Per molti anni, la funzione Criteri di gruppo di Windows è stata la soluzione ideale per controllare le postazioni di lavoro, fornire la distribuzione e, in generale, rendere una rete gestibile dai professionisti. Tuttavia, questa funzione richiede un dominio tradizionale con una distribuzione Active Directory (molti utenti hanno già un dominio Active Directory (AD) e lo avranno per molti anni in futuro).

E se non si dispone di un dominio di questo tipo o se si dovesse ricominciare da capo con una rete totalmente distribuita e collegata solo da connessioni cloud? Probabilmente, ci si rivolgerebbe a Microsoft Intune, un servizio di gestione unificata degli endpoint basato sul cloud sia per la tecnologia aziendale, sia per quella BYOD. Intune estende essenzialmente le funzionalità di alcune caratteristiche di Active Directory e quelle di Microsoft Endpoint Configuration Manager al cloud di Microsoft Azure.

Nuove funzionalità di Intune

Intune ha lentamente ma inesorabilmente ridotto la differenza tra gli strumenti di controllo on-premise e quelli basati sul cloud e recentemente Microsoft ha annunciato diverse nuove funzionalità. La prima è un’ulteriore enfasi sul privilegio minimo. Microsoft continua a migliorare e a far progredire le soluzioni per assicurarsi di essere sempre un passo avanti agli aggressori. Per molti anni, Microsoft ha fornito un kit di strumenti per garantire agli amministratori di rete una maggiore sicurezza degli amministratori locali delle workstation. Spesso utilizzavamo la stessa password amministrativa locale per iniziare la distribuzione delle workstation.

Ma gli aggressori sapevano che lo stavamo facendo e avrebbero potuto usare la nostra comune password locale per effettuare movimenti laterali in una rete. Per randomizzare le password, è stata introdotta la soluzione LAPS (Local Administrator Password Solution), che però richiedeva un dominio e una directory attiva: e se la vostra rete fosse stata basata sul cloud e non avesse avuto un dominio? Inoltre, esistono strumenti già noti progettati per superare la soluzione LAPS sulla vostra rete. Sebbene l’assenza di diritti amministrativi sia un obiettivo, la realtà è che a volte abbiamo bisogno di privilegi elevati per eseguire determinate attività.

Ecco che entra in gioco Microsoft Intune Suite, che (cattiva notizia) per tutti coloro che attualmente sono abbonati alle varie offerte di Microsoft 365 è una licenza aggiuntiva rispetto a quelle che già possedete. Attualmente, il prezzo di questa offerta è di 10 dollari al mese. Tuttavia, sembra che Microsoft possa offrire alcune opzioni se siete un’azienda di grandi dimensioni.

Sebbene molti apprezzino la nuova offerta e capiscano la necessità di un pacchetto di impostazioni e strumenti aggiuntivi, il maggior feedback è stato il fatto che si tratta di un ulteriore abbonamento oltre a quello E5. Intune Plan 2 (il piano di add-on in aggiunta al Plan 1 da 4 dollari al mese) offrirà inoltre una soluzione VPN leggera per dispositivi Android e iOS (in uscita ora) e la gestione dei cosiddetti dispositivi speciali (ad esempio i visori VR), prevista in un secondo momento.

Gestione dei privilegi degli endpoint

Microsoft ha recentemente annunciato Microsoft Intune Endpoint Privilege Management come parte della Intune Suite, che al momento è in anteprima pubblica e dovrebbe essere disponibile a partire dal mese prossimo. L’Endpoint Privilege Management (EPM) permette di stabilire delle regole su chi è autorizzato ad avere diritti elevati, se necessario, e quando.

intune

Se da un lato è positivo che Microsoft abbia riconosciuto e fornito ulteriori strumenti per garantire che gli aggressori non utilizzino continuamente la nostra “mancanza di igiene” delle credenziali come mezzo per attaccarci, dall’altro lato il fatto che la licenza Microsoft 365 E5 non sia più la suite di sicurezza completa che pensavamo sarebbe stata è motivo di preoccupazione. I fornitori amano i modelli in abbonamento, mentre noi acquirenti di software molto meno. Tra i componenti aggiuntivi della Intune Suite c’è anche Advance Endpoint Analytics, che aggiunge il rilevamento delle anomalie e una timeline dei dispositivi migliorata.

Caratteristiche di Intune in fase di sviluppo

Durante l’implementazione e la revisione delle funzionalità di Intune, è bene tenere d’occhio anche le funzionalità ancora in fase di sviluppo. Microsoft ha una pagina in cui sono riportate le tempistiche di rilascio delle varie nuove funzionalità. Un vantaggio di Intune rispetto alla directory attiva tradizionale è l’investimento nel controllo di piattaforme alternative ai sistemi operativi Windows. Da Apple ad Android, Intune sta progettando funzioni specifiche per la gestione e il controllo di questi dispositivi. Qualsiasi offerta di Intune può essere utilizzata gratuitamente per 30 giorni.

Windows Software Update Service (WSUS) è un’altra vera e propria premessa che non viene aggiornata da anni. Inizialmente disponibile come download separato e ora integrato in Windows Server, WSUS aveva perfettamente senso quando eravamo tutti in uffici che si collegavano a una rete centralizzata. Ora però che siamo distribuiti in tutto il mondo, molti di noi sono alla ricerca di alternative. Anche ora, Microsoft non ha fatto alcuno sforzo aggiuntivo e ogni anno ha bisogno di componenti aggiuntivi di terze parti per rendere WSUS un prodotto utilizzabile.

Prerequisiti per Intune

I prerequisiti per Intune includono:

  • Un abbonamento Azure con Azure Active Directory
  • I dispositivi devono essere collegati ad Azure Active Directory e soddisfare requisiti di accesso al sistema operativo, alla diagnostica e agli endpoint.
  • I dispositivi registrati solo su Azure AD (Workplace joined) non sono supportati dai report di Windows Update for Business
  • L’area di lavoro di Log Analytics deve trovarsi in una regione supportata
  • I dati della scheda Aggiornamento driver della cartella di lavoro sono disponibili solo per i dispositivi che ricevono aggiornamenti dei driver e del firmware dal servizio di distribuzione di Windows Update for Business

Per le aziende clienti di Microsoft e per gli sviluppatori sulla piattaforma Microsoft, è necessario iscriversi al programma Microsoft 365 Developer. L’offerta fornisce una licenza per 25 utenti per un abbonamento a Microsoft 365 E5, in modo che gli sviluppatori della vostra azienda possano imparare, creare automazione e sviluppare applicazioni sulla piattaforma. L’offerta deve essere utilizzata per lo sviluppo e i test e non per l’attività commerciale, quindi assicuratevi che gli utenti della vostra organizzazione utilizzino questa configurazione di prova su un account Microsoft specifico per scopi di sviluppo.

Microsoft 365 Developer fornisce gli strumenti per testare il single sign-on con SAML/OIDC e per creare una documentazione adeguata. Spesso il sito di Microsoft 365 non fornisce le informazioni necessarie se non si utilizza la licenza appropriata. Il testbed è rinnovabile ogni 90 giorni. In questo modo potrete avere una panoramica delle patch e dei report di rete. In conclusione, Microsoft sa che sempre più persone hanno bisogno di strumenti e tecniche per controllare e gestire i dispositivi che non sono collegati a un dominio Active Directory tradizionale. Sta a voi e alla vostra azienda decidere se Microsoft sarà il fornitore di strumenti cloud che deciderete di utilizzare in futuro.