Come verificare lo stato di Gatekeeper su Mac con Intune

Se devi verificare lo stato di Gatekeeper su un Mac gestito con Intune, la prima cosa da chiarire è questa: Intune ti dice se il dispositivo è conforme alla policy, ma non sempre ti mostra in modo diretto il motivo per cui un’app viene bloccata da macOS. Per questo la verifica va fatta su due piani: lato gestione, guardando profilo e stato di compliance in Intune; lato endpoint, controllando il comportamento effettivo di Gatekeeper con i comandi di sistema e i log locali.

In pratica, se un utente segnala che un’app non si apre, non basta vedere “compliant” nel portale. Devi capire se il Mac ha ricevuto correttamente il profilo, se Gatekeeper è attivo, se la quarantena è presente sul file, e se la policy di sicurezza locale sta imponendo un blocco coerente con ciò che Intune si aspetta. È qui che si evita la classica diagnosi sbagliata: scambiare un problema di firma o notarizzazione per un problema di MDM, o viceversa.

Che cosa controlla davvero Intune quando parliamo di Gatekeeper

Intune non “legge” Gatekeeper come farebbe un comando locale; distribuisce profili, imposta vincoli di sicurezza e raccoglie segnali di conformità. Su macOS, la parte che interessa di più è la combinazione tra configurazione MDM, profili di restrizione, eventuali impostazioni di sicurezza e lo stato di gestione del device. Se il Mac è registrato correttamente, Intune può applicare impostazioni che influenzano l’installazione e l’esecuzione delle app, ma la verifica del blocco reale resta sempre sul sistema operativo.

Per questo una diagnosi seria parte da una distinzione semplice: conformità non è uguale a funzionamento locale. Un Mac può risultare in regola nel portale e avere comunque Gatekeeper che blocca un binario scaricato, un installer non notarizzato o un’app con attributi di quarantena. Viceversa, un’app può aprirsi grazie a un’eccezione locale, mentre Intune continua a segnalare una policy non allineata.

Verifica rapida lato Intune: profilo, assegnazione e stato dispositivo

Dal portale Intune, la prima verifica utile è sul dispositivo specifico. Cerca il Mac in Devices e controlla che risulti assegnato al gruppo giusto, con profili effettivamente applicati. Se hai un profilo dedicato a macOS che impatta sicurezza o restrizioni, aprilo e verifica lo stato di assegnazione e l’eventuale errore di applicazione. Questo ti dice subito se il problema è di distribuzione o se devi scendere sul client.

Il punto pratico è guardare tre elementi: il device è Managed, il profilo è Succeeded o ha errori, e l’ultima sincronizzazione è recente. Se la sincronizzazione è vecchia, non fidarti del portale finché non forzi un check-in. In molti casi la differenza tra “sembra tutto a posto” e “il Mac non ha ricevuto la policy” è solo una sync in ritardo o un token MDM scaduto.

Se vuoi una verifica operativa dal lato utente, puoi anche usare l’app Company Portal per forzare la sincronizzazione. Non risolve un problema di Gatekeeper, ma ti aiuta a capire se il canale MDM è vivo. Se la sync fallisce, il problema è a monte: enrollment, rete, certificati, oppure comunicazione con i servizi Microsoft.

Verifica locale su macOS: Gatekeeper è attivo oppure no

Su macOS, il comando più diretto per controllare lo stato di Gatekeeper è questo:

spctl --status

Il risultato atteso, nella maggior parte dei casi, è assessments enabled. Se vedi assessments disabled, Gatekeeper non sta imponendo le valutazioni standard e devi capire se c’è una scelta amministrativa esplicita o una modifica locale non desiderata. Questo non dipende da Intune in modo automatico: può essere una conseguenza di profili, script o interventi manuali sul Mac.

Per una verifica più concreta su una singola app, usa:

spctl --assess --verbose /Applications/NomeApp.app

Se l’app è accettata, il comando restituisce un esito coerente con la policy. Se viene rifiutata, il messaggio ti dice se il problema è firma, notarizzazione o una valutazione di sicurezza più generica. Questa è la prova che ti serve per separare il problema “il Mac blocca davvero” dal problema “Intune mostra un dato incompleto”.

Un altro controllo utile è vedere se il file ha attributi di quarantena, perché spesso il blocco nasce da lì:

xattr -l /Applications/NomeApp.app

Se compare com.apple.quarantine, macOS considera l’oggetto come scaricato da una fonte esterna e applica controlli aggiuntivi. Non è di per sé un errore, ma è spesso il motivo per cui un’app appena distribuita viene fermata al primo avvio. In questi casi il comportamento di Gatekeeper è corretto; il problema sta nel flusso di distribuzione o nel pacchetto fornito all’utente.

Log locali da leggere quando l’app viene bloccata

Se il comando locale non basta, passa ai log. Su macOS puoi interrogare il subsistema di sicurezza e individuare gli eventi correlati a Gatekeeper, quarantine e policy assessment. Il punto non è fare grep a caso, ma cercare il nome dell’app, il path o il momento esatto del tentativo di apertura.

log show --predicate 'subsystem == "com.apple.security.assessment"' --last 1h

Se vuoi restringere ulteriormente, puoi filtrare per processo o per parola chiave legata all’app, ad esempio il nome del bundle o l’errore riportato dall’utente. L’obiettivo è ottenere una riga che dica se il blocco è avvenuto per valutazione di sicurezza, per quarantena o per un controllo di integrità del pacchetto. Senza questo passaggio, rischi di intervenire sul profilo Intune quando il problema è nel file distribuito.

In alcuni casi il log utile non è solo quello di Gatekeeper, ma anche quello di syspolicyd e dei servizi collegati alla sicurezza. Se vedi eventi che indicano il rifiuto dell’app, annota timestamp, bundle ID e percorso del file: sono i tre dati che ti servono per correlare il blocco con la distribuzione o con un aggiornamento recente.

Come collegare il blocco locale alla policy Intune

Il passaggio importante è verificare se il comportamento del Mac è coerente con la policy che hai distribuito. Se Intune impone restrizioni sull’esecuzione di app non approvate, un blocco di Gatekeeper può essere perfettamente atteso. Se invece il profilo non dovrebbe interferire con quel tipo di applicazione, devi capire se è intervenuta una configurazione collaterale: un profilo di restrizione, un’impostazione di sicurezza più ampia, una regola di compliance o un’app distribuita con attributi di quarantena non rimossi.

Qui la domanda pratica è: il blocco è desiderato o no? Se è desiderato, la verifica serve a confermare che la policy stia funzionando e che il supporto utente non debba inseguire un falso positivo. Se non è desiderato, devi risalire alla sorgente del vincolo: profilo Intune, stato locale di Gatekeeper, firma/notarizzazione dell’app, oppure attributi del file.

Un errore comune è pensare che basti disattivare Gatekeeper localmente per risolvere. Questo è un fix fragile, spesso temporaneo, e in un contesto gestito crea solo disallineamento con la compliance. Se c’è un problema di distribuzione, la correzione vera è nel pacchetto o nel profilo, non nel bypass manuale sul singolo Mac.

Sequenza pratica di controllo quando un’app è bloccata

Quando devi fare triage rapido, conviene seguire sempre la stessa sequenza. Prima confermi che il device sia correttamente gestito e sincronizzato in Intune. Poi verifichi localmente lo stato di Gatekeeper. Infine controlli il file e i log. Se salti uno di questi passaggi, finisci facilmente a correggere il livello sbagliato.

1. Controlla in Intune che il Mac sia assegnato al gruppo corretto e che i profili abbiano stato Succeeded o comunque un errore leggibile.
2. Forza, se serve, una sincronizzazione da Company Portal e verifica che il check-in sia recente.
3. Su macOS esegui spctl --status e conferma che le valutazioni siano abilitate.
4. Esegui spctl --assess --verbose /Applications/NomeApp.app per vedere se l’app viene accettata o bloccata.
5. Controlla gli attributi con xattr -l /Applications/NomeApp.app per capire se la quarantena sta influenzando il comportamento.
6. Leggi i log con log show per associare il blocco a un evento preciso e non a un’impressione dell’utente.

Se questa catena è coerente, hai già quasi tutto per decidere se il problema è di policy, di pacchetto o di stato locale del Mac. Se invece uno dei passaggi fallisce, il punto di rottura ti indica dove intervenire senza fare tentativi alla cieca.

Casi tipici e lettura corretta del risultato

Se spctl --status mostra assessments enabled ma l’app viene bloccata, Gatekeeper sta lavorando e il problema è nel pacchetto, nella firma o nella quarantena. Se invece Intune risulta conforme ma il Mac non ha ricevuto il profilo, il problema è nel canale MDM o nell’assegnazione. Se l’app si apre ma il portale segnala non conformità, il device è probabilmente in uno stato ibrido: locale permissivo, gestione non allineata.

Un altro caso frequente è quello dei pacchetti distribuiti via browser o da archivi scaricati. In quel flusso, la quarantena è normale e Gatekeeper chiede una valutazione esplicita. Se l’app è interna e dovrebbe essere trusted, allora la distribuzione va ripensata: meglio un canale che non introduca attributi di quarantena inutili, oppure un pacchetto correttamente firmato e notarizzato.

Quando il problema compare solo su alcuni Mac, la prima ipotesi non è “Intune è rotto”, ma differenze di stato locale: versione di macOS, residui di policy, attributi del file, cache di valutazione, o sincronizzazione incompleta. La verifica sul singolo endpoint serve proprio a evitare generalizzazioni sbagliate.

Buone pratiche per non confondere compliance e blocco reale

Se gestisci un parco Mac con Intune, conviene standardizzare il metodo di verifica. Documenta quali profili impattano la sicurezza, quali app sono distribuite, quale comando usi per testare Gatekeeper e dove guardi i log. In questo modo, quando arriva una segnalazione, non perdi tempo a ricostruire il contesto ogni volta.

È utile anche separare chiaramente le responsabilità: Intune governa la configurazione, macOS applica la valutazione, il pacchetto determina se verrà considerato affidabile. Se uno di questi tre elementi non è coerente, il blocco è prevedibile. La parte difficile non è “far passare” l’app, ma capire se deve passare davvero.

In sintesi, la verifica corretta di Gatekeeper su un Mac gestito con Intune non si ferma al portale. Serve una lettura incrociata tra compliance, stato del profilo, valutazione locale e log di sistema. Solo così distingui un blocco legittimo da un problema di distribuzione o da una policy applicata male.

Assunzione operativa: i comandi indicati vanno eseguiti su un Mac con permessi adeguati e con accesso amministrativo locale, mentre in Intune devi poter leggere lo stato del device e dei profili assegnati.