:strip_exif()/u/535/fan.gif?f=community)
ja check maar als ik user in groep2 zet connect die toch naar farm1 en komt daar dan niet in ?!?Renegade666 schreef op maandag 16 juni 2025 @ 20:43:
[...]
Volgens mij moet je dan per collectie rechten uitdelen. Dus groep 1 gaat naar farm 1, en groep 2 naar farm 2. En men mag dus niet in beide groepen zitten.
/u/11437/wandcontactdoos.png?f=community)
"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock
/u/125506/link-8bit.png?f=community)
tnx ik dacht dat je een dns entry moet maken farm1.domain. farm2.domain.
en dat wanneer je connect de broker aan de hand van het gekozen adres zelf uitvind naar welke farm je moet.
Maar dat is mijn denk fout??? je moet dus per farm een custom rdp file aanmaken waarmee de client connect?
en de reg key die Paul noemt is de default.
oke hiermee ga ik verder puzzelen vandaag..
ik ben nooit fan geweest van rds oplossingen, maarja niet mijn keuze
:strip_icc():strip_exif()/u/78725/train-icon3.jpg?f=community)
Reden dat ik een connection broker heb voor meerdere collections met maar 1 session host is puur en alleen dat het dan automatisch de configuratie doet voor de license server. Die overigens op dezelfde server staat als de CB. 
Voor externen heb ik nog een remote desktop gateway, maar dat is weer een heel eigen beest.
Voor externen heb ik nog een remote desktop gateway, maar dat is weer een heel eigen beest.
Commandline FTW | Tweakt met mate
top met jullie input valt het kwartje ja het gaat om meerdere session hosts en meerdere collections.:
Reden dat ik een connection broker heb voor meerdere collections met maar 1 session host is puur en alleen dat het dan automatisch de configuratie doet voor de license server. Die overigens op dezelfde server staat als de CB.
nu kunnen we een nieuwe collection bouwen op basis van windows 2025 en gefaseerd users van de oude naar de nieuwe collection overzetten. Lekker clean beginnen met nieuwe verse UPN profile disks en alle vervuilde zooi uit de oude collection die al paar jaar draait eruit mikken, Dat is mijn meest favorite ict werk, oude zooi deleten
@Thijs B, dat is idd ook iets wat collections mogelijk maakt, profile disks. Maar veel beheerders zweren bij FSLogix als vervanger van UPD (niet UPN, of je hebt ook gelijk een nieuw AD domein 
). Wij gebruiken dat hier niet, omdat we met maar 1 session host per collection zitten en het geen toegevoegde waarde heeft. Gewoon lekker het profiel lokaal, roamen is niet nodig.
). Wij gebruiken dat hier niet, omdat we met maar 1 session host per collection zitten en het geen toegevoegde waarde heeft. Gewoon lekker het profiel lokaal, roamen is niet nodig.
Commandline FTW | Tweakt met mate
:strip_icc():strip_exif()/u/12156/crop5e00838980023_cropped.jpeg?f=community)
UPD bedoel je denk ik? Die moet je niet meer gebruiken. Zit ook niet echt makkelijk beheer op. Er is wel een adm template voor overigens::
[...]
top met jullie input valt het kwartje ja het gaat om meerdere session hosts en meerdere collections.
nu kunnen we een nieuwe collection bouwen op basis van windows 2025 en gefaseerd users van de oude naar de nieuwe collection overzetten. Lekker clean beginnen met nieuwe verse UPN profile disks en alle vervuilde zooi uit de oude collection die al paar jaar draait eruit mikken, Dat is mijn meest favorite ict werk, oude zooi deleten
https://www.jeroentielen....t-user-profile-disks-gpo/
Fslogix is the way to go.
“Choose a job you love, and you will never have to work a day in your life.”
haha en ik heb al zoooooveel op mijn ooit todo plannen lijst staan haha.:
@Thijs B, dat is idd ook iets wat collections mogelijk maakt, profile disks. Maar veel beheerders zweren bij FSLogix als vervanger van UPD (niet UPN, of je hebt ook gelijk een nieuw AD domein
FSLogix nooit zo naar gekeken eigenlijk, lees ik het goed als je RDS calls hebt je dan ook FSLogix licentie technisch kan gebruiken?
Liefst zou ik volledig over gaan naar VDI maar mijn ToDo lijstje is al vol
:strip_icc():strip_exif()/u/782695/crop671b96fb75045_cropped.jpg?f=community)
Volgens mij klopt dat, omdat het jaren geleden ook gekocht is door Microsoft.:
[...]
haha en ik heb al zoooooveel op mijn ooit todo plannen lijst staan haha.
FSLogix nooit zo naar gekeken eigenlijk, lees ik het goed als je RDS calls hebt je dan ook FSLogix licentie technisch kan gebruiken?
Liefst zou ik volledig over gaan naar VDI maar mijn ToDo lijstje is al vol
Have you tried turning it off and on again?
de licensing stellen wij in met GPOs, net omdat we ook vele standalone hosts hebben terwijl onderdeel zijn van een collection dan weer vloekt met RDP via Citrix voor remote toegang plus dat het redelijk zinloos is om een collectie van 1 stuk te hebben.:
Reden dat ik een connection broker heb voor meerdere collections met maar 1 session host is puur en alleen dat het dan automatisch de configuratie doet voor de license server. Die overigens op dezelfde server staat als de CB.
No keyboard detected. Press F1 to continue.
Wij gebruiken Citrix als doorgeefluik voor RDP, geen ICA 
Al is het tij daar ook wel aan het keren daar we ook mensen extern aan de firma hebben die aan bepaalde omgevingen moeten kunnen, maar niet altijd in staat zijn om een RDP sessie over poort 443 te laten lopen. RDP houdt niet zo van SSL decryption . En hoewel je met RDS ook een HTML5 oplossing hebt, zit je dan wel weer met heel de setup en is besloten geweest om voor die specifieke omgeving reeds over te gaan op de volledige Citrix stack.
Al is het tij daar ook wel aan het keren daar we ook mensen extern aan de firma hebben die aan bepaalde omgevingen moeten kunnen, maar niet altijd in staat zijn om een RDP sessie over poort 443 te laten lopen. RDP houdt niet zo van SSL decryption
. En hoewel je met RDS ook een HTML5 oplossing hebt, zit je dan wel weer met heel de setup en is besloten geweest om voor die specifieke omgeving reeds over te gaan op de volledige Citrix stack.
No keyboard detected. Press F1 to continue.
Zo dat viel achteraf mee FSLogix up and running, althans staat klaar om in productie te nemen op de nieuwe rdscollection, duidelijk te merken dan de login procedure stukje sneller is met profiledisks en FSLogix:
@Thijs B, dat is idd ook iets wat collections mogelijk maakt, profile disks. Maar veel beheerders zweren bij FSLogix als vervanger van UPD (niet UPN, of je hebt ook gelijk een nieuw AD domein
Ja, fslogix is niet zo spannend eigenlijk. Op m'n vorige werk had ik destijds bedacht om de user disks op de centrale Synology Rackstation te zetten die we ook al gebruikten voor alle andere storage doeleinden (VMware VMs, user documenten, afdelingsdata), maar voor UPD moet en zal er via RPC geluld worden en dat is alleen mogelijk met een Windows file server. Terwijl met fslogix elke backend dat Windows snapt gebruikt kan worden. Dus ipv smb op een Windows server, kan het ook gewoon een Linux smb host zijn, of een NAS zoals dus Synology.:
[...]
Zo dat viel achteraf mee FSLogix up and running, althans staat klaar om in productie te nemen op de nieuwe rdscollection, duidelijk te merken dan de login procedure stukje sneller is met profiledisks en FSLogix
Een centrale storage oplossing was daar al heel wat, toen ik er kwam draaide er 5 Hyper-V hosts met allemaal lokale storage, 3 ervan hadden alleen een RDS erop draaien (dus 1 session host voor 1 fysieke machine, Hyper-V er tussen was een beetje vreemd). De 4e host draaide de financiële administratie en het logistieke pakket. De 5e host was het ergste, dat was file server, domain controller, printserver én had de Hyper-V rol om daarin de license server en connection broker te kunnen draaien als enkele VM.
Blij dat ik nu met beter spul werk.
Commandline FTW | Tweakt met mate
:strip_exif()/u/834/bianchi_logo2.gif?f=community){kind=logo}
Onder het mom, nooit geschoten is altijd mis.
Iemand eenzelfde ervaring dat Outlook de verkenner (Win11) sloopt? (Zie oa https://learn.microsoft.c...r-doesnt-work-correctly-w) (W11 23H2 - Omnissa Horizon omgeving). Als we het preview venster aanzetten werken alle verkenner acties weer.
Iemand eenzelfde ervaring dat Outlook de verkenner (Win11) sloopt? (Zie oa https://learn.microsoft.c...r-doesnt-work-correctly-w) (W11 23H2 - Omnissa Horizon omgeving). Als we het preview venster aanzetten werken alle verkenner acties weer.
Whatever.
:strip_icc():strip_exif()/u/240356/crop619223cfc2b85_cropped.jpg?f=community)
Iemand die toevallig ervaring heeft met Zabbix? (@Hero of Time ?)
Wij maken gebruik van Zabbix 7.2 en hiermee wil ik onze VMware omgeving monitoren, dit doe ik d.m.v. de VMware Discovery.
Alle hypervisors en VM's worden automatisch aangemaakt zoals verwacht.
Nu wil ik voor de Windows VM's dat automatisch de template 'Windows by Zabbix agent' wordt gekoppeld.
Wat ik tegen ben gekomen is dat ik bij de VMware VM discoveryrule een override moet toevoegen.
Dit heb ik gedaan als volgt:
/f/image/AGWocE6KwZCArGOA6SOwwqVn.png?f=fotoalbum_large)
:strip_exif()/f/image/fodlsnodpJAg6nQwxsfY27Iu.png?f=user_large)
Maar bij de discovery wordt de template alsnog niet gekoppeld. Ook niet als ik de VM verwijder en helemaal opnieuw laat discoveren.
Als test heb ik in de host prototype een macro aangemaakt:
Macro: {$VMWARE.VM.GUESTFAMILY}
Value: {#VM.GUESTFAMILY}
Bij de VM's wordt dan wel een macro aangemaakt met de waarde windowsGuest. Ook dit heb ik al geprobeerd in te stellen in de Override, maar ook dan doet ie t niet.
Hebben jullie nog een idee?
Wij maken gebruik van Zabbix 7.2 en hiermee wil ik onze VMware omgeving monitoren, dit doe ik d.m.v. de VMware Discovery.
Alle hypervisors en VM's worden automatisch aangemaakt zoals verwacht.
Nu wil ik voor de Windows VM's dat automatisch de template 'Windows by Zabbix agent' wordt gekoppeld.
Wat ik tegen ben gekomen is dat ik bij de VMware VM discoveryrule een override moet toevoegen.
Dit heb ik gedaan als volgt:
:strip_exif()/f/image/AGWocE6KwZCArGOA6SOwwqVn.png?f=user_large)
Maar bij de discovery wordt de template alsnog niet gekoppeld. Ook niet als ik de VM verwijder en helemaal opnieuw laat discoveren.
Als test heb ik in de host prototype een macro aangemaakt:
Macro: {$VMWARE.VM.GUESTFAMILY}
Value: {#VM.GUESTFAMILY}
Bij de VM's wordt dan wel een macro aangemaakt met de waarde windowsGuest. Ook dit heb ik al geprobeerd in te stellen in de Override, maar ook dan doet ie t niet.
Hebben jullie nog een idee?
:strip_exif()/u/301133/crop6737b754ae5aa_cropped.gif?f=community)
We hebben eigenlijk ook nog Het Grote Monitoring Topic.
Maar ik heb 7.0 draaien (al direct sinds de alpha
) en toevallig eerder deze week eenzelfde aanpassing doorgevoerd. Heb niet eens de host in Zabbix hoeven te verwijderen, het werd direct toegepast.Je moet bij het VMWare template zelf (dus niet een van de andere templates ervan) bij Discovery -> Host Prototype van VMWare Guest je extra template toepassen.
Let wel, als je zowel Linux als Windows VMs hebt, ga je dus hoe dan ook je gelinkte template krijgen en dat is niet echt handig. Want de checks voor Windows werken niet op Linux tenslotte. Ik dacht dat het automatisch al het juiste OS template linkte.
De aanpassing die ik had gedaan was toevoegen aan een host groep. Voor templates zou het vergelijkbaar moeten zijn. Maar ik denk dat je eigenlijk een andere oplossing zoekt.
Commandline FTW | Tweakt met mate
Als je m inderdaad bij de Host Prototype toevoegt krijgen alle VM's tijdens de Discovery die template, dat wil ik dus niet.:
[...]
We hebben eigenlijk ook nog Het Grote Monitoring Topic.
Maar ik heb 7.0 draaien (al direct sinds de alpha
Je moet bij het VMWare template zelf (dus niet een van de andere templates ervan) bij Discovery -> Host Prototype van VMWare Guest je extra template toepassen.
Let wel, als je zowel Linux als Windows VMs hebt, ga je dus hoe dan ook je gelinkte template krijgen en dat is niet echt handig. Want de checks voor Windows werken niet op Linux tenslotte. Ik dacht dat het automatisch al het juiste OS template linkte.
De aanpassing die ik had gedaan was toevoegen aan een host groep. Voor templates zou het vergelijkbaar moeten zijn. Maar ik denk dat je eigenlijk een andere oplossing zoekt.
Vandaar dat ik het via Override wilde doen waarbij hij filtert op de basis van een LLD macro.
Je brengt me wel op een idee, want misschien dat het mogelijk is om dynamische groepen te maken op basis van LLD macro's en daar dus inderdaad die template aan koppelen.
Ga ik binnenkort even uitzoeken
Heb vermoedelijk het antwoord gevonen. Je moet eerst 2 service principals toevoegen aan je omgeving voor zowel de ATP service als de TVM service met app IDs e724aa31-0f56-4018-b8be-f8cb82ca1196 en a0e84e36-b067-4d5c-ab4a-3db38e598ae2. Hierna kan je een CA policy maken die deze apps blokkeert op mobiele apparaten. Hoewel je de app nog kunt installeren en op het eerste zicht ook gewoon kunt aanmelden, komt de app even later met de klassieke melding "You can't get there from here." en verschijnt deze ook niet onder je devices in het MS Security portaal en lijkt de gebruiker ook geen licentie op te nemen.
No keyboard detected. Press F1 to continue.
Verschillende OUs is uiteraard wel de bedoeling
Maar dat maakt een tragere transitie mogelijk en kan me uit de nood helpen op korte termijn terwijl de overstap op langere termijn kunnen bekijken.
No keyboard detected. Press F1 to continue.
Heel erg bedankt dat je me nu compleet gek maakt met het 11pt vs. 12pt verhaal in Microsoft-applicaties.
Ik heb ook een Outlook.com mailadres dat ik in Outlook gebruik en daar valt me nu op dat het nog 11pt is vs. 12pt. Pak ik een zakelijk mailadres in mijn eigen M365-tenant dan is het standaard 12pt.
Ik weet het ook niet meer.
Have you tried turning it off and on again?
Praatgroepje starten? /u/147751/avatar455992_1.gif.png?f=community){kind=avatar}
Ik heb een aantal Windows 2022 servers, en met PowerShell probeer ik Windows updates te installeren op het moment wanneer het ons ook uit komt.
Maar ik zie al meerdere malen dat de updates niet altijd worden geïnstalleerd, en vandaag ook weer.
Ik heb zojuist de server opnieuw opgestart om er zeker van te zijn dat hij niet op een pending reboot staat te wachten. En nu heb ik er een screenshot van gemaakt:
/f/image/iUtvLdBeoyLthvNl48pnIBuL.png?f=fotoalbum_large)
Via PowerShell vind hij geen nieuwe updates om te installeren, terwijl er duidelijk twee updates beschikbaar zijn. Zodra ik zelf op de "Download"-knop klik, gaat hij het wel downloaden en installeren. (In onze policy mag hij ze direct van Microsoft downloaden, en hoeven we de updates niet handmatig the autoriseren.)
Wat mis ik nog in dit PowerShell script om dat automatisch te doen? (De taak om Windows opnieuw op te starten na een update wordt ergens anders gedaan.)
Maar ik zie al meerdere malen dat de updates niet altijd worden geïnstalleerd, en vandaag ook weer.
Ik heb zojuist de server opnieuw opgestart om er zeker van te zijn dat hij niet op een pending reboot staat te wachten. En nu heb ik er een screenshot van gemaakt:
:strip_exif()/f/image/iUtvLdBeoyLthvNl48pnIBuL.png?f=user_large)
Via PowerShell vind hij geen nieuwe updates om te installeren, terwijl er duidelijk twee updates beschikbaar zijn. Zodra ik zelf op de "Download"-knop klik, gaat hij het wel downloaden en installeren. (In onze policy mag hij ze direct van Microsoft downloaden, en hoeven we de updates niet handmatig the autoriseren.)
Wat mis ik nog in dit PowerShell script om dat automatisch te doen? (De taak om Windows opnieuw op te starten na een update wordt ergens anders gedaan.)
Speel ook Balls Connect en Repeat
:strip_icc():strip_exif()/u/43374/et.jpg?f=community)
Mijn bescheiden aantal systeempies!
More ways to die. More reasons to live.
Officieel AchtbaanFreak ©2004
#boeiend.Illegal_Alien | #got-et & #boeiend @ Qnet
@Illegal_Alien
Bedankt. Ik zocht waarschijnlijk met de verkeerde woorden. Steeds kwam ik dus uit op wat ik in mijn screenshot uitvoerde. Ook ChatGPT gaf niet iets anders aan. En hij ziet nu ook andere updates zoals de ODBC-driver.
@Hero of Time
Nee, het script wordt automatisch meerdere keren per week gestart via de Windows Task Scheduler, maar het script is veel uitgebreider dan wat ik hier had beschreven. Er wordt bijvoorbeeld gecontroleerd of niemand remote aan het werk is, en er wordt gezorgd dat niet alle servers op het exact het zelfde moment aan het updaten zijn.
Het herstart script werkt op ongeveer de zelfde manier. Als er een pending reboot is, kan hij de server herstarten als verder niemand de server gebruikt. Maar er wordt gezorgd dat maar 1 server tegelijkertijd aan het herstarten is, zodat niet het halve netwerk down is.
Bedankt. Ik zocht waarschijnlijk met de verkeerde woorden. Steeds kwam ik dus uit op wat ik in mijn screenshot uitvoerde. Ook ChatGPT gaf niet iets anders aan. En hij ziet nu ook andere updates zoals de ODBC-driver.
@Hero of Time
Nee, het script wordt automatisch meerdere keren per week gestart via de Windows Task Scheduler, maar het script is veel uitgebreider dan wat ik hier had beschreven. Er wordt bijvoorbeeld gecontroleerd of niemand remote aan het werk is, en er wordt gezorgd dat niet alle servers op het exact het zelfde moment aan het updaten zijn.
Het herstart script werkt op ongeveer de zelfde manier. Als er een pending reboot is, kan hij de server herstarten als verder niemand de server gebruikt. Maar er wordt gezorgd dat maar 1 server tegelijkertijd aan het herstarten is, zodat niet het halve netwerk down is.
Speel ook Balls Connect en Repeat
:strip_icc():strip_exif()/u/56108/STRESSED_1.jpg?f=community)
:strip_icc():strip_exif()/u/32615/crop64eb884e6c9c2.jpg?f=community)
Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?
Misschien hier iemand die me op de juiste weg kan zetten.
Enkele weken terug heb ik mijn wachtwoord aangepast. Op 1 van mijn non-hybrid joined laptops, dus puur Entra ID joined, krijg ik sindsdien continue de melding dat Windows mijn huidige credentials nodig heeft. De laptop vergrendellen en daarna ontgrendellen met wachtwoord helpt soms, maar niet altijd om het kadertje weer even weg te laten gaan en terug te kunnen verbinden met onze on-prem file servers.
Een andere testlaptop die ook non-hybrid joined is (alle productie systemen zijn nog hyrid joined) heeft dit probleem niet. Die heeft mijn nieuw wachtwoord zonder problemen aanvaard. Ondertussen ook al geprobeerd om mijn wachtwoord terug te zetten naar mijn vorig wachtwoord, alsook het nogmaals te wijzigen, maar allemaal zonder resultaat.
Enige verschil dat ik nog zie tussen die 2 test systemen is dat het exemplaar met het probleem op arm64 draait, al zie ik niet direct in waarom dat ineens dit probleem zou veroorzaken. Het feit dat de andere laptop wel gewoon werkt lijkt ook aan te geven dat het een probleem op de laptop zelf is en niet direct met de infra.
Laptops werken daarnaast ook gewoon met WhfB waarvan ik ook op dit moment 1 van de testgebruikers ben in de firma. Misschien dat daar ook nog een link zit. Heb enkele forum posts gevonden die aangaven van misschien eens de PIN te resetten, maar ook dat gaf geen oplossing.
Enkele weken terug heb ik mijn wachtwoord aangepast. Op 1 van mijn non-hybrid joined laptops, dus puur Entra ID joined, krijg ik sindsdien continue de melding dat Windows mijn huidige credentials nodig heeft. De laptop vergrendellen en daarna ontgrendellen met wachtwoord helpt soms, maar niet altijd om het kadertje weer even weg te laten gaan en terug te kunnen verbinden met onze on-prem file servers.
Een andere testlaptop die ook non-hybrid joined is (alle productie systemen zijn nog hyrid joined) heeft dit probleem niet. Die heeft mijn nieuw wachtwoord zonder problemen aanvaard. Ondertussen ook al geprobeerd om mijn wachtwoord terug te zetten naar mijn vorig wachtwoord, alsook het nogmaals te wijzigen, maar allemaal zonder resultaat.
Enige verschil dat ik nog zie tussen die 2 test systemen is dat het exemplaar met het probleem op arm64 draait, al zie ik niet direct in waarom dat ineens dit probleem zou veroorzaken. Het feit dat de andere laptop wel gewoon werkt lijkt ook aan te geven dat het een probleem op de laptop zelf is en niet direct met de infra.
Laptops werken daarnaast ook gewoon met WhfB waarvan ik ook op dit moment 1 van de testgebruikers ben in de firma.
Misschien dat daar ook nog een link zit. Heb enkele forum posts gevonden die aangaven van misschien eens de PIN te resetten, maar ook dat gaf geen oplossing.
No keyboard detected. Press F1 to continue.
/u/217664/crop57a47149436c0_cropped.png?f=community)
:strip_icc():strip_exif()/u/150113/q3icon.jpg?f=community)
:strip_exif()/u/1839/avatar_drome.gif?f=community){kind=avatar}
Simpele vraag maar ik kom er niet zo 1-2-3 uit. Ik heb nieuwe conditional access policies gemaakt voor onze tenant en sindsdien moeten onze managed/entra joined iPhones elke dag opnieuw authenticeren.
Ik ben me suf aan het Googlen en ChatGPT-en maar ik kan niet vinden welke setting/policy dit nu precies veroorzaakt. Onze oude policies zijn er nog (report only) maar die zijn eerlijk gezegd zo'n zooitje dat ik ook daar niet wijs uit kan worden.
Wie kan mij de magic solution geven?
Ik ben me suf aan het Googlen en ChatGPT-en maar ik kan niet vinden welke setting/policy dit nu precies veroorzaakt. Onze oude policies zijn er nog (report only) maar die zijn eerlijk gezegd zo'n zooitje dat ik ook daar niet wijs uit kan worden.
Wie kan mij de magic solution geven?
DRoME LAN Gaming | iRacing profiel | Kia e-Niro 64kWh | Hyundai Ioniq 28kWh | PV 5.760Wp |
:strip_icc():strip_exif()/u/205293/crop585940245eac3_cropped.jpeg?f=community)
Panasonic 55FZ804 | Marantz sr7010 | Dune HD Pro 4K | Panasonic dp-ub424 | 2x Klipsch RF82 | 2x RP-140SA | 2x RB61 | 2xRB51 | RC52 Mk2 | SVS PB-1000 |
Je kan in de log file van CA zien waarop die gehit wordt? (sorry zag de laatste reactie niet):
Simpele vraag maar ik kom er niet zo 1-2-3 uit. Ik heb nieuwe conditional access policies gemaakt voor onze tenant en sindsdien moeten onze managed/entra joined iPhones elke dag opnieuw authenticeren.
Ik ben me suf aan het Googlen en ChatGPT-en maar ik kan niet vinden welke setting/policy dit nu precies veroorzaakt. Onze oude policies zijn er nog (report only) maar die zijn eerlijk gezegd zo'n zooitje dat ik ook daar niet wijs uit kan worden.
Wie kan mij de magic solution geven?
In de sign-in logs kun je onder het tabje conditional access controleren welke CA policy is toegepast. Anders kun je hier de what-if tool voor gebruiken.:
Simpele vraag maar ik kom er niet zo 1-2-3 uit. Ik heb nieuwe conditional access policies gemaakt voor onze tenant en sindsdien moeten onze managed/entra joined iPhones elke dag opnieuw authenticeren.
Ik ben me suf aan het Googlen en ChatGPT-en maar ik kan niet vinden welke setting/policy dit nu precies veroorzaakt. Onze oude policies zijn er nog (report only) maar die zijn eerlijk gezegd zo'n zooitje dat ik ook daar niet wijs uit kan worden.
Wie kan mij de magic solution geven?
is everything cool?
Twijfel over de plek om te vragen, maar denk dat dit de juiste plek is.
Ik heb een paar Azure File Shares draaien. Deze worden netjes door Microsoft gebackupped. Maar voor mijn gemoedsrust zou ik ook graag een eigen, soort van offline, backup maken. Op dit moment backup ik mijn M365 tenant met Synology Active Backup for M365, maar daar kan je geen file shares mee backuppen. Idealiter loopt de backup ook naar deze NAS, dan staat alles op 1 plek.
Iemand een richting om op te denken hoe dit in te regelen is? Mis duidelijk nog een stukje kennis hier, vandaar de vraag
Ik heb een paar Azure File Shares draaien. Deze worden netjes door Microsoft gebackupped. Maar voor mijn gemoedsrust zou ik ook graag een eigen, soort van offline, backup maken. Op dit moment backup ik mijn M365 tenant met Synology Active Backup for M365, maar daar kan je geen file shares mee backuppen. Idealiter loopt de backup ook naar deze NAS, dan staat alles op 1 plek.
Iemand een richting om op te denken hoe dit in te regelen is? Mis duidelijk nog een stukje kennis hier, vandaar de vraag
Automatisch crypto handelen via een NL platform? Check BitBotsi !
Panasonic 55FZ804 | Marantz sr7010 | Dune HD Pro 4K | Panasonic dp-ub424 | 2x Klipsch RF82 | 2x RP-140SA | 2x RB61 | 2xRB51 | RC52 Mk2 | SVS PB-1000 |
:strip_icc():strip_exif()/u/46486/RayBan.jpg?f=community)
Welk probleem probeer je precies op te lossen? Een stukje disaster (zone valt uit), of puur duplicatie / backup / file integrity?:
Twijfel over de plek om te vragen, maar denk dat dit de juiste plek is.
Ik heb een paar Azure File Shares draaien. Deze worden netjes door Microsoft gebackupped. Maar voor mijn gemoedsrust zou ik ook graag een eigen, soort van offline, backup maken. Op dit moment backup ik mijn M365 tenant met Synology Active Backup for M365, maar daar kan je geen file shares mee backuppen. Idealiter loopt de backup ook naar deze NAS, dan staat alles op 1 plek.
Iemand een richting om op te denken hoe dit in te regelen is? Mis duidelijk nog een stukje kennis hier, vandaar de vraag
3rd party oplossing kan uiteraard maar geeft ingeveer net zoveel garanties als de MSFT oplossing. Als het puur om beschikbaarheid gaat zou ik eerder naar het toevoegen van zone rudundancy oid kijken. Desnoods copy actie in Azure middels scheduled task ofzo, werkt ook prima. Storage daar kost niks en je betaalt ook niet voor data ingress of egress.
Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)
/u/97359/crop64803232ade4a_cropped.png?f=community)
Automatisch crypto handelen via een NL platform? Check BitBotsi !
Automatisch crypto handelen via een NL platform? Check BitBotsi !
Automatisch crypto handelen via een NL platform? Check BitBotsi !
Even terugkomen hierop. Ik heb alle logs erop nageslagen, MS support ingeschakeld en 2 externe bedrijven gevraagd om mee te denken maar niemand snapt waarom.:
Simpele vraag maar ik kom er niet zo 1-2-3 uit. Ik heb nieuwe conditional access policies gemaakt voor onze tenant en sindsdien moeten onze managed/entra joined iPhones elke dag opnieuw authenticeren.
Ik ben me suf aan het Googlen en ChatGPT-en maar ik kan niet vinden welke setting/policy dit nu precies veroorzaakt. Onze oude policies zijn er nog (report only) maar die zijn eerlijk gezegd zo'n zooitje dat ik ook daar niet wijs uit kan worden.
Wie kan mij de magic solution geven?
Ik heb nergens een sign in frequency geconfigureerd voor de gebruikers als ze een managed device hebben. Toch worden ze er elke 24 uur uitgetrapt. Logging zegt dit:
Grant Controls Not satisfied: Require multifactor authentication
En inderdaad, als iemand de MFA challenge voltooid zijn ze weer authenticated voor 24 uur. Maar waarom niet voor langer?!
Ik sta open voor elke suggestie inclusief bidden tot bepaalde hogere machten, want ik zit aan het eind van de zaken die ik nog kan proberen.
DRoME LAN Gaming | iRacing profiel | Kia e-Niro 64kWh | Hyundai Ioniq 28kWh | PV 5.760Wp |
Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?
/u/463779/crop663b92c5a03ab_cropped.png?f=community)
damnit, een belangrijk detail dat ik verkeerd had
, dank voor de correctie. Maar feit blijft natuurlijk dat je volledig afhankelijk maken van 1 cloud provider dit soort van fouten mogelijk maakt. Gelukkig zijn ze zo zeldzaam dat als het gebeurd, het wel het nieuws haalt
No keyboard detected. Press F1 to continue.
Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?
Om even terug te komen op het MFA probleem van mijn collega, als ik onder de authentication methodes ga kijken, dan zie ik onder de configuratie staan dat we dingen als number matching, push and passwordless en al die andere leuke dingen verplichten voor alle gebruikers. Klik ik evenwel onder zijn account op authentication methods, dan staat daar dat de authenticator app inderdaad aan staat, maar bij de details dat dingen zoals push en number matching uit staan. Geen enkel idee hoe dat zoiets kan. Want alles staat aan, voor alle gebruikers, zonder uitzonderingen.
--edit--
En dan kijk je verder, en dan zie je dat je het overheersende profiel toch niet naar alle gebruikers duwt, maar slechts naar een beperkte selectie van groepen, waaronder een groep met de admins, maar deze gebruiker ontbrak in die groep van admins
.
Zucht ...
--edit--
En dan kijk je verder, en dan zie je dat je het overheersende profiel toch niet naar alle gebruikers duwt, maar slechts naar een beperkte selectie van groepen, waaronder een groep met de admins, maar deze gebruiker ontbrak in die groep van admins
.Zucht ...
[ Voor 19% gewijzigd door Blokker_1999 op 08-09-2025 12:11 ]
No keyboard detected. Press F1 to continue.
Conditional Access is de moderne 1000-stukjes puzzel voor iedere systeembeheerder. Vreselijk is het.:
Om even terug te komen op het MFA probleem van mijn collega, als ik onder de authentication methodes ga kijken, dan zie ik onder de configuratie staan dat we dingen als number matching, push and passwordless en al die andere leuke dingen verplichten voor alle gebruikers. Klik ik evenwel onder zijn account op authentication methods, dan staat daar dat de authenticator app inderdaad aan staat, maar bij de details dat dingen zoals push en number matching uit staan. Geen enkel idee hoe dat zoiets kan. Want alles staat aan, voor alle gebruikers, zonder uitzonderingen.
--edit--
En dan kijk je verder, en dan zie je dat je het overheersende profiel toch niet naar alle gebruikers duwt, maar slechts naar een beperkte selectie van groepen, waaronder een groep met de admins, maar deze gebruiker ontbrak in die groep van admins
Zucht ...
Have you tried turning it off and on again?
Windows kan idd nog heel wat verbeteren aan UX, User eXperience. Want waar het vroeger nog prima was, is het nu een grote teringzooi geworden.
Commandline FTW | Tweakt met mate
Ik bedoelde Unix 🫣:
[...]
Windows kan idd nog heel wat verbeteren aan UX, User eXperience. Want waar het vroeger nog prima was, is het nu een grote teringzooi geworden.
Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?
Dat draai je ook niet zomaar eventjes en kost aardig wat geld. Wil je de verzameling van POSIX systemen noemen, gebruik dan *NIX.
Commandline FTW | Tweakt met mate
Nee ik bedoelde het echte werk.. HP-UX, Solaris:
[...]
Dat draai je ook niet zomaar eventjes en kost aardig wat geld. Wil je de verzameling van POSIX systemen noemen, gebruik dan *NIX.
portable backups
Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?
Automatisch crypto handelen via een NL platform? Check BitBotsi !
Dat komt, beste * Arfman ,omdat je niet Require multifactor authentication moet gebruiken maar Require compliant device bij de Grant controls
Daar hebben dus gewoon 6 man overheen gekeken, inclusief mezelf. Hopelijk bespaar ik iemand hiermee uren/dagen/weken gepuzzel.
DRoME LAN Gaming | iRacing profiel | Kia e-Niro 64kWh | Hyundai Ioniq 28kWh | PV 5.760Wp |
:strip_icc():strip_exif()/u/26028/penguin.jpg?f=community)
DRoME LAN Gaming | iRacing profiel | Kia e-Niro 64kWh | Hyundai Ioniq 28kWh | PV 5.760Wp |
Ik had het met elke applicatie (Teams/Outlook/etc.)
Dat hebben we hier nu ook
Met een aparte policy neem ik aan? En dan alleen gescoped op user actions - register security information? Zit er aan te denken om dat hier ook te doen, en ook alleen mogelijk te maken vanaf ons IP adres. Op die manier kunnen kwaadwillenden geen extra devices registreren als ze toch een keer het MFA token te pakken hebben gekregen.
Dat was dit in dit geval zo. Paar duizend mensen moesten elke dag opnieuw authenticeren op hun telefoon. Dat kun je wel 1 of 2 dagen wegverklaren, maar na het week beginnen de C-levels te klagen en wordt het allemaal vervelend.
offtopic:
Eerstelijns MS support is echt hopeloos. Ik weet wat we ervoor betalen en het niveau is om te huilen. We hebben met onze CSAM nu afgesproken dat we een ticket inschieten, hem door de 1e lijn laten oppakken en daarna meteen escaleren via hem naar een andere engineer, dichterbij huis.
Eerstelijns MS support is echt hopeloos. Ik weet wat we ervoor betalen en het niveau is om te huilen. We hebben met onze CSAM nu afgesproken dat we een ticket inschieten, hem door de 1e lijn laten oppakken en daarna meteen escaleren via hem naar een andere engineer, dichterbij huis.
DRoME LAN Gaming | iRacing profiel | Kia e-Niro 64kWh | Hyundai Ioniq 28kWh | PV 5.760Wp |
:strip_icc():strip_exif()/u/30776/crop607546b97ec11_cropped.jpg?f=community)
:strip_icc():strip_exif()/u/14216/crop5799bab2c4dc0_cropped.jpeg?f=community)
/u/296398/crop618d33cd3b82c_cropped.png?f=community)
Waar komt die allinea ineens vandaan 
Er zijn uiteraard meerdere creatieve manieren om dat op te lossen. Ook beetje afhankelijk van hoe groot de mailbox is. Als het een keine is dan kan je ze gewoon alle 2 in je Outlook aankoppelen en folders beginnen verplaatsen. Duurt even, maar zolang het geen honderden folders zijn is dat goed te doen. Al heb ik zo in het verleden al wel eens Outlook enkele keren doen crashen
Maar een andere, relatief eenvoudige manier die je als beheerder kunt toepassen is oude mailbox exporteren naar een pst en dan dit weer importeren in de nieuwe mailbox. Zij het via de beheerstools, zij het via Outlook. Wij hebben begin dit jaar massaal pst files zitten importeren in Exchange Online daar we na onze migratie het offline bijhouden van mails zijn gaan verbieden. En dat ging vrij vlot.
No keyboard detected. Press F1 to continue.