registrazione automatica dei dispositivi per usare Assistente configurazione con l'autenticazione moderna e abilitare la configurazione finale await.

• Durante la registrazione, gli utenti accedono due volte:

  • Il primo accesso avvia il normale processo di registrazione.
  • Il secondo accesso autentica l'identità utente in Portale aziendale e ottiene l'estensione SSO.

  Stiamo lavorando agli aggiornamenti per ridurre il numero di accessi per l'accesso SSO della piattaforma durante l'Assistente configurazione.

Quando questa funzionalità è abilitata, gli utenti hanno accesso alle risorse immediatamente quando arrivano sul desktop.

Prerequisiti:

• Prima di eseguire la registrazione:
  • Creare un criterio di catalogo delle impostazioni e configurare l'impostazione Abilita registrazione durante l'installazione e assegnarla al dispositivo tramite un gruppo statico.
  • Distribuire il Portale aziendale (5.2604.0 e versioni successive) come app line-of-business.
• I dispositivi devono essere registrati tramite Apple Business Manager o Apple School Manager usando ADE.
• Il profilo di registrazione ADE deve essere configurato per l'uso di Assistente configurazione con l'autenticazione moderna e l'impostazione di configurazione finale Await è attivata.

Gestione dei dispositivi

Identità agentic per l'agente di configurazione dei criteri (anteprima pubblica)

L'agente di configurazione dei criteri di Intune verrà aggiornato per usare un'identità agentic Microsoft Entra anziché un'identità utente umana. In questo modo l'agente può eseguire le azioni di configurazione dei criteri in modo sicuro e indipendente.

Per gli agenti esistenti, gli amministratori potranno eseguire la transizione a un'identità agentic dalla scheda Impostazioni dell'agente selezionando Crea nuova identità. Dopo il provisioning dell'identità, l'agente verrà ora eseguito per conto dell'utente connesso e le informazioni verranno definite come ambito dalle autorizzazioni di tale account. Per i nuovi agenti, verrà eseguito il provisioning automatico di un'identità agentic al momento dell'installazione.

Disattivare le app in Schermata iniziale gestita per impedire il bypass del PIN della sessione

Per i dispositivi che usano Schermata iniziale gestita (MHS), sarà possibile disattivare le app ogni volta che MHS richiede all'utente l'autenticazione, ad esempio durante l'accesso o nella schermata del PIN della sessione. In caso di silenziamento, le app non saranno in grado di avviare attività, visualizzare notifiche, essere visualizzate nelle app recenti o attivare avvisi popup, dialoghi o squilli del dispositivo. Sarà possibile configurare un elenco di app consentite che rimangono invariate durante lo stato bloccato, garantendo che le comunicazioni critiche come le chiamate non vengano interrotte. Questa funzionalità sarà opt-in e configurabile, consentendo all'organizzazione di personalizzare l'esperienza in base alle proprie esigenze operative. Una volta sbloccato il dispositivo, tutte le app torneranno automaticamente allo stato normale.

I dispositivi android enterprise di proprietà personale con un profilo di lavoro useranno l'API di gestione Android (AMAPI)

Quando gli utenti registrano i dispositivi Android di proprietà personale in Intune, viene creato un profilo di lavoro con una partizione separata nel dispositivo per l'account aziendale dell'utente. Questi dispositivi sono detti dispositivi di proprietà personale con un profilo di lavoro.

Come parte del Intune passare all'API di gestione Android (apre il sito Web android), verranno visualizzati alcuni aggiornamenti per i dispositivi di proprietà personale che si registrano in Intune:

• Registrazione basata sul Web per un flusso di registrazione e un'esperienza migliori: gli utenti non dovranno installare un'app per la registrazione in Intune. La registrazione Web sarà a livello di tenant.
• Nuova implementazione per il modo in cui Intune fornisce i criteri: aggiornamento moderno su come Intune offre e monitora i criteri nei dispositivi Android di proprietà personale con un profilo di lavoro. Questa modifica si allinea anche al modo in cui Intune gestisce i criteri nei dispositivi di proprietà dell'azienda con un profilo di lavoro, dispositivi completamente gestiti e dedicati. È possibile ridimensionare la migrazione a gruppi di destinazione.

Per usare queste funzionalità, è necessario acconsentire esplicitamente:

• Registrazione basata sul Web: Dispositivi > Registrazione > onboarding > dispositivi Android > Dispositivi di proprietà personale con un profilo > di lavoro Usare la registrazione Web per tutti gli utenti che si registrano nella gestione dei profili di lavoro di proprietà personale Android
• Criterio: Dispositivi > Gestire la configurazione > dei dispositivi > Creare > un nuovo criterio > Android Enterprise > Passare all'API di gestione Android

Per altre informazioni, vedere:

• Blog sull'implementazione di nuovi criteri e la registrazione Web per il profilo di lavoro di proprietà personale Android
• Panoramica della gestione dei profili di lavoro Android Enterprise

Nuove azioni remote per sospendere e ripristinare Schermata iniziale gestita nei dispositivi Android

Intune includerà presto due nuove azioni remote che consentono agli amministratori di sospendere temporaneamente e successivamente ripristinare la schermata iniziale gestita (MHS) nei dispositivi Android. Queste azioni consentono agli utenti di uscire da MHS e accedere all'utilità di avvio predefinita del dispositivo per una durata specificata, senza rimuovere criteri o richiedere un PIN.

Al termine del tempo definito o quando viene attivata l'azione di ripristino della schermata iniziale gestita , MHS viene ripristinato automaticamente, consentendo di mantenere la sicurezza del dispositivo riducendo al minimo le interruzioni.

Sicurezza dei dispositivi

Baseline di sicurezza per i controlli delle guide tecniche di implementazione della sicurezza

Verrà aggiunta una nuova baseline di sicurezza che controlla i dispositivi rispetto alla configurazione consigliata delle guide all'implementazione tecnica della sicurezza (STIG).

La nuova baseline sarà disponibile per i tenant di US Government Community Cloud High (GCC High) e si concentrerà sui controlli e non sulla configurazione. Applicabile ai dispositivi Windows, la baseline genera report dettagliati sui quali i dispositivi soddisfano le impostazioni consigliate per la conformità con stig.

Per informazioni sulle baseline di sicurezza Intune attualmente disponibili, vedere Panoramica delle baseline di sicurezza.

Supporto per Intune criteri di controllo dei dispositivi per i dispositivi gestiti da Microsoft Defender per endpoint

Sarà possibile usare i criteri di sicurezza degli endpoint per controllo del dispositivo (criteri di riduzione della superficie di attacco) dal Microsoft Intune con i dispositivi gestiti tramite la funzionalità di gestione delle impostazioni di sicurezza Microsoft Defender per endpoint.

• I criteri di controllo dei dispositivi fanno parte dei criteri di riduzione della superficie di attacco per la sicurezza degli endpoint.

Quando questa modifica diventa effettiva, i dispositivi a cui viene assegnato questo criterio mentre sono gestiti da Defender per endpoint ma non registrati con Intune, ora applicano le impostazioni dai criteri. Controllare i criteri per assicurarsi che vengano ricevuti solo i dispositivi che si intende ricevere.

Monitorare e risolvere i problemi

deprecazione del connettore Intune Data Warehouse (beta) in Power BI

Il connettore Intune Data Warehouse (beta) in Power BI verrà ritirato. Se si usano report di Power BI che si basano su questo connettore, è necessario passare a Intune connettore v2 o al connettore del feed OData prima del completamento del ritiro.

I report di Power BI creati dopo novembre 2025 usano già il connettore v2. I report creati prima di novembre 2025 potrebbero comunque usare il connettore beta e dovranno essere aggiornati.

La transizione inizierà alla fine di aprile 2026 e si verificherà gradualmente nell'arco di due settimane. Al termine della transizione, l'accesso ai dati tramite il connettore beta non sarà più disponibile.

Considerazioni sulla creazione di report per i criteri di conformità

Intune aggiungerà nuove linee guida alla documentazione relativa alla creazione di report sui criteri di conformità per chiarire i comportamenti di reporting previsti. Questo aggiornamento della documentazione risolverà le domande comuni sul modo in cui i report dei criteri di conformità riflettono lo stato del dispositivo, tra cui:

• Dipendenza archiviazione: i report dei criteri di conformità vengono aggiornati quando un dispositivo esegue l'accesso con il servizio Intune. Creazione di report degli aggiornamenti dei dati durante i cicli di archiviazione e aggiornamento dei criteri del dispositivo e potrebbe non riflettere immediatamente le modifiche di assegnazione o destinazione recenti.
• Dispositivi con più utenti: i report di conformità visualizzano lo stato di conformità per l'ultimo utente che ha effettuato l'accesso nel dispositivo. Se più utenti accedono a un dispositivo condiviso, il report può riflettere l'ultimo stato di conformità noto per un utente precedente.
• Stato in sospeso: un dispositivo potrebbe essere visualizzato in stato In sospeso se non è ancora stato archiviato per ricevere o segnalare lo stato dei criteri di conformità. Questo stato può essere mantenuto nei report fino al completamento del ciclo di report successivo.
• Più record: i report dei criteri possono mostrare più record per un singolo dispositivo, ad esempio voci separate associate ai contesti utente e di sistema. Questo comportamento può verificarsi quando utenti diversi accedono allo stesso dispositivo o quando si verificano archiviazioni automatiche del dispositivo.
• Differenze tra riepilogo e dettagli: le visualizzazioni dei report di riepilogo e gli elenchi dettagliati dei dispositivi possono essere aggiornati in base a diverse cadenza. Di conseguenza, i valori di riepilogo aggregati potrebbero differire temporaneamente dalle voci di report dettagliate.

Avvisi

Queste note forniscono informazioni importanti che consentono di prepararsi per le modifiche e le funzionalità future Intune.

Eseguire l'aggiornamento alla Portale aziendale Intune più recente per Android, Intune App SDK per iOS e Intune Wrapper di app per iOS

A partire dal 19 gennaio 2026 o poco dopo, verranno apportati aggiornamenti per migliorare il servizio di gestione delle applicazioni mobili (MAM) Intune. Per garantire la sicurezza e l'esecuzione senza problemi, questo aggiornamento richiederà l'aggiornamento alle versioni più recenti delle app con wrapping di iOS, delle app integrate di iOS SDK e del Portale aziendale Intune per Android.

Il modo in cui Android viene aggiornato, una volta che un'applicazione Microsoft con l'SDK aggiornato è nel dispositivo e il Portale aziendale viene aggiornato alla versione più recente, le app Android verranno aggiornate, quindi questo messaggio è incentrato sugli aggiornamenti del wrapper dell'app/SDK per iOS. È consigliabile aggiornare sempre le app Android e iOS all'SDK o al wrapper dell'app più recente per garantire che l'app continui a essere eseguita senza problemi. Per altri dettagli sull'effetto specifico, vedere gli annunci di GitHub seguenti:

• SDK per iOS: Azione necessaria: aggiornare MAM SDK nell'applicazione per evitare l'impatto dell'utente finale - microsoftconnect/ms-intune-app-sdk-ios Discussione #598 | Github
• Wrapper per iOS: Azione necessaria: eseguire il wrapping dell'applicazione con la versione 20.8.1+ per evitare l'impatto dell'utente finale - microsoftconnect/intune-app-wrapping-tool-ios Discussione #143 | Github

In caso di domande, lasciare un commento sull'annuncio di GitHub applicabile.

In che modo questa modifica influisce sull'utente o sugli utenti?

Se gli utenti non sono stati aggiornati alle app microsoft o di terze parti supportate per la protezione delle app più recenti, verrà loro impedito di avviare le app. Se si dispone di applicazioni line-of-business (LOB) iOS che usano il wrapper Intune o Intune SDK, è necessario trovarsi in Wrapper/SDK versione 20.8.0 o successiva per le app compilate con Xcode 16 e versione 21.1.0 o successiva per le app compilate con Xcode 26 per evitare che gli utenti vengano bloccati.

Come puoi prepararti?

Pianificare le modifiche seguenti prima del 19 gennaio 2026:

• Per le app che usano Intune App SDK, è necessario eseguire l'aggiornamento alla nuova versione di Intune App SDK per iOS:

  • Per le app compilate con XCode 16 usare v20.8.0 - Versione 20.8.0 - microsoftconnect/ms-intune-app-sdk-ios | Github
  • Per le app compilate con XCode 26 usare v21.1.0 - Versione 21.1.0 - microsoftconnect/ms-intune-app-sdk-ios | Github

• Per le app che usano il wrapper, è necessario eseguire l'aggiornamento alla nuova versione del Intune App Wrapping Tool per iOS:

  • Per le app create con XCode 16 usare v20.8.1 - Versione 20.8.1 - microsoftconnect/intune-app-wrapping-tool-ios | Github
  • Per le app create con XCode 26 usare v21.1.0 - Versione 21.1.0 - microsoftconnect/intune-app-wrapping-tool-ios | Github

• Per i tenant con criteri destinati alle app iOS:

  • Notifica agli utenti che devono eseguire l'aggiornamento alla versione più recente delle app Microsoft. È possibile trovare la versione più recente delle app nell'App Store. Ad esempio, è possibile trovare la versione più recente di Microsoft Teams qui e Microsoft Outlook qui.
  • Inoltre, è possibile abilitare le impostazioni di avvio condizionale seguenti:
    • Impostazione della versione di Min SDK per bloccare gli utenti se l'app usa Intune SDK per iOS precedente alla versione 20.8.0.
    • L'impostazione Versione minima dell'app per avvisare gli utenti nelle app Microsoft meno recenti. Si noti che questa impostazione deve essere in un criterio destinato solo all'app di destinazione.

• Per i tenant con criteri destinati alle app Android:

  • Notifica agli utenti che devono eseguire l'aggiornamento alla versione più recente (v5.0.6726.0) dell'app Portale aziendale Intune.

  • Inoltre, è possibile abilitare l'impostazione seguente della condizione del dispositivo avvio condizionale :

    • L'impostazione Min Portale aziendale versione per avvisare gli utenti che usano una versione dell'app Portale aziendale precedente alla versione 5.0.6726.0.

Aggiornare le configurazioni del firewall per includere nuovi endpoint di rete Intune

Nell'ambito dell'iniziativa SFI (Secure Future Initiative) di Microsoft, a partire dal 2 dicembre 2025 o poco dopo, gli endpoint del servizio di rete per Microsoft Intune useranno anche gli indirizzi IP di Frontdoor Azure. Questo miglioramento supporta un migliore allineamento con le moderne procedure di sicurezza e nel tempo renderà più semplice per le organizzazioni che usano più prodotti Microsoft gestire e gestire le configurazioni del firewall. Di conseguenza, ai clienti potrebbe essere richiesto di aggiungere queste configurazioni di rete (firewall) in applicazioni di terze parti per consentire la corretta funzione della gestione di dispositivi e app Intune. Questa modifica influirà sui clienti che usano un elenco di elementi consentiti del firewall che consente il traffico in uscita in base agli indirizzi IP o ai tag del servizio Azure.

Non rimuovere gli endpoint di rete esistenti necessari per Microsoft Intune. Altri endpoint di rete sono documentati come parte delle informazioni sui tag frontdoor e del servizio Azure a cui si fa riferimento nei file seguenti:

• Cloud pubblici: scaricare Azure intervalli IP e tag di servizio - Cloud pubblico dall'Area download Microsoft ufficiale
• Cloud per enti pubblici: scaricare Azure intervalli IP e tag di servizio - US Government Cloud dall'Area download Microsoft ufficiale

Gli altri intervalli si trovano nei file JSON collegati sopra e possono essere trovati cercando "AzureFrontDoor.MicrosoftSecurity".

In che modo questa modifica influisce sull'utente o sugli utenti?

Se sono stati configurati criteri di traffico in uscita per Intune intervalli di indirizzi IP o Azure tag del servizio per firewall, router, server proxy, firewall basati su client, VPN o gruppi di sicurezza di rete, sarà necessario aggiornarli per includere i nuovi intervalli di frontdoor Azure con il tag "AzureFrontDoor.MicrosoftSecurity".

Intune richiede l'accesso a Internet per i dispositivi in gestione Intune, sia per la gestione dei dispositivi mobili che per la gestione delle applicazioni mobili. Se i criteri di traffico in uscita non includono i nuovi intervalli di indirizzi IP Azure Frontdoor, gli utenti possono riscontrare problemi di accesso, i dispositivi potrebbero perdere la connettività con Intune e l'accesso ad app come il Portale aziendale Intune o le app protette dai criteri di protezione delle app potrebbe essere interrotto.

Come puoi prepararti?

Assicurarsi che le regole del firewall vengano aggiornate e aggiunte all'elenco di indirizzi consentiti del firewall con gli altri indirizzi IP documentati in Azure Frontdoor entro il 2 dicembre 2025.

In alternativa, è possibile aggiungere il tag di AzureFrontDoor.MicrosoftSecurity servizio alle regole del firewall per consentire il traffico in uscita sulla porta 443 per gli indirizzi nel tag .

Se non si è l'amministratore IT che può apportare questa modifica, inviare una notifica al team di rete. Se si è responsabili della configurazione del traffico Internet, vedere la documentazione seguente per altri dettagli:

• frontdoor Azure
• Azure tag del servizio
• Endpoint di rete di Intune
• Endpoint di rete per enti pubblici degli Stati Uniti per Intune

Se si dispone di un helpdesk, informarli su questa modifica imminente.

Aggiornamento per l'istruzione di supporto per Windows 10 in Intune

Windows 10 ha raggiunto la fine del supporto il 14 ottobre 2025. Windows 10 non riceve più aggiornamenti qualitativi o delle funzionalità. Gli aggiornamenti della sicurezza sono disponibili solo per i clienti commerciali che hanno registrato dispositivi nel programma ESU (Extended Security Aggiornamenti). Per altre informazioni, vedere le informazioni aggiuntive seguenti.

In che modo questa modifica influisce sull'utente o sugli utenti?

Microsoft Intune continua a mantenere le funzionalità di gestione di base per Windows 10, tra cui:

• Continuità della gestione dei dispositivi.
• Supporto per gli aggiornamenti e i flussi di lavoro di migrazione a Windows 11.
• Possibilità per i clienti ESU di distribuire gli aggiornamenti della sicurezza di Windows e mantenere livelli di patch sicuri.

La versione finale di Windows 10 (versione 22H2) è designata come versione "consentita" in Intune. Anche se gli aggiornamenti e le nuove funzionalità non sono disponibili, i dispositivi che eseguono questa versione possono comunque registrarsi in Intune e usare le funzionalità idonee, ma le funzionalità non sono garantite e possono variare.

Come puoi prepararti?

Usare il report Tutti i dispositivi nell'interfaccia di amministrazione Intune per identificare i dispositivi ancora in esecuzione Windows 10 e aggiornare i dispositivi idonei a Windows 11.

Se i dispositivi non possono essere aggiornati in tempo, prendere in considerazione la registrazione dei dispositivi idonei nel programma ESU Windows 10 per continuare a ricevere gli aggiornamenti critici della sicurezza.

Informazioni aggiuntive

• Mantenere la sicurezza con Windows 11, PC Copilot+ e Windows 365 prima che il supporto termini per Windows 10
• Windows 10 raggiungere la fine del supporto
• Abilitare la sicurezza estesa Aggiornamenti (ESU)
• Informazioni sulla versione di Windows 10
• Windows 11 informazioni sulla versione
• Domande frequenti sul ciclo di vita - Windows 

Pianificare le modifiche: Intune è in corso il passaggio per supportare iOS/iPadOS 17 e versioni successive

Più avanti nell'anno di calendario 2025, ci aspettiamo che iOS 26 e iPadOS 26 vengano rilasciati da Apple. Microsoft Intune, inclusi i criteri di protezione delle app Portale aziendale Intune e Intune (APP, noto anche come MAM), richiede iOS 17/iPadOS 17 e versioni successive poco dopo la versione di iOS/iPadOS 26.

In che modo questa modifica influisce sull'utente o sugli utenti?

Se gestisci dispositivi iOS/iPadOS, potresti avere dispositivi che non saranno in grado di eseguire l'aggiornamento alla versione minima supportata (iOS 17/iPadOS 17).

Dato che le app per dispositivi mobili Microsoft 365 sono supportate in iOS 17/iPadOS 17 e versioni successive, questa modifica potrebbe non influire sull'utente. È probabile che sia già stato aggiornato il sistema operativo o i dispositivi.

Per verificare quali dispositivi supportano iOS 17 o iPadOS 17 (se applicabile), vedere la documentazione apple seguente:

• Modelli di iPhone supportati
• Modelli di iPad supportati

Come puoi prepararti?

Controllare i report Intune per vedere quali dispositivi o utenti potrebbero essere interessati. Per i dispositivi con gestione dei dispositivi mobili (MDM), passare a Dispositivi>Tutti i dispositivi e filtrare in base al sistema operativo. Per i dispositivi con criteri di protezione delle app, passare aMonitoraggio>app>Protezione di app stato e usare le colonne Della versione della piattaforma e della piattaforma per filtrare.

Per gestire la versione del sistema operativo supportata nell'organizzazione, è possibile usare i controlli Microsoft Intune sia per MDM che per APP. Per altre informazioni, vedere Gestire le versioni del sistema operativo con Intune.

Pianificare le modifiche: Intune verrà spostato per supportare macOS 14 e versioni successive entro la fine dell'anno

Più avanti nell'anno di calendario 2025, ci aspettiamo che macOS Tahoe 26 venga rilasciato da Apple. Microsoft Intune, l'app Portale aziendale e l'agente di gestione dei dispositivi mobili Intune supportano macOS 14 e versioni successive. Poiché l'app Portale aziendale per iOS e macOS è un'app unificata, questa modifica verrà apportata poco dopo il rilascio di macOS 26. Questa modifica non influisce sui dispositivi registrati esistenti.

In che modo questa modifica influisce sull'utente o sugli utenti?

Questa modifica interessa solo se attualmente si gestiscono o si prevede di gestire i dispositivi macOS con Intune. Se è probabile che gli utenti abbiano già aggiornato i dispositivi macOS, questa modifica potrebbe non influire sull'utente. Per un elenco dei dispositivi supportati, vedere macOS Sonoma è compatibile con questi computer.

Come puoi prepararti?

Controllare i report Intune per vedere quali dispositivi o utenti potrebbero essere interessati. Passare a Dispositivi>Tutti i dispositivi e filtrare in base a macOS. È possibile aggiungere altre colonne per identificare chi nell'organizzazione dispone di dispositivi che eseguono macOS 13.x o versioni precedenti. Chiedere agli utenti di aggiornare i dispositivi a una versione del sistema operativo supportata.

Pianificare la modifica: aggiornamento della definizione di integrità avanzata di Google Play per Android 13 o versione successiva

Google ha recentemente aggiornato la definizione di "Integrità avanzata" per i dispositivi che eseguono Android 13 o versione successiva, richiedendo segnali di sicurezza basati su hardware e aggiornamenti della sicurezza recenti. Per altre informazioni, vedere il blog per sviluppatori Android: Rendere l'API Integrità della riproduzione più veloce, più resiliente e più privata. Microsoft Intune applica questa modifica entro il 31 ottobre 2026. Fino ad allora, sono stati modificati i criteri di protezione delle app e il comportamento dei criteri di conformità per allinearsi alle linee guida consigliate per la compatibilità con le versioni precedenti di Google per ridurre al minimo le interruzioni come descritto in Verdetti migliorati nei dispositivi Android 13 e versioni successive | Google Play | Sviluppatori Android.

In che modo questa modifica influisce sull'utente o sugli utenti?

Se sono stati assegnati utenti con criteri di protezione delle app e/o criteri di conformità che usano dispositivi che eseguono Android 13 o versioni successive senza un aggiornamento della sicurezza negli ultimi 12 mesi, questi dispositivi non soddisfano più lo standard "Integrità avanzata".

Impatto sull'utente : per gli utenti che eseguono dispositivi in Android 13 o versioni successive dopo questa modifica:

• I dispositivi senza gli aggiornamenti della sicurezza più recenti potrebbero essere declassati da "Integrità avanzata" a "Integrità del dispositivo", il che potrebbe comportare blocchi di avvio condizionale per i dispositivi interessati.
• I dispositivi senza gli aggiornamenti della sicurezza più recenti potrebbero vedere i dispositivi diventare non conformi nell'app Portale aziendale Intune e potrebbero perdere l'accesso alle risorse aziendali in base ai criteri di accesso condizionale dell'organizzazione.

I dispositivi che eseguono Android versione 12 o successiva non sono interessati da questa modifica.

Come puoi prepararti?

Esaminare e aggiornare i criteri in base alle esigenze. Assicurarsi che gli utenti con dispositivi che eseguono Android 13 o versioni successive ricevano aggiornamenti tempestivi della sicurezza. È possibile usare il report sullo stato di protezione delle app per monitorare la data dell'ultima patch di sicurezza Android ricevuta dal dispositivo e notificare agli utenti di eseguire l'aggiornamento in base alle esigenze. Le opzioni di amministratore seguenti sono disponibili per avvisare o bloccare gli utenti:

• Per i criteri di protezione delle app, configurare le impostazioni di avvio condizionale versione minima del sistema operativo e versione minima della patch . Per altri dettagli, vedere Impostazioni dei criteri di protezione delle app Android in Microsoft Intune | Microsoft Learn
• Per i criteri di conformità, configurare l'impostazione Di conformità minima del livello di patch di sicurezza . Per altri dettagli, vedere: Impostazioni di conformità dei dispositivi per Android Enterprise in Intune

Pianificare le modifiche: nuovo connettore Intune per la distribuzione di Microsoft Entra dispositivi aggiunti ibridi tramite Windows Autopilot

Nell'ambito di Secure Future Initiative di Microsoft, è stato recentemente rilasciato un aggiornamento al connettore Intune per Active Directory per l'uso di un account del servizio gestito anziché di un account SYSTEM locale per la distribuzione di Microsoft Entra dispositivi aggiunti ibridi con Windows Autopilot. Il nuovo connettore mira a migliorare la sicurezza riducendo i privilegi e le autorizzazioni non necessari associati all'account SYSTEM locale.

In che modo questa modifica influisce sull'utente o sugli utenti?

Se hai Microsoft Entra dispositivi aggiunti ibridi usando Windows Autopilot, devi passare al nuovo connettore per continuare a distribuire e gestire i dispositivi in modo efficace. Se non si esegue l'aggiornamento al nuovo connettore, non sarà possibile registrare nuovi dispositivi usando il connettore precedente.

Come puoi prepararti?

Aggiornare l'ambiente al nuovo connettore seguendo questa procedura:

1. Scaricare e installare il nuovo connettore nell'interfaccia di amministrazione Intune.
2. Accedere per configurare l'account del servizio gestito.
3. Aggiornare il file ODJConnectorEnrollmentWizard.exe.config per includere le unità organizzative necessarie per l'aggiunta al dominio.

Per istruzioni più dettagliate, vedere: Microsoft Intune Connector per l'aggiornamento della sicurezza di Active Directory e Distribuire Microsoft Entra dispositivi aggiunti ibridi usando Intune e Windows Autopilot.

Pianificare la modifica: nuove impostazioni per le funzionalità di intelligenza artificiale di Apple; Genmojis, Strumenti di scrittura, Acquisizione dello schermo

Attualmente, le funzionalità di intelligenza artificiale di Apple per Genmojis, Strumenti di scrittura e acquisizione dello schermo vengono bloccate quando l'impostazione "Invia dati dell'organizzazione ad altre app" dei criteri di protezione delle app è configurata su un valore diverso da "Tutte le app". Per altre informazioni sulla configurazione corrente, i requisiti delle app e l'elenco dei controlli apple per intelligenza artificiale correnti, vedere il blog: Microsoft Intune supporto per Apple Intelligence

In una versione futura, Intune i criteri di protezione delle app hanno nuove impostazioni autonome per bloccare l'acquisizione dello schermo, Genmojis e strumenti di scrittura. Queste impostazioni autonome sono supportate dalle app aggiornate alla versione 19.7.12 o successiva per Xcode 15 e 20.4.0 o versioni successive per Xcode 16 di Intune App SDK e App Wrapping Tool.

In che modo questa modifica influisce sull'utente o sugli utenti?

Se l'impostazione APP "Invia dati dell'organizzazione ad altre app" è stata configurata su un valore diverso da "Tutte le app", le nuove impostazioni "Genmoji", "Strumenti di scrittura" e "Acquisizione schermata" sono impostate su Blocca nei criteri di protezione delle app per impedire modifiche all'esperienza utente corrente.

Come puoi prepararti?

Esaminare e aggiornare i criteri di protezione delle app se si vogliono controlli più granulari per bloccare o consentire funzionalità di intelligenza artificiale specifiche. (App>Protezione>selezionare un criterio>Proprietà>Basi>Applicazioni>Protezione dei dati)

Pianificare la modifica: avvisi utente in iOS per quando le azioni di acquisizione dello schermo sono bloccate

In una versione futura (20.3.0) di Intune App SDK e Intune App Wrapping Tool per iOS, viene aggiunto il supporto per avvisare gli utenti quando viene rilevata un'azione di acquisizione dello schermo (inclusa la registrazione e il mirroring) in un'app gestita. L'avviso è visibile agli utenti solo se è stato configurato un criterio di protezione delle app (APP) per bloccare l'acquisizione dello schermo.

In che modo questa modifica influisce sull'utente o sugli utenti?

Se APP è stata configurata per bloccare l'acquisizione dello schermo, gli utenti visualizzano un avviso che indica che le azioni di acquisizione dello schermo vengono bloccate dall'organizzazione quando tentano di acquisire screenshot, registrare lo schermo o eseguire il mirroring dello schermo.

Per le app che sono state aggiornate alle versioni più recenti Intune App SDK o Intune App Wrapping Tool, l'acquisizione dello schermo viene bloccata se è stato configurato "Invia dati dell'organizzazione ad altre app" a un valore diverso da "Tutte le app". Per consentire l'acquisizione dello schermo per i dispositivi iOS/iPadOS, configurare l'impostazione dei criteri di configurazione dell'app App gestite "com.microsoft.intune.mam.screencapturecontrol" su Disabilitato.

Come puoi prepararti?

Aggiornare la documentazione dell'amministratore IT e informare il supporto tecnico o gli utenti in base alle esigenze. Per altre informazioni sul blocco dell'acquisizione dello schermo, vedere il blog: New block screen capture for iOS/iPadOS MAM protected apps

Pianificare le modifiche: blocco dell'acquisizione dello schermo nell'sdk app Intune più recente per iOS e Intune App Wrapping Tool per iOS

Di recente sono state rilasciate le versioni aggiornate di Intune App SDK e del Intune App Wrapping Tool. Incluso in queste versioni (v19.7.5+ per Xcode 15 e v20.2.0+ per Xcode 16) è il supporto per bloccare l'acquisizione dello schermo, Genmojis e gli strumenti di scrittura in risposta alle nuove funzionalità di intelligenza artificiale in iOS/iPadOS 18.2.

In che modo questa modifica influisce sull'utente o sugli utenti?

Per le app che sono state aggiornate alla versione più recente Intune App SDK o Intune App Wrapping Tool versioni, l'acquisizione dello schermo verrà bloccata se è stato configurato "Invia dati dell'organizzazione ad altre app" a un valore diverso da "Tutte le app". Per consentire l'acquisizione dello schermo per i dispositivi iOS/iPadOS, configurare l'impostazione dei criteri di configurazione dell'app App gestite "com.microsoft.intune.mam.screencapturecontrol" su Disabilitato.

Come puoi prepararti?

Esaminare i criteri di protezione delle app e, se necessario, creare criteri di configurazione delle app gestite per consentire l'acquisizione dello schermo configurando l'impostazione precedente (Criteri > di configurazione delle app > Creare > app > gestite Passaggio 3 'Impostazioni' in Configurazione generale). Per altre informazioni, vedere Impostazioni dei criteri di protezione delle app iOS - Criteri di protezione dei dati e configurazione delle app - App gestite.

Pianificare le modifiche: implementare un mapping sicuro per i certificati SCEP e PKCS

Con il 10 maggio 2022, Windows Update (KB5014754), sono state apportate modifiche al comportamento di Distribuzione chiavi Kerberos di Active Directory in Windows Server 2008 e versioni successive per ridurre l'elevazione delle vulnerabilità dei privilegi associate allo spoofing dei certificati. Windows applica queste modifiche l'11 febbraio 2025.

Per prepararsi a questa modifica, Intune ha rilasciato la possibilità di includere l'identificatore di sicurezza per eseguire il mapping sicuro dei certificati SCEP e PKCS. Per altre informazioni, vedere il blog: Suggerimento per il supporto: Implementazione di un mapping sicuro nei certificati Microsoft Intune.

In che modo questa modifica influisce sull'utente o sugli utenti?

Queste modifiche influiranno sui certificati SCEP e PKCS forniti da Intune per Microsoft Entra utenti o dispositivi aggiunti ibridi. Se non è possibile eseguire il mapping di un certificato, l'autenticazione verrà negata. Per abilitare il mapping sicuro:

• Certificati SCEP: aggiungere l'identificatore di sicurezza al profilo SCEP. È consigliabile eseguire test con un piccolo gruppo di dispositivi e quindi implementare lentamente i certificati aggiornati per ridurre al minimo le interruzioni per gli utenti.
• Certificati PKCS: eseguire l'aggiornamento alla versione più recente del connettore di certificati, modificare la chiave del Registro di sistema per abilitare l'identificatore di sicurezza e quindi riavviare il servizio connettore. Importante: Prima di modificare la chiave del Registro di sistema, esaminare come modificare la chiave del Registro di sistema e come eseguire il backup e il ripristino del Registro di sistema.

Per i passaggi dettagliati e altre indicazioni, vedere il blog Suggerimenti per il supporto: Implementazione di un mapping sicuro in Microsoft Intune certificati.

Come puoi prepararti?

Se si usano certificati SCEP o PKCS per Microsoft Entra dispositivi o utenti aggiunti a Hybrid, sarà necessario intervenire prima dell'11 febbraio 2025 per eseguire le operazioni seguenti:

• (Scelta consigliata) Abilitare il mapping sicuro esaminando i passaggi descritti nel blog: Suggerimento per il supporto: Implementazione del mapping sicuro nei certificati Microsoft Intune
• In alternativa, se non è possibile rinnovare tutti i certificati prima dell'11 febbraio 2025, con il SID incluso, abilitare la modalità compatibilità modificando le impostazioni del Registro di sistema come descritto in KB5014754. La modalità di compatibilità è valida fino a settembre 2025.

Eseguire l'aggiornamento alla versione più recente Intune App SDK e Intune il supporto di App Wrapper per Android 15

Di recente sono state rilasciate nuove versioni di Intune App SDK e Intune App Wrapping Tool per Android per supportare Android 15. È consigliabile aggiornare l'app alle versioni più recenti dell'SDK o del wrapper per garantire la sicurezza e l'esecuzione delle applicazioni.

In che modo questa modifica influisce sull'utente o sugli utenti?

Se si hanno applicazioni che usano Intune App SDK o Intune App Wrapping Tool per Android, è consigliabile aggiornare l'app alla versione più recente per supportare Android 15.

Come puoi prepararti?

Se si sceglie di creare app destinate all'API Android 35, è necessario adottare la nuova versione di Intune App SDK per Android (v11.0.0). Se hai eseguito il wrapping dell'app e hai come destinazione l'API 35, devi usare la nuova versione del wrapper dell'app (v1.0.4549.6).

È anche consigliabile aggiornare la documentazione o le indicazioni per gli sviluppatori, se applicabile, per includere questa modifica nel supporto per l'SDK.

Ecco i repository pubblici:

• Intune App SDK per Android
• Intune App Wrapping Tool per Android

Intune il passaggio al supporto di Android 10 e versioni successive per i metodi di gestione basati sull'utente nell'ottobre 2024

Nell'ottobre 2024 Intune supporta Android 10 e versioni successive per i metodi di gestione basati sull'utente, tra cui:

• Profilo di lavoro di proprietà personale di Android Enterprise
• Profilo di lavoro di proprietà dell'azienda Android Enterprise
• Android Enterprise completamente gestito
• Android Open Source Project (AOSP) basato sull'utente
• Amministratore del dispositivo Android
• Criteri di protezione delle app
• Criteri di configurazione delle app (ACP) per le app gestite

In futuro, il supporto per una o due versioni verrà terminato ogni anno nel mese di ottobre fino a quando non verranno supportate solo le quattro versioni principali più recenti di Android. Per altre informazioni su questa modifica, leggere il blog: Intune passaggio al supporto di Android 10 e versioni successive per i metodi di gestione basati sugli utenti nell'ottobre 2024.

In che modo questa modifica influisce sull'utente o sugli utenti?

Per i metodi di gestione basati sull'utente (come indicato in precedenza), i dispositivi Android che eseguono Android 9 o versioni precedenti non saranno supportati. Per i dispositivi in versioni del sistema operativo Android non supportate:

• Intune supporto tecnico non verrà fornito.
• Intune non apporta modifiche per risolvere bug o problemi.
• Le funzionalità nuove ed esistenti non funzionano sicuramente.

Anche se Intune non impedirà la registrazione o la gestione dei dispositivi in versioni del sistema operativo Android non supportate, la funzionalità non è garantita e l'uso non è consigliato.

Come puoi prepararti?

Notificare al supporto tecnico, se applicabile, questa istruzione di supporto aggiornata. Le opzioni di amministratore seguenti sono disponibili per avvisare o bloccare gli utenti:

• Configurare un'impostazione di avvio condizionale per APP con un requisito minimo di versione del sistema operativo per avvisare e/o bloccare gli utenti.
• Usare un criterio di conformità del dispositivo e impostare l'azione per la non conformità per inviare un messaggio agli utenti prima di contrassegnarli come non conformi.
• Impostare le restrizioni di registrazione per impedire la registrazione nei dispositivi che eseguono versioni precedenti.

Per altre informazioni, vedere Gestire le versioni del sistema operativo con Microsoft Intune.

Vedere anche

Per informazioni dettagliate sugli sviluppi recenti, vedere Novità di Microsoft Intune.