Introduzione al Config Refresh: Una Nuova Funzionalità MDM

Descrizione del post sul blog.Con l’evoluzione della gestione dei dispositivi mobili (MDM), Microsoft ha introdotto una nuova funzionalità chiamata Config Refresh. Questa innovazione mira a migliorare la sicurezza e la conformità dei dispositivi gestiti, garantendo che le impostazioni delle policy vengano aggiornate regolarmente. In questo articolo, esploreremo i dettagli di questa funzionalità, i suoi benefici e come implementarla.

Michele Ariis

9/2/20243 min read

Intervalli di aggiornamento dei criteri

Il dispositivo esegue il check-in con il servizio Intune per ricevere criteri e impostazioni in modo regolare. Al momento della prima iscrizione a Intune, il dispositivo riceve notifiche per ottenere i criteri iniziali. Successivamente, il dispositivo effettua controlli periodici per aggiornare i profili di configurazione e i criteri.

Se il dispositivo non riesce a effettuare il check-in dopo la prima notifica, Intune tenta di nuovo per altre tre volte. Se il dispositivo è offline o spento, il tentativo verrà ripetuto nel ciclo successivo. Questo processo si applica anche ai controlli di conformità, inclusi i dispositivi che passano da uno stato conforme a uno non conforme. Gli intervalli di check-in possono variare in base alla piattaforma.

Qui sotto trovate gli intervalli di aggiornamento dei criteri per le varie piattaforme.

Cos’è il Config Refresh?

Il Config Refresh è una configurazione che permette di mitigare l’impatto di modifiche accidentali o malevole, assicurando che le impostazioni delle policy vengano riapplicate a intervalli regolari. Questa funzionalità è particolarmente utile in ambienti dinamici dove i dispositivi vengono aggiunti, rimossi o sostituiti frequentemente.

Per abilitare Config Refresh, il dispositivo deve essere dotato di Windows 11, versione 23H2 o versione 22H2 con l'aggiornamento di sicurezza di giugno 2024.

Benefici del Config Refresh

  1. Sicurezza Migliorata: Config Refresh aiuta a mantenere i dispositivi sicuri riapplicando le impostazioni di sicurezza come la crittografia BitLocker e le impostazioni di Windows Defender.

  2. Conformità Costante: Garantisce che le policy aziendali siano sempre applicate, riducendo il rischio di non conformità.

  3. Gestione Semplificata: Automatizza il processo di aggiornamento delle policy, riducendo il carico di lavoro degli amministratori IT.

Implementazione del Config Refresh

Per implementare il Config Refresh, è necessario creare una policy nel catalogo delle impostazioni di Intune. Ecco i passaggi principali:

  1. Creazione della Policy: Accedere al portale Intune, andare su Dispositivi | Windows | Profili di configurazione e cliccare su + Crea Policy.

  1. Configurazione delle Impostazioni: Assegnare un nome alla policy e aggiungere le impostazioni di Config Refresh. È possibile impostare l’intervallo di aggiornamento da un minimo di 30 minuti a un massimo di 1440 minuti

  1. Clicchiamo su Add Settings e cerchiamo le configurazioni di Config Refresh

  1. Selezioniamo Config refresh e Refresh cadence

  1. Abilitiamo Config refresh e impostiamo un Refresh cadence compreso tra 30 e 1140 minuti

  1. Clicchiamo su Next - se non abbiamo nessun scope tags da assegnare clicchiamo ancora su Next

  1. Nella sezione assignments aggiungiamo la configurazione a tutti i device oppure ad un gruppo specifico (nel mio caso ho creato un gruppo dinamico dove vengono inseriti tutti i device windows aziedali) e una volta completato clicchiamo su Next

  1. Nella schermata Review + create verificate tutte le configurazioni e cliccate su Create

Pause Config Refresh

È anche possibile sospendere l'aggiornamento della configurazione per un dispositivo, basta cercare un dispositivo dal portale Intune e dal riquadro di panoramica fare clic sui 3 punti alla fine e su Pause Config Refresh (specificare il numero di minuti in cui sospendere l'aggiornamento della configurazione il massimo è 1440 minuti).

Casi d’Uso del Config Refresh

Il Config Refresh è utile in vari scenari, tra cui:

  • Ambienti Dinamici: Dove i dispositivi vengono frequentemente aggiunti o rimossi.

  • Modifiche Utente: Per ripristinare le impostazioni modificate dagli utenti, come la disattivazione di BitLocker.

  • Attività Malevole: Per rilevare e ripristinare rapidamente le modifiche apportate da attori malevoli.

Conclusione

Il Config Refresh rappresenta un passo avanti significativo nella gestione dei dispositivi mobili, offrendo una maggiore sicurezza e conformità. Implementando questa funzionalità, le organizzazioni possono garantire che le loro policy siano sempre applicate, migliorando la sicurezza complessiva dei loro dispositivi.