• Cloud, Guide, Microsoft 365, Sicurezza, Sistemi Operativi
• 16 Maggio 2023

Dal portale di Microsoft Intune è possibile eseguire delle operazioni remote sui dispositivi gestiti. Le azioni disponibili dipendono dalla piattaforma del dispositivo e dalla configurazione del dispositivo.

È possibile eseguire operazioni remote sul singolo dispositivo oppure su più dispositivi contemporaneamente. In questo caso basterà scegliere nel portale di Intune la voce Bulk device actions dopo aver selezionato la famiglia dei dispositivi su cui si vuole effettuare l’operazione.

Nella figura sotto ho selezionato i dispositivi Windows.

Figura 1: Bulk device actions nel portale di Microsoft Intune

Figura 2: Scelta del sistema operativo su cui effettuare le operazioni remote

Nella figura sotto sono mostrate le azioni disponibili per il sistema operativo Windows:

Figura 3: Azioni disponibili per il sistema operativo Windows

Selezionando il dispositivo (nel mio caso una macchina Windows) è possibile visualizzare nella parte superiore del portale di Microsoft Intune le azioni remote che si possono effettuare.

Figura 4: Operazioni remote che si possono effettuare sul dispositivo selezionato

Non tutte le azioni sono disponibili per tutti i dispositivi. Qui di seguito c’è un elenco delle azioni disponibili (che ho volutamente lasciato in inglese), che vi rimanda alla pagina ufficiale della documentazione Microsoft.

• Autopilot reset (Windows only)
• BitLocker key rotation (Windows only)
• Collect diagnostics (Windows 10 only)
• Delete
• Disable Activation Lock (iOS only)
• Erase (macOS Only)
• Fresh Start (Windows only)
• Full Scan (Windows 10 and 11 only)
• Locate device (iOS only)
• Lost mode (iOS only)
• Quick Scan (Windows 10 and 11 only)
• Remote control for Android
• Remote lock
• Rename device
• Reset passcode
• Restart (Windows only)
• Retire
• Rotate Local admin password (Windows only)
• Update Windows Defender Security Intelligence
• Windows 10 PIN reset
• Wipe
• Send custom notification (Android, iOS/iPadOS)
• Synchronize device
• Update cellular data plan (iOS/iPadOS)

Rimuovere i dispositivi usando la cancellazione, il ritiro o la rimozione manuale del dispositivo

Usando le azioni Retire o Wipe è possibile rimuovere da Microsoft Intune i dispositivi non più necessari, riutilizzabili o non più disponibili (persi, rubati, rotti, ecc.). Gli utenti possono anche eseguire in autonomia un comando remoto dal Portale aziendale di Intune (Intune Company Portal) verso i loro dispositivi registrati in Intune.

Retire

L’azione Retire (disattiva) rimuove i dati delle app gestite (se applicabile), le impostazioni e i profili di posta elettronica assegnati tramite Microsoft Intune. Il dispositivo viene rimosso dalla gestione di Intune e anche da Azure AD (se il dispositivo è Azure AD joined o Azure AD registered). La rimozione avviene la volta successiva in cui il dispositivo esegue il check-in e riceve l’azione Retire remota.

Il dispositivo viene visualizzato in Intune fino a quando il dispositivo non esegue il check-in. Se si desidera rimuovere immediatamente i dispositivi dovete invece usare la voce Delete.

NOTA: l’azione Retire lascia i dati personali dell’utente nel dispositivo. Vengono rimossi solo i dati aziendali (tranne per i dispositivi che sono Azure AD Joined).

NOTA 2: Se il dispositivo è Azure AD joined sarà necessario accedere con un account locale del dispositivo. Assicuratevi che ce ne sia uno configurato, prima di effettuare l’operazione di Retire.

A proposito, la conoscete la differenza tra Dispositivi Azure AD Joined, Hybrid Azure AD Joined e Azure AD Registered?

Qui di seguito sono riportati i comportamenti del comando Retire sui dispositivi Windows.

Figura 5: La tabella descrive i dati rimossi e l’effetto dell’azione Ritiro sui dati che rimangono nel dispositivo dopo la rimozione dei dati aziendali

Alla pagina Ritirare o cancellare i dispositivi usando Microsoft Intune | Microsoft Learn trovate tabelle dettagliate anche per i dispositivi non Windows.

Figura 6: Dispositivo Azure AD Joined e gestito da Intune

Figura 7: Comando Retire

Nelle figure sotto è possibile visualizzare il Retire di un dispositivo personale (Azure Ad registered) che è gestito da Microsoft Intune.

Figura 8: Dispositivo personale gestito da Microsoft Intune

Figura 9: Retire di un dispositivo personale Azure AD registered

La rimozione dei dati aziendali da un dispositivo di proprietà personale Android con profilo di lavoro rimuove tutti i dati, le app e le impostazioni nel profilo di lavoro in tale dispositivo. Il dispositivo viene ritirato dalla gestione con Intune.

Figura 10: Dispositivo personale Android con profilo di lavoro

Figura 11: Retire di un dispositivo personale Android con profilo di lavoro

   

Wipe

L’azione Wipe (cancella) consente di ripristinare le impostazioni predefinite di un dispositivo. I dati utente vengono conservati se si sceglie la casella di controllo Mantieni lo stato di registrazione e l’account utente (Retain enrollment state and user account). In caso contrario, tutti i dati, le app e le impostazioni verranno rimossi.

Qui di seguito sono riportati i comportamenti del comando Wipe sui dispositivi Windows (Azure AD joined e Azure AD registered).

Figura 12: Azioni del comando Wipe

Figura 13: Opzioni disponibili per il comando Wipe e comportamento in caso di scelta di mantenimento delle configurazioni dell’utente

Figura 14: Comando Wipe con l’opzione Wipe device, but keep enrollment state and associated user account

L’opzione Cancella dispositivo e continua a cancellare anche se il dispositivo perde l’alimentazione (Wipe device, and continue to wipe even if device loses power)
assicura che l’azione di cancellazione non possa essere elusa disattivando il dispositivo. Questa opzione continuerà a provare a reimpostare il dispositivo fino a quando non avrà esito positivo.

Dopo il lancio del comando Wipe dal portale di Microsoft Intune il dispositivo Windows (Azure AD joined o Azure AD registered) sarà riportato alle impostazioni di fabbrica nel gito di pochi minuti.

Figura 15: Il dispositivo viene riportato alle impostazione di fabbrica

Figura 16: Reset del dispositivo in corso

Poiché ho messo il segno di spunta sull’opzione Wipe device, but keep enrollment state and associated user account, al termine della procedura di Wipe sarà possibile riaccedere con le credenziali dell’utente, come mostrato nella figura sotto:

Figura 17: Dispositivo resettato ma con i dati dell’utente ancora disponibili

Dal dispositivo sono scomparse tutte le applicazioni, ma è rimasto il profilo dell’utente. Il PC continua ad essere Azure AD joined e rimane collegato e gestito da Microsoft Intune.

Figura 18: Sul dispositivo sono disponibili solo le applicazioni predefinite e sono rimasti i dati dell’utente

Figura 19: Azione di Wipe eseguita sul dispositivo, che continuerà ad essere gestito da Microsoft Intune

Usare Fresh Start per reimpostare dispositivi Windows 10/11 con Intune

L’azione Fresh Start del dispositivo rimuove tutte le app installate in un PC che esegue Windows 10 versione 1709 o successiva. Fresh Start consente di rimuovere le app preinstallate (OEM) che sono in genere installate in un nuovo PC.

Se non si mantengono i dati utente, il dispositivo verrà ripristinato nello stato predefinito della configurazione guidata (OOBE Out-Of-The-Box-Experience) mantenendo l’account amministratore predefinito.

Se l’operazione viene effettuata su dispositivi personali (Azure AD registered) questi dispositivi verranno rimossi dalla gestione di Microsoft Intune e verranno rimossi da Azure AD. Invece i dispositivi aggiunti ad Azure AD (Azure AD joined) verranno registrati nuovamente nella gestione dei dispositivi mobili quando un utente abilitato per Azure Active Directory accederà al dispositivo.

Figura 20: Azione di Fresh Start eseguita sul dispositivo

Figura 21: Reset del dispositivo

Figura 22: Dispositivo ripristinato alla modalità OOBE

Eliminare i dispositivi dall’interfaccia di amministrazione di Microsoft Intune

Se si desidera rimuovere i dispositivi dall’interfaccia di amministrazione di Microsoft Intune, è possibile eliminarli facendo clic sulla voce Delete. La volta successiva che il dispositivo esegue il check-in, tutti i dati aziendali verranno rimossi e il dispositivo non sarà pi disponibile nell’interfaccia di amministrazione di Microsoft Intune.

Nelle figure sotto viene mostrata la cancellazione di alcuni dispositivi personali dell’utente (Azure AD registered). Molto spesso capita infatti che gli utenti aggiungano i propri dispositivi personali al momento dell’attivazione di Microsoft Office con le credenziali dell’organizzazione.

Figura 23: Attivazione di Microsoft Office sui dispositivi personali utilizzando le credenziali aziendali

Figura 24: Enrollment in Microsoft Intune del dispositivo personale BYOD

Figura 25: Cancellazione di un dispositivo Windows BYOD

Figura 26: Il comando di Delete viene inviato al dispositivo personale

La stessa operazione può essere effettuata peri dispositivi mobili con Android o iOS. Nella figura sotto viene mostrata la cancellazione di un dispositivo personale Android. Mostro solo come funziona per un dispositivo personale perché è una delle domande che più spesso mi vengono fatte.

Figura 27: Dispositivo personale Android

Figura 28: Cancellazione di un dispositivo Android dalla gestione di Microsoft Intune

Figura 29: Operazione di cancellazione del profilo iniziata

Nelle figure sotto si può vedere che nel giro di un minuto il profilo di lavoro dell’utente viene eliminato.

      

Eliminare automaticamente i dispositivi con regole di pulizia

È possibile configurare Intune per rimuovere automaticamente i dispositivi che sembrano inattivi, non aggiornati o che non rispondono. Queste regole di pulizia monitorano continuamente l’inventario dei dispositivi in modo che i record del dispositivo rimangano aggiornati. I dispositivi eliminati in questo modo vengono rimossi dalla gestione Intune. Questa impostazione interessa tutti i dispositivi gestiti da Intune, non solo quelli specifici.

Dal portale di Intune selezionate Devices > Device clean-up rules e portate a Yes l’attivazione della cancellazione dei dispositivi. Scegliete anche il numero dei giorni (compreso tra 30 e 270) che un dispositivo dovrà essere inattivo prima di poter essere cancellato.

Figura 30: Abilitazione delle regole di cancellazione dei dispositivi

Figura 31: Dispositivi che saranno cancellati perché inattivi per un periodo superiore a quello scelto

NOTA: La regola di pulizia del dispositivo non attiva il Wipe o il Retire, ma attiva un Delete.

Conclusioni

La possibilità di effettuare operazioni da remoto sui dispositivi gestiti da Microsoft Intune permette agli amministratori di gestire in maniera semplice, sicura ed efficace il ciclo di vita dei dispositivi. Una cancellazione è utile per reimpostare un dispositivo prima di assegnare il dispositivo a un nuovo utente o quando il dispositivo è stato smarrito o rubato, mente il ritiro è utile per preservare i dati dell’utente e cancellare i dati aziendali. In ogni caso abbiamo la possibilità di gestire la sicurezza dei dati aziendali e riutilizzare con comodità i dispositivi se devono essere assegnati a nuovi utenti.