Microsoft Intune – Proactive remediations in Endpoint Analitycs

Endpoint Analytics è una soluzione disponibile in Microsoft Intune che permette di ottenere informazioni dettagliate per misurare il funzionamento dell’organizzazione e la qualità dell’esperienza offerta agli utenti. L’analisi degli endpoint consente di identificare i criteri (le group policy) o i problemi hardware che potrebbero rallentare i dispositivi e di apportare miglioramenti in modo proattivo prima che gli utenti finali segnalino rallentamenti o generino un ticket all’helpdesk.

Ne ho già parlato nella guida Microsoft Endpoint Manager – Microsoft Intune – Introduzione alla soluzione Endpoint Analytics – ICT Power

Generalmente gli utenti segnalano rallentamenti o tempi di caricamento del sistema operativo o delle applicazioni dovuti a diversi fattori:

  • Hardware legacy
  • Configurazioni software non ottimizzate
  • Problemi causati da aggiornamenti e modifiche della configurazione

Spesso il reparto IT non è al corrente di questi problemi perché non ha molta visibilità nell’esperienza dell’utente finale. In genere, l’unico modo per avere visibilità su questi problemi è rappresentato da un canale di supporto lento e costoso che spesso non fornisce informazioni chiare su ciò che deve essere ottimizzato.

Endpoint Analytics è progettato per migliorare la produttività dell’utente e ridurre i costi del supporto IT, mettendo a disposizione informazioni approfondite dell’esperienza utente.

Inoltre Endpoint Analitycs permette di identificare facilmente quali dispositivi possano essere aggiornati a Windows 11, come ho già avuto modo di far vedere nella guida Microsoft Endpoint Manager – Microsoft Intune – Aggiornamento a Windows 11 – ICT Power

Oggi però voglio soffermarmi sulla funzionalità di Proactive remediations. Si tratta di script che è possibile distribuire dal portale di Intune e che hanno il compito di cercare e rimediare ai problemi più comuni che possono capitare ai dispositivi degli utenti, prima ancora che gli utenti se ne accorgano.

Attualmente Microsoft mette a disposizione un paio di script package in Proactive remediations:

  • Update stale Group Policies: questo package si occupa si controllare se le Group Policy sono state applicate più di 7 giorni prima. Trovate lo script alla pagina PowerShell scripts for Proactive remediations
  • Restart Office Click-to-run service: Se il servizio Click-to-run è stoppato, le applicazioni di Office non sia avviano e gli utenti cominciano a chiamare l’help desk.

Figura 1: Script packages disponibili in maniera predefinita nelle Proactive remediations di Endpoint Analitycs in Microsoft Intune

Licenze

Come faccio di solito vi ricordo anche di quali licenze necessitate per le funzionalità descritte nella guida. I dispositivi registrati in Endpoint Analytics necessitano di una licenza Microsoft Endpoint Manager valida. Licenze disponibili per Microsoft Intune | Microsoft Docs

Attivazione delle Proactive Remediations di Endpoint Analitycs in Microsoft Intune

Come ho già fatto vedere nella guida Microsoft Endpoint Manager – Microsoft Intune – Introduzione alla soluzione Endpoint Analytics – ICT Power, come prima cosa dovete decidere se volete collezionare i dati da tutti i vostri dispositivi gestiti nel Cloud o solo per alcuni gruppi. Nella scheda Overview verrete avvisati che è necessario effettuare l’enrollment in Endpoint Manager (Intune) ed il successivo riavvio dei vostri dispositivi Windows e che potrebbe essere necessario attendere fino a 24 ore per vedere i primi risultati in console.

La soluzione Endpoint Analytics è in grado di ricevere informazioni sui dispositivi gestiti sia da Intune che da Configuration Manager.

Figura 2: Potrebbe essere necessario attendere fino a 24 ore per visualizzare i risultati nella console di Endpoint Analitycs

Dal portale di Microsoft Endpoint Manager cliccate sulla voce Reports e quindi sulla voce Endpoint Analytics. Cliccate sul nodo Proactive Remediations. Vi apparirà subito la richiesta di confermare di possedere le licenze per i dispositivi di cui volete effettuare la successiva gestione.

Figura 3: Conferma del possesso delle licenze necessarie al funzionamento delle Proactive remediations

Nel giro di un paio di minuti vi appariranno i due script package di built-in di cui vi ho scritto prima.

Io ho deciso di aggiungere un script package che conterrà paio di script che si occuperanno di controllare i certificati scaduti e avviseranno gli utenti con un popup (toast notification) per avvertirli di rinnovare i certificati digitali scaduti. Gli script sono disponibili alla pagina PowerShell scripts for Proactive remediations

Figura 4: Script per la ricerca dei certificati scaduti

Figura 5: Script per la remediation dei certificati scaduti

Per aggiungere un nuovo script package fate clic sul pulsante +Create script package.

Figura 6: Aggiunta di un nuovo script package alle Proactive remediations

Date un nome ed una descrizione al package.

Figura 7: Nome e descrizione del package

Importate i due script di Detection e di Remediation che avete copiato dalla pagina PowerShell scripts for Proactive remediations. Lo script di Remediation
non è obbligatorio. Magari potete servirvi del package solo per avere un Report sullo stato del dispositivo.

Figura 8: Importazione degli script di Detection e di Remediation

Figura 9: Scope tag dello script package

Assegnate lo script package agli utenti o ai dispositivi. In questo caso lo script package era assegnabile ad entrambi, come riportato nella documentazione contenuta alla pagina PowerShell scripts for Proactive remediations. Io ho deciso di assegnarlo a tutti gli utenti.

Figura 10: Assegnazione dello script package a tutti gli utenti

Figura 11: Schermata di riepilogo della creazione dello script package

Figura 12: Creazione dello script package completata con successo

Se volete distribuire i due package predefiniti dovete solo modificare la parte di Assignment, impostando distribuire il package per dispositivi.

Figura 13: Modifica dell’assegnazione dei package di built-in

Figura 14: Abilitazione alla distribuzione di tutti i package

NOTA: è possibile anche escludere alcuni gruppi dalla distribuzione, ma state attenti a fare in modo che se distribuite a tutti gli utenti vengano esclusi solo gruppi di utenti e se distribuite ai dispositivi vengano esclusi solo gruppi di dispositivi. Non mischiate utenti e dispositivi quando fate le assegnazioni.

L’agent Intune Management Extension si occuperà di distribuire gli script package e ogni 24 ore ripeterà l’operazione.

Conclusioni

Grazie alle Proactive Remediations di Endpoint Analitycs in Microsoft Intune possiamo individuare e rimediare ad alcune delle problematiche più comuni che avvengono sui dispositivi e possiamo farlo prima ancora che l’utente se ne accorga. Ogni pacchetto avrà il suo script di Detection e il suo script di Remediation e l’applicazione sarà schedulata, con tanto di reportistica.