Microsoft Intune ervaringentopic

HKLM_ schreef op woensdag 6 oktober 2021 @ 11:12:
Direct een mooie vraag Hoe gaan de mede Endpoint beheerders om met bestaande devices welke gemigreerd moeten worden naar autopilot? Hoe hebben jullie de HWID van de bestaande laptops in autopilot gekregen?

HKLM_ schreef op woensdag 6 oktober 2021 @ 11:17:
[...]


Hebben jullie dat script lokaal gedraaid of via Azure Automation?

HKLM_ schreef op Wednesday 6 October 2021 @ 11:40:
[...]


haha copy-pase van vertaalde microsoft pagina's

HKLM_ schreef op woensdag 6 oktober 2021 @ 11:12:
Direct een mooie vraag Hoe gaan de mede Endpoint beheerders om met bestaande devices welke gemigreerd moeten worden naar autopilot? Hoe hebben jullie de HWID van de bestaande laptops in autopilot gekregen?

duronbug schreef op donderdag 21 oktober 2021 @ 23:23:
Alternatieve optie om bestaande devices in Intune + Autopilot te krijgen is een provisioning package: https://docs.microsoft.co...lment/windows-bulk-enroll

In combinatie met deze setting:

[Afbeelding]

D_Jeff schreef op Tuesday 2 November 2021 @ 12:48:
@nextware Je schrijft over een Intune hybrid omgeving.

Is dat met of zonder SSCM ?

[ Voor 104% gewijzigd door TheVMaster op 02-11-2021 13:20 ]

D_Jeff schreef op Tuesday 2 November 2021 @ 13:02:
@TheVMaster Geen idee hoe ik het anders moet verwoorden.

De Intune Connector bestaat nog en het is nog steeds mogelijk om een device in zowel Windows AD als in AzureAD te onboarden.

[ Voor 15% gewijzigd door TheVMaster op 02-11-2021 13:21 ]

D_Jeff schreef op dinsdag 2 november 2021 @ 13:32:
@TheVMaster

Mijn issue:
Als ik daarbij Autopilot gebruik gaan fase 1 & fase 2 prima. Daarna komt het login scherm (waarbij ingelogd wordt met de Windows AD gegevens) en blijft het Autopilot proces hangen op "Joining your organization's network". (2 uur+, de Time Out value van de ESP wordt straalhard genegeerd )

1
2
3
4
5
6

$DurationTimeSpan = New-TimeSpan -Hours 1
$RepetitionTimeSpan = New-TimeSpan -Minutes 5
$Trigger1 = New-ScheduledTaskTrigger -AtLogon
$Trigger2 = New-ScheduledTaskTrigger -At (Get-Date) -Once -RepetitionDuration $DurationTimeSpan -RepetitionInterval $RepetitionTimeSpan
$TaskPath = (Get-ScheduledTask -TaskName "Automatic-Device-Join").TaskPath
Set-ScheduledTask -TaskName "Automatic-Device-Join" -TaskPath $TaskPath -Trigger $Trigger1,$Trigger2

it keeps the user logon trigger, but instead of the default on-domain-join-and-then-every-hour-for-one-day trigger, it actually triggers the registration task the moment the PowerShell script is run and then every 5 minutes for the next hour

[ Voor 8% gewijzigd door nextware op 02-11-2021 14:29 ]

D_Jeff schreef op Tuesday 2 November 2021 @ 13:32:
@TheVMaster Ik ben nu aan het testen met een laptop voor een Windows AD met Intune managing mogelijkheid zonder dat daar een SCCM-server voor om de hoek komt kijken.

Mijn issue:
Als ik daarbij Autopilot gebruik gaan fase 1 & fase 2 prima. Daarna komt het login scherm (waarbij ingelogd wordt met de Windows AD gegevens) en blijft het Autopilot proces hangen op "Joining your organization's network". (2 uur+, de Time Out value van de ESP wordt straalhard genegeerd )

Nu weet ik dat het tijdens het OOBE Autopilot proces het mogelijk is om via <Shift> + <F10> CMD op te roepen en op die manier bij de eventviewer te komen. Het enige nuttige dat ik zo snel kon vinden in de logs was onder Windows -> AAD: Warning - EventID 1097

Optie 2: Via CMD een geforceerde reboot uitvoeren via shutdown.exe ; Dan gaat de laptop wel gelijk door naar Windows (na log in). Nadeel hiervan is dat een apparaat alleen als "registered" in AzureAD/Intune terecht komt -- Joined is hier gewenst.

Nog suggesties / ideeën waar ik kijken/zoeken moet?

TheVMaster schreef op dinsdag 2 november 2021 @ 14:27:
[...]


Heb je dit issue ook als je hem native in AAD joined (ipv Hybrid AD join)? Is er een goede reden om de devices niet native in AAD te hangen?

HKLM_ schreef op woensdag 6 oktober 2021 @ 11:12:
Direct een mooie vraag Hoe gaan de mede Endpoint beheerders om met bestaande devices welke gemigreerd moeten worden naar autopilot? Hoe hebben jullie de HWID van de bestaande laptops in autopilot gekregen?

TheVMaster schreef op dinsdag 2 november 2021 @ 14:36:
[...]


Wat voor legacy GPO's zou je ook op je modern gemanagede werkplek willen hebben dan? Ik begrijp dat je bepaalde zaken wilt configureren, maar ik zou in de moderne wereld een (standaard kantoor) werkplek niet zo enorm willen volladen met policies en restricties.

[ Voor 11% gewijzigd door nextware op 02-11-2021 14:42 ]

D_Jeff schreef op dinsdag 2 november 2021 @ 14:42:
@nextware A-men.

Wel vraag ik mij nog af:
Als jullie een nieuw device binnen krijgen, voeren jullie dan nog een Hardware-ID extract uit? (via Get-WindowsAutopilotInfo ?)

D_Jeff schreef op dinsdag 2 november 2021 @ 14:42:

Wel vraag ik mij nog af:
Als jullie een nieuw device binnen krijgen, voeren jullie dan nog een Hardware-ID extract uit? (via Get-WindowsAutopilotInfo ?)

[ Voor 6% gewijzigd door Hann1BaL op 02-11-2021 14:46 ]

TheVMaster schreef op dinsdag 2 november 2021 @ 14:50:
[...]


Oke en die applicies vereisen echt legacy GPO's? Dat moet wel een antieke app zijn dan. Is het dan niet handiger om die app uit te faseren, of het op een andere manier op te lossen?

D_Jeff schreef op dinsdag 2 november 2021 @ 14:54:
@TheVMaster Ik had daarvoor een usb stick met een met de nodige bestanden (inc *.bat) gemaakt om het te regelen. Maar het was ook precies in de periode dat Microsoft moeite had om de nodige resources op te schalen, dus van extract naar "ready for autopilot profile" was je echt lekker aan het wachten. De nodige liters non-alco drankjes zijn er op dat moment doorheen gegaan

TheVMaster schreef op dinsdag 2 november 2021 @ 14:50:
[...]


Oke en die applicies vereisen echt legacy GPO's? Dat moet wel een antieke app zijn dan. Is het dan niet handiger om die app uit te faseren, of het op een andere manier op te lossen?

@nextware @Hann1BaL Ik weet dat het kan, maar ik weet ik niet of mijn huidige opdrachtgever direct gaat inkopen bij Dell / HP / Lenevo. Ik kan een advies schrijven, maar dan is het verder aan mijn opdrachtgever.

[ Voor 25% gewijzigd door nextware op 02-11-2021 15:00 ]

TheVMaster schreef op dinsdag 2 november 2021 @ 14:49:
[...]


Maar waarom zou je alle policies vanuit GPO gaan vertalen naar Intune? Je kunt veel beter bepalen wat je allemaal wilt bereiken en dan kijken hoe je dat vanuit de 'moderne manier' kunt doen ipv alle policies 1 op 1 proberen over te zetten.

Dit is overigens hoe wij het vaak doen bij grote projecten. Het is onbegonnen werk om GPO's (met vaak settings die teruggaan naar het Windows XP / 7 tijdperk waarvan men soms niet eens meer weet waarom een bepaalde setting is gezet) te migreren naar Intune.

D_Jeff schreef op dinsdag 2 november 2021 @ 15:01:
@nextware Is de opdrachtgever/werkgever heel toevallig een ISP in NL ?
Het klinkt IETS te bekend namelijk

Let op: openbaar topic!

nextware schreef op dinsdag 2 november 2021 @ 14:30:
[...]


Bij ons was een reden om een Hybrid Join te doen vanwege bepaalde (legacy) policies. We zijn echter wel bezig om alles om te zetten naar AAD. Maar de grootste uitdaging blijven drivemappings (don't ask...).

Jazzy schreef op Tuesday 2 November 2021 @ 18:00:
Heeft iemand toevallig ervaring met App Configuration Policies om legacy EAS policies op Outlook Mobile toe te passen? Ik heb dat eigenlijk een beetje verwaarloosd maar zit nu met een policy waarvan maar drie dingen (deels) op Outlook Mobile werken. De rest, zoals het verlopen van de pin/password na 90 dagen, probeer ik met een App Configuration Policy op te pakken.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

$UsePersistent = "44,65,66,43,7c,00,00,00,04,00,74,00,00,00,02,00,03,00,00,00,02,00,00,00,10,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,6f,00,00,00,08,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,80,00"
$hexified = $UsePersistent.Split(',') | % { "0x$_"}
#
#Pas de waarde achter Name aan
#
New-Item -Path HKCU:\Network -Name 'N' -Force
#
#Pas de laatste waarde aan
#
$RegPath = 'HKCU:\Network\N'
Set-ItemProperty -Path $RegPath -Name 'RemotePath' -Type String -Value '\\server\share\folder'
Set-ItemProperty -Path $RegPath -Name 'UserName' -Type String -Value '0'
Set-ItemProperty -Path $RegPath -Name 'ProviderName' -Type String -Value 'Microsoft Windows Network'
Set-ItemProperty -Path $RegPath -Name 'ProviderType' -Type DWord -Value '131072'
Set-ItemProperty -Path $RegPath -Name 'ConnectionType' -Type DWord -Value '1'
Set-ItemProperty -Path $RegPath -Name 'ProviderFlags' -Type DWord -Value '1'
Set-ItemProperty -Path $RegPath -Name 'DeferFlags' -Type DWord -Value '4'
Set-ItemProperty -Path $RegPath -Name 'ConnectFlags' -Type DWord -Value '0'
Set-ItemProperty -Path $RegPath -Name 'UseOptions' -Type Binary -Value ([byte[]]$hexified)
#

[ Voor 14% gewijzigd door akimosan op 02-11-2021 18:50 ]

TheVMaster schreef op dinsdag 2 november 2021 @ 18:03:
[...]


Eh….waarom doe je nog legacy EAS? Heb wel ervaring met App Config policies, maar niet specifiek voor legacy EAS zaken.

albert04 schreef op Tuesday 2 November 2021 @ 18:50:
[...]


Dat gaat ook niet lekker werken.. Requirement is hiervoor Exchange Online.. App Config en Protection policy zullen niet volledig functioneren op een Legacy EAS..

[ Voor 4% gewijzigd door Jazzy op 03-11-2021 13:02 ]

Jazzy schreef op Tuesday 2 November 2021 @ 19:24:
Ja, zit in Exchange Online. We ondersteunen ook geen EAS clients meer, alleen Outlook Mobile. Alleen voor het managen gebruiken we nog EAS policies.

Eén van de dingen waar ik tegenaan loop is dat AC policies niet stapelbaar zijn. Alleen al om te testen moet ik een kopie van de productie policy maken, die toekennen aan een paar gebruikers en daar de wijzigingen in maken. Sowieso hebben we al twee verschillende AC policies, van elke eentje voor iOS en eentje voor Android en daar komt nu dus een stukje functionaliteit bij. Willen we straks iets aanpassen aan bijvoorbeeld pinvereisten of verlopen van de pin dan moeten we dus vier verschillende AC policies bewerken. Dat verdubbelt nu omdat ik twee verschillende EAS policies moet nabootsen, eentje voor 90 procent van de gebruikers en eentje die strikter is voor de rest. Wat een drama!

TheVMaster schreef op woensdag 3 november 2021 @ 12:40:
Waarom manage je de client niet met Endpoint Manager dan?

[ Voor 9% gewijzigd door Jazzy op 03-11-2021 13:03 ]

Jazzy schreef op Wednesday 3 November 2021 @ 12:43:
[...]

Denk dat ik je vraag niet goed begrijp, want dat is precies wat ik nu aan het doen ben. Het Intune equivalent om toegang tot een app te configureren is een App Configuration Policy.

[ Voor 8% gewijzigd door TheVMaster op 03-11-2021 12:47 ]

Jazzy schreef op Wednesday 3 November 2021 @ 12:58:
Laat ik het concreet maken met een voorbeeld. Stel ik heb sinds jaar en dag een EAS policy met de volgende instellingen:
- Pin vereist
- Pin minimaal 6 karakters
- Pin na 90 dagen verplicht aanpassen

Inmiddels ondersteunen we alleen nog maar Outlook Mobile in de organisatie. Helaas ondersteunt Outlook Mobile maar een kleine subset van de EAS policy:
- Pin vereist - Ja
- Pin minimaal 6 karakters - Alleen Android
- Pin na 90 dagen verplicht aanpassen - Nee

Daar zit dus de "gap" die ik probeer aan te vullen. Onze devices zijn BYOD dus ik kan niet het device managen maar alleen de apps. In de App Configuration Policy kun je afdwingen dat een pin vereist is voordat je de App kunt benaderen, maar ook dat hij minimaal zoveel karakters is en dat hij na een bepaalde tijd verloopt.

Ik heb in onze test tenant nu een kopie gemaakt van de twee standaard App Configuration Policies die we al hebben, eentje voor Android en eentje voor iOS. Die kun je niet echt kopiëren, je moet hem gewoon namaken met dezelfde instellingen. Volgende stap is nu dus om in de ACP de beveilingingsinstellingen aan te passen en te testen hoe ze werken op mijn testtelefoon.

Hoop dat dit duidelijker is. Om dit vervolgens in productie te brengen moet ik dezelfde instellingen aanpassen op elke ACP die er al is, ook bij eventuele wijzigingen later. Tenminste, als ik het goed begrijp kan ik niet één extra ACP aanmaken die alleen de beveiligingsinstellingen toepast als aanvulling op de al bestaande ACP.

Edit: ik bedoelde dus App Protection Policy, niet App Configuration Policy.

[ Voor 10% gewijzigd door TheVMaster op 03-11-2021 14:02 ]

[ Voor 96% gewijzigd door albert04 op 03-11-2021 14:19 ]

Jazzy schreef op Wednesday 3 November 2021 @ 14:18:
Haha, en dat is dus precies wat ik aan het doen ben. Sorry voor de spraakverwarring eerder. Vroeg me af of iemand tips of praktijkervaring hiermee heeft. Klopt het bijvoorbeeld dat ik niet één extra APP kan maken met alleen de app security settings en die naast de andere APP op een groep gebruikers kan toepassen? Zit nu https://docs.microsoft.co...ame-set-of-apps-and-users te lezen en lijkt er op dat dit wel degelijk kan. Dat zou geweldig zijn, dan hoef ik maar één (twee, want voor iOS en Android) policy te maken met deze aanvullende settings.

Anyway, ik ga er even mee experimenteren.

TheVMaster schreef op woensdag 3 november 2021 @ 13:57:
Wat probeer je nu te bereiken dan met de apps, want volgens mij haal jij zaken door elkaar?

Jazzy schreef op Wednesday 3 November 2021 @ 14:29:
[...]

Ik kan het niet duidelijker uitleggen. We hebben nu een Exchange ActiveSync policy met 8 geconfigureerde settings. Outlook Mobile ondersteunt maar een klein aantal van die settings, dat staat in dat artikel. Daarom stap ik nu over van de EAS policy naar een Intune APP policy die alle 8 settings lijkt te ondersteunen.

Alleen zijn er een aantal verschillen:
- EAS policies managen toegang tot het device
- APP policies managen toegang tot de app
- Op een mailbox kun je één EAS policy zetten
- Je hebt minimaal twee APP nodig, één voor elk platform/OS

Dan heb ik een aantal vragen over de user experience. Stel je een iOS gebruiker voor die ondanks de huidige EAS policy een pin van vier cijfers in heeft kunnen stellen op zijn device. Nu voeg ik een APP toe die een 6-cijferige pin vereist voor toegang tot de Outlook app. Moet die nu een tweede PIN instellen? Hoe ziet dat er uit in de praktijk, is het duidelijk of er om de device of de app pin gevraagd wordt?

Maar zoals ik zei, heb alles klaar staan in de test tenant en een geresette iPhone 7 voor me liggen. Ga er stapje voor stapje mee experimenteren en beschrijven wat het effect is.

Zoals je leest ben ik een beetje buiten mijn comfort zone hier en moet ik iets ontwerpen wat gaat werken voor heul veul collega's.

[ Voor 3% gewijzigd door TheVMaster op 03-11-2021 14:44 ]

TheVMaster schreef op woensdag 3 november 2021 @ 14:44:
Begrijp ik het goed dat jullie geen Endpoint Manager mannetje hebben? Jij doet dat 'ernaast'? Of krijg jij dit toebedeelt omdat je ook Exchange doet?

Hann1BaL schreef op woensdag 3 november 2021 @ 16:52:
@Jazzy Waarom wil je de PIN resetten na 90 dagen?
Dat is best een "oude gedachte"
Microsoft zelf is helemaal afgestapt van PW en PIN changes. Het biedt niet meer veiligheid. Devices die verloren/gestolen zijn, moet je gewoon wipen, maar een PIN cycle levert je geen extra veiligheid op.

Jazzy schreef op woensdag 3 november 2021 @ 16:56:
[...]
We hebben wel een paar Endpoint mannetjes hoor, maar het ligt inderdaad bij mij omdat het om functionaliteit gaat die we tot nu toe met Exchange afdwongen.

[...]
Mee eens, maar ik maak de policies niet. Het is mijn taak om te zorgen dat de policies worden toegepast, wat op dit moment dus stuk is.

[ Voor 15% gewijzigd door Hann1BaL op 03-11-2021 16:59 ]

Hann1BaL schreef op woensdag 3 november 2021 @ 16:59:
[...]

Ik werk ook niet bij InfoSec, maar ik praat wel tegen ze en vraag ze waarom.

Waarom niet gewoon via Conditional Access afdwingen dat devices Intune compliant moeten zijn en daar de security settings afdwingen op device niveau? Dat is toch eenvoudiger?

[ Voor 8% gewijzigd door Jazzy op 03-11-2021 17:19 ]

Jazzy schreef op Wednesday 3 November 2021 @ 17:13:
[...]

Kan me voorstellen dat mijn antwoord overkomt als desinteresse, maar neem van mij aan dat dit ter discussie stellen op dit moment niet aan de orde is.

[...]
Interessant, bedankt voor de suggestie. Ben me aan het inlezen.
Ah, dat gaat niet. Dan moeten de devices enrolled zijn, wij zijn BYOD dus kan alleen de apps managen.

Jazzy schreef op Wednesday 3 November 2021 @ 19:50:
[...]
Een App Protection Policy is per definitie van toepassing zodra iemand zijn zakelijke account wil gebruiken in één van de apps die in de APP zit. Of bedoel je wat anders?

[ Voor 13% gewijzigd door TheVMaster op 04-11-2021 09:43 ]

kowlier schreef op donderdag 4 november 2021 @ 15:33:
moet je daarvoor niet kijken in de security portal ipv intune?
security.microsoft.com en dan onder endpoints -> device inventory?

D_Jeff schreef op zondag 7 november 2021 @ 14:59:
@nextware Omdat je schreef het juist buiten het eigen netwerk uit te rollen, heb ik een testlaptop naar huis meegenomen.

Bij de 2e log in krijg ik nu de foutmelding dat het netwerk niet kan vinden ("Ik kan geen DC bereiken") ;
Nog suggesties in deze?

nextware schreef op zondag 7 november 2021 @ 17:15:
[...]


Je rolt toch uit op een Hybrid omgeving ?
Heb je wel verbinding naar je domein ? Dus een VPN of iets in die trend ?

Even voor mijn beeldvorming: die 2e login is de login voor de user ESP ? Dus waarin de user gebaseerde zaken worden ingesteld (En dus ook dat "joining your....).

[ Voor 13% gewijzigd door nextware op 07-11-2021 21:52 ]

[ Voor 9% gewijzigd door D_Jeff op 08-11-2021 19:42 ]

D_Jeff schreef op maandag 8 november 2021 @ 19:32:
Dagje testen verder, laptop komt door de gehele ESP heen (3 fasen) -- maar de conclusie is dat ik er nog niet ben:

-> Het valt mij op dat tijdens het "joining your ...." er ook een zooitje software vanuit Intune gepust word (Fase 2 laatste stap en Fase 3 laatste stap zijn juist bedoeld voor Apps/Software). Beetje apart, maar vooruit.

-> De join naar AzureAD geeft een inlogscherm? Alles dat een inlogscherm geeft voor Office365/Azure diensten zorgt ervoor dat een machine "registered" als status krijgt ipv de gewenste "joined" status.
Ik kan alleen 1x een EventID 1098 error terugvinden

-> dsregcmd.exe /status geeft bij Enterprise state nog steeds NO. Ik wil juist SSO voor OneDrive, Teams & Outlook

Aanvullend:
Device not found (opgelost; de Intune OU stond niet in de sync scope van de AzureAD connector. Tsja, dan kan je lang wachten )

Ik kan nog niet echt enthousiast worden van de Intune Connector. Helaas heb ik er mee te dealen, want de dino's moet nog eventjes mee. Zonder die dino's was ik al aan het rollen geweest