Microsoft Intune App Inventory: finalmente un inventario applicazioni più utile (e moderno)

Introduzione

Chi usa Intune da un po’ conosce bene il vecchio report Discovered Apps.

È sempre stato comodo per avere una panoramica generale delle applicazioni presenti nell’ambiente, ma non sempre bastava per attività operative più puntuali.
Quando serve capire velocemente cosa è installato su un endpoint, magari durante un troubleshooting o una verifica di sicurezza, pochi dettagli e dati non sempre immediati possono diventare un limite.

Con il nuovo App Inventory, integrato nella vista All Apps, Microsoft sta migliorando proprio questa parte.

Va chiarito subito un punto: al momento la nuova esperienza riguarda i dispositivi Windows gestiti tramite Intune. Non è quindi una funzionalità estesa allo stesso modo a tutte le piattaforme.

Requisiti di licenza

Dal punto di vista licensing non serve acquistare componenti aggiuntivi come Intune Suite.

Serve una licenza che includa Microsoft Intune, ad esempio:

• Microsoft Intune Plan 1

• Microsoft 365 E3

• Microsoft 365 E5

• Microsoft 365 Business Premium

• Enterprise Mobility + Security E3/E5

Naturalmente i dispositivi devono essere gestiti da Intune e correttamente registrati.

Cosa cambia rispetto a Discovered Apps

Il cambio più evidente è nella qualità delle informazioni raccolte.

Per ogni applicazione è possibile avere dettagli come:

• nome applicazione

• publisher

• versione

• architettura

• dimensione stimata

• percorso di installazione

• comando di disinstallazione

• data di installazione

• installazione in contesto utente o sistema

Sono informazioni molto pratiche.
Sapere dove si trova un’applicazione, quale versione è installata, se è a livello utente o sistema e come può essere rimossa semplifica parecchio troubleshooting, bonifiche e attività di controllo.

Perché è interessante anche lato security

Questa funzionalità nasce come miglioramento dell’inventario applicativo, ma ha un impatto diretto anche su governance e sicurezza.

In molti ambienti capita spesso di trovare software installato manualmente dagli utenti, applicazioni obsolete, tool non autorizzati o situazioni dove quello che dovrebbe essere presente sul device non coincide con la realtà.

Il classico caso è:

“Su quel PC non dovrebbe esserci installato nulla di particolare…”

Poi lo apri e trovi software mai censito, versioni vecchie o applicazioni installate fuori dai normali processi IT.

Con un inventory più ricco diventa più semplice individuare queste situazioni, supportare le attività di incident response e ridurre la dipendenza da script custom o verifiche manuali.

Non risolve da solo il tema della governance applicativa, ma fornisce una base dati decisamente più utile rispetto al passato.

Differenze principali rispetto al vecchio modello

Rispetto al vecchio report Discovered Apps, il nuovo App Inventory porta alcune differenze importanti.

La prima è la frequenza di aggiornamento: il vecchio modello era più lento, mentre la nuova esperienza è pensata per raccogliere dati in modo più frequente e incrementale.

La seconda riguarda il livello di dettaglio.
Con Discovered Apps le informazioni disponibili erano piuttosto limitate; con il nuovo inventory, invece, diventano disponibili dati molto più utili, come il percorso di installazione, il comando di disinstallazione, la versione, il publisher e il contesto di installazione.

Un altro punto interessante riguarda i device condivisi.
Nel vecchio modello la visibilità era più limitata, mentre il nuovo App Inventory gestisce meglio gli scenari in cui più utenti utilizzano lo stesso dispositivo.

Anche la vista per singolo device diventa più pratica.
Non è più solo un elenco base di applicazioni, ma una vista molto più utile per capire cosa è realmente installato su quello specifico endpoint.

L’unico punto da tenere presente è il supporto piattaforma: Discovered Apps copriva più piattaforme, mentre questa nuova esperienza di App Inventory, almeno per ora, riguarda solo i dispositivi Windows gestiti tramite Intune.

Come attivare il nuovo App Inventory

L’attivazione passa dal Properties Catalog di Intune.

Il consiglio è di partire da un gruppo pilota, magari con alcuni device IT o dispositivi di test, prima di abilitarlo su tutta la flotta Windows.

Prerequisiti

Prima di iniziare è bene verificare di avere:

• dispositivi Windows gestiti da Intune

• Windows 10 o Windows 11 supportati

• device Microsoft Entra Joined o Hybrid Joined

• una licenza Intune valida

• un gruppo pilota su cui testare la configurazione

Come si attiva

1-Andiamo su Intune admin center e creiamo la policy nella sezione Configuration cliccando su Create

2-Selezioniamo Windows 10 and later e il profile type Properties catalog

3-Diamo un nome alla policy, nel mio caso ho usato Windows - Config - App Inventory e clicchiamo su Next

4-Clicchiamo su Add properties e abilitiamo tutti gli ApplicationProperties

5-A questo punto si assegna la policy al gruppo scelto, cliccando su Search by group name e clicchiamo su Next

Meglio evitare subito l’assegnazione a tutti i device, soprattutto se l’ambiente è grande. Prima conviene verificare il comportamento su pochi endpoint e controllare quali dati arrivano.

6-Rivediamo la configurazione e clicchiamo su Create

Il primo inventario non arriva immediatamente.

Microsoft usa un meccanismo con delay randomico per evitare che tutti i dispositivi inviino dati contemporaneamente verso Intune.

Dopo la prima raccolta, gli aggiornamenti vengono gestiti in modo incrementale.

Una volta raccolti i dati, è possibile consultarli da:

Devices → Windows → selezionare il device → All Apps → App inventory

Da qui si vede l’elenco delle applicazioni installate sul dispositivo, con molte più informazioni rispetto al vecchio report Discovered Apps.

Alcune limitazioni attuali

La funzionalità è interessante, ma non è ancora perfetta.

Ad oggi ci sono alcuni limiti da considerare:

• la nuova esperienza è disponibile solo per Windows

• il rollout può essere graduale nei tenant

• la vista è ancora molto centrata sul singolo device

• manca ancora un vero reporting centralizzato maturo

• non c’è ancora un export dedicato via Graph API come molti vorrebbero

Secondo me questo è uno dei punti più importanti da migliorare.

La vista per singolo device è utile, ma in un ambiente enterprise serve anche poter fare analisi aggregate: cercare una certa applicazione su tutti i device, esportare dati e incrociare informazioni con security posture, vulnerabilità o software non autorizzato.

Spero che questa parte arrivi presto, perché renderebbe la funzionalità molto più potente.

Considerazioni finali

Questa è una di quelle novità che forse non attirano subito l’attenzione, ma che nella gestione quotidiana possono fare davvero la differenza.

Per chi amministra endpoint Windows con Intune, avere un inventario applicativo più affidabile significa rispondere meglio a domande molto concrete:

• cosa è installato davvero su questo device?

• questa applicazione è aggiornata?

• è stata installata a livello utente o sistema?

• dove si trova?

• posso rimuoverla facilmente?

• è un software previsto o qualcosa che è sfuggito alla governance?

Sono domande semplici, ma in molte realtà non è sempre immediato rispondere.

Il fatto che Microsoft stia portando questo tipo di inventory dentro Intune è quindi un segnale positivo, soprattutto perché va nella direzione di una gestione endpoint più completa e più integrata con le esigenze di sicurezza, compliance e troubleshooting.

Restano alcune mancanze, in particolare lato reporting centralizzato ed esportazione dei dati, ma la base è decisamente più solida rispetto al passato.

Per chi gestisce ambienti Windows con Intune, secondo me vale la pena abilitarlo almeno in test e iniziare a capire quali informazioni può restituire nel proprio contesto. Potrebbe sembrare una piccola novità, ma nella pratica può diventare uno strumento molto comodo per avere più controllo e meno zone d’ombra sui dispositivi gestiti.