Gestire le versioni del sistema operativo con Microsoft Intune

Nelle moderne piattaforme per dispositivi mobili e desktop, gli aggiornamenti principali, le patch e le nuove versioni vengono rilasciati a un ritmo rapido. Hai controlli per gestire completamente gli aggiornamenti e le patch in Windows, ma altre piattaforme come iOS/iPadOS e Android richiedono che gli utenti finali partecipino al processo. Microsoft Intune offre le funzionalità che consentono di strutturare la gestione delle versioni del sistema operativo su piattaforme diverse.

Intune può essere utile per risolvere questi scenari comuni:

• Determinare quali versioni del sistema operativo si trovano nei dispositivi dell'utente finale
• Controllare l'accesso ai dati dell'organizzazione nei dispositivi durante la convalida di una nuova versione del sistema operativo
• Incoraggiare/richiedere agli utenti finali di eseguire l'aggiornamento alla versione più recente del sistema operativo approvata dall'organizzazione
• Gestire un'implementazione a livello di organizzazione in una nuova versione del sistema operativo

Controllo della versione del sistema operativo con restrizioni di registrazione della gestione dei dispositivi mobili Intune

Con le restrizioni di registrazione dei dispositivi, è possibile limitare la registrazione dei dispositivi in Intune in base a determinati attributi del dispositivo. L'obiettivo è consentire agli utenti di registrare solo i dispositivi conformi alle aspettative delle organizzazioni e impedire la registrazione di dispositivi non conformi in cui possono accedere alle risorse dell'organizzazione. È possibile creare criteri di restrizione della piattaforma del dispositivo di registrazione per le piattaforme seguenti:

• Android
• iOS/iPadOS
• macOS
• Windows

I criteri di restrizione della piattaforma del dispositivo per ogni tipo di piattaforma includono sia una versione minima che una massima consentita del sistema operativo, come illustrato nell'acquisizione schermata seguente di un criterio iOS:

In pratica

Le organizzazioni usano restrizioni relative al tipo di dispositivo per controllare l'accesso alle risorse dell'organizzazione usando le impostazioni seguenti:

1. Usare la versione minima del sistema operativo per assicurarsi che possa registrare solo le piattaforme correnti e supportate nell'organizzazione.
2. Lasciare il sistema operativo massimo non specificato (nessun limite) o impostarlo sull'ultima versione che l'organizzazione ha convalidato per l'uso, per consentire il tempo per i test interni delle nuove versioni del sistema operativo.

Per altre informazioni, vedere Creare una restrizione della piattaforma del dispositivo.

Creazione di report sulla versione del sistema operativo e conformità ai criteri di conformità dei dispositivi Intune

Intune criteri di conformità dei dispositivi forniscono gli strumenti seguenti:

• Specificare le regole di conformità che definiscono le configurazioni necessarie per i dispositivi.
• Visualizzare i report di conformità per comprendere quali dispositivi non sono conformi e a quali impostazioni nei criteri.
• Agire sui risultati di non conformità tramite la quarantena dei dispositivi e i criteri di accesso condizionale che impediscono ai dispositivi non conformi di accedere alle risorse dell'organizzazione.

Analogamente alle restrizioni di registrazione, i criteri di conformità dei dispositivi includono versioni del sistema operativo sia minime che massime. I criteri hanno anche una sequenza temporale di conformità per fornire agli utenti un periodo di tolleranza per ottenere la conformità. I criteri di conformità dei dispositivi mantengono i dispositivi degli utenti finali registrati conformi alle aspettative delle organizzazioni.

In pratica

Le organizzazioni usano i criteri di conformità dei dispositivi per gli stessi scenari delle restrizioni di registrazione. Questi criteri mantengono gli utenti nelle versioni correnti e convalidate del sistema operativo nell'organizzazione. Quando i dispositivi dell'utente finale non sono conformi, l'accesso alle risorse dell'organizzazione può essere bloccato tramite l'accesso condizionale fino a quando gli utenti finali non rientrano nell'intervallo di sistema operativo supportato per l'organizzazione. Agli utenti finali viene comunicato che non sono conformi e vengono forniti i passaggi per ottenere nuovamente l'accesso.

Per altre informazioni, vedere Introduzione alla conformità dei dispositivi.

Controlli della versione del sistema operativo che usano Intune criteri di protezione delle app

Intune criteri di protezione delle app e le impostazioni di accesso di gestione delle applicazioni mobili consentono di specificare la versione minima del sistema operativo a livello di app. In questo modo è possibile informare e incoraggiare o richiedere agli utenti finali di aggiornare il sistema operativo a una versione minima specificata.

Sono disponibili due opzioni:

• Avvisa : avvisa l'utente finale che deve eseguire l'aggiornamento se apre un'app con criteri di protezione dell'applicazione o impostazioni di accesso MAM in un dispositivo con una versione del sistema operativo inferiore alla versione specificata. L'accesso è consentito per i dati dell'app e dell'organizzazione.

  

• Blocca : blocca informa l'utente finale che deve eseguire l'aggiornamento quando apre un'app con criteri di protezione dell'applicazione o impostazioni di accesso MAM in un dispositivo con una versione del sistema operativo inferiore alla versione specificata. L'accesso non è consentito per i dati dell'app e dell'organizzazione.

  

In pratica

Le organizzazioni usano attualmente le impostazioni dei criteri di protezione delle app quando le app vengono aperte o riprese per informare gli utenti finali sulla necessità di mantenere aggiornate le app. Una configurazione di esempio è che gli utenti finali vengono avvisati sulla versione corrente meno uno e bloccati nella versione corrente meno due.

Per altre informazioni, vedere Come creare e assegnare criteri di protezione delle app.

Gestione di più versioni del sistema operativo con criteri di protezione delle app Intune

In Criteri di protezione delle app (APP) è possibile configurare solo una versione minima del sistema operativo nelle impostazioni di avvio condizionale, ma è possibile creare più APP con valori minimi del sistema operativo diversi. Tuttavia, poiché gli APP sono assegnati ai gruppi di utenti, ciò significa che un utente con più dispositivi che eseguono versioni del sistema operativo diverse potrebbe affrontare requisiti del sistema operativo in conflitto quando accede alle risorse protette.

Per consentire a più APP con requisiti del sistema operativo diversi di essere destinati allo stesso utente, è possibile creare filtri destinati all'APP a una versione specifica del sistema operativo.

Esistono due tipi di filtri per Intune: Dispositivi gestiti e App gestite. APP supporta solo i filtri delle app gestite.

Creazione di filtri

Per usare i filtri con gli APP, è necessario creare un filtro per ogni versione specifica del sistema operativo di destinazione:

1. Passare all'interfaccia di amministrazione Microsoft Intune.

2. SelezionareFiltri>di amministrazione> tenantCrea>app gestite.

3. Nella pagina Informazioni di base immettere un nome per il filtro che lo rende facilmente identificabile e selezionare la piattaforma di destinazione, in questo esempio, iOS/iPadOS.

4. Nella pagina Regole creare un filtro per la versione principale del sistema operativo di destinazione, ad esempio Property=osVersion(versione del sistema operativo), Operator=StartsWith, Value=18.

• Facoltativo: è possibile usare il pulsante Anteprima per controllare il dispositivo, l'utente e l'app che corrispondono al filtro specificato.

5. Nella pagina Rivedi e crea salvare il filtro selezionando Crea.

Ripetere questi passaggi per creare filtri aggiuntivi per ogni piattaforma e versione principale del sistema operativo di destinazione, ad esempio iOS 16 e 17.

Creare e usare un filtro per l'APP di destinazione

1. Passare all'interfaccia di amministrazione Microsoft Intune.

2. Selezionare App>Protezione di app criteri>Crea criterio> Scegliere la piattaforma di destinazione con l'APP, ad esempio iOS/iPadOS.

3. Nella pagina Informazioni di base immettere un nome per il criterio che lo rende facilmente identificabile.

4. Completare le pagine App, Requisiti di protezione dei dati e accesso con le impostazioni dei criteri di protezione delle app iOS, Android o Windows che soddisfano i requisiti per l'organizzazione. Nella sezione Condizioni del dispositivo nella pagina Avvio condizionale (o nella pagina Controlli integrità per app di Windows) configurare la versione secondaria o patch del sistema operativo che si vuole impostare come versione minima. Ad esempio, Setting=Min OS version, Value=18.2.1, Action=Block access/Wipe data/Warn, in base all'azione necessaria per l'organizzazione.

5. Nella pagina Assegnazioni usare il filtro creato in precedenza per definire l'ambito dell'assegnazione dei criteri alla versione principale corretta del sistema operativo.

6. Nella pagina Rivedi e crea salvare i criteri selezionando Crea.

Nell'esempio illustrato, il filtro sarà destinato ai dispositivi che eseguono iOS 18 e le impostazioni di avvio condizionale dell'APP richiederanno la versione 18.2.1, assicurando che l'APP non si applichi ai dispositivi in esecuzione in altre versioni principali di iOS.

Creare app aggiuntivi per ogni versione del sistema operativo, ad esempio:

• Secondo criterio per iOS 16: avvio condizionale, condizioni del dispositivo, versione minima del sistema operativo=16.7.10, filtro, versione del sistema operativo, StartsWith=16.

• Terzo criterio per iOS 17: avvio condizionale, condizioni del dispositivo, versione minima del sistema operativo=17.7.2, versione del sistema operativo filtro, StartsWith=17.

In pratica

Le organizzazioni possono creare più APP che richiedono versioni minime del sistema operativo diverse. In questo modo, è possibile filtrare l'assegnazione di questi APP da applicare solo a ogni versione principale del sistema operativo. In questo modo ogni APP è compatibile con la versione specifica del sistema operativo a cui viene assegnata, offrendo un approccio personalizzato alla protezione delle app.

Quando i fornitori del sistema operativo rilasciano nuovi aggiornamenti o patch del sistema operativo secondari, è anche possibile aggiornare ogni APP con la nuova versione minima del sistema operativo. Questo processo di aggiornamento continuo garantisce che l'organizzazione rimanga sicura usando sempre le versioni più recenti del sistema operativo. Mantenere aggiornate le app e le versioni del sistema operativo consente di proteggere dalle vulnerabilità e di migliorare la sicurezza complessiva.

Gestione di una nuova implementazione della versione del sistema operativo

È possibile usare le funzionalità di Intune descritte in questo articolo per spostare i dispositivi dell'organizzazione in una nuova versione del sistema operativo all'interno della sequenza temporale definita. I passaggi seguenti forniscono un modello di distribuzione di esempio per spostare gli utenti dal sistema operativo v1 al sistema operativo v2 in sette giorni.

1. Usare le restrizioni di registrazione dei dispositivi per richiedere il sistema operativo v2 come versione minima per registrare il dispositivo. Ciò garantisce che i nuovi dispositivi dell'utente finale siano conformi al momento della registrazione.
2. Usare Intune criteri di protezione delle app per avvisare gli utenti quando un'app protetta si apre o riprende che è necessario il sistema operativo più nuovo v2.
3. Usare i criteri di conformità dei dispositivi per richiedere il sistema operativo v2 come versione minima per la conformità di un dispositivo. Usare Azioni per la non conformità per consentire un periodo di tolleranza di sette giorni e inviare agli utenti finali una notifica tramite posta elettronica con la sequenza temporale e i requisiti.
   • Questi criteri possono informare gli utenti finali che i dispositivi devono essere aggiornati tramite posta elettronica, Portale aziendale Intune e quando l'app viene aperta per le app abilitate con criteri di protezione delle app.
   • È possibile eseguire un report di conformità per identificare gli utenti non conformi.
4. Usare Intune criteri di protezione delle app per bloccare gli utenti quando un'app viene aperta o ripresa se il dispositivo non esegue il sistema operativo v2.
5. Usare i criteri di conformità dei dispositivi per richiedere il sistema operativo v2 come versione minima per la conformità di un dispositivo.
   • Questi criteri richiedono l'aggiornamento dei dispositivi per continuare ad accedere ai dati dell'organizzazione. I servizi protetti vengono bloccati quando vengono usati con l'accesso condizionale del dispositivo. Le app abilitate con criteri di protezione delle app vengono bloccate quando vengono aperte o quando accedono ai dati dell'organizzazione.

Passaggi successivi

Usare le risorse seguenti per gestire le versioni del sistema operativo in uso nell'organizzazione:

• Impostare le restrizioni relative ai tipi di dispositivo
• Introduzione alla conformità dei dispositivi
• Come creare e assegnare criteri di protezione delle app