Acties:
  • +6 Henk 'm!

  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 05:23
Afbeeldingslocatie: https://tweakers.net/i/2U3linJCqhsJpAMNFzDaIVQk7IA=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/ZPEzU4ZIZUnI05qHoEIu2inU.png?f=user_large


Microsoft Intune is de strategische infrastructuur voor het beheren en beveiligen van de apparaten, apps en gegevens van uw organisatie. Daarnaast helpt Microsoft Intune ervoor te zorgen dat uw eindgebruikers de beste ervaring hebben met de productiviteit.

Afbeeldingslocatie: https://tweakers.net/i/wksrmbj6RR0HTPpUOGR7JSnjFo4=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/5zFIGhGggzF9Sruz12meCacx.png?f=user_large

Microsoft Intune: Intune is 100% een provider van cloudservices voor het beheren van mobiele apparaten (MDM of Mobile Device Management) en mobiele toepassingen (MAM of Mobile Application Management), voor uw apps en apparaten. U kunt er functies en instellingen op apparaten met Android, Android Enterprise, iOS/iPadOS, macOS en Windows 10 mee beheren. Intune kan worden geïntegreerd met andere services, waaronder Azure Active Directory (AD), verdedigingssoftware tegen mobiele bedreigingen, ADMX-sjablonen, Win32- en aangepaste LOB-apps en meer.

Configuration Manager: Configuration Manager is een on-premises oplossing voor het beheren van desktopcomputers, servers en laptops die zich op uw netwerk of op internet bevinden. U kunt deze cloud inschakelen voor integratie met Intune, Azure Active Directory (AD), Microsoft Defender for Endpoint en andere cloudservices. Gebruik Configuration Manager om apps, software-updates en besturingssystemen te implementeren. U kunt ook naleving controleren, query's uitvoeren en in realtime op clients reageren, en nog veel meer.

Co-beheer: met co-beheer combineert u uw huidige investering in on-premises Configuration Manager met de cloud omdat er gebruik wordt gemaakt van Intune en andere Microsoft 365-cloudservices. U kunt kiezen of Configuration Manager of Intune de beheerinstantie is die voor de zeven verschillende workloadgroepen moet worden gebruikt.

Desktop Analytics: Desktop Analytics is een cloudservice die kan worden geïntegreerd met Configuration Manager. Desktop Analytics biedt inzicht en intelligentie zodat u beter geïnformeerde beslissingen kunt nemen over de updategereedheid van Windows. De service combineert gegevens van uw organisatie met gegevens die zijn verzameld van miljoenen apparaten die zijn verbonden met de Microsoft-cloud. Ze geeft informatie over beveiligingsupdates, apps en apparaten in uw organisatie, en identificeert compatibiliteitsproblemen met apps en stuurprogramma's. Voer een test uit met apparaten die waarschijnlijk de beste inzichten bieden in assets in uw organisatie.

Windows Autopilot: met Windows Autopilot kunt u nieuwe apparaten installeren en vooraf configureren, zodat ze klaar zijn voor gebruik. Windows Autopilot is ontworpen om het gebruik van Windows-apparaten tijdens alle fasen van de levenscyclus te vereenvoudigen, voor zowel IT-medewerkers als eindgebruikers, vanaf de eerste implementatie tot het einde van de cyclus.

Azure Active Directory (AD) : Azure AD wordt gebruikt door de eindpuntbeheerder voor de identiteit van apparaten, gebruikers, groepen en meervoudige verificatie (MFA). Azure AD Premium, wat extra kosten met zich meebrengt, heeft extra functies om apparaten, apps en gegevens te beschermen, met inbegrip van dynamische groepen, automatische inschrijving en voorwaardelijke toegang.

Endpoint Manager-beheercentrum: het beheercentrum is een website die alles biedt wat u nodig hebt voor het maken van beleidsregels en het beheren van uw apparaten. Het maakt gebruikt van andere belangrijke services voor het beheer van apparaten, waaronder groepen, beveiliging, voorwaardelijke toegang en rapportage. In dit beheercentrum vindt u ook apparaten die worden beheerd door Configuration Manager en Intune (als preview-versie).



Als je nog geen ervaring hebt met Microsoft Endpoint manager en hier mee wil starten dan heeft microsoft een
Snelstartgids: Microsoft Intune gratis proberen hiermee kan je een trail tenant maken van 30 dagen. Zakelijke gebruikers kopen wat sneller een licentie maar als Endpoint beheerder of student kan je ook een Microsoft 365 Business Basic en een EMS E3 licentie aanschaffen dit kost je dan ongeveer 150,- per jaar.



Er is online heel veel te vinden over Endpoint manager hieronder een aantal variantenOok zijn er verschillende boeken welke je kunt gebruiken bijvoorbeeld de boeken van MS-100,MS-101, MD-100 en MD-101 zelf gebruik ik ook het boek learning microsoft endpoint manager



Afbeeldingslocatie: https://tweakers.net/i/axC9vue8LTqo6rn4l7o3Vda0-E0=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/CRj9HKxsoW86c9N339iTYqsD.jpg?f=user_large

Een zeer uitgebreide uitleg over autopilot: Demonstrate Autopilot deployment

[ Voor 0% gewijzigd door TheVMaster op 19-04-2023 16:57 ]

Cloud ☁️


Acties:
  • +2 Henk 'm!

  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 05:23
Gereserveerd

Als iemand zich geroepen voelt om mede TS te worden stuur dan een DM

[ Voor 77% gewijzigd door HKLM_ op 06-10-2021 11:10 ]

Cloud ☁️


Acties:
  • 0 Henk 'm!

  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 05:23
Direct een mooie vraag :) Hoe gaan de mede Endpoint beheerders om met bestaande devices welke gemigreerd moeten worden naar autopilot? Hoe hebben jullie de HWID van de bestaande laptops in autopilot gekregen? :)

Cloud ☁️


Acties:
  • +1 Henk 'm!

  • tdm850ed
  • Registratie: Januari 2008
  • Laatst online: 06-05 09:29
HKLM_ schreef op woensdag 6 oktober 2021 @ 11:12:
Direct een mooie vraag :) Hoe gaan de mede Endpoint beheerders om met bestaande devices welke gemigreerd moeten worden naar autopilot? Hoe hebben jullie de HWID van de bestaande laptops in autopilot gekregen? :)
Dit hebben wij recent gedaan door middel van een powershell script die de csv bestanden op een share zette.

Dit powershell script hebben we via onze huidige management oplossing (ivanti EPM) laten draaien op alle laptops.


Het gaat om het volgende script:

https://www.powershellgal...-WindowsAutoPilotInfo/3.5

Daarna de csv bestanden in bulk geupload naar het portal.

Acties:
  • 0 Henk 'm!

  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 05:23
tdm850ed schreef op woensdag 6 oktober 2021 @ 11:15:
[...]


Dit hebben wij recent gedaan door middel van een powershell script die de csv bestanden op een share zette.

Dit powershell script hebben we via onze huidige management oplossing (ivanti EPM) laten draaien op alle laptops.


Het gaat om het volgende script:

https://www.powershellgal...-WindowsAutoPilotInfo/3.5

Daarna de csv bestanden in bulk geupload naar het portal.
Hebben jullie dat script lokaal gedraaid of via Azure Automation? :D

Cloud ☁️


Acties:
  • +1 Henk 'm!

  • tdm850ed
  • Registratie: Januari 2008
  • Laatst online: 06-05 09:29
HKLM_ schreef op woensdag 6 oktober 2021 @ 11:17:
[...]


Hebben jullie dat script lokaal gedraaid of via Azure Automation? :D
Script draaide lokaal op de laptop via de beheertool en de output werd opgeslagen op een share waar iedereen access naar toe heeft.

Acties:
  • 0 Henk 'm!

  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 05:23
tdm850ed schreef op woensdag 6 oktober 2021 @ 11:18:
[...]


Script draaide lokaal op de laptop via de beheertool en de output werd opgeslagen op een share waar iedereen access naar toe heeft.
Je linkt brengt me direct verder :P Denk dat ik dit eens ga uitvogelen binnenkort
https://msendpointmgr.com...ws-autopilot-information/

Afbeeldingslocatie: https://tweakers.net/i/-W0STxU5S1n_Yox6nXmrapZy9h0=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/dZTeV8clMKZJU0HbQZ147SK5.png?f=user_large

Cloud ☁️


Acties:
  • 0 Henk 'm!

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 01:43
HKLM_ schreef op Wednesday 6 October 2021 @ 11:12:
Direct een mooie vraag :) Hoe gaan de mede Endpoint beheerders om met bestaande devices welke gemigreerd moeten worden naar autopilot? Hoe hebben jullie de HWID van de bestaande laptops in autopilot gekregen? :)
Om eerlijk te zijn ligt dat een beetje aan wat de klant al heeft. Ik had een tijd terug een klant die een hele voorraad laptops had liggen en die zijn opnieuw geimaged (vanilla Windows 10) met MDT. In die MDT task sequence hebben heb ik een script opgenomen die de hardware has verzamelt in een .csv die werd opgeslagen op een fileshare.

Bij een andere klant heb ik Windows 10 (ook weer met MDT) laten deployen naar de machines en de AutoPilot JSON file in de juiste folder op de client laten plaatsen, zodat er tijdens de OOBE automatisch verbinding werd gemaakt met Autopilot.

Acties:
  • 0 Henk 'm!

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 01:43
HKLM_ schreef op Wednesday 6 October 2021 @ 11:17:
[...]


Hebben jullie dat script lokaal gedraaid of via Azure Automation? :D
Dat is ook nog een optie, maar ik moet zeggen dat ik die route nog niet heb bewandelt. Komt ook wel, omdat ik niet altijd het hele 'traject' meedraai bij een klant. Soms doet de klant het zelf en geef ik alleen advies bij die ze niet voor elkaar krijgen zeg maar. :+

Acties:
  • 0 Henk 'm!

  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 05:23
TheVMaster schreef op woensdag 6 oktober 2021 @ 11:32:
[...]


Bij een andere klant heb ik Windows 10 (ook weer met MDT) laten deployen naar de machines en de AutoPilot JSON file in de juiste folder op de client laten plaatsen, zodat er tijdens de OOBE automatisch verbinding werd gemaakt met Autopilot.
maar dan moeten de HWID's al in Intune staan toch? of regel je dat dan ook met de JSON?

Cloud ☁️


Acties:
  • +1 Henk 'm!

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 01:43
HKLM_ schreef op Wednesday 6 October 2021 @ 11:34:
[...]


maar dan moeten de HWID's al in Intune staan toch? of regel je dat dan ook met de JSON?
Dat is met die JSON niet nodig. Je moet die JSON dus eerst genereren (lees ook Autopilot for Existing devices even door :+). Dit is overigens ook via ConfigMgr te regelen, door de Autpilot for Existing Devices TS te gebruiken.

Die doet niets anders dan Windows 10 installeren en die JSON op de juiste plek zetten. Die JSON bevat dus informatie over je AAD tenant en het Autopilot profiel. Superhandig, dan hoef je dus niet eerst de HWID's in Intune te importeren. En je kunt in het Autopilot profiel ook aangeven dat hij 'bestaande clients' om moet zetten naar Autopilot devices.

[ Voor 12% gewijzigd door TheVMaster op 06-10-2021 11:38 ]


Acties:
  • 0 Henk 'm!

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 01:43
HKLM_ schreef op Wednesday 6 October 2021 @ 11:09:
[Afbeelding]


Microsoft Endpoint Manager is de strategische infrastructuur voor het beheren en beveiligen van de apparaten, apps en gegevens van uw organisatie. Daarnaast helpt Microsoft Endpoint Manager ervoor te zorgen dat uw eindgebruikers de beste ervaring hebben met de productiviteit.
[...]
Moet zeggen dat ik wel moet lachen om alle Nederlandse beschrijvingen. Ik gebruik zelf eigenlijk altijd de Engelstalige termen in het werk :+

Zijn er mensen die de Endpoint Manager Portal op Nederlands hebben staan trouwens?

Acties:
  • 0 Henk 'm!

  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 05:23
TheVMaster schreef op woensdag 6 oktober 2021 @ 11:39:
[...]


Moet zeggen dat ik wel moet lachen om alle Nederlandse beschrijvingen. Ik gebruik zelf eigenlijk altijd de Engelstalige termen in het werk :+

Zijn er mensen die de Endpoint Manager Portal op Nederlands hebben staan trouwens?
haha copy-pase van vertaalde microsoft pagina's :P

Cloud ☁️


Acties:
  • +1 Henk 'm!

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 01:43
HKLM_ schreef op Wednesday 6 October 2021 @ 11:40:
[...]


haha copy-pase van vertaalde microsoft pagina's :P
:+ Dacht ik al, maakt ook niet uit. Ik moet altijd grinniken om die 'rare' vertalingen. Heb op m'n pc ook al decennia Engelstalige versies van Windows en krijg altijd jeuk als ik bij een klant ineens een NL versie moet gaan gebruiken. :?

Acties:
  • +1 Henk 'm!

  • nextware
  • Registratie: Mei 2002
  • Laatst online: 23:08
HKLM_ schreef op woensdag 6 oktober 2021 @ 11:12:
Direct een mooie vraag :) Hoe gaan de mede Endpoint beheerders om met bestaande devices welke gemigreerd moeten worden naar autopilot? Hoe hebben jullie de HWID van de bestaande laptops in autopilot gekregen? :)
Bestaande devices worden bij ons niet omgezet naar Autopilot. Alleen bij nieuwe laptops wordt er gebruik gemaakt van Autopilot. De hardware hash hiervoor wordt door onze supplier direct in onze Endpoint tenant geplaatst. Wanneer een bestaande laptop crashed en deze hoeft nog niet vervangen te worden wordt deze laptop nog via MDT opnieuw geïnstalleerd.

We maken nu nog gebruik van een Azure Hybrid AD-join omgeving welke we voor 31-12 aanstaande hopen te vervangen voor een full Azure-AD join omgeving.

En binnenkort gaan we ook kijken om desktop van Autopilot uit te rollen. De eerste testen leveren een totale installatie tijd van ongeveer 18 minuten op terwijl de MDT sequence ruim 40 minuten duurt.

Acties:
  • +2 Henk 'm!

  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 05:23
nextware schreef op woensdag 6 oktober 2021 @ 16:42:
[...]


Bestaande devices worden bij ons niet omgezet naar Autopilot. Alleen bij nieuwe laptops wordt er gebruik gemaakt van Autopilot. De hardware hash hiervoor wordt door onze supplier direct in onze Endpoint tenant geplaatst. Wanneer een bestaande laptop crashed en deze hoeft nog niet vervangen te worden wordt deze laptop nog via MDT opnieuw geïnstalleerd.

We maken nu nog gebruik van een Azure Hybrid AD-join omgeving welke we voor 31-12 aanstaande hopen te vervangen voor een full Azure-AD join omgeving.

En binnenkort gaan we ook kijken om desktop van Autopilot uit te rollen. De eerste testen leveren een totale installatie tijd van ongeveer 18 minuten op terwijl de MDT sequence ruim 40 minuten duurt.
Dat in de tenant uploaden ken ik inderdaad, ik ga toch eens kijken hoe ik bestaande laptops makkelijk kan laten joinen (zonder veel werk) :P

Voor laptops welke nog niet in autopilot zitten maar je wel gaat herinstalleren is dit ook een oplossing. https://www.robinhobo.com...ws-autopilot-even-faster/ Dan kan je vanuit de window 10 setup via shift + F10 en wat commando's het device registreren en dan verder gaan :*)

Dit werkt ook en is best handig, als je Windows installeert en aangeeft dat het een werk device is (Even aanmelden met een gebruikersnaam en password) Als je dan in je Autopilot profiel hebt aangevinkt dat nieuwe devices ook een Autopilot device moeten worden dan ben je er direct :X

Afbeeldingslocatie: https://tweakers.net/i/53yVz3gu_dA0pwuKo-4VlP7nu28=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/QJ23tVU04pWZr742ba2lJkzC.png?f=user_large

[ Voor 27% gewijzigd door HKLM_ op 06-10-2021 19:38 ]

Cloud ☁️


Acties:
  • 0 Henk 'm!

  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 05:23
October (2110) UI updates is vanaf vandaag beschikbaar in de EMEA

Cloud ☁️


Acties:
  • 0 Henk 'm!

  • Muggie
  • Registratie: Februari 2000
  • Laatst online: 18:31

Muggie

8 pm

Gisteren even op het verkeerde been gezet door een foutmelding bij het opnieuw uitrollen van autopilot devices, blijkbaar kan dat niet meer zonder eerst de objecten uit InTune te verwijderen en opnieuw te importeren.

De error was 0x80180014 en ik dacht eerst even dat het platform (Windows 10 20H2) op magische wijze geblokkeerd was maar na wat beter kijken zag ik een One Time Limit in de logs voorbij komen en dat leidde naar deze artikelen, blijkbaar had ik die even gemist in de stroom aan MS meldingen in de Office 365 portal:
https://docs.microsoft.co...leshoot-device-enrollment
https://techcommunity.mic...d-deployment/ba-p/2848452

Hopelijk voorkom ik iemand wat zoekwerk en hoofdpijn hiermee :)

PSN: mug_8pm


Acties:
  • +1 Henk 'm!

  • duronbug
  • Registratie: November 2000
  • Laatst online: 23:37

duronbug

Step on it.....!

Alternatieve optie om bestaande devices in Intune + Autopilot te krijgen is een provisioning package: https://docs.microsoft.co...lment/windows-bulk-enroll

In combinatie met deze setting:

Afbeeldingslocatie: https://tweakers.net/i/FXb_NoWkuaZ4ZM9e6lJS1RPiBm8=/800x/filters:strip_exif()/f/image/h9L4xJP0Bk4hseDJbL9L5H4O.png?f=fotoalbum_large

Acties:
  • 0 Henk 'm!

  • Muggie
  • Registratie: Februari 2000
  • Laatst online: 18:31

Muggie

8 pm

duronbug schreef op donderdag 21 oktober 2021 @ 23:23:
Alternatieve optie om bestaande devices in Intune + Autopilot te krijgen is een provisioning package: https://docs.microsoft.co...lment/windows-bulk-enroll

In combinatie met deze setting:

[Afbeelding]
Dat klopt voor registreren van nieuwe devices, maar als je vervolgens (een van) die devices opnieuw uitrolt of reset en opnieuw wil koppelen aan intune dan gaat dat dus niet meer tenzij je de objecten verwijderd en weer toevoegt.

PSN: mug_8pm


Acties:
  • 0 Henk 'm!

  • D_Jeff
  • Registratie: April 2011
  • Laatst online: 06-05 17:27
@nextware Je schrijft over een Intune hybrid omgeving.

Is dat met of zonder SSCM ?

Hold. Step. Move. There will always be a way to keep on moving


Acties:
  • 0 Henk 'm!

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 01:43
D_Jeff schreef op Tuesday 2 November 2021 @ 12:48:
@nextware Je schrijft over een Intune hybrid omgeving.

Is dat met of zonder SSCM ?
Intune hybrid bestaat niet meer.

[ Voor 104% gewijzigd door TheVMaster op 02-11-2021 13:20 ]


Acties:
  • 0 Henk 'm!

  • D_Jeff
  • Registratie: April 2011
  • Laatst online: 06-05 17:27
@TheVMaster Geen idee hoe ik het anders moet verwoorden.

De Intune Connector bestaat nog en het is nog steeds mogelijk om een device in zowel Windows AD als in AzureAD te onboarden.

Hold. Step. Move. There will always be a way to keep on moving


Acties:
  • 0 Henk 'm!

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 01:43
D_Jeff schreef op Tuesday 2 November 2021 @ 13:02:
@TheVMaster Geen idee hoe ik het anders moet verwoorden.

De Intune Connector bestaat nog en het is nog steeds mogelijk om een device in zowel Windows AD als in AzureAD te onboarden.
Met de Intune Connector waar jij op doelt krijg je hooguit een Hybrid AD join.Maar nog steeds native Intune managed :-) Als je workloads in ConfigMgr wilt managen dan doe je dat via Co-Management, maar als je native in AAD/Intune begint dan voegt dat weinig toe voor mijn gevoel.

SCCM Hybrid bestaat al sinds 2019 niet meer: https://docs.microsoft.co...d/what-happened-to-hybrid

[ Voor 15% gewijzigd door TheVMaster op 02-11-2021 13:21 ]


Acties:
  • 0 Henk 'm!

  • D_Jeff
  • Registratie: April 2011
  • Laatst online: 06-05 17:27
@TheVMaster Ik ben nu aan het testen met een laptop voor een Windows AD met Intune managing mogelijkheid zonder dat daar een SCCM-server voor om de hoek komt kijken.

Mijn issue:
Als ik daarbij Autopilot gebruik gaan fase 1 & fase 2 prima. Daarna komt het login scherm (waarbij ingelogd wordt met de Windows AD gegevens) en blijft het Autopilot proces hangen op "Joining your organization's network". (2 uur+, de Time Out value van de ESP wordt straalhard genegeerd )

Nu weet ik dat het tijdens het OOBE Autopilot proces het mogelijk is om via <Shift> + <F10> CMD op te roepen en op die manier bij de eventviewer te komen. Het enige nuttige dat ik zo snel kon vinden in de logs was onder Windows -> AAD: Warning - EventID 1097

Optie 2: Via CMD een geforceerde reboot uitvoeren via shutdown.exe ; Dan gaat de laptop wel gelijk door naar Windows (na log in). Nadeel hiervan is dat een apparaat alleen als "registered" in AzureAD/Intune terecht komt -- Joined is hier gewenst.

Nog suggesties / ideeën waar ik kijken/zoeken moet?

Hold. Step. Move. There will always be a way to keep on moving


Acties:
  • 0 Henk 'm!

  • nextware
  • Registratie: Mei 2002
  • Laatst online: 23:08
D_Jeff schreef op dinsdag 2 november 2021 @ 13:32:
@TheVMaster

Mijn issue:
Als ik daarbij Autopilot gebruik gaan fase 1 & fase 2 prima. Daarna komt het login scherm (waarbij ingelogd wordt met de Windows AD gegevens) en blijft het Autopilot proces hangen op "Joining your organization's network". (2 uur+, de Time Out value van de ESP wordt straalhard genegeerd )
@D_Jeff Tegen dit probleem zijn wij bij de implementatie van Autopilot ook aangelopen.
Na uitvoerig overleg met Microsoft support medewerkers blijkt dit proces te "wachten" op een sync vanuit de Azure AD-omgeving waarin het device een bericht krijgt dat de registratie compleet is. Daarna krijgt de gebruiker een loginscherm om de registratie te voltooien. De timeout binnen de ESP heeft hier inderdaad totaal geen effect op.

Microsoft raadt ook aan om de User ESP geheel over te slaan gedurende Autopilot (bron: Microsoft Support). Dit kun je doen door een configuration profile aan te maken binnen Endpoint.

Je kunt eens op de volgende plaatsen zoeken naar een mogelijke oplossing:

1: in Azure AD; kijk even of de gebruiker een device mag registeren:Afbeeldingslocatie: https://tweakers.net/i/9-TOMaheACzSkMJLhE0ev7-c1_4=/800x/filters:strip_exif()/f/image/xYO0b1HqR9V1sx5HcTDyRuej.png?f=fotoalbum_large

Zet ook de optie eronder bij "Maximum number of devices per user" op een iets hoger getal. Wij hebben hem op 20 staan.

2: Als je gebruik maakt van een Hybrid omgeving; probeer de sync setting van de Azure AD synchronization agent even op 10 minuten te zetten en kijk of dit effect heeft

3: Die "joining your organization's network" is een taakje op het device zelf. Het kan ook zijn dat deze taak vastloopt. Probeer onderstaand Powershell script eens wat je in je Autopilot sequence op het device laat installeren:

code:
1
2
3
4
5
6
$DurationTimeSpan = New-TimeSpan -Hours 1
$RepetitionTimeSpan = New-TimeSpan -Minutes 5
$Trigger1 = New-ScheduledTaskTrigger -AtLogon
$Trigger2 = New-ScheduledTaskTrigger -At (Get-Date) -Once -RepetitionDuration $DurationTimeSpan -RepetitionInterval $RepetitionTimeSpan
$TaskPath = (Get-ScheduledTask -TaskName "Automatic-Device-Join").TaskPath
Set-ScheduledTask -TaskName "Automatic-Device-Join" -TaskPath $TaskPath -Trigger $Trigger1,$Trigger2


Dit is de beschrijving van het script:
it keeps the user logon trigger, but instead of the default on-domain-join-and-then-every-hour-for-one-day trigger, it actually triggers the registration task the moment the PowerShell script is run and then every 5 minutes for the next hour
LET OP: dit script is afkomstig van een Microsoft support medewerker. Gebruik is echter wel op eigen risico !!

Dit distribueer je dan als een Powershell script gedurende de Autopilot sequence. Vergeet uiteraard niet de groep met Autopilot devices hierop rechten te geven ;)

Afbeeldingslocatie: https://tweakers.net/i/hX_T_iJLOrWjYqDa7XL0W3lP9kc=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/5C7Cb3ohFpk1J4dfj2P0khin.png?f=user_large

Die error 1097 is een error dat MFA in de weg zit om de ESR (Enterprise State Roaming) uit te laten voeren.

Ik vermoed dat dit een reguliere error is die wel verdwijnt op het moment dat de Autopilot deployment geheel is uitgevoerd.

En de laatste tip: we hebben gemerkt dat de Autopilot sequence ook niet lukt als het device is verbonden met ons corporate (WiFi-) netwerk. Daarom adviseren wij ook iedereen om de deployment thuis te doen. Of als ze het persé op kantoor willen doen dat ze dan ons gasten WiFi hiervoor gebruiken en het device niet op een netwerkkabel aansluiten op kantoor.

[ Voor 8% gewijzigd door nextware op 02-11-2021 14:29 ]


Acties:
  • 0 Henk 'm!

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 01:43
D_Jeff schreef op Tuesday 2 November 2021 @ 13:32:
@TheVMaster Ik ben nu aan het testen met een laptop voor een Windows AD met Intune managing mogelijkheid zonder dat daar een SCCM-server voor om de hoek komt kijken.

Mijn issue:
Als ik daarbij Autopilot gebruik gaan fase 1 & fase 2 prima. Daarna komt het login scherm (waarbij ingelogd wordt met de Windows AD gegevens) en blijft het Autopilot proces hangen op "Joining your organization's network". (2 uur+, de Time Out value van de ESP wordt straalhard genegeerd )

Nu weet ik dat het tijdens het OOBE Autopilot proces het mogelijk is om via <Shift> + <F10> CMD op te roepen en op die manier bij de eventviewer te komen. Het enige nuttige dat ik zo snel kon vinden in de logs was onder Windows -> AAD: Warning - EventID 1097

Optie 2: Via CMD een geforceerde reboot uitvoeren via shutdown.exe ; Dan gaat de laptop wel gelijk door naar Windows (na log in). Nadeel hiervan is dat een apparaat alleen als "registered" in AzureAD/Intune terecht komt -- Joined is hier gewenst.

Nog suggesties / ideeën waar ik kijken/zoeken moet?
Heb je dit issue ook als je hem native in AAD joined (ipv Hybrid AD join)? Is er een goede reden om de devices niet native in AAD te hangen?

Acties:
  • 0 Henk 'm!

  • nextware
  • Registratie: Mei 2002
  • Laatst online: 23:08
TheVMaster schreef op dinsdag 2 november 2021 @ 14:27:
[...]


Heb je dit issue ook als je hem native in AAD joined (ipv Hybrid AD join)? Is er een goede reden om de devices niet native in AAD te hangen?
Bij ons was een reden om een Hybrid Join te doen vanwege bepaalde (legacy) policies. We zijn echter wel bezig om alles om te zetten naar AAD. Maar de grootste uitdaging blijven drivemappings (don't ask...).

Acties:
  • 0 Henk 'm!

  • Hann1BaL
  • Registratie: September 2003
  • Laatst online: 01-05 11:26

Hann1BaL

Do you stay for dinner?Clarice

HKLM_ schreef op woensdag 6 oktober 2021 @ 11:12:
Direct een mooie vraag :) Hoe gaan de mede Endpoint beheerders om met bestaande devices welke gemigreerd moeten worden naar autopilot? Hoe hebben jullie de HWID van de bestaande laptops in autopilot gekregen? :)
Als je devices in SCCM hebt, deze registreren in Intune (Enterprise registration) en de devices een autopilot profile assigning geeft je de optie de hardware ID direct op te slaan voor al je devices.

Het kan uiteraard ook met PS script op de devices zelf die de ID uploadt, maar is nu tegenwoordig een ingebouwde feature:
Afbeeldingslocatie: https://tweakers.net/i/qOToorLG7H2n6j3gkXSdpL0lfmA=/800x/filters:strip_exif()/f/image/cqCCfRygWJlM8Jb6KDC1FByc.png?f=fotoalbum_large

Acties:
  • 0 Henk 'm!

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 01:43
nextware schreef op Tuesday 2 November 2021 @ 14:30:
[...]


Bij ons was een reden om een Hybrid Join te doen vanwege bepaalde (legacy) policies. We zijn echter wel bezig om alles om te zetten naar AAD. Maar de grootste uitdaging blijven drivemappings (don't ask...).
Wat voor legacy GPO's zou je ook op je modern gemanagede werkplek willen hebben dan? Ik begrijp dat je bepaalde zaken wilt configureren, maar ik zou in de moderne wereld een (standaard kantoor) werkplek niet zo enorm willen volladen met policies en restricties.

Acties:
  • 0 Henk 'm!

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 01:43
Hann1BaL schreef op Tuesday 2 November 2021 @ 14:35:
[...]


Als je devices in SCCM hebt, deze registreren in Intune (Enterprise registration) en de devices een autopilot profile assigning geeft je de optie de hardware ID direct op te slaan voor al je devices.

Het kan uiteraard ook met PS script op de devices zelf die de ID uploadt, maar is nu tegenwoordig een ingebouwde feature:
[Afbeelding]
Die feature zit er al best een tijdje in :+ Maar die is wel erg handig!

Acties:
  • 0 Henk 'm!

  • Hann1BaL
  • Registratie: September 2003
  • Laatst online: 01-05 11:26

Hann1BaL

Do you stay for dinner?Clarice

TheVMaster schreef op dinsdag 2 november 2021 @ 14:36:
[...]


Wat voor legacy GPO's zou je ook op je modern gemanagede werkplek willen hebben dan? Ik begrijp dat je bepaalde zaken wilt configureren, maar ik zou in de moderne wereld een (standaard kantoor) werkplek niet zo enorm willen volladen met policies en restricties.
Realiteit is dat de berg policies verplaatsen zo lang kan duren dat je niet naar autopilot kunt en als je het beetje bij beetje doet, ben je sneller bij remote provisioning.
Dat is bij ons het uitgangspunt om helaas een tijd hybrid te blijven.

Ook werkt onze IdP nu beter met AD accounts en niet met volledige UPNs wat de UX van niet hoeven in te loggen sloopt.

Acties:
  • 0 Henk 'm!

  • Hann1BaL
  • Registratie: September 2003
  • Laatst online: 01-05 11:26

Hann1BaL

Do you stay for dinner?Clarice

D_Jeff schreef op dinsdag 2 november 2021 @ 13:32:
@TheVMaster Ik ben nu aan het testen met een laptop voor een Windows AD met Intune managing mogelijkheid zonder dat daar een SCCM-server voor om de hoek komt kijken.

Mijn issue:
Als ik daarbij Autopilot gebruik gaan fase 1 & fase 2 prima. Daarna komt het login scherm (waarbij ingelogd wordt met de Windows AD gegevens) en blijft het Autopilot proces hangen op "Joining your organization's network". (2 uur+, de Time Out value van de ESP wordt straalhard genegeerd )


Nog suggesties / ideeën waar ik kijken/zoeken moet?
Ik neem aan dat je met AD connector het device toevoegt aan je AD?
Dat doen wij in ieder geval wel.
Zorg wel dat het OU gesynced wordt naar AAD. (default is elke 15 min volgens mij.)
Check handmatig of het device al zichtbaar is in AD, AAD en Intune en dat de SYNC gelukt is.

Dit kan ook een interessant script zijn:
https://oofhours.com/2020...agnostics-digging-deeper/

Acties:
  • 0 Henk 'm!

  • nextware
  • Registratie: Mei 2002
  • Laatst online: 23:08
TheVMaster schreef op dinsdag 2 november 2021 @ 14:36:
[...]


Wat voor legacy GPO's zou je ook op je modern gemanagede werkplek willen hebben dan? Ik begrijp dat je bepaalde zaken wilt configureren, maar ik zou in de moderne wereld een (standaard kantoor) werkplek niet zo enorm willen volladen met policies en restricties.
Wij hebben een aantal applicaties die legacay policies vereisen voor de werking. Dit is een dinosaurus uit het jaar Kruik, maar wel iets waar we op dit moment nog mee te maken hebben. Gelukkig hebben we de app een paar jaar geleden op Windows 10 werkend gekregen (AppV). De leverancier was zeer benieuwd hoe we dat voor elkaar hadden gekregen :+

Zoals ik al aangaf zijn we bezig met het overstappen naar AAD-joined werkplekken. Dit zullen in het begin onze mobile devices zijn en in een later stadium ook desktops.

[ Voor 11% gewijzigd door nextware op 02-11-2021 14:42 ]


Acties:
  • 0 Henk 'm!

  • D_Jeff
  • Registratie: April 2011
  • Laatst online: 06-05 17:27
@nextware A-men. _/-\o_

Na de meest vage sites gehad te hebben, zijn dit indd tips / suggesties waarmee ik aan de slag kan. (ben al een goede week aan het zoeken)

Wel vraag ik mij nog af:
Als jullie een nieuw device binnen krijgen, voeren jullie dan nog een Hardware-ID extract uit? (via Get-WindowsAutopilotInfo ?)

Hold. Step. Move. There will always be a way to keep on moving


Acties:
  • 0 Henk 'm!

  • nextware
  • Registratie: Mei 2002
  • Laatst online: 23:08
D_Jeff schreef op dinsdag 2 november 2021 @ 14:42:
@nextware A-men. _/-\o_

Wel vraag ik mij nog af:
Als jullie een nieuw device binnen krijgen, voeren jullie dan nog een Hardware-ID extract uit? (via Get-WindowsAutopilotInfo ?)
Graag gedaan. Hopelijk zit de oplossing erbij :)

Inzake die hardware ID's: Microsoft zet die standaard in onze tenant op het moment dat wij een batch laptops (Microsoft Surfaces) bestellen. We hebben ook laatst Dell toegang gegeven zodat zij ook de ID's direct kunnen uploaden.

Acties:
  • +1 Henk 'm!

  • Hann1BaL
  • Registratie: September 2003
  • Laatst online: 01-05 11:26

Hann1BaL

Do you stay for dinner?Clarice

D_Jeff schreef op dinsdag 2 november 2021 @ 14:42:

Wel vraag ik mij nog af:
Als jullie een nieuw device binnen krijgen, voeren jullie dan nog een Hardware-ID extract uit? (via Get-WindowsAutopilotInfo ?)
Dit outsourcen we naar onze partners: direct 1 van de grote OEMs en een derde partij die de hardware voor ons koopt. Kost niet zoveel, maar dan ben je van het gedoe af.

Het hangt natuurlijk van de grootte van je vloot af :)

[ Voor 6% gewijzigd door Hann1BaL op 02-11-2021 14:46 ]


Acties:
  • 0 Henk 'm!

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 01:43
D_Jeff schreef op Tuesday 2 November 2021 @ 14:42:
@nextware A-men. _/-\o_

Na de meest vage sites gehad te hebben, zijn dit indd tips / suggesties waarmee ik aan de slag kan. (ben al een goede week aan het zoeken)

Wel vraag ik mij nog af:
Als jullie een nieuw device binnen krijgen, voeren jullie dan nog een Hardware-ID extract uit? (via Get-WindowsAutopilotInfo ?)
Die site is van een voormalig Microsoft medewerker. Een van de grondleggers van MDT om precies te zijn. Heel veel interessante info te vinden op zijn blog.

Acties:
  • 0 Henk 'm!

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 01:43
Hann1BaL schreef op Tuesday 2 November 2021 @ 14:38:
[...]


Realiteit is dat de berg policies verplaatsen zo lang kan duren dat je niet naar autopilot kunt en als je het beetje bij beetje doet, ben je sneller bij remote provisioning.
Dat is bij ons het uitgangspunt om helaas een tijd hybrid te blijven.

Ook werkt onze IdP nu beter met AD accounts en niet met volledige UPNs wat de UX van niet hoeven in te loggen sloopt.
Maar waarom zou je alle policies vanuit GPO gaan vertalen naar Intune? Je kunt veel beter bepalen wat je allemaal wilt bereiken en dan kijken hoe je dat vanuit de 'moderne manier' kunt doen ipv alle policies 1 op 1 proberen over te zetten.

Dit is overigens hoe wij het vaak doen bij grote projecten. Het is onbegonnen werk om GPO's (met vaak settings die teruggaan naar het Windows XP / 7 tijdperk waarvan men soms niet eens meer weet waarom een bepaalde setting is gezet) te migreren naar Intune.

Acties:
  • 0 Henk 'm!

  • D_Jeff
  • Registratie: April 2011
  • Laatst online: 06-05 17:27
@nextware @Hann1BaL Ik weet dat het kan, maar ik weet ik niet of mijn huidige opdrachtgever direct gaat inkopen bij Dell / HP / Lenevo. Ik kan een advies schrijven, maar dan is het verder aan mijn opdrachtgever.

Bij mijn vorige opdrachtgever had ik een accountmanager van Dell gevraagd dat te doen. Reactie: "Wat is dat?"
En daarna was de bestelling al goedgekeurd. 125 desktopsje hardware-id extracten -- de werkdagen waren snel over, zeg maar. Wat een <*********> klusje

Hold. Step. Move. There will always be a way to keep on moving


Acties:
  • 0 Henk 'm!

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 01:43
nextware schreef op Tuesday 2 November 2021 @ 14:41:
[...]


Wij hebben een aantal applicaties die legacay policies vereisen voor de werking. Dit is een dinosaurus uit het jaar Kruik, maar wel iets waar we op dit moment nog mee te maken hebben. Gelukkig hebben we de app een paar jaar geleden op Windows 10 werkend gekregen (AppV). De leverancier was zeer benieuwd hoe we dat voor elkaar hadden gekregen :+

Zoals ik al aangaf zijn we bezig met het overstappen naar AAD-joined werkplekken. Dit zullen in het begin onze mobile devices zijn en in een later stadium ook desktops.
Oke en die applicies vereisen echt legacy GPO's? Dat moet wel een antieke app zijn dan. Is het dan niet handiger om die app uit te faseren, of het op een andere manier op te lossen?

Acties:
  • +1 Henk 'm!

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 01:43
D_Jeff schreef op Tuesday 2 November 2021 @ 14:50:
@nextware @Hann1BaL Ik weet dat het kan, maar ik weet ik niet of mijn huidige opdrachtgever direct gaat inkopen bij Dell / HP / Lenevo. Ik kan een advies schrijven, maar dan is het verder aan mijn opdrachtgever.

Bij mijn vorige opdrachtgever had ik een accountmanager van Dell gevraagd dat te doen. Reactie: "Wat is dat?"
En daarna was de bestelling al goedgekeurd. 125 desktopsje hardware-id extracten -- de werkdagen waren snel over, zeg maar. Wat een <*********> klusje
Dat hoeft toch niet zo heel veel werk te zijn? Desnoods de machines laten booten vanaf een stick en dan de hardware hash via een script naar een .csv op de USB laten schrijven.

Acties:
  • 0 Henk 'm!

  • Hann1BaL
  • Registratie: September 2003
  • Laatst online: 01-05 11:26

Hann1BaL

Do you stay for dinner?Clarice

TheVMaster schreef op dinsdag 2 november 2021 @ 14:50:
[...]


Oke en die applicies vereisen echt legacy GPO's? Dat moet wel een antieke app zijn dan. Is het dan niet handiger om die app uit te faseren, of het op een andere manier op te lossen?
Deze vraag is heel erg afhankelijk van de grootte van de enterprise.
In een relatief kleine omgeving heb je helemaal gelijk. In een bedrijf waarin de IT afdeling 1000 man is en er allerlei apps zijn voor bepaalde afdelingen die specifiek gebruikt worden in land X, is dat uitfaseren van apps niet zo eenvoudig, omdat je daar als infra team niet zoveel invloed op hebt.

Acties:
  • 0 Henk 'm!

  • D_Jeff
  • Registratie: April 2011
  • Laatst online: 06-05 17:27
@TheVMaster Ik had daarvoor een usb stick met een met de nodige bestanden (inc *.bat) gemaakt om het te regelen. Maar het was ook precies in de periode dat Microsoft moeite had om de nodige resources op te schalen, dus van extract naar "ready for autopilot profile" was je echt lekker aan het wachten. De nodige liters non-alco drankjes zijn er op dat moment doorheen gegaan :+

Hold. Step. Move. There will always be a way to keep on moving


Acties:
  • +1 Henk 'm!

  • Hann1BaL
  • Registratie: September 2003
  • Laatst online: 01-05 11:26

Hann1BaL

Do you stay for dinner?Clarice

D_Jeff schreef op dinsdag 2 november 2021 @ 14:54:
@TheVMaster Ik had daarvoor een usb stick met een met de nodige bestanden (inc *.bat) gemaakt om het te regelen. Maar het was ook precies in de periode dat Microsoft moeite had om de nodige resources op te schalen, dus van extract naar "ready for autopilot profile" was je echt lekker aan het wachten. De nodige liters non-alco drankjes zijn er op dat moment doorheen gegaan :+
Dat is het waar het dus mis is gegaan: non-alco....
Dat is waar je het probleem had kunnen oplossen. Je had er geen tijd mee gewonnen in dat geval.

Acties:
  • 0 Henk 'm!

  • nextware
  • Registratie: Mei 2002
  • Laatst online: 23:08
TheVMaster schreef op dinsdag 2 november 2021 @ 14:50:
[...]


Oke en die applicies vereisen echt legacy GPO's? Dat moet wel een antieke app zijn dan. Is het dan niet handiger om die app uit te faseren, of het op een andere manier op te lossen?
Ik zal je een voorbeeld geven:

Eén van de apps vereist dat de Regional Settings op Dutch (Nederlands)* staan. Anders werkt die app gewoon NIET. Het is een op VB6 gebaseerde applicatie van ongeveer 15 jaar oud die ongeveer 20 DLL en OCX-bestanden vereist op het systeem. Ontwikkelaar van de app was een interne medewerker, maar die persoon is helaas ongeveer 7 jaar geleden overleden. En niemand wil zich eraan branden om te kijken of die vereiste er niet uitgehaald kan worden.

Geprobeerd om dit opgelost te krijgen met een configuration setting in EndPoint. Heb het na een week zoeken, testen, vloeken, tieren en zuchten maar opgegeven. Dat is gewoon niet mogelijk.

Die app wordt ook over een tijdje uitgefaseerd. Maar tot die tijd zijn we dus gebonden aan legacy GPO's.

* En das niet handig als je in een bedrijf werkt met medewerkers in het buitenland die deze app ook moeten gebruiken vanwege hun functie :(
@nextware @Hann1BaL Ik weet dat het kan, maar ik weet ik niet of mijn huidige opdrachtgever direct gaat inkopen bij Dell / HP / Lenevo. Ik kan een advies schrijven, maar dan is het verder aan mijn opdrachtgever.
Een beetje grote distri kan dit wel geregeld krijgen. Ik vermoed dat jouw opdrachtgever dan wellicht een ander bedrijf hebben waar ze hun inkoop doen. Gewoon die vraag daar neerleggen. Dan kan die partij dat ook gewoon aanvragen bij de distri waar ze hun spul inkopen.

Ik weet dat bijvoorbeeld een CentralPoint of een Supply Line dit zonder problemen voor je kunnen regelen.

[ Voor 25% gewijzigd door nextware op 02-11-2021 15:00 ]


Acties:
  • 0 Henk 'm!

  • Hann1BaL
  • Registratie: September 2003
  • Laatst online: 01-05 11:26

Hann1BaL

Do you stay for dinner?Clarice

TheVMaster schreef op dinsdag 2 november 2021 @ 14:49:
[...]


Maar waarom zou je alle policies vanuit GPO gaan vertalen naar Intune? Je kunt veel beter bepalen wat je allemaal wilt bereiken en dan kijken hoe je dat vanuit de 'moderne manier' kunt doen ipv alle policies 1 op 1 proberen over te zetten.

Dit is overigens hoe wij het vaak doen bij grote projecten. Het is onbegonnen werk om GPO's (met vaak settings die teruggaan naar het Windows XP / 7 tijdperk waarvan men soms niet eens meer weet waarom een bepaalde setting is gezet) te migreren naar Intune.
Zeker een goed idee, maar dan sta je voor de keuze:
Ga je dat allemaal eerst doen voordat je AutoPilot kunt gebruiken
OF
Ga je eerst een hybrid omgeving uitrollen zodat je voordelen van AutoPilot hebt en ga je daarna rustig alles verhuizen?
Zeker als GPOs niet de enige limitatie is, is optie 2 niet zo onlogisch. Uiteraard ook waarom we optie 2 bewandelen.

Acties:
  • 0 Henk 'm!

  • D_Jeff
  • Registratie: April 2011
  • Laatst online: 06-05 17:27
@nextware Is de opdrachtgever/werkgever heel toevallig een ISP in NL ?
Het klinkt IETS te bekend namelijk :P

Let op: openbaar topic!

Hold. Step. Move. There will always be a way to keep on moving


Acties:
  • +1 Henk 'm!

  • nextware
  • Registratie: Mei 2002
  • Laatst online: 23:08
D_Jeff schreef op dinsdag 2 november 2021 @ 15:01:
@nextware Is de opdrachtgever/werkgever heel toevallig een ISP in NL ?
Het klinkt IETS te bekend namelijk :P

Let op: openbaar topic!
Mijn werkgever ? Nee, das geen ISP :)
Ik werk in de aardappelverwerkende industrie ;)

Acties:
  • +1 Henk 'm!

  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 05:23
Hann1BaL schreef op dinsdag 2 november 2021 @ 14:35:
[...]


Als je devices in SCCM hebt, deze registreren in Intune (Enterprise registration) en de devices een autopilot profile assigning geeft je de optie de hardware ID direct op te slaan voor al je devices.

Het kan uiteraard ook met PS script op de devices zelf die de ID uploadt, maar is nu tegenwoordig een ingebouwde feature:
[Afbeelding]
Thx die had ik ondertussen al gevonden en gepost :)

Cloud ☁️


Acties:
  • 0 Henk 'm!

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 01:43
Hann1BaL schreef op Tuesday 2 November 2021 @ 15:00:
[...]


Zeker een goed idee, maar dan sta je voor de keuze:
Ga je dat allemaal eerst doen voordat je AutoPilot kunt gebruiken
OF
Ga je eerst een hybrid omgeving uitrollen zodat je voordelen van AutoPilot hebt en ga je daarna rustig alles verhuizen?
Zeker als GPOs niet de enige limitatie is, is optie 2 niet zo onlogisch. Uiteraard ook waarom we optie 2 bewandelen.
Tja, ken genoeg (heel grote) klanten die volledig cloud native gaan met hun nieuwe werkplek. Dus niet eerst Hybride. Ligt er overigens wel aan wat voor ‘legacy’ je hebt, maar neem van mij aan. Die klanten waar ik dus mee werk over het algemeen 10.000+ medewerkers en die gaan dan dus direct native cloud (en hebben nu vaak nog on-prem AD only.

Acties:
  • +1 Henk 'm!

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 01:43
nextware schreef op Tuesday 2 November 2021 @ 14:58:
[...]


Ik zal je een voorbeeld geven:

Eén van de apps vereist dat de Regional Settings op Dutch (Nederlands)* staan. Anders werkt die app gewoon NIET. Het is een op VB6 gebaseerde applicatie van ongeveer 15 jaar oud die ongeveer 20 DLL en OCX-bestanden vereist op het systeem. Ontwikkelaar van de app was een interne medewerker, maar die persoon is helaas ongeveer 7 jaar geleden overleden. En niemand wil zich eraan branden om te kijken of die vereiste er niet uitgehaald kan worden.

Geprobeerd om dit opgelost te krijgen met een configuration setting in EndPoint. Heb het na een week zoeken, testen, vloeken, tieren en zuchten maar opgegeven. Dat is gewoon niet mogelijk.

Die app wordt ook over een tijdje uitgefaseerd. Maar tot die tijd zijn we dus gebonden aan legacy GPO's.

* En das niet handig als je in een bedrijf werkt met medewerkers in het buitenland die deze app ook moeten gebruiken vanwege hun functie :(


[...]


Een beetje grote distri kan dit wel geregeld krijgen. Ik vermoed dat jouw opdrachtgever dan wellicht een ander bedrijf hebben waar ze hun inkoop doen. Gewoon die vraag daar neerleggen. Dan kan die partij dat ook gewoon aanvragen bij de distri waar ze hun spul inkopen.

Ik weet dat bijvoorbeeld een CentralPoint of een Supply Line dit zonder problemen voor je kunnen regelen.
Tuurlijk, maar het een sub-set van de gebruikers is die dat soort legacy moet gebruiken (en die dus een move naar een moderne oplossing in de weg staan). Misschien kunnen ze dan met WVD overweg? Zo laat je je niet gijzelen door een paar legacy apps.

Acties:
  • 0 Henk 'm!

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 01:43
Hann1BaL schreef op Tuesday 2 November 2021 @ 14:54:
[...]

Deze vraag is heel erg afhankelijk van de grootte van de enterprise.
In een relatief kleine omgeving heb je helemaal gelijk. In een bedrijf waarin de IT afdeling 1000 man is en er allerlei apps zijn voor bepaalde afdelingen die specifiek gebruikt worden in land X, is dat uitfaseren van apps niet zo eenvoudig, omdat je daar als infra team niet zoveel invloed op hebt.
Tja, natuurlijk heb je daarmee te maken. Maar wat ik vaak zie dat het applicatielandschap voor (bijna) iedereen een grote onbekende is. Slechte documentatie, dus eigenlijk heeft niemand het overzicht :-(

Je zult daar toch een keer werk van moeten maken. Moet eerlijk zeggen dat ik maar weinig enterprises tegenkom waarbij 1000 man verantwoordelijkheden hebben, maar goed. Vaak zijn er (als het goed is) applicatie eigenaren die dat voor hun eigen apps vrij goed kunnen aangeven, tuurlijk heb je ook organisaties waar men dat niet heeft. Maar dat zijn toch vaker de slecht georganiseerde MKB organisaties (waarbij de systeembeheerders ook niets documenteren :+).

Acties:
  • +1 Henk 'm!

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 01:43
D_Jeff schreef op Tuesday 2 November 2021 @ 14:54:
@TheVMaster Ik had daarvoor een usb stick met een met de nodige bestanden (inc *.bat) gemaakt om het te regelen. Maar het was ook precies in de periode dat Microsoft moeite had om de nodige resources op te schalen, dus van extract naar "ready for autopilot profile" was je echt lekker aan het wachten. De nodige liters non-alco drankjes zijn er op dat moment doorheen gegaan :+
Vraagje. Is het misschien ook een idee dat je een bericht [quote] als je op iemand reageert? Nu moet ik iedere keer teruglezen, waar je op reageert O-) en ik ben van nature erg lui.

Acties:
  • 0 Henk 'm!

  • D_Jeff
  • Registratie: April 2011
  • Laatst online: 06-05 17:27
nextware schreef op dinsdag 2 november 2021 @ 14:30:
[...]


Bij ons was een reden om een Hybrid Join te doen vanwege bepaalde (legacy) policies. We zijn echter wel bezig om alles om te zetten naar AAD. Maar de grootste uitdaging blijven drivemappings (don't ask...).
Vandaag ook nog op de wensenlijst gekomen. Nog tips/advies hiervoor?
Verder: Zodra ik meer bevinden heb, zal het ik hier laten weten :)

Hold. Step. Move. There will always be a way to keep on moving


Acties:
  • 0 Henk 'm!

  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 22:36

Jazzy

Moderator SSC/PB

Moooooh!

Heeft iemand toevallig ervaring met App Configuration Policies om legacy EAS policies op Outlook Mobile toe te passen? Ik heb dat eigenlijk een beetje verwaarloosd maar zit nu met een policy waarvan maar drie dingen (deels) op Outlook Mobile werken. De rest, zoals het verlopen van de pin/password na 90 dagen, probeer ik met een App Configuration Policy op te pakken.

Exchange en Office 365 specialist. Mijn blog.


Acties:
  • 0 Henk 'm!

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 01:43
Jazzy schreef op Tuesday 2 November 2021 @ 18:00:
Heeft iemand toevallig ervaring met App Configuration Policies om legacy EAS policies op Outlook Mobile toe te passen? Ik heb dat eigenlijk een beetje verwaarloosd maar zit nu met een policy waarvan maar drie dingen (deels) op Outlook Mobile werken. De rest, zoals het verlopen van de pin/password na 90 dagen, probeer ik met een App Configuration Policy op te pakken.
Eh….waarom doe je nog legacy EAS? Heb wel ervaring met App Config policies, maar niet specifiek voor legacy EAS zaken.

Acties:
  • +1 Henk 'm!

  • akimosan
  • Registratie: Augustus 2003
  • Niet online
@D_Jeff

Drivemappings? Ja, moest bij ons op de zaak ook, hadden het liever niet gehad, maar ja..

Hadden problemen dat drives snel in disconnected state kwamen wanneer we de drivemappings via commandline/powershell deden
terwijl als we de drivemapping "met de hand" deden, bleef de mapping correct werken.
ook wil je de mappings kunnen pushen terwijl er geen connectiviteit is met het kantoornetwerk

Uiteindelijk hebben we een Win32app gemaakt met een powershell script welke de juiste waarden in keys onder

HKEY_CURRENT_USER\Network plaatst.
Vanaf de eerstvolgende logon zijn de mappings dan actief

Ik plaats straks even een (hele slechte) screenshot van wat ik bedoel en zal kijken of ik de code van het script hier ook kan plaatsen.
Nu eerst even hapje eten..

Acties:
  • 0 Henk 'm!

  • D_Jeff
  • Registratie: April 2011
  • Laatst online: 06-05 17:27
@akimosan Al komt het later deze week, vind ik het ook prima.
Je gezondheid/lijf gaat voor ;)

Hold. Step. Move. There will always be a way to keep on moving


Acties:
  • +3 Henk 'm!

  • akimosan
  • Registratie: Augustus 2003
  • Niet online
@D_Jeff
Drivemapping N:
Afbeeldingslocatie: https://tweakers.net/i/Z8vm0UxOqyDn7QXcemsyPqBj4hg=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/goXNbEJVCuqTyzFvN1D8z1Xm.png?f=user_large

Script: Omdat we gebruikmaken van persistent mappings moet UseOptions met de juiste HEX waarde worden gevuld. Die hex waarde stoppen we in een variabele.
De variabele kun je vervolgens hergebruiken. We gaan wel uit van single signon dus dat je de de mapping kunt doen met de UPN van de user die is ingelogd.
Meer drivemappings? Kopieer en plak de sectie vanaf New-Item onderaan het script en pas de driveletters en RemotePath aan

Create-NetworkDrives.ps1

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
$UsePersistent = "44,65,66,43,7c,00,00,00,04,00,74,00,00,00,02,00,03,00,00,00,02,00,00,00,10,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,6f,00,00,00,08,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,80,00"
$hexified = $UsePersistent.Split(',') | % { "0x$_"}
#
#Pas de waarde achter Name aan
#
New-Item -Path HKCU:\Network -Name 'N' -Force
#
#Pas de laatste waarde aan
#
$RegPath = 'HKCU:\Network\N'
Set-ItemProperty -Path $RegPath -Name 'RemotePath' -Type String -Value '\\server\share\folder'
Set-ItemProperty -Path $RegPath -Name 'UserName' -Type String -Value '0'
Set-ItemProperty -Path $RegPath -Name 'ProviderName' -Type String -Value 'Microsoft Windows Network'
Set-ItemProperty -Path $RegPath -Name 'ProviderType' -Type DWord -Value '131072'
Set-ItemProperty -Path $RegPath -Name 'ConnectionType' -Type DWord -Value '1'
Set-ItemProperty -Path $RegPath -Name 'ProviderFlags' -Type DWord -Value '1'
Set-ItemProperty -Path $RegPath -Name 'DeferFlags' -Type DWord -Value '4'
Set-ItemProperty -Path $RegPath -Name 'ConnectFlags' -Type DWord -Value '0'
Set-ItemProperty -Path $RegPath -Name 'UseOptions' -Type Binary -Value ([byte[]]$hexified)
#


Deployment hebben we als script gedaan, ik schreef W32app met script maar is script only..

[ Voor 14% gewijzigd door akimosan op 02-11-2021 18:50 ]


Acties:
  • 0 Henk 'm!

  • albert04
  • Registratie: Februari 2004
  • Laatst online: 22:47
TheVMaster schreef op dinsdag 2 november 2021 @ 18:03:
[...]


Eh….waarom doe je nog legacy EAS? Heb wel ervaring met App Config policies, maar niet specifiek voor legacy EAS zaken.
Dat gaat ook niet lekker werken.. Requirement is hiervoor Exchange Online.. App Config en Protection policy zullen niet volledig functioneren op een Legacy EAS..

Acties:
  • 0 Henk 'm!

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 01:43
albert04 schreef op Tuesday 2 November 2021 @ 18:50:
[...]


Dat gaat ook niet lekker werken.. Requirement is hiervoor Exchange Online.. App Config en Protection policy zullen niet volledig functioneren op een Legacy EAS..
Ik zou toch verwachten dat als je je werkplekken managed met Endpoint Manager, dat je dan ook wel op Exchange Online zit.

Acties:
  • 0 Henk 'm!

  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 22:36

Jazzy

Moderator SSC/PB

Moooooh!

Ja, zit in Exchange Online. We ondersteunen ook geen EAS clients meer, alleen Outlook Mobile. Alleen voor het managen gebruiken we nog EAS policies.

Eén van de dingen waar ik tegenaan loop is dat AC policies niet stapelbaar zijn. Alleen al om te testen moet ik een kopie van de productie policy maken, die toekennen aan een paar gebruikers en daar de wijzigingen in maken. Sowieso hebben we al twee verschillende AC policies, van elke eentje voor iOS en eentje voor Android en daar komt nu dus een stukje functionaliteit bij. Willen we straks iets aanpassen aan bijvoorbeeld pinvereisten of verlopen van de pin dan moeten we dus vier verschillende AC policies bewerken. Dat verdubbelt nu omdat ik twee verschillende EAS policies moet nabootsen, eentje voor 90 procent van de gebruikers en eentje die strikter is voor de rest. Wat een drama!

Edit: ik bedoelde dus App Protection Policy, niet App Configuration Policy.

[ Voor 4% gewijzigd door Jazzy op 03-11-2021 13:02 ]

Exchange en Office 365 specialist. Mijn blog.


Acties:
  • 0 Henk 'm!

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 01:43
Jazzy schreef op Tuesday 2 November 2021 @ 19:24:
Ja, zit in Exchange Online. We ondersteunen ook geen EAS clients meer, alleen Outlook Mobile. Alleen voor het managen gebruiken we nog EAS policies.

Eén van de dingen waar ik tegenaan loop is dat AC policies niet stapelbaar zijn. Alleen al om te testen moet ik een kopie van de productie policy maken, die toekennen aan een paar gebruikers en daar de wijzigingen in maken. Sowieso hebben we al twee verschillende AC policies, van elke eentje voor iOS en eentje voor Android en daar komt nu dus een stukje functionaliteit bij. Willen we straks iets aanpassen aan bijvoorbeeld pinvereisten of verlopen van de pin dan moeten we dus vier verschillende AC policies bewerken. Dat verdubbelt nu omdat ik twee verschillende EAS policies moet nabootsen, eentje voor 90 procent van de gebruikers en eentje die strikter is voor de rest. Wat een drama!
Waarom manage je de client niet met Endpoint Manager dan?

Acties:
  • 0 Henk 'm!

  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 22:36

Jazzy

Moderator SSC/PB

Moooooh!

TheVMaster schreef op woensdag 3 november 2021 @ 12:40:
Waarom manage je de client niet met Endpoint Manager dan?
Denk dat ik je vraag niet goed begrijp, want dat is precies wat ik nu aan het doen ben. Het Intune equivalent om toegang tot een app te configureren is een App Configuration Policy.

Edit: ik bedoelde dus App Protection Policy, niet App Configuration Policy.

[ Voor 9% gewijzigd door Jazzy op 03-11-2021 13:03 ]

Exchange en Office 365 specialist. Mijn blog.


Acties:
  • 0 Henk 'm!

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 01:43
Jazzy schreef op Wednesday 3 November 2021 @ 12:43:
[...]

Denk dat ik je vraag niet goed begrijp, want dat is precies wat ik nu aan het doen ben. Het Intune equivalent om toegang tot een app te configureren is een App Configuration Policy.
Sorry, dan begrijp ik je verkeerd. Ik zie steeds dat je zaken met EAS policies doet. Maar je wilt dus graag met Intune policies aan de slag.

Wat probeer je precies te bereiken dan? Wat wil je configureren/instellen wat niet lukt?

Als je bijvoorbeeld PIN's wilt afdwingen om Outlook te openen, waarom geen App Protection Policy dan?

[ Voor 8% gewijzigd door TheVMaster op 03-11-2021 12:47 ]


Acties:
  • 0 Henk 'm!

  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 22:36

Jazzy

Moderator SSC/PB

Moooooh!

Laat ik het concreet maken met een voorbeeld. Stel ik heb sinds jaar en dag een EAS policy met de volgende instellingen:
- Pin vereist
- Pin minimaal 6 karakters
- Pin na 90 dagen verplicht aanpassen

Inmiddels ondersteunen we alleen nog maar Outlook Mobile in de organisatie. Helaas ondersteunt Outlook Mobile maar een kleine subset van de EAS policy:
- Pin vereist - Ja
- Pin minimaal 6 karakters - Alleen Android
- Pin na 90 dagen verplicht aanpassen - Nee

Daar zit dus de "gap" die ik probeer aan te vullen. Onze devices zijn BYOD dus ik kan niet het device managen maar alleen de apps. In de App Configuration Policy kun je afdwingen dat een pin vereist is voordat je de App kunt benaderen, maar ook dat hij minimaal zoveel karakters is en dat hij na een bepaalde tijd verloopt.

Ik heb in onze test tenant nu een kopie gemaakt van de twee standaard App Configuration Policies die we al hebben, eentje voor Android en eentje voor iOS. Die kun je niet echt kopiëren, je moet hem gewoon namaken met dezelfde instellingen. Volgende stap is nu dus om in de ACP de beveilingingsinstellingen aan te passen en te testen hoe ze werken op mijn testtelefoon.

Hoop dat dit duidelijker is. :) Om dit vervolgens in productie te brengen moet ik dezelfde instellingen aanpassen op elke ACP die er al is, ook bij eventuele wijzigingen later. Tenminste, als ik het goed begrijp kan ik niet één extra ACP aanmaken die alleen de beveiligingsinstellingen toepast als aanvulling op de al bestaande ACP.

Edit: ik bedoelde dus App Protection Policy, niet App Configuration Policy.

Exchange en Office 365 specialist. Mijn blog.


Acties:
  • 0 Henk 'm!

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 01:43
Jazzy schreef op Wednesday 3 November 2021 @ 12:58:
Laat ik het concreet maken met een voorbeeld. Stel ik heb sinds jaar en dag een EAS policy met de volgende instellingen:
- Pin vereist
- Pin minimaal 6 karakters
- Pin na 90 dagen verplicht aanpassen

Inmiddels ondersteunen we alleen nog maar Outlook Mobile in de organisatie. Helaas ondersteunt Outlook Mobile maar een kleine subset van de EAS policy:
- Pin vereist - Ja
- Pin minimaal 6 karakters - Alleen Android
- Pin na 90 dagen verplicht aanpassen - Nee

Daar zit dus de "gap" die ik probeer aan te vullen. Onze devices zijn BYOD dus ik kan niet het device managen maar alleen de apps. In de App Configuration Policy kun je afdwingen dat een pin vereist is voordat je de App kunt benaderen, maar ook dat hij minimaal zoveel karakters is en dat hij na een bepaalde tijd verloopt.

Ik heb in onze test tenant nu een kopie gemaakt van de twee standaard App Configuration Policies die we al hebben, eentje voor Android en eentje voor iOS. Die kun je niet echt kopiëren, je moet hem gewoon namaken met dezelfde instellingen. Volgende stap is nu dus om in de ACP de beveilingingsinstellingen aan te passen en te testen hoe ze werken op mijn testtelefoon.

Hoop dat dit duidelijker is. :) Om dit vervolgens in productie te brengen moet ik dezelfde instellingen aanpassen op elke ACP die er al is, ook bij eventuele wijzigingen later. Tenminste, als ik het goed begrijp kan ik niet één extra ACP aanmaken die alleen de beveiligingsinstellingen toepast als aanvulling op de al bestaande ACP.

Edit: ik bedoelde dus App Protection Policy, niet App Configuration Policy.
- Pin vereist
- Pin minimaal 6 karakters
- Pin na 90 dagen verplicht aanpassen

Dit kan allemaal gewoon via een App Protection Policy.... Eh...over wat voor soort Outlook policy hebben we het in hemelsnaam? De APP policy kan bovenstaand namelijk gewoon allemaal, maar jij verwijst naar een artikel die het niet over MEM heeft, maar over Outlook zelf.

Wat probeer je nu te bereiken dan met de apps, want volgens mij haal jij zaken door elkaar? :?

Hieronder een voorbeeld APP voor iOS:
Afbeeldingslocatie: https://tweakers.net/i/p_BrO1s3sBzUu65EHX-ixro3kJ4=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/jSFaZQZ8va9w4df4xmdE00pZ.png?f=user_large

[ Voor 10% gewijzigd door TheVMaster op 03-11-2021 14:02 ]


Acties:
  • 0 Henk 'm!

  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 22:36

Jazzy

Moderator SSC/PB

Moooooh!

Haha, en dat is dus precies wat ik aan het doen ben. :) Sorry voor de spraakverwarring eerder. Vroeg me af of iemand tips of praktijkervaring hiermee heeft. Klopt het bijvoorbeeld dat ik niet één extra APP kan maken met alleen de app security settings en die naast de andere APP op een groep gebruikers kan toepassen? Zit nu https://docs.microsoft.co...ame-set-of-apps-and-users te lezen en lijkt er op dat dit wel degelijk kan. Dat zou geweldig zijn, dan hoef ik maar één (twee, want voor iOS en Android) policy te maken met deze aanvullende settings.

Anyway, ik ga er even mee experimenteren.

Exchange en Office 365 specialist. Mijn blog.


Acties:
  • 0 Henk 'm!

  • albert04
  • Registratie: Februari 2004
  • Laatst online: 22:47
nvm...

[ Voor 96% gewijzigd door albert04 op 03-11-2021 14:19 ]


Acties:
  • 0 Henk 'm!

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 01:43
Jazzy schreef op Wednesday 3 November 2021 @ 14:18:
Haha, en dat is dus precies wat ik aan het doen ben. :) Sorry voor de spraakverwarring eerder. Vroeg me af of iemand tips of praktijkervaring hiermee heeft. Klopt het bijvoorbeeld dat ik niet één extra APP kan maken met alleen de app security settings en die naast de andere APP op een groep gebruikers kan toepassen? Zit nu https://docs.microsoft.co...ame-set-of-apps-and-users te lezen en lijkt er op dat dit wel degelijk kan. Dat zou geweldig zijn, dan hoef ik maar één (twee, want voor iOS en Android) policy te maken met deze aanvullende settings.

Anyway, ik ga er even mee experimenteren.
Geen probleem, vond het al vreemd dat het niet zou kunnen. 😎 succes met testen.

Acties:
  • 0 Henk 'm!

  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 22:36

Jazzy

Moderator SSC/PB

Moooooh!

TheVMaster schreef op woensdag 3 november 2021 @ 13:57:
Wat probeer je nu te bereiken dan met de apps, want volgens mij haal jij zaken door elkaar? :?
Ik kan het niet duidelijker uitleggen. :) We hebben nu een Exchange ActiveSync policy met 8 geconfigureerde settings. Outlook Mobile ondersteunt maar een klein aantal van die settings, dat staat in dat artikel. Daarom stap ik nu over van de EAS policy naar een Intune APP policy die alle 8 settings lijkt te ondersteunen.

Alleen zijn er een aantal verschillen:
- EAS policies managen toegang tot het device
- APP policies managen toegang tot de app
- Op een mailbox kun je één EAS policy zetten
- Je hebt minimaal twee APP nodig, één voor elk platform/OS

Dan heb ik een aantal vragen over de user experience. Stel je een iOS gebruiker voor die ondanks de huidige EAS policy een pin van vier cijfers in heeft kunnen stellen op zijn device. Nu voeg ik een APP toe die een 6-cijferige pin vereist voor toegang tot de Outlook app. Moet die nu een tweede PIN instellen? Hoe ziet dat er uit in de praktijk, is het duidelijk of er om de device of de app pin gevraagd wordt?

Maar zoals ik zei, heb alles klaar staan in de test tenant en een geresette iPhone 7 voor me liggen. Ga er stapje voor stapje mee experimenteren en beschrijven wat het effect is.

Zoals je leest ben ik een beetje buiten mijn comfort zone hier en moet ik iets ontwerpen wat gaat werken voor heul veul collega's. :)

Exchange en Office 365 specialist. Mijn blog.


Acties:
  • 0 Henk 'm!

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 01:43
Jazzy schreef op Wednesday 3 November 2021 @ 14:29:
[...]

Ik kan het niet duidelijker uitleggen. :) We hebben nu een Exchange ActiveSync policy met 8 geconfigureerde settings. Outlook Mobile ondersteunt maar een klein aantal van die settings, dat staat in dat artikel. Daarom stap ik nu over van de EAS policy naar een Intune APP policy die alle 8 settings lijkt te ondersteunen.

Alleen zijn er een aantal verschillen:
- EAS policies managen toegang tot het device
- APP policies managen toegang tot de app
- Op een mailbox kun je één EAS policy zetten
- Je hebt minimaal twee APP nodig, één voor elk platform/OS

Dan heb ik een aantal vragen over de user experience. Stel je een iOS gebruiker voor die ondanks de huidige EAS policy een pin van vier cijfers in heeft kunnen stellen op zijn device. Nu voeg ik een APP toe die een 6-cijferige pin vereist voor toegang tot de Outlook app. Moet die nu een tweede PIN instellen? Hoe ziet dat er uit in de praktijk, is het duidelijk of er om de device of de app pin gevraagd wordt?

Maar zoals ik zei, heb alles klaar staan in de test tenant en een geresette iPhone 7 voor me liggen. Ga er stapje voor stapje mee experimenteren en beschrijven wat het effect is.

Zoals je leest ben ik een beetje buiten mijn comfort zone hier en moet ik iets ontwerpen wat gaat werken voor heul veul collega's. :)
Ik heb geen ervaring met EAS policies. Dus ik kan je niet vertellen wat dit zo 123 gaat betekenen. Wat ik wel weet is dat je bij het instellen van de APP (als je de eerste keer inlogd in Outlook) je een melding ziet dat de data in die app wordt beveiligd door middel van een APP en dat je dus (indien gewenst) een PIN moet instellen om toegang te krijgen.

Het is allemaal niet heel ingewikkeld, ik zou persoonlijk zeggen configureer een policy en kijk wat hij doet voor je test user. Gewoon een APP aanmaken en toewijzen aan de user group waar je test user in zit. Kan weinig mis gaan. Zorg wel even dat je vervolgens ook de EAS policy voor je kiezen krijgt, dan kun je ook precies zien wat de ervaring gaat zijn.

Begrijp ik het goed dat jullie geen Endpoint Manager mannetje hebben? Jij doet dat 'ernaast'? Of krijg jij dit toebedeelt omdat je ook Exchange doet? :9

[ Voor 3% gewijzigd door TheVMaster op 03-11-2021 14:44 ]


Acties:
  • 0 Henk 'm!

  • Hann1BaL
  • Registratie: September 2003
  • Laatst online: 01-05 11:26

Hann1BaL

Do you stay for dinner?Clarice

@Jazzy Waarom wil je de PIN resetten na 90 dagen?
Dat is best een "oude gedachte"
Microsoft zelf is helemaal afgestapt van PW en PIN changes. Het biedt niet meer veiligheid. Devices die verloren/gestolen zijn, moet je gewoon wipen, maar een PIN cycle levert je geen extra veiligheid op.

Acties:
  • 0 Henk 'm!

  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 22:36

Jazzy

Moderator SSC/PB

Moooooh!

TheVMaster schreef op woensdag 3 november 2021 @ 14:44:
Begrijp ik het goed dat jullie geen Endpoint Manager mannetje hebben? Jij doet dat 'ernaast'? Of krijg jij dit toebedeelt omdat je ook Exchange doet? :9
We hebben wel een paar Endpoint mannetjes hoor, maar het ligt inderdaad bij mij omdat het om functionaliteit gaat die we tot nu toe met Exchange afdwongen.
Hann1BaL schreef op woensdag 3 november 2021 @ 16:52:
@Jazzy Waarom wil je de PIN resetten na 90 dagen?
Dat is best een "oude gedachte"
Microsoft zelf is helemaal afgestapt van PW en PIN changes. Het biedt niet meer veiligheid. Devices die verloren/gestolen zijn, moet je gewoon wipen, maar een PIN cycle levert je geen extra veiligheid op.
Mee eens, maar ik maak de policies niet. Het is mijn taak om te zorgen dat de policies worden toegepast, wat op dit moment dus stuk is.

Exchange en Office 365 specialist. Mijn blog.


Acties:
  • +1 Henk 'm!

  • Hann1BaL
  • Registratie: September 2003
  • Laatst online: 01-05 11:26

Hann1BaL

Do you stay for dinner?Clarice

Jazzy schreef op woensdag 3 november 2021 @ 16:56:
[...]
We hebben wel een paar Endpoint mannetjes hoor, maar het ligt inderdaad bij mij omdat het om functionaliteit gaat die we tot nu toe met Exchange afdwongen.

[...]
Mee eens, maar ik maak de policies niet. Het is mijn taak om te zorgen dat de policies worden toegepast, wat op dit moment dus stuk is.
Ik werk ook niet bij InfoSec, maar ik praat wel tegen ze en vraag ze waarom. :)

Waarom niet gewoon via Conditional Access afdwingen dat devices Intune compliant moeten zijn en daar de security settings afdwingen op device niveau? Dat is toch eenvoudiger?

[ Voor 15% gewijzigd door Hann1BaL op 03-11-2021 16:59 ]


Acties:
  • 0 Henk 'm!

  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 22:36

Jazzy

Moderator SSC/PB

Moooooh!

Hann1BaL schreef op woensdag 3 november 2021 @ 16:59:
[...]

Ik werk ook niet bij InfoSec, maar ik praat wel tegen ze en vraag ze waarom. :)
Kan me voorstellen dat mijn antwoord overkomt als desinteresse, maar neem van mij aan dat dit ter discussie stellen op dit moment niet aan de orde is.
Waarom niet gewoon via Conditional Access afdwingen dat devices Intune compliant moeten zijn en daar de security settings afdwingen op device niveau? Dat is toch eenvoudiger?
Interessant, bedankt voor de suggestie. Ben me aan het inlezen.
Ah, dat gaat niet. Dan moeten de devices enrolled zijn, wij zijn BYOD dus kan alleen de apps managen.

[ Voor 8% gewijzigd door Jazzy op 03-11-2021 17:19 ]

Exchange en Office 365 specialist. Mijn blog.


Acties:
  • 0 Henk 'm!

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 01:43
Jazzy schreef op Wednesday 3 November 2021 @ 17:13:
[...]

Kan me voorstellen dat mijn antwoord overkomt als desinteresse, maar neem van mij aan dat dit ter discussie stellen op dit moment niet aan de orde is.

[...]
Interessant, bedankt voor de suggestie. Ben me aan het inlezen.
Ah, dat gaat niet. Dan moeten de devices enrolled zijn, wij zijn BYOD dus kan alleen de apps managen.
Je kunt ook afdwingen dat er een App Protection Policy van toepassing is, dat zou volgens mij een oplossing kunnen zijn (heb dat zo niet getest, maar ik weet dat die optie er tegenwoordig in zit).

Acties:
  • 0 Henk 'm!

  • Hann1BaL
  • Registratie: September 2003
  • Laatst online: 01-05 11:26

Hann1BaL

Do you stay for dinner?Clarice

Ik vind het een rare conclusie dat BYOD niet device enrollments mag zijn. Je hoeft de devices niet te wipen. :) Maar goed, is vast een policy

Acties:
  • 0 Henk 'm!

  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 22:36

Jazzy

Moderator SSC/PB

Moooooh!

Hann1BaL schreef op woensdag 3 november 2021 @ 18:27:
Ik vind het een rare conclusie dat BYOD niet device enrollments mag zijn. Je hoeft de devices niet te wipen. :) Maar goed, is vast een policy
Met BYOD bedoel ik onze Intune enrollment optie, om aan te geven dat de devices niet managed zijn.

Exchange en Office 365 specialist. Mijn blog.


Acties:
  • 0 Henk 'm!

  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 22:36

Jazzy

Moderator SSC/PB

Moooooh!

TheVMaster schreef op woensdag 3 november 2021 @ 18:15:
[...]


Je kunt ook afdwingen dat er een App Protection Policy van toepassing is, dat zou volgens mij een oplossing kunnen zijn (heb dat zo niet getest, maar ik weet dat die optie er tegenwoordig in zit).
Een App Protection Policy is per definitie van toepassing zodra iemand zijn zakelijke account wil gebruiken in één van de apps die in de APP zit. Of bedoel je wat anders?

Exchange en Office 365 specialist. Mijn blog.


Acties:
  • 0 Henk 'm!

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 01:43
Jazzy schreef op Wednesday 3 November 2021 @ 19:50:
[...]
Een App Protection Policy is per definitie van toepassing zodra iemand zijn zakelijke account wil gebruiken in één van de apps die in de APP zit. Of bedoel je wat anders?
Dat is natuurlijk waar, maar dan moet die betreffende app wel een APP hebben natuurlijk. Je zou dat met CA dus kunnen afdwingen :+ Hier vindt je een lijstje met de apps die daarvoor worden ondersteund (het linkje naast dat checkboxje) : https://docs.microsoft.co...ire-app-protection-policy

Afbeeldingslocatie: https://tweakers.net/i/1L_6WtgpvmNFClsEyoziUQr9_5U=/x800/filters:strip_exif()/f/image/3dy2CQAEiyUpikurDOjEbLzP.png?f=fotoalbum_large

[ Voor 13% gewijzigd door TheVMaster op 04-11-2021 09:43 ]


Acties:
  • 0 Henk 'm!

  • RPHN
  • Registratie: Maart 2014
  • Laatst online: 12-01 15:41
Iemand enig idee hoe deze gevuld kan worden?

Afbeeldingslocatie: https://tweakers.net/i/VD7IcSuG7vdd_6V5XOrTXcw9Cys=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/QMsJCF9RnlFlHXi6BnIAHTmA.png?f=user_large

Devices zijn onboarded in Defender ATP met een onboard package pushed via een Configuration Profile.

Acties:
  • 0 Henk 'm!

  • kowlier
  • Registratie: Juni 2012
  • Laatst online: 30-04 16:53
moet je daarvoor niet kijken in de security portal ipv intune?
security.microsoft.com en dan onder endpoints -> device inventory?

PSN - ps4 : sir_kowlier


Acties:
  • 0 Henk 'm!

  • RPHN
  • Registratie: Maart 2014
  • Laatst online: 12-01 15:41
kowlier schreef op donderdag 4 november 2021 @ 15:33:
moet je daarvoor niet kijken in de security portal ipv intune?
security.microsoft.com en dan onder endpoints -> device inventory?
En dan? Ze staan daar inderdaad, maar die cirkel vult zich niet met devices...

Acties:
  • 0 Henk 'm!

  • kowlier
  • Registratie: Juni 2012
  • Laatst online: 30-04 16:53
hoe zijn je devices geregistreerd in intune?
mijn cirkel is ook maar gevuld met de devices die puur in intune geregistreerd zijn.
onze devices die via SCCM hybride geregistreerd staan komen daar ook niet in.

PSN - ps4 : sir_kowlier


Acties:
  • 0 Henk 'm!

  • RPHN
  • Registratie: Maart 2014
  • Laatst online: 12-01 15:41
Devices zijn via Autopilot enrolled en managed by Intune

Afbeeldingslocatie: https://tweakers.net/i/TZrZ1lkYYA_wVLt-AVcf5MgknWI=/800x/filters:strip_exif()/f/image/Ql1OrLdJ0vRGT8zBODd8nx3b.png?f=fotoalbum_large

Acties:
  • 0 Henk 'm!

  • D_Jeff
  • Registratie: April 2011
  • Laatst online: 06-05 17:27
@nextware Omdat je schreef het juist buiten het eigen netwerk uit te rollen, heb ik een testlaptop naar huis meegenomen.

Bij de 2e log in krijg ik nu de foutmelding dat het netwerk niet kan vinden ("Ik kan geen DC bereiken") ;
Nog suggesties in deze?

Hold. Step. Move. There will always be a way to keep on moving


Acties:
  • 0 Henk 'm!

  • nextware
  • Registratie: Mei 2002
  • Laatst online: 23:08
D_Jeff schreef op zondag 7 november 2021 @ 14:59:
@nextware Omdat je schreef het juist buiten het eigen netwerk uit te rollen, heb ik een testlaptop naar huis meegenomen.

Bij de 2e log in krijg ik nu de foutmelding dat het netwerk niet kan vinden ("Ik kan geen DC bereiken") ;
Nog suggesties in deze?
Je rolt toch uit op een Hybrid omgeving ?
Heb je wel verbinding naar je domein ? Dus een VPN of iets in die trend ?

Even voor mijn beeldvorming: die 2e login is de login voor de user ESP ? Dus waarin de user gebaseerde zaken worden ingesteld (En dus ook dat "joining your....).

Acties:
  • 0 Henk 'm!

  • D_Jeff
  • Registratie: April 2011
  • Laatst online: 06-05 17:27
nextware schreef op zondag 7 november 2021 @ 17:15:
[...]


Je rolt toch uit op een Hybrid omgeving ?
Heb je wel verbinding naar je domein ? Dus een VPN of iets in die trend ?

Even voor mijn beeldvorming: die 2e login is de login voor de user ESP ? Dus waarin de user gebaseerde zaken worden ingesteld (En dus ook dat "joining your....).
- Uitrol van een hybride omgeving
- Geen VPN ingesteld
- Dit gaat indd om de 2e log in ("Fase 3") waarin de volgende stap "joining your..." is

Hold. Step. Move. There will always be a way to keep on moving


Acties:
  • +1 Henk 'm!

  • nextware
  • Registratie: Mei 2002
  • Laatst online: 23:08
Op dat punt heb je inderdaad dus wel een verbinding met je domein nodig. Als je dus remote wil inspoelen heb je dus wel een VPN nodig naar je domein 😉
Een device tunnel is in dit geval voldoende.

[ Voor 13% gewijzigd door nextware op 07-11-2021 21:52 ]


Acties:
  • 0 Henk 'm!

  • D_Jeff
  • Registratie: April 2011
  • Laatst online: 06-05 17:27
@nextware Hoe hebben jullie de AD Sync naar 10 minuten kunnen verlagen?
Want als ik hier kijk: https://docs.microsoft.co...ct-sync-feature-scheduler

Wordt er aangegeven dat de lager dan de default waarde van 30 mins gewoon genegeerd wordt.


Testrondje is nu wel succesvol (na 2x een Windows AD -> AzureAD sync) te moeten wachten. Als dit korter kan, dat is alleen maar winst.

Hold. Step. Move. There will always be a way to keep on moving


Acties:
  • +2 Henk 'm!

  • akimosan
  • Registratie: Augustus 2003
  • Niet online
@D_Jeff Zoals in dat artikel aangehaald kun je ook een sync forceren middels powershell en je eigen custom scheduler maken met bijvoorbeeld een scheduled task+powershell. Bijvoorbeeld:

powershell.exe -Command Import-Module MSOnline ; Start-ADSyncSyncCycle -PolicyType Delta

Of je dat moet willen is een 2e maar ik trap ook wel eens de sync af als ik net een On-Premise object heb aangepast en niet wil wachten tot de volgende sync. Dat is echter meer een on-demand situatie dan dat ik een aangepaste schedule heb lopen. Want wat is op een gegeven moment snel genoeg? Elke 10 minuten? elke 5? Elke minuut?

Acties:
  • +1 Henk 'm!

  • D_Jeff
  • Registratie: April 2011
  • Laatst online: 06-05 17:27
Dagje testen verder, laptop komt door de gehele ESP heen (3 fasen) -- maar de conclusie is dat ik er nog niet ben:

-> Het valt mij op dat tijdens het "joining your ...." er ook een zooitje software vanuit Intune gepust word (Fase 2 laatste stap en Fase 3 laatste stap zijn juist bedoeld voor Apps/Software). Beetje apart, maar vooruit.

-> De join naar AzureAD geeft een inlogscherm? Alles dat een inlogscherm geeft voor Office365/Azure diensten zorgt ervoor dat een machine "registered" als status krijgt ipv de gewenste "joined" status.
Ik kan alleen 1x een EventID 1098 error terugvinden

-> dsregcmd.exe /status geeft bij Enterprise state nog steeds NO. Ik wil juist SSO voor OneDrive, Teams & Outlook


Aanvullend:
Device not found (opgelost; de Intune OU stond niet in de sync scope van de AzureAD connector. Tsja, dan kan je lang wachten :+ )

Ik kan nog niet echt enthousiast worden van de Intune Connector. Helaas heb ik er mee te dealen, want de dino's moet nog eventjes mee. Zonder die dino's was ik al aan het rollen geweest

[ Voor 9% gewijzigd door D_Jeff op 08-11-2021 19:42 ]

Hold. Step. Move. There will always be a way to keep on moving


Acties:
  • +1 Henk 'm!

  • Hann1BaL
  • Registratie: September 2003
  • Laatst online: 01-05 11:26

Hann1BaL

Do you stay for dinner?Clarice

Enterprise blijft volgens mij ook op no staan by hybrid join, met een een AzureAdPRT heb je je SSO.

Acties:
  • +1 Henk 'm!

  • nextware
  • Registratie: Mei 2002
  • Laatst online: 23:08
D_Jeff schreef op maandag 8 november 2021 @ 19:32:
Dagje testen verder, laptop komt door de gehele ESP heen (3 fasen) -- maar de conclusie is dat ik er nog niet ben:

-> Het valt mij op dat tijdens het "joining your ...." er ook een zooitje software vanuit Intune gepust word (Fase 2 laatste stap en Fase 3 laatste stap zijn juist bedoeld voor Apps/Software). Beetje apart, maar vooruit.
Dat klopt. In de laatste stap van fase 2 worden er machines based apps en scripts geïnstalleerd. In stap 3 worden de userbased apps geïnstalleerd.
-> De join naar AzureAD geeft een inlogscherm? Alles dat een inlogscherm geeft voor Office365/Azure diensten zorgt ervoor dat een machine "registered" als status krijgt ipv de gewenste "joined" status.
Ik kan alleen 1x een EventID 1098 error terugvinden

-> dsregcmd.exe /status geeft bij Enterprise state nog steeds NO. Ik wil juist SSO voor OneDrive, Teams & Outlook
Dat klopt. EnterpriseJoined moet op NO staan. Je moet bij AzureADJoined en AzureAdPrt een YES hebben staan.
Aanvullend:
Device not found (opgelost; de Intune OU stond niet in de sync scope van de AzureAD connector. Tsja, dan kan je lang wachten :+ )
Goed gedaan :)
Ik kan nog niet echt enthousiast worden van de Intune Connector. Helaas heb ik er mee te dealen, want de dino's moet nog eventjes mee. Zonder die dino's was ik al aan het rollen geweest
Zoals ik al eerder in dit topic aangekaart lopen wij tegen dezelfde uitdaging aan. Als het aan mij had gelegen waren we al lang en breed Full AzureAD joined.

Acties:
  • +1 Henk 'm!

  • D_Jeff
  • Registratie: April 2011
  • Laatst online: 06-05 17:27
@nextware
Even een update vanaf mijn kant: Ik heb inmiddels een succesvolle test gehad.
Dat script werkt prima en scheelt een behoorlijke hoeveelheid aan wachttijd.

Na inmiddels goed verder gezocht te hebben, heb ik ook m'n antwoord gevonden voor "AzureAdPr" - token:
Zodra de Autopilot Fase 3 afgerond heeft (en dus de achtergrond / desktop laat zien) -> Uitloggen en opnieuw aanmelden. Deze actie triggert onderwater een proces om het AzureAdPr-token te verkrijgen.
Ook dit heb ik succesvol getest (voor het uitloggen: AzureAdPr = NO ; na het uitloggen: AzureAdPr = Yes + time stamps)

Dank voor de hulp 8-)
Ik heb nu een prima basis om verder te gaan (inclusief het laten aanpassen van allerlei GPO's)

Hold. Step. Move. There will always be a way to keep on moving


  • D_Jeff
  • Registratie: April 2011
  • Laatst online: 06-05 17:27
Ik dacht: Elke driver legt wel ergens netjes vast wat ie doet.
PLCv5 en PLCv6 van Ricoh zijn een ander koekje: Niet als key te vinden op de gebruikelijke locatie /print/printers (regedit)

Van de grotere installer weet ik de nodige parameters niet (en vraagt iets teveel GUI info om het leuk te houden voor /qn ) -- Iemand nog een suggestie voor de uitrol van een algemene PLCv6 driver via Intune zonder adminrechten op het device van de eindgebruiker?

(Ja, ik heb een blog gezien om ps1-scripts om te laten zetten naar een exe -- vond de virusscanner minder grappig)

Hold. Step. Move. There will always be a way to keep on moving


Acties:
  • 0 Henk 'm!

  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 05:23
D_Jeff schreef op donderdag 25 november 2021 @ 22:33:
Ik dacht: Elke driver legt wel ergens netjes vast wat ie doet.
PLCv5 en PLCv6 van Ricoh zijn een ander koekje: Niet als key te vinden op de gebruikelijke locatie /print/printers (regedit)

Van de grotere installer weet ik de nodige parameters niet (en vraagt iets teveel GUI info om het leuk te houden voor /qn ) -- Iemand nog een suggestie voor de uitrol van een algemene PLCv6 driver via Intune zonder adminrechten op het device van de eindgebruiker?

(Ja, ik heb een blog gezien om ps1-scripts om te laten zetten naar een exe -- vond de virusscanner minder grappig)
Kan je daar de Universal Print printer provisioning tool niet voor gebruiken?

https://docs.microsoft.co...iversal-print-intune-tool

Cloud ☁️


Acties:
  • +1 Henk 'm!

  • D_Jeff
  • Registratie: April 2011
  • Laatst online: 06-05 17:27
@HKLM_ Helaas gaat er een systeem tussen zitten: Ricoh / Canon FollowYou

En als ik die oplossing zo snel bekijk gaat dat om statische printers die rechtstreeks worden aangeroepen

Hold. Step. Move. There will always be a way to keep on moving

Pagina: 1 2 ... 17 Laatste