Toon posts:

Microsoft Endpoint Manager ervaringen topic

Pagina: 1 2 Laatste
Acties:

Onderwerpen

D_Jeff schreef op vrijdag 26 november 2021 @ 09:53:
@HKLM_ Helaas gaat er een systeem tussen zitten: Ricoh / Canon FollowYou

En als ik die oplossing zo snel bekijk gaat dat om statische printers die rechtstreeks worden aangeroepen
Maar dat maakt voor de driver / connectie toch niet uit? In het classic geval is een FolkowYou / Me systeem toch een virtuele printer op de print server en meer niet. Wat is er nu dan zo speciaal? :)

Direct naar de printer printen is toch iets wat je moet willen ze hebben niet voor niks Branch Office Direct Printing :+ Eerst alles naar de print server sturen is normaal niet nodig.

[Voor 15% gewijzigd door HKLM_ op 26-11-2021 09:59]

๐Ÿ‘ฉโ€๐Ÿš€ -> Astronauts use Linux because you cant open Windows in space <- ๐Ÿš€


  • akimosan
  • Registratie: augustus 2003
  • Niet online
Probleem is dat voor de klassieke follow-me van Ricoh je wel een opdracht naar een shared printer op de printserver moet sturen omdat de (hebben we het hier over Equitrac?) printserver software een geautoriseerde opdracht moet hebben in de queue zodat hij weet

* wie de opdracht stuurt
* om hoeveel pagina's het gaat
* of het een kleurenafdruk of zwart wit betreft
* etc.

Dat zijn allemaal zaken die de afdruksoftware registreert en koppelt aan een gebruikersdatabase zodat ook zaken als verbruik en verrekening met eventuele costcenters kunnen worden gedaan.
Maar natuurlijk zeker zodat bekend is wie de opdracht stuurt zodat enkel DIE gebruiker vervolgens naar de printer gaat, zijn pas aanbiedt (of inlogt via control panel op de printer) en vervolgens zijn opdracht kan "ophalen" , dat is hoe die follow-me oplossing werkt.

De driver installatie is (an sich) het probleem niet, het toevoegen van een printer connection naar de shared printer wel.

En met de fixes voor PrinterNightMare die MS heeft doorgevoerd kunnen gewone gebruikers niet meer zonder admin rechten een shared printer toevoegen:

KB5005652โ€”Manage new Point and Print default driver installation behavior (CV...

Bij mijn werkgever maken we ook gebruik van de Equitrac Follow-me oplossing en zouden we dit voor reguliere eindgebruikers enkel kunnen oplossen door de vermelde registry wijziging door te voeren en mitigations op de printserver toe te passen (enkel trusted printservers toestaan)
Die mitigations beschermen je echter niet volledig tegen de exploit. Daarom is er voor nu gekozen om printing naar de follow-me voor de Azure AD joined devices niet toe te staan (men kan afdrukken via onze Citrix omgeving)
Er wordt gekeken naar een cloud print management oplossing ter vervanging van de huidige Equitrac oplossing, details hierover zijn me nog niet bekend.

  • D_Jeff
  • Registratie: april 2011
  • Nu online
@HKLM_ Helaas is Uni. Print van MS een extra licentie MET extra kosten (4 dollar/maand/user)
Die ga ik er niet doorheen krijgen, omdat er nog een Windows Server AD + GPO mogelijkheden zijn.

Aan de andere kant jammer dat er niet gekozen is voor Papercut. Dat is een kwestie van de installer.exe ombouwen naar een win32 app en bij het installatieveld /gui meegeven. User de wizard laten doorlopen en volia, alle ellende is voorbij

Hold. Step. Move. There will always be a way to keep on moving

D_Jeff schreef op vrijdag 26 november 2021 @ 18:57:
@HKLM_ Helaas is Uni. Print van MS een extra licentie MET extra kosten (4 dollar/maand/user)
Die ga ik er niet doorheen krijgen, omdat er nog een Windows Server AD + GPO mogelijkheden zijn.

Aan de andere kant jammer dat er niet gekozen is voor Papercut. Dat is een kwestie van de installer.exe ombouwen naar een win32 app en bij het installatieveld /gui meegeven. User de wizard laten doorlopen en volia, alle ellende is voorbij
A dat is wel balen inderdaad

๐Ÿ‘ฉโ€๐Ÿš€ -> Astronauts use Linux because you cant open Windows in space <- ๐Ÿš€


  • DJ-B
  • Registratie: september 2001
  • Nu online
D_Jeff schreef op zondag 7 november 2021 @ 17:56:
[...]


- Uitrol van een hybride omgeving
- Geen VPN ingesteld
- Dit gaat indd om de 2e log in ("Fase 3") waarin de volgende stap "joining your..." is
Misschien is het mosterd na de maaltijd. Maar ik zie dat je een Hybrid Join uitvoert.
Om problemen met Azure PRT te voorkomen dien je de User Status Page op ESP uit te schakelen.

./Vendor/MSFT/DMClient/Provider/MS DM Server/FirstSyncStatus/SkipUserStatusPage,true --> Assign aan Device groep.

Zie ook:
https://joymalya.com/auto...d-join-reworked-with-joy/

  • D_Jeff
  • Registratie: april 2011
  • Nu online
@DJ-B Dit heb ik een aantal keer getest zonder het uit te zetten (policies staan wel gereed mocht het echt te vervelend worden). Het enige dat een hikje heeft, is Onedrive.

Zodra ik later Onedrive alsnog aanmeld, zie dat ik het alsnog goed gaat.
---

Toch bedankt voor het meedenken !

Hold. Step. Move. There will always be a way to keep on moving


  • Hann1BaL
  • Registratie: september 2003
  • Laatst online: 28-01 18:21

Hann1BaL

Do you stay for dinner?Clarice

D_Jeff schreef op vrijdag 26 november 2021 @ 18:57:
@HKLM_ Helaas is Uni. Print van MS een extra licentie MET extra kosten (4 dollar/maand/user)
Die ga ik er niet doorheen krijgen, omdat er nog een Windows Server AD + GPO mogelijkheden zijn.

Aan de andere kant jammer dat er niet gekozen is voor Papercut. Dat is een kwestie van de installer.exe ombouwen naar een win32 app en bij het installatieveld /gui meegeven. User de wizard laten doorlopen en volia, alle ellende is voorbij
Beetje offtopic wel, maar als je zoekt naar follow-me print oplossing, kijk ook zeker naar Uniflow. Qua licenties transparanter en doorgaans goedkoper en vind ik beter werken dan Papercut. (Papercut heeft wel ondersteuning voor meer type printers, al is dat niet helemaal zo zwart-wit, want wat zou moeten werken, werkt niet altijd. :)

  • D_Jeff
  • Registratie: april 2011
  • Nu online
Bitlocker blijft momenteel mijn 'tripwire':

De bedoeling is dat Bitlocker, zonder vragen in de achtergrond, ingesteld wordt.
Ik weet dat het mogelijk is om dit in te stellen bij "Endpoint" en als Cloud Policy -- maar beide geven niet het gewenste effect.

Het beste dat ik tot zover werkend heb, zijn de meldingen dat bitlocker vereist is. Negeer je de meldingen, gebeurt er niets.

Iemand nog suggesties?

Hold. Step. Move. There will always be a way to keep on moving


  • ptjuh
  • Registratie: november 2005
  • Laatst online: 27-01 09:50

ptjuh

New day, same old shit

D_Jeff schreef op vrijdag 17 december 2021 @ 11:06:
Bitlocker blijft momenteel mijn 'tripwire':

De bedoeling is dat Bitlocker, zonder vragen in de achtergrond, ingesteld wordt.
Ik weet dat het mogelijk is om dit in te stellen bij "Endpoint" en als Cloud Policy -- maar beide geven niet het gewenste effect.

Het beste dat ik tot zover werkend heb, zijn de meldingen dat bitlocker vereist is. Negeer je de meldingen, gebeurt er niets.

Iemand nog suggesties?
ook al gekeken naar Endpoint Security - > Disk encryption?

Its all in the little things that people do..


  • jeroentjeh
  • Registratie: oktober 2005
  • Laatst online: 07:46
Om dat in te regelen gebruik ik al een tijdje het volgende configuratie profiel :


  • xven0mxz
  • Registratie: december 2009
  • Laatst online: 00:46

xven0mxz

Feyenoord Rotterdam 1908!

jeroentjeh schreef op vrijdag 17 december 2021 @ 14:25:
Om dat in te regelen gebruik ik al een tijdje het volgende configuratie profiel :

[Afbeelding]
Precies zo hebben wij hem ook bij al onze klanten staan. Nooit geen issues mee gehad.

  • D_Jeff
  • Registratie: april 2011
  • Nu online
@jeroentjeh Dank voor het screenshot.
Blokkeert dit profiel ook alternatieve aanmeldingen? (Windows Hello PIN / Vingerafdrukscanner /Face/ enz)

Hold. Step. Move. There will always be a way to keep on moving


  • jeroentjeh
  • Registratie: oktober 2005
  • Laatst online: 07:46
D_Jeff schreef op vrijdag 17 december 2021 @ 15:20:
@jeroentjeh Dank voor het screenshot.
Blokkeert dit profiel ook alternatieve aanmeldingen? (Windows Hello PIN / Vingerafdrukscanner /Face/ enz)
Dit Bitlocker profiel blokkeert het gebruik van een PIN of startup key in combinatie met eventueel een TPM chip voordat Windows start.

Windows Hello kun je apart aan of uit zetten onder Devices > Windows enrollment > Windows Hello for Business.

[Voor 6% gewijzigd door jeroentjeh op 17-12-2021 16:17]


  • panomi
  • Registratie: augustus 2009
  • Laatst online: 23-01 16:42
Ik ben op een VM Windows 11 aan het testen voor een mogelijke volgende uitrol (toekomst).

Ik heb binnen Intune een test user aangemaakt, in aparte groep geplaatst enz. en toegevoegd voor het meenemen binnen profielen en andere applicatie configuraties. Eigenlijk hetzelfde als de reeds functionerende inrichting.

Als ik de VM start kom ik netjes bi het aanmeldscherm voor de organisatie. Echter bij fase 2 slaat het systeem de installatie van apps over. Net als of hij bij het indexeren geen apps kan vinden en dus niet installeert. Alles nagelopen maar kan het niet vinden. Groepslidmaatschap staat bij diverse apps juist ingevuld.

Iemand een idee?

Edit
Op een of andere manier na een keer opnieuw opstarten van de VM zijn de apps wel geรฏnstalleerd.
Mogelijk een GUI bug.

[Voor 19% gewijzigd door panomi op 08-01-2022 15:44]

Hebben meer mensen de ervaring dat het pushen van MSI files vanuit Intune niet lekker loopt via line-of-business en die wil niet installeren.

Maak ik er een Windows App (32) package van via de tool en de MSI met de .intunewin extentie staat die na het pushen er zeer snel zonder issues op. Iemand een idee waar dat aan kan liggen? Ik gebruik namelijk dezelfde silent parameters :/

[Voor 8% gewijzigd door HKLM_ op 11-01-2022 20:05]

๐Ÿ‘ฉโ€๐Ÿš€ -> Astronauts use Linux because you cant open Windows in space <- ๐Ÿš€


  • D_Jeff
  • Registratie: april 2011
  • Nu online
@HKLM_
1) Hoe groot is de MSI (jn MB / KB)?
2) Heb je in een VM de MSI al eens afgetrapt om te zien wat het allemaal doet?
3) HOOFDLETTER-parameter vereist?

Hold. Step. Move. There will always be a way to keep on moving

D_Jeff schreef op dinsdag 11 januari 2022 @ 20:32:
@HKLM_
1) Hoe groot is de MSI (jn MB / KB)?
2) Heb je in een VM de MSI al eens afgetrapt om te zien wat het allemaal doet?
3) HOOFDLETTER-parameter vereist?
1: +- 100MB
2: ja en dat werkt gewoon (msiexec /i "GitHubDesktopSetup-x64.msi" /q)
3: nee

Het commando msiexec /i "GitHubDesktopSetup-x64.msi" /q wordt ook gebruikt in de Intunepackage en dan werkt het dus welโ€ฆ dat is natuurlijk prima maar wel vreemd.

[Voor 3% gewijzigd door HKLM_ op 11-01-2022 20:42]

๐Ÿ‘ฉโ€๐Ÿš€ -> Astronauts use Linux because you cant open Windows in space <- ๐Ÿš€


  • D_Jeff
  • Registratie: april 2011
  • Nu online
HKLM_ schreef op dinsdag 11 januari 2022 @ 20:40:
[...]


1: +- 100MB
2: ja en dat werkt gewoon (msiexec /i "GitHubDesktopSetup-x64.msi" /q)
3: nee

Het commando msiexec /i "GitHubDesktopSetup-x64.msi" /q wordt ook gebruikt in de Intunepackage en dan werkt het dus welโ€ฆ dat is natuurlijk prima maar wel vreemd.
/i -- dude, remove it -- Die heb je daar helemaal niet nodig. Intune voert zelf /i of /a uit (afhankelijk van de keuze die je maakt: user / system).
Feitelijk wordt er nu 2x /i gedaan en dat snapt msiexec.exe niet
------------------------------
Edit, dit maal met voorbeeld:


De enigste parameter die je nog wil meegeven is /q in het veld "Command-Line arguments"

[Voor 16% gewijzigd door D_Jeff op 11-01-2022 20:58]

Hold. Step. Move. There will always be a way to keep on moving

D_Jeff schreef op dinsdag 11 januari 2022 @ 20:52:
[...]


/i -- dude, remove it -- Die heb je daar helemaal niet nodig. Intune voert zelf /i of /a uit (afhankelijk van de keuze die je maakt: user / system).
Feitelijk wordt er nu 2x /i gedaan en dat snapt msiexec.exe niet

De enigste parameter die je nog wil meegeven is /q
Mmmmm okรฉ :P maar dit commando maakt Intune er zelf van hoor >:)
Plaatje is van de Intune package. Ik zal morgen dan eens een MSI package maken zonder de i



Edit a thx ik gaf het commando op zal het eens met alleen /q proberen thx :)

[Voor 4% gewijzigd door HKLM_ op 11-01-2022 21:02]

๐Ÿ‘ฉโ€๐Ÿš€ -> Astronauts use Linux because you cant open Windows in space <- ๐Ÿš€


  • D_Jeff
  • Registratie: april 2011
  • Nu online
MSI installers zijn de fijnste installers voor gebruik met Intune:
MSI uploaden, optioneel /q meegeven, toewijzen doen en klaar.

Daarom zat ik mij al af te vragen waarom je zo moeilijk deed :+

Hold. Step. Move. There will always be a way to keep on moving

D_Jeff schreef op dinsdag 11 januari 2022 @ 21:09:
MSI installers zijn de fijnste installers voor gebruik met Intune:
MSI uploaden, optioneel /q meegeven, toewijzen doen en klaar.

Daarom zat ik mij al af te vragen waarom je zo moeilijk deed :+
Haha ja ik ook :P is gelukkig ook geen productie maar lekker voor thuis :9

๐Ÿ‘ฉโ€๐Ÿš€ -> Astronauts use Linux because you cant open Windows in space <- ๐Ÿš€


  • Le Enfant!
  • Registratie: juli 2012
  • Nu online
Ik heb hier een vreemd issue met enkele devices die op geen enkele manier updates binnen kunnen halen.
Ik zie volgende foutmeldingen in zowel de ScanAgent.log als de WUAHander.log
ScanAgent.log

WUAHandler.log


Als ik via CCMTrace de error opzoek, dan kom ik volgende uit:
Error 0x87d00631 betekent โ€˜Scan retry Pendingโ€™
Error 0x80244007 betekent โ€œSame as SOAPCLIENT_SOAPFAULT - SOAP client failed because there was a SOAP fault for reasons of WU_E_PT_SOAP_* error codes.โ€

Als ik zoek op foutmelding 0x80244007, dan kom ik enkele hits tegen in Google. Ik heb de aanpassingen in web.config en een IIS reset geprobeerd, maar dat biedt niet veel soelaas.

Ik heb voor de rest al volgende acties ondernomen op de getroffen clients:
- Reinstall SCCM client
- Reset WSUS client (by stopping the service and remove the content of SoftwareDistribution)
- Registry.pol heraangemaakt

SSL is uitgeschakeld op zowel de IIS WSUS website, op de SUP server als op de SCCM Management server. Dus daar kan het ook niet liggen.

Ik denk ook niet dat er iets anders in de netwerk infrastructuur (daar heb ik ook verder geen zicht op) de boel ophoudt, want dit is verspreid over meerdere toestellen in verschillende locaties. Alsook met toestellen die enkel thuis verbonden staan.

Iemand een idee hoe ik dit kan oplossen? Ik ben er bijna heel de week mee bezig geweest en men wordt een beetje kribbig omdat de 'cijfers niet kloppen'.
Misschien weet iemand het hier, ik heb het namelijk nog niet kunnen testen.

Onze laptops zijn voorzien van bitlocker maar de policy en keys worden door ons AV pakket gepushte en opgeslagen (vraag me niet waarom ze hier ooit voor gekozen hebben)

Nu wil ik Intune gaan gebruiken voor bitlocker en daar ook de keys in opslaan. De keys kan ik met powershell uitlezen en opslaan maar kan ik ook de Intune bitlocker policy pushen zonder gedoe? Of moeten de laptops eerst decrypt worden en dan weer geencrypt?

๐Ÿ‘ฉโ€๐Ÿš€ -> Astronauts use Linux because you cant open Windows in space <- ๐Ÿš€


  • nextware
  • Registratie: mei 2002
  • Laatst online: 11:08
HKLM_ schreef op woensdag 26 januari 2022 @ 07:15:
Misschien weet iemand het hier, ik heb het namelijk nog niet kunnen testen.

Onze laptops zijn voorzien van bitlocker maar de policy en keys worden door ons AV pakket gepushte en opgeslagen (vraag me niet waarom ze hier ooit voor gekozen hebben)

Nu wil ik Intune gaan gebruiken voor bitlocker en daar ook de keys in opslaan. De keys kan ik met powershell uitlezen en opslaan maar kan ik ook de Intune bitlocker policy pushen zonder gedoe? Of moeten de laptops eerst decrypt worden en dan weer geencrypt?
Ik vermoed dat je eerst een decrypt zult moeten uitvoeren voordat je dit met Intune kunt doen. Ik denk dat je nu in Intune een melding gaat krijgen dat het volume al encryot is en dat het daardoor wordt geskipped.

  • Hann1BaL
  • Registratie: september 2003
  • Laatst online: 28-01 18:21

Hann1BaL

Do you stay for dinner?Clarice

nextware schreef op woensdag 26 januari 2022 @ 07:43:
[...]


Ik vermoed dat je eerst een decrypt zult moeten uitvoeren voordat je dit met Intune kunt doen. Ik denk dat je nu in Intune een melding gaat krijgen dat het volume al encryot is en dat het daardoor wordt geskipped.
Die conclusie kan voorbarig zijn. Als de policy gewoon standaard bitlocker gebruikt, zouden de devices na verandering van policy prima hun keys kunnen publishen in Intune.

Ik heb alleen geen ervaring met die actie van 3rd party naar Intune, maar alleen met Bitlocker management console naar SCCM en SCCM naar intune.

Bitlocker server database was gecrashed en we konden via policy de meeste keys terugkrijgen in SCCM.
Vandaag ben ik er niet aantoe gekomen. Had nog wat issues met de auto MDM join policy i.c.m onze hybrid join :/ Maar goed dat is nu opgelost! Ik hoop het morgen of vrijdag te kunnen testen dank beide.

๐Ÿ‘ฉโ€๐Ÿš€ -> Astronauts use Linux because you cant open Windows in space <- ๐Ÿš€


  • nextware
  • Registratie: mei 2002
  • Laatst online: 11:08
Hann1BaL schreef op woensdag 26 januari 2022 @ 15:08:
[...]


Die conclusie kan voorbarig zijn. Als de policy gewoon standaard bitlocker gebruikt, zouden de devices na verandering van policy prima hun keys kunnen publishen in Intune.

Ik heb alleen geen ervaring met die actie van 3rd party naar Intune, maar alleen met Bitlocker management console naar SCCM en SCCM naar intune.

Bitlocker server database was gecrashed en we konden via policy de meeste keys terugkrijgen in SCCM.
Daarom zeg ik ook " ik vermoed" ;)
Ik heb zelf niet in deze situatie gezeten, dus ik kan niet uit ervaring praten.
Pagina: 1 2 Laatste


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fฤ“nix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Bij het bezoeken van het forum plaatst Tweakers alleen functionele en analytische cookies voor optimalisatie en analyse om de website-ervaring te verbeteren. Op het forum worden geen trackingcookies geplaatst. Voor het bekijken van video's en grafieken van derden vragen we je toestemming, we gebruiken daarvoor externe tooling die mogelijk cookies kunnen plaatsen.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Forum cookie-instellingen

Bekijk de onderstaande instellingen en maak je keuze. Meer informatie vind je in ons cookiebeleid.

Functionele en analytische cookies

Deze cookies helpen de website zijn functies uit te voeren en zijn verplicht. Meer details

janee

    Cookies van derden

    Deze cookies kunnen geplaatst worden door derde partijen via ingesloten content en om de gebruikerservaring van de website te verbeteren. Meer details

    janee