Microsoft Intune – Policy Sync e Config Refresh: differenze e configurazione

Molto spesso mi viene chiesto con quale frequenza vengono rinnovate le configurazioni (policy sync refresh) in Microsoft Intune.

Come riportato alla pagina Questions with policies and profiles in Microsoft Intune | Microsoft Learn l’intervallo di refresh per i dispositivi gestiti da Microsoft Intune è hardcoded:

  • Android: Circa ogni 8 ore
  • iOS/iPadOS: Circa ogni 8 ore
  • macOS: Circa ogni 8 ore
  • PC Windows 10/11 registrati (enrolled) come dispositivi: Circa ogni 8 ore

 

Inoltre, quando i dispositivi vengono registrati (enroll) per la prima volta, gli intervalli di refresh sono più frequenti, per eseguire controlli di configurazione, conformità e non conformità:

  • Android: Ogni 3 minuti per 15 minuti, successivamente ogni 15 minuti per 2 ore e quindi circa ogni 8 ore
  • iOS/iPadOS: Ogni 15 minuti per 1 ora e quindi circa ogni 8 ore
  • macOS: Ogni 15 minuti per 1 ora e quindi circa ogni 8 ore
  • PC Windows 10/11 registrati come dispositivi: Ogni 3 minuti per 15 minuti, successivamente ogni 15 minuti per 2 ore e quindi circa ogni 8 ore

Sincronizzazione manuale

La sincronizzazione manuale delle policy (Policy Sync) in Microsoft Intune consente di forzare l’applicazione delle configurazioni o delle modifiche apportate alle policy sui dispositivi gestiti, senza attendere il ciclo di sincronizzazione programmato.

Sincronizzazione dal portale di amministrazione di Microsoft Intune

Accedete al portale di Microsoft Intune e navigate verso la sezione dei dispositivi. Qui potete scegliere il tipo di dispositivo che intendete sincronizzare (Windows, Android, iOS, macOS). Selezionato il dispositivo, troverete l’opzione Sincronizza. Avviate l’operazione e monitorate lo stato direttamente dal pannello.

Figura 1: Sincronizzazione delle policy del dispositivo effettuata dal portale di Microsoft Intune

Figura 2: Sincronizzazione effettuata correttamente

Sincronizzazione dal portale di amministrazione di Microsoft Intune di più dispositivi contemporaneamente

Le Bulk Actions in Microsoft Intune consentono di eseguire operazioni su più dispositivi contemporaneamente, inclusa la sincronizzazione delle policy. Questa funzionalità è particolarmente utile quando si desidera applicare rapidamente modifiche a un gruppo di dispositivi senza dover intervenire su ciascuno singolarmente.

Accedete al portale di Microsoft Intune utilizzando un account con i privilegi amministrativi necessari. Nel menu di navigazione a sinistra, selezionate Dispositivi. Scegliete una specifica piattaforma (Windows, iOS, Android, macOS) e fate clic sul pulsante Bulk Device actions.

Figura 3: Bulk device actions

Selezionate la piattaforma, il tipo di dispositivo e l’azione Sync e fate clic su Next.

Figura 4: Scelta dell’azione Sync da effettuare su più dispositivi contemporaneamente

Figura 5: Selezione dei dispositivi da sincronizzare

Figura 6: Creazione dell’azione di sincronizzazione multipla

Figura 7: Esecuzione della sincronizzazione multipla

Sincronizzazione da dispositivi Windows

Se lavorate su un dispositivo Windows, accedete alle impostazioni e dirigetevi verso la sezione “Account”. Da lì, selezionate l’opzione per l’accesso aziendale o scolastico, cliccate sull’account associato e troverete il comando per avviare la sincronizzazione (tasto Info). Questo vi permette di applicare subito le policy di configurazione.

Figura 8: Sincronizzazione delle policy del dispositivo effettuata dal client Windows

Sincronizzazione su dispositivi mobili

Per i dispositivi mobili come iOS e Android, potete utilizzare l’app Portale aziendale Intune. Apritela, andate alla sezione dei dispositivi e selezionate l’opzione per aggiornare o sincronizzare i criteri direttamente dal dispositivo.

 
 

Il portale aziendale (Company Portal) è anche disponibile per Windows.

Figura 9: Sincronizzazione manuale delle policy effettuata tramite l’app Portale aziendale in Windows

Figura 10: Sincronizzazione manuale delle policy completata

Sincronizzazione dal Microsoft Intune Web Company Portal

Potete utilizzare anche il portale https://portal.manage.microsoft.com/ per accedere a funzionalità di gestione dei dispositivi gestiti tramite Microsoft Intune.

Questo portale è particolarmente utile per utenti e amministratori che desiderano un accesso rapido a specifiche operazioni sui dispositivi. Dal portale potete infatti gestire diversi aspetti dei dispositivi registrati in Intune. Tra le operazioni disponibili, potete avviare la sincronizzazione manuale dei criteri, assicurandovi che le policy aziendali vengano applicate immediatamente al dispositivo selezionato. Inoltre, il portale consente di visualizzare i dettagli del dispositivo, come lo stato di conformità, le applicazioni gestite e altre informazioni utili per monitorare la gestione del dispositivo. In caso di problemi, potete accedere a strumenti di diagnostica o richiedere assistenza, sfruttando le funzionalità dedicate alla risoluzione delle difficoltà tecniche.

 

Va notato che questo portale ha un’interfaccia e funzionalità più orientate agli utenti finali rispetto al portale completo di Microsoft Intune.

Accedete con le credenziali aziendali o scolastiche associate a Microsoft Intune. Una volta effettuato l’accesso, vedrete un’interfaccia con i dispositivi gestiti associati al vostro account. Selezionate il dispositivo dall’elenco e cliccate su Check status.

Figura 11: Sincronizzazione dal Microsoft Intune Web Company Portal

Microsoft Intune Config Refresh

La funzionalità Config Refresh di Microsoft Intune è una potente opzione introdotta per Windows 11, a partire dall’aggiornamento non di sicurezza di maggio 2024 e dall’aggiornamento di sicurezza di giugno 2024. Questa funzionalità contribuisce a migliorare la sicurezza e la conformità dei PC con Windows 11. Per abilitare Config Refresh, i PC devono eseguire Windows 11, versione 24H2, 23H2 o 22H2, con installato l’aggiornamento di sicurezza di giugno 2024 (o successivi).

Utilizzando la funzionalità Microsoft Intune Config Refresh, potete personalizzare l’intervallo di aggiornamento delle policy, impostandolo su un minimo di 30 minuti o un massimo di 24 ore, consentendovi di mantenere le policy sempre aggiornate. Inoltre, è possibile mettere in pausa Config Refresh per scopi di risoluzione dei problemi, con una ripresa automatica che avviene dopo 24 ore.

NOTA: Config Refresh assicura la conformità con le configurazioni già scaricate, ma non controlla attivamente eventuali nuove o aggiornate policy da Intune. Policy Sync resta essenziale ed è sempre un prerequisito per il funzionamento di Config Refresh.

Ecco una tabella che confronta le due funzionalità:

 

Config Refresh

Policy Sync

Garantisce l’applicazione di impostazioni di sicurezza critiche, come la crittografia o la complessità delle password. I dispositivi effettuano il check-in con Intune a intervalli predefiniti.
Controlla localmente eventuali deviazioni rispetto alle configurazioni scaricate da Intune, con una frequenza maggiore. Quando eseguite la sincronizzazione delle policy, il dispositivo recupera eventuali nuove o aggiornate policy.
Assicura configurazioni coerenti in tutta la flotta di dispositivi, prevenendo modifiche non intenzionali o non autorizzate. Garantisce che le policy siano applicate nel tempo.

In sintesi, Config Refresh offre un controllo continuo per assicurare che le impostazioni esistenti rimangano intatte, mentre Policy Sync è fondamentale per ottenere nuove configurazioni o aggiornamenti. Usatele entrambe per massimizzare sicurezza e conformità.

Abilitare la funzionalità di Microsoft Intune Config Refresh

Collegatevi al portale di Microsoft Intune con privilegi amministrativi e create una nuova policy da Devices > Windows > Configuration Create > + New Policy . Scegliete come Platform Windows 10 and later e come profile type scegliete Settings catalog.

Figura 12: Creazione di una nuova policy per configurare Windows 10 e versioni successive

Assegnate un nome ed un’eventuale descrizione alla policy.

Figura 13: Nome della policy

Fate clic su + Add settings e filtrate la ricerca con il termine “config refresh”. Aggiungete entrambi i risultati Config refresh e Refresh cadence.

Figura 14: Aggiunta dei parametri per la Config Refresh

Le impostazioni di Cadence definiscono la frequenza con cui avviene l’operazione di aggiornamento. Il valore predefinito per il refresh è di 90 minuti, ma è possibile impostare valori compresi tra 30 e 1440 minuti.

Figura 15: Configurazione dei parametri per la Config Refresh

Figura 16: Scope Tags della policy

Assegnate la policy ad un gruppo di dispositivi. Io ho provato con un gruppo di test.

Figura 17: Assegnazione della policy ad un gruppo di dispositivi

Controllate i parametri inseriti e create la policy con il comando Create.

Figura 18: Schermata di riepilogo della creazione della policy

Figura 19:Creazione della policy completata con successo

Potete verificare che Config Refresh sia abilitato nel registro di sistema accedendo al seguente percorso: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Enrollments\<Intune Policy GUID>\ConfigRefresh

In questo percorso potrete controllare le chiavi e i valori associati per confermare che la funzionalità sia attiva e configurata correttamente.

Figura 20: Percorso del registro di Windows dove controllare le chiavi e i valori associati per confermare che la funzionalità sia attiva e configurata correttamente

Conclusioni

La gestione delle policy tramite Microsoft Intune è fondamentale per garantire sicurezza e conformità in un ambiente aziendale. Policy Sync e Config Refresh sono due strumenti complementari che, se utilizzati insieme, offrono un controllo completo sulla configurazione e sull’applicazione delle policy.

  • Policy Sync è essenziale per acquisire nuove configurazioni o aggiornamenti da Intune. Ogni dispositivo effettua un check-in periodico per garantire che le policy più recenti siano applicate.
  • Config Refresh, invece, garantisce la conformità continua alle configurazioni già scaricate, prevenendo modifiche non autorizzate e mantenendo l’integrità delle impostazioni critiche.

Utilizzare entrambe le funzionalità consente di massimizzare il controllo sulla flotta di dispositivi aziendali. Configurare correttamente le impostazioni di Cadence e monitorare lo stato delle funzionalità tramite il registro di sistema assicura che i dispositivi siano sempre aggiornati e conformi alle policy aziendali.

Per un’implementazione ottimale, assicuratevi di configurare Policy Sync come prerequisito e di sfruttare Config Refresh per una protezione continua contro eventuali deviazioni locali. La combinazione di queste due funzionalità rappresenta una strategia robusta per mantenere sicurezza e affidabilità nei vostri dispositivi gestiti.