Che l’idea di Microsoft di rendere Intune sempre più uno strumento centralizzato per la gestione degli endpoint, è chiara da parecchio tempo. Di questa cosa se ne sono accorti anche i vendor hardware, che già propongono delle loro soluzioni ma che capiscono che non sempre è possibile dire alle aziende di usare due piattaforme diverse per effettuare configurazioni e attività di mantenimento.
Tra queste attività, c’è forse la più complicata di tutte ovvero la configurazione centralizzata del BIOS. Se Microsoft ha messo a disposizione, da diverso tempo, un subset di regole per blindare alcune componenti del device, quali fotocamera, boot order, Bluetooth, WiFi, etc.
Tuttavia, non tutti i device supportano queste funzioni ma cosa ancora più importante è che non tutti i BIOS sono uguali a livello di funzioni.
Da aprile 2023 è sbarcata una nuova funzionalità, all’interno di Microsoft Intune, che consente agli amministratori IT di collegare le estensioni dei vendor hardware. Il primo ad aver aderito a questa soluzione è HP, ma sono in arrivo altri partner.
Come si può vedere dall’immagine, tramite HP Connect è possibile pilotare gli aggiornamenti dei firmware ma anche effettuare configurazioni massive in modo facile e veloce.
Configurazione
Integrare i due mondi è abbastanza facile ma è necessario che abbiate un account di Global Admin perchè è necessario approvare l’applicazione HP per poter interagire con il vostro tenant.
Una volta fatto questo, sarà possibile accedere alla console di amministrazione in cui verranno create le policy di gestione.
Creazione Gruppo
Siccome HP Connect non è Microsoft Intune, non è capace di leggere ancora in tutti i suoi componenti e questo si traduce in un’impossibilità di leggere i filtri che vengono creati in Intune. La soluzione oggi consiste nel creare un gruppo, all’interno di Azure Active Directory, dove vengono prelevati tutti i device appartenenti alla famiglia HP.
Il Security Group deve essere dinamico, cosa che richiede una licenza Azure AD P1 o P2, e deve contenere la query mostrata nell’immagine.
Aggiornamento BIOS
Se è vero che Windows Update è in grado di aggiornare anche i firmware dei computer, è anche vero che questa operazione avviene in modo non controllato da parte degli IT Admin, cosa che non piace particolarmente perchè a volte un firmware errato può causare problemi.
HP Connect permette di creare del plan di update, basati anche tipologia di modello per differenziare la strategia di aggiornamento. Per creare un nuovo piano, basta creare una policy e selezionare BIOS Update.
La policy permette di fare due cose:
- Scegliere se installare sempre l’ultima versione o se installare solo in presenza di Critical Issue
- Scegliere la tipologia di device a cui applicare la regola (tutti o specifiche famiglie di device)
Questa seconda opzione può essere utile per fare un primo allineamento di certi device obsoleti, ma anche per fare un test di validazione prima del rollup globale. Il passaggio finale è l’associazione ad un gruppo di Azure AD, motivo per cui è stato creato il gruppo prima di arrivare alla creazione della policy.
Experience Utente e Report
Come tutti gli script/update pilotati da Intune, l’operazione diventa trasparente per l’utente che si vedrà arrivare gli update del BIOS come se fossero quelli di Windows. In verità, dietro le quinte c’è uno script in Proactive Remedation che viene creato per applicare le regole create. E’ possibile modificare la schedulazione di questo script, ma l’operazione non è consigliata.
A livello amministrativo, esiste un report che ci permette di visualizzare l’andamento dei nostri client.
Conclusioni
HP Connect apre una nuova strada alla gestione, e della sicurezza, dei device integrati con Microsoft Intune. Ci aspettiamo che prossimamente arrivino altri vendor ma nel frattempo questa funzione è veramente interessante.