Enterprise App Management con Microsoft Intune
Introduzione
In molti ambienti aziendali, distribuire un’applicazione è solo una parte del lavoro. Chi gestisce endpoint Windows con Microsoft Intune conosce bene l’effort richiesto dal packaging Win32: recuperare l’installer corretto, individuare i parametri silent, generare il pacchetto .intunewin, definire una detection rule affidabile, validare il comando di disinstallazione e ripetere lo stesso ciclo quando viene rilasciata una nuova versione. Il packaging custom resta indispensabile per applicazioni interne, software legacy, installer complessi o configurazioni specifiche del cliente. Per molte applicazioni comuni, però, una parte dell’attività è ripetitiva e sottrae tempo ad aspetti più importanti, come test, governance, controllo del rollout e gestione degli aggiornamenti.
Enterprise App Management introduce un modello diverso: un Enterprise App Catalog con applicazioni Win32 preparate per Intune e ospitate da Microsoft. Dal portale Intune è possibile selezionare un’app dal catalogo e creare una distribuzione partendo da impostazioni già precompilate, tra cui comandi di installazione e disinstallazione, requisiti e detection rule.
In questo articolo vedremo cos’è Enterprise App Management, come creare una Enterprise App Catalog app in Microsoft Intune, quali impostazioni vengono precompilate e quali verifiche fare prima di adottare questo modello in produzione.
Perimetro tecnico della guida
Enterprise App Management è una capability avanzata di Microsoft Intune. È inclusa in Microsoft Intune Suite ed è disponibile anche come add-on standalone, con possibilità di trial o acquisto, a partire da una base Microsoft Intune Plan 1. L’effettiva disponibilità va comunque verificata nel proprio tenant e in base al contratto di licensing attivo.
Enterprise App Catalog è il catalogo da cui è possibile selezionare applicazioni Win32 Microsoft e di terze parti già preparate per la distribuzione tramite Intune. Non è Microsoft Store, non è WinGet e non è un repository aziendale di pacchetti custom. Le applicazioni create da questo catalogo restano app Win32 gestite da Intune, ma vengono generate partendo da un modello preconfezionato.
Questo approccio riduce una parte dell’attività manuale, ma non elimina la governance applicativa. L’amministratore deve comunque validare licenza applicativa, diritto d’uso del software, comportamento dell’installer, assignment, gruppi pilota, user experience e strategia di aggiornamento.
Attenzione: Enterprise App Management non deve essere interpretato come una soluzione completa di patch management per tutto il parco software. Gli aggiornamenti disponibili nel catalogo possono essere gestiti tramite guided update supersedence, ma questo non equivale a un aggiornamento automatico universale di tutte le applicazioni installate.
Cos’è Enterprise App Management
Microsoft Intune Enterprise App Management consente di creare distribuzioni applicative partendo dall’Enterprise App Catalog disponibile nel portale Intune. L’obiettivo è semplificare la gestione di applicazioni Win32 comuni, evitando di costruire manualmente ogni pacchetto partendo dall’installer originale.
Il flusso amministrativo resta familiare per chi utilizza già Intune: si crea una nuova app, si seleziona il tipo Enterprise App Catalog app, si cerca il prodotto nel catalogo, si sceglie il package disponibile e si completano le sezioni della wizard. La differenza è che molte informazioni tecniche vengono già proposte dal catalogo, come i comandi di installazione e disinstallazione, i requisiti e le regole di rilevamento.
Queste impostazioni possono essere modificate, ma conviene farlo solo quando esiste un motivo tecnico chiaro. In molti casi, il valore del catalogo è proprio partire da una configurazione già precompilata, da validare su gruppi pilota prima di procedere con un rollout più ampio.
Elemento | Descrizione | Valore operativo | Punto di attenzione |
|---|---|---|---|
Enterprise App Management | Capability avanzata di Intune per gestire app dal catalogo enterprise | Riduce parte dell’attività manuale nella preparazione delle app | Richiede licensing specifico |
Enterprise App Catalog | Catalogo di app Win32 pronte per essere aggiunte in Intune | Permette di creare app senza caricare un pacchetto .intunewin custom | Non contiene tutte le applicazioni esistenti |
Enterprise App Catalog app | App Win32 creata a partire dal catalogo | Include configurazioni già proposte per distribuzione e rilevamento | Va comunque validata prima del rollout |
App Win32 custom | App creata manualmente caricando un pacchetto .intunewin | Necessaria per app interne, legacy o non presenti nel catalogo | Richiede packaging e manutenzione manuale |
Guided update supersedence | Processo guidato per creare una nuova versione collegata alla precedente | Aiuta a gestire versioni aggiornate disponibili nel catalogo | Non è un meccanismo di auto-update universale |
Licensing e attivazione
Come anticipato, Enterprise App Management è una capability avanzata di Microsoft Intune disponibile come add-on di Intune Suite, con possibilità di trial o acquisto. Microsoft Intune Suite, a sua volta, è un’estensione di Intune Plan 1 e include funzionalità avanzate per la gestione e la sicurezza degli endpoint. Per un approfondimento dedicato su componenti, attivazione e licensing della Suite, potete fare riferimento all’articolo Microsoft Intune Suite: funzionalità, attivazione e licensing pubblicato su Endpoint Ninja.
Come racconto in quell’articolo, Microsoft ha annunciato un aggiornamento del packaging di Microsoft 365 nel corso dell’estate 2026: alcune capability avanzate di Intune saranno progressivamente incluse nei piani Microsoft 365 E3 ed E5, con rollout previsto da giugno 2026 e completamento entro il 1° agosto 2026. In questo scenario, Microsoft 365 E3 riceve funzionalità come Remote Help, Advanced Analytics e Intune Plan 2, mentre Microsoft 365 E5 include anche Endpoint Privilege Management, Enterprise Application Management e Microsoft Cloud PKI.
Questo non significa che ogni tenant abbia già Enterprise App Management automaticamente disponibile. Prima di pianificare un rollout, è necessario verificare il proprio contratto, il canale di licensing e la reale disponibilità della capability nel tenant.
Creare una Enterprise App Catalog app in Intune
Vediamo adesso come creare passo dopo passo, un’app Win32 dall’Enterprise App Catalog. Colleghiamoci al Microsoft Intune Admin Center e navighiamo in Apps > Windows
Premiamo il pulsante Create e nel wizard Select app type andiamo a selezionare Enterprise App Catalog app, quindi confermiamo con Select.
Nella sezione App information, selezioniamo Search the Enterprise App Catalog. Si aprirà una nuova finestra dalla quale potremo cercare e selezionare l’applicazione da aggiungere a Intune. In questa demo useremo Google Chrome for Business a scopo dimostrativo. Inseriamo quindi il nome dell’applicazione nella casella di ricerca e proseguiamo con Next.
Nella tab Configuration vengono mostrate le informazioni relative al package disponibile, come Package name, Language, Architecture e Version. Dopo aver verificato i dettagli del package selezionato, confermiamo con Select.
Una volta selezionata l’applicazione, torniamo alla sezione App information della wizard di creazione. A differenza di una classica app Win32 custom, molti campi risultano già precompilati, tra cui nome, publisher, descrizione e informazioni principali dell’applicazione. Verifichiamo che i dati siano coerenti con la nostra naming convention e proseguiamo con Next.
Nella sezione Program troviamo le informazioni relative ai comandi di installazione e disinstallazione. Anche questi valori vengono precompilati dal catalogo, insieme ad altre impostazioni operative come installation time, install behavior, restart behavior e return codes. Microsoft raccomanda attenzione nel modificare queste proprietà, perché variazioni non corrette ai comandi di installazione o disinstallazione possono causare comportamenti imprevisti o errori di installazione. Proseguiamo con Next.
Nella pagina Requirements configuriamo i requisiti minimi che i dispositivi devono soddisfare per poter installare l’applicazione. Alcuni valori, come architettura supportata e sistema operativo minimo, possono essere già valorizzati in base al package selezionato. Se necessario, possiamo aggiungere ulteriori requisiti, ma è consigliabile farlo solo quando esiste un’esigenza reale di targeting o compatibilità. Proseguiamo poi nuovamente con Next.
Nella sezione Detection rules troviamo la regola di rilevamento già precompilata. Questa configurazione è fondamentale perché consente a Intune di determinare se l’applicazione è stata installata correttamente sul dispositivo. Prima di modificare la detection rule, conviene verificarne il comportamento su un gruppo pilota. Proseguiamo con Next.
Nella pagina Supersedence è possibile definire se l’app che stiamo creando deve sostituire o aggiornare un’altra app Win32 già presente in Intune. Nel nostro scenario non stiamo configurando una relazione di supersedence, quindi lasciamo la sezione invariata e proseguiamo con Next.
A questo punto arriviamo alla pagina Assignments, dove possiamo assegnare la Enterprise App Catalog app ai gruppi desiderati. Per questa demo pubblicheremo l’app come disponibile nel Company Portal. Nella sezione Available for enrolled devices, selezioniamo Add group, cerchiamo il gruppo pilota, selezioniamolo tramite l’apposita casella e confermiamo con Select.
Sempre nella pagina Assignments verifichiamo che il gruppo selezionato sia stato correttamente aggiunto alla lista dei gruppi per il deploy. Nel caso di questa demo non abbiamo bisogno di aggiungere filtri, modificare la disponibilità del deployment o intervenire su altre opzioni avanzate di assegnazione; quindi, possiamo proseguire facendo nuovamente clic su Next. I filtri di assegnazione, quando servono, vengono applicati in questa fase e consentono di includere o escludere dinamicamente i dispositivi in base a proprietà specifiche.
Infine, nella pagina Review + create controlliamo nuovamente la correttezza di tutte le informazioni configurate per la nostra app. Se tutto è corretto, procediamo con la creazione facendo clic su Add app.
Dopo la creazione, l’app sarà visibile nell’elenco delle applicazioni di Intune e potrà essere monitorata come una normale app Win32 gestita. Anche se il package nasce dall’Enterprise App Catalog, resta importante validare installazione, detection e user experience prima di estendere il rollout a gruppi più ampi.
Esperienza amministrativa
Per l’amministratore cambia soprattutto la fase di preparazione dell’applicazione. Invece di creare manualmente ogni pacchetto Win32, si parte da un catalogo di app già predisposte per Intune, con molte impostazioni tecniche già valorizzate. Questo riduce il tempo necessario per arrivare a una prima distribuzione testabile, ma non elimina le attività di verifica e governo del rollout.
Restano infatti sotto responsabilità del team IT:
- scelta dell’applicazione e della versione da distribuire
- verifica del diritto d’uso e delle licenze applicative
- test funzionale sull’applicazione
- validazione del comportamento di installazione e disinstallazione
- assegnazione iniziale a gruppi pilota
- monitoraggio degli errori
- gestione degli aggiornamenti
- eventuale piano di rollback
Questo punto è importante, poiché Enterprise App Management semplifica la creazione delle app disponibili nel catalogo, ma non sostituisce un processo strutturato di application lifecycle management.
Esperienza utente
Dal punto di vista dell’utente finale, l’esperienza non cambia rispetto alla distribuzione di una normale applicazione resa disponibile tramite Company Portal. Dal client di test apriamo quindi il Company Portal e verifichiamo che l’app sia presente tra le applicazioni disponibili.
Selezioniamo l’applicazione e avviamo l’installazione tramite il pulsante Installa. A questo punto il Company Portal avvia il processo di installazione. I tempi possono variare in base alla dimensione del package, alla connettività del dispositivo e al ciclo di elaborazione della Intune Management Extension.
Al termine, l’applicazione risulterà installata sul dispositivo e sarà possibile verificarne la presenza sia dal client sia dal monitoraggio dell’app in Intune.
Integrazione con Windows Autopilot
Le Enterprise App Catalog apps sono supportate con Windows Autopilot. È possibile selezionarle come blocking apps nella Enrollment Status Page e nella Device Preparation Page. Questo consente di includere applicazioni del catalogo nel provisioning iniziale del dispositivo.
Lo scenario è utile quando alcune applicazioni devono essere disponibili prima che l’utente inizi a lavorare. Tuttavia, ogni app bloccante aumenta il tempo di provisioning e può aumentare il rischio di errore. Se una blocking app fallisce, il deployment Autopilot può fallire in base alla configurazione della Enrollment Status Page.
Prima di usare Enterprise App Catalog apps come blocking apps in produzione, conviene verificare i known issues aggiornati. Un known issue relativo a Managed Installer ha interessato Win32, WinGet ed Enterprise App Catalog apps in scenari Device Preparation; la pagina è stata aggiornata ad aprile 2026, ma nei tenant enterprise è prudente validare sempre il comportamento reale.
Limiti e punti di attenzione
Enterprise App Management non elimina tutti i problemi della gestione applicativa. Il primo limite è la copertura del catalogo: non tutte le applicazioni sono disponibili. Per app interne, software non presenti nel catalogo o installer con logiche specifiche, il packaging Win32 custom resta necessario. Il secondo punto riguarda le licenze applicative. La presenza di un’app nel catalogo non assegna automaticamente al cliente il diritto di utilizzo del software. L’organizzazione resta responsabile di licenze, contratti e compliance.
Il terzo punto riguarda la validazione tecnica. Anche se le impostazioni sono precompilate, ogni app va testata. Questo vale soprattutto per applicazioni critiche, software che richiede riavvio, componenti di sicurezza, agent, VPN client o applicazioni usate durante Autopilot.
Quindi, ricapitolando:
- il catalogo non contiene tutte le applicazioni
- le app interne richiedono ancora packaging custom
- le licenze applicative restano responsabilità del cliente
- install command e detection non vanno modificati senza test
- gli aggiornamenti tramite supersedence richiedono governance
- Autopilot richiede validazione dedicata
- Enterprise App Management non è un patch management completo
Troubleshooting
Enterprise App Catalog non visibile
Se il tipo app non è visibile, verificate prima il licensing. Controllate la disponibilità di Intune Suite o Enterprise App Management nel tenant e l’assegnazione delle licenze agli utenti coinvolti. Controllate poi i ruoli amministrativi, per la gestione applicativa servono permessi coerenti con la creazione e l’assegnazione delle app. In ambienti strutturati è preferibile usare ruoli Intune RBAC dedicati, evitando privilegi eccessivi.
App non presente nel catalogo
Se l’app non è presente, cercate anche eventuali varianti del nome prodotto o del publisher. Se non compare comunque, la strada corretta è creare una Win32 app custom. In questo caso bisogna preparare il pacchetto con Microsoft Win32 Content Prep Tool, caricare il file .intunewin e definire manualmente comandi, requisiti e detection.
Creazione app fallisce
Se la creazione dell’app fallisce, verificate:
- permessi dell’account
- campi obbligatori della wizard
- disponibilità del package selezionato
- sessione browser
- eventuali problemi temporanei del portale
- policy amministrative come Multi-Admin Approval, se abilitate
Se l’app resta bloccata in preparazione contenuto per diverse ore, conviene eliminarla e riprovare la creazione.
Installazione app fallisce
Dal portale Intune controllate lo stato dell’app nella sezione di monitoraggio. Verificate device target, assignment, ultimo check-in, codice di errore e stato di installazione. Sul client, i log principali della Intune Management Extension si trovano in C:\ProgramData\Microsoft\IntuneManagementExtension\Logs
I file più utili sono:
- IntuneManagementExtension.log
- AppWorkload.log
- AppActionProcessor.log
- AgentExecutor.log
Questi log aiutano a verificare policy ricevute, applicability, detection, esecuzione installer e reporting verso Intune. Potete approfondire tramite l’articolo Microsoft Intune Management Extension logs: guida pratica al troubleshooting pubblicato su Endpoint Ninja.
Detection fallisce
Se l’app risulta non installata ma sul client il software è presente, analizzate la detection rule. Controllate se la regola usa MSI product code, file, registro o script. Verificate sul client l’elemento rilevato dalla detection. Una differenza di versione file, path, registry hive o architettura 32/64 bit può causare un falso negativo.
Supersedence non funziona
Se l’update tramite supersedence non produce il risultato atteso, controllate:
- app origine
- nuova versione creata
- relazione di supersedence
- assignments della nuova app
- detection della nuova versione
- eventuale disinstallazione della versione precedente
- stato di installazione sui dispositivi pilota
Non date per scontato che tutte le impostazioni della vecchia app siano state riportate automaticamente nella nuova. Dopo la creazione della superseding app, le proprietà vanno sempre ricontrollate.
Autopilot
Se l’app viene usata in Autopilot, verificate se è configurata come blocking app. Controllate Enrollment Status Page, Device Preparation Page, assegnazioni, contesto di installazione e known issues aggiornati. Evitate di inserire troppe app pesanti nella fase di provisioning. Le app indispensabili possono essere bloccanti; le altre possono essere installate dopo il primo accesso, riducendo tempi e rischi.
Conclusioni
Enterprise App Management con Microsoft Intune semplifica la distribuzione di applicazioni Win32 comuni, riducendo molte attività ripetitive legate al packaging tradizionale. Il catalogo enterprise consente di partire da applicazioni già predisposte per Intune, con impostazioni precompilate per installazione, requisiti e detection.
Questo però non significa delegare completamente la gestione applicativa. Le configurazioni vanno comunque validate, gli assignment devono partire da gruppi pilota e gli aggiornamenti richiedono controllo, soprattutto quando si utilizza la supersedence.
Il valore maggiore si ottiene quando Enterprise App Management viene inserito in un processo strutturato di application lifecycle management, con catalogo governato, test tecnici, rollout progressivo, monitoraggio e procedure di rollback. In questo scenario, il catalogo enterprise diventa uno strumento utile per ridurre l’effort operativo senza perdere il controllo sul ciclo di vita delle applicazioni.
