En als ik die oplossing zo snel bekijk gaat dat om statische printers die rechtstreeks worden aangeroepen
Maar dat maakt voor de driver / connectie toch niet uit? In het classic geval is een FolkowYou / Me systeem toch een virtuele printer op de print server en meer niet. Wat is er nu dan zo speciaal?
Direct naar de printer printen is toch iets wat je moet willen ze hebben niet voor niks Branch Office Direct Printing Eerst alles naar de print server sturen is normaal niet nodig.
[Voor 15% gewijzigd door HKLM_ op 26-11-2021 09:59]
Probleem is dat voor de klassieke follow-me van Ricoh je wel een opdracht naar een shared printer op de printserver moet sturen omdat de (hebben we het hier over Equitrac?) printserver software een geautoriseerde opdracht moet hebben in de queue zodat hij weet
* wie de opdracht stuurt
* om hoeveel pagina's het gaat
* of het een kleurenafdruk of zwart wit betreft
* etc.
Dat zijn allemaal zaken die de afdruksoftware registreert en koppelt aan een gebruikersdatabase zodat ook zaken als verbruik en verrekening met eventuele costcenters kunnen worden gedaan.
Maar natuurlijk zeker zodat bekend is wie de opdracht stuurt zodat enkel DIE gebruiker vervolgens naar de printer gaat, zijn pas aanbiedt (of inlogt via control panel op de printer) en vervolgens zijn opdracht kan "ophalen" , dat is hoe die follow-me oplossing werkt.
De driver installatie is (an sich) het probleem niet, het toevoegen van een printer connection naar de shared printer wel.
En met de fixes voor PrinterNightMare die MS heeft doorgevoerd kunnen gewone gebruikers niet meer zonder admin rechten een shared printer toevoegen:
Bij mijn werkgever maken we ook gebruik van de Equitrac Follow-me oplossing en zouden we dit voor reguliere eindgebruikers enkel kunnen oplossen door de vermelde registry wijziging door te voeren en mitigations op de printserver toe te passen (enkel trusted printservers toestaan)
Die mitigations beschermen je echter niet volledig tegen de exploit. Daarom is er voor nu gekozen om printing naar de follow-me voor de Azure AD joined devices niet toe te staan (men kan afdrukken via onze Citrix omgeving)
Er wordt gekeken naar een cloud print management oplossing ter vervanging van de huidige Equitrac oplossing, details hierover zijn me nog niet bekend.
@HKLM_ Helaas is Uni. Print van MS een extra licentie MET extra kosten (4 dollar/maand/user)
Die ga ik er niet doorheen krijgen, omdat er nog een Windows Server AD + GPO mogelijkheden zijn.
Aan de andere kant jammer dat er niet gekozen is voor Papercut. Dat is een kwestie van de installer.exe ombouwen naar een win32 app en bij het installatieveld /gui meegeven. User de wizard laten doorlopen en volia, alle ellende is voorbij
Hold. Step. Move. There will always be a way to keep on moving
D_Jeff schreef op vrijdag 26 november 2021 @ 18:57:
@HKLM_ Helaas is Uni. Print van MS een extra licentie MET extra kosten (4 dollar/maand/user)
Die ga ik er niet doorheen krijgen, omdat er nog een Windows Server AD + GPO mogelijkheden zijn.
Aan de andere kant jammer dat er niet gekozen is voor Papercut. Dat is een kwestie van de installer.exe ombouwen naar een win32 app en bij het installatieveld /gui meegeven. User de wizard laten doorlopen en volia, alle ellende is voorbij
- Uitrol van een hybride omgeving
- Geen VPN ingesteld
- Dit gaat indd om de 2e log in ("Fase 3") waarin de volgende stap "joining your..." is
Misschien is het mosterd na de maaltijd. Maar ik zie dat je een Hybrid Join uitvoert.
Om problemen met Azure PRT te voorkomen dien je de User Status Page op ESP uit te schakelen.
./Vendor/MSFT/DMClient/Provider/MS DM Server/FirstSyncStatus/SkipUserStatusPage,true --> Assign aan Device groep.
@DJ-B Dit heb ik een aantal keer getest zonder het uit te zetten (policies staan wel gereed mocht het echt te vervelend worden). Het enige dat een hikje heeft, is Onedrive.
Zodra ik later Onedrive alsnog aanmeld, zie dat ik het alsnog goed gaat.
---
Toch bedankt voor het meedenken !
Hold. Step. Move. There will always be a way to keep on moving
D_Jeff schreef op vrijdag 26 november 2021 @ 18:57:
@HKLM_ Helaas is Uni. Print van MS een extra licentie MET extra kosten (4 dollar/maand/user)
Die ga ik er niet doorheen krijgen, omdat er nog een Windows Server AD + GPO mogelijkheden zijn.
Aan de andere kant jammer dat er niet gekozen is voor Papercut. Dat is een kwestie van de installer.exe ombouwen naar een win32 app en bij het installatieveld /gui meegeven. User de wizard laten doorlopen en volia, alle ellende is voorbij
Beetje offtopic wel, maar als je zoekt naar follow-me print oplossing, kijk ook zeker naar Uniflow. Qua licenties transparanter en doorgaans goedkoper en vind ik beter werken dan Papercut. (Papercut heeft wel ondersteuning voor meer type printers, al is dat niet helemaal zo zwart-wit, want wat zou moeten werken, werkt niet altijd.
De bedoeling is dat Bitlocker, zonder vragen in de achtergrond, ingesteld wordt.
Ik weet dat het mogelijk is om dit in te stellen bij "Endpoint" en als Cloud Policy -- maar beide geven niet het gewenste effect.
Het beste dat ik tot zover werkend heb, zijn de meldingen dat bitlocker vereist is. Negeer je de meldingen, gebeurt er niets.
Iemand nog suggesties?
Hold. Step. Move. There will always be a way to keep on moving
De bedoeling is dat Bitlocker, zonder vragen in de achtergrond, ingesteld wordt.
Ik weet dat het mogelijk is om dit in te stellen bij "Endpoint" en als Cloud Policy -- maar beide geven niet het gewenste effect.
Het beste dat ik tot zover werkend heb, zijn de meldingen dat bitlocker vereist is. Negeer je de meldingen, gebeurt er niets.
Iemand nog suggesties?
ook al gekeken naar Endpoint Security - > Disk encryption?
Ik ben op een VM Windows 11 aan het testen voor een mogelijke volgende uitrol (toekomst).
Ik heb binnen Intune een test user aangemaakt, in aparte groep geplaatst enz. en toegevoegd voor het meenemen binnen profielen en andere applicatie configuraties. Eigenlijk hetzelfde als de reeds functionerende inrichting.
Als ik de VM start kom ik netjes bi het aanmeldscherm voor de organisatie. Echter bij fase 2 slaat het systeem de installatie van apps over. Net als of hij bij het indexeren geen apps kan vinden en dus niet installeert. Alles nagelopen maar kan het niet vinden. Groepslidmaatschap staat bij diverse apps juist ingevuld.
Iemand een idee?
Edit
Op een of andere manier na een keer opnieuw opstarten van de VM zijn de apps wel geΓ―nstalleerd.
Mogelijk een GUI bug.
[Voor 19% gewijzigd door panomi op 08-01-2022 15:44]
Hebben meer mensen de ervaring dat het pushen van MSI files vanuit Intune niet lekker loopt via line-of-business en die wil niet installeren.
Maak ik er een Windows App (32) package van via de tool en de MSI met de .intunewin extentie staat die na het pushen er zeer snel zonder issues op. Iemand een idee waar dat aan kan liggen? Ik gebruik namelijk dezelfde silent parameters
[Voor 8% gewijzigd door HKLM_ op 11-01-2022 20:05]
@HKLM_
1) Hoe groot is de MSI (jn MB / KB)?
2) Heb je in een VM de MSI al eens afgetrapt om te zien wat het allemaal doet?
3) HOOFDLETTER-parameter vereist?
Hold. Step. Move. There will always be a way to keep on moving
1: +- 100MB
2: ja en dat werkt gewoon (msiexec /i "GitHubDesktopSetup-x64.msi" /q)
3: nee
Het commando msiexec /i "GitHubDesktopSetup-x64.msi" /q wordt ook gebruikt in de Intunepackage en dan werkt het dus wel⦠dat is natuurlijk prima maar wel vreemd.
[Voor 3% gewijzigd door HKLM_ op 11-01-2022 20:42]
1: +- 100MB
2: ja en dat werkt gewoon (msiexec /i "GitHubDesktopSetup-x64.msi" /q)
3: nee
Het commando msiexec /i "GitHubDesktopSetup-x64.msi" /q wordt ook gebruikt in de Intunepackage en dan werkt het dus wel⦠dat is natuurlijk prima maar wel vreemd.
/i -- dude, remove it -- Die heb je daar helemaal niet nodig. Intune voert zelf /i of /a uit (afhankelijk van de keuze die je maakt: user / system).
Feitelijk wordt er nu 2x /i gedaan en dat snapt msiexec.exe niet
------------------------------
Edit, dit maal met voorbeeld:
De enigste parameter die je nog wil meegeven is /q in het veld "Command-Line arguments"
[Voor 16% gewijzigd door D_Jeff op 11-01-2022 20:58]
Hold. Step. Move. There will always be a way to keep on moving
/i -- dude, remove it -- Die heb je daar helemaal niet nodig. Intune voert zelf /i of /a uit (afhankelijk van de keuze die je maakt: user / system).
Feitelijk wordt er nu 2x /i gedaan en dat snapt msiexec.exe niet
De enigste parameter die je nog wil meegeven is /q
Ik heb hier een vreemd issue met enkele devices die op geen enkele manier updates binnen kunnen halen.
Ik zie volgende foutmeldingen in zowel de ScanAgent.log als de WUAHander.log
ScanAgent.log
WUAHandler.log
Als ik via CCMTrace de error opzoek, dan kom ik volgende uit:
Error 0x87d00631 betekent βScan retry Pendingβ
Error 0x80244007 betekent βSame as SOAPCLIENT_SOAPFAULT - SOAP client failed because there was a SOAP fault for reasons of WU_E_PT_SOAP_* error codes.β
Als ik zoek op foutmelding 0x80244007, dan kom ik enkele hits tegen in Google. Ik heb de aanpassingen in web.config en een IIS reset geprobeerd, maar dat biedt niet veel soelaas.
Ik heb voor de rest al volgende acties ondernomen op de getroffen clients:
- Reinstall SCCM client
- Reset WSUS client (by stopping the service and remove the content of SoftwareDistribution)
- Registry.pol heraangemaakt
SSL is uitgeschakeld op zowel de IIS WSUS website, op de SUP server als op de SCCM Management server. Dus daar kan het ook niet liggen.
Ik denk ook niet dat er iets anders in de netwerk infrastructuur (daar heb ik ook verder geen zicht op) de boel ophoudt, want dit is verspreid over meerdere toestellen in verschillende locaties. Alsook met toestellen die enkel thuis verbonden staan.
Iemand een idee hoe ik dit kan oplossen? Ik ben er bijna heel de week mee bezig geweest en men wordt een beetje kribbig omdat de 'cijfers niet kloppen'.
Misschien weet iemand het hier, ik heb het namelijk nog niet kunnen testen.
Onze laptops zijn voorzien van bitlocker maar de policy en keys worden door ons AV pakket gepushte en opgeslagen (vraag me niet waarom ze hier ooit voor gekozen hebben)
Nu wil ik Intune gaan gebruiken voor bitlocker en daar ook de keys in opslaan. De keys kan ik met powershell uitlezen en opslaan maar kan ik ook de Intune bitlocker policy pushen zonder gedoe? Of moeten de laptops eerst decrypt worden en dan weer geencrypt?
Onze laptops zijn voorzien van bitlocker maar de policy en keys worden door ons AV pakket gepushte en opgeslagen (vraag me niet waarom ze hier ooit voor gekozen hebben)
Nu wil ik Intune gaan gebruiken voor bitlocker en daar ook de keys in opslaan. De keys kan ik met powershell uitlezen en opslaan maar kan ik ook de Intune bitlocker policy pushen zonder gedoe? Of moeten de laptops eerst decrypt worden en dan weer geencrypt?
Ik vermoed dat je eerst een decrypt zult moeten uitvoeren voordat je dit met Intune kunt doen. Ik denk dat je nu in Intune een melding gaat krijgen dat het volume al encryot is en dat het daardoor wordt geskipped.
Ik vermoed dat je eerst een decrypt zult moeten uitvoeren voordat je dit met Intune kunt doen. Ik denk dat je nu in Intune een melding gaat krijgen dat het volume al encryot is en dat het daardoor wordt geskipped.
Die conclusie kan voorbarig zijn. Als de policy gewoon standaard bitlocker gebruikt, zouden de devices na verandering van policy prima hun keys kunnen publishen in Intune.
Ik heb alleen geen ervaring met die actie van 3rd party naar Intune, maar alleen met Bitlocker management console naar SCCM en SCCM naar intune.
Bitlocker server database was gecrashed en we konden via policy de meeste keys terugkrijgen in SCCM.
Vandaag ben ik er niet aantoe gekomen. Had nog wat issues met de auto MDM join policy i.c.m onze hybrid join Maar goed dat is nu opgelost! Ik hoop het morgen of vrijdag te kunnen testen dank beide.
Die conclusie kan voorbarig zijn. Als de policy gewoon standaard bitlocker gebruikt, zouden de devices na verandering van policy prima hun keys kunnen publishen in Intune.
Ik heb alleen geen ervaring met die actie van 3rd party naar Intune, maar alleen met Bitlocker management console naar SCCM en SCCM naar intune.
Bitlocker server database was gecrashed en we konden via policy de meeste keys terugkrijgen in SCCM.
Daarom zeg ik ook " ik vermoed"
Ik heb zelf niet in deze situatie gezeten, dus ik kan niet uit ervaring praten.
@nextware @Hann1BaL Ik heb het de afgelopen dagen uitgebreid kunnen testen en er zijn eigenlijk geen issues. Intune detecteert netjes dat bitlocker al actief is en de nieuwe Intune policy gaat er gewoon overheen en past eventueel dingen aan. (wachtwoord -> Pin policy bijvoorbeeld)
Ben er wel blij mee het scheelt ruim 500 laptops opnieuw encrypten Nu alleen nog zorgen dat de users een pop-up krijgen om hun pin te wijzigen.. dat zit niet standaard in intune volgens mij maar met deze https://oliverkieselbach....n-on-windows-with-intune/ zal het vast lukken. (iemand hier toevallig ervaring mee?)
[Voor 41% gewijzigd door HKLM_ op 01-02-2022 19:10]
We zijn van plan om over te schakelen naar Defender for endpoint, alle gebruikers hebben een E5 licentie maar we hebben nog een 12 kiosk pc's. De kiosk pc's worden gebruikt door klanten, deze hebben dus geen E5 licentie.
Helaas kan ik nergens terugvinden hoe het zit met de licentie hieromtrent. En of er een device-licentie bestaat. Bij het opzoeken en rondhoren bij enkele andere bedrijven zei men mij om 12 P2 licenties aan te kopen en deze niet toe te kennen. Klopt het dan dat het licentie-gewijs/wettelijk in orde is? Of is er nog een andere mogelijkheid?
Als ik via CCMTrace de error opzoek, dan kom ik volgende uit:
Error 0x87d00631 betekent βScan retry Pendingβ
Error 0x80244007 betekent βSame as SOAPCLIENT_SOAPFAULT - SOAP client failed because there was a SOAP fault for reasons of WU_E_PT_SOAP_* error codes.β
Als ik zoek op foutmelding 0x80244007, dan kom ik enkele hits tegen in Google. Ik heb de aanpassingen in web.config en een IIS reset geprobeerd, maar dat biedt niet veel soelaas.
Ik heb voor de rest al volgende acties ondernomen op de getroffen clients:
- Reinstall SCCM client
- Reset WSUS client (by stopping the service and remove the content of SoftwareDistribution)
- Registry.pol heraangemaakt
SSL is uitgeschakeld op zowel de IIS WSUS website, op de SUP server als op de SCCM Management server. Dus daar kan het ook niet liggen.
Ik denk ook niet dat er iets anders in de netwerk infrastructuur (daar heb ik ook verder geen zicht op) de boel ophoudt, want dit is verspreid over meerdere toestellen in verschillende locaties. Alsook met toestellen die enkel thuis verbonden staan.
Iemand een idee hoe ik dit kan oplossen? Ik ben er bijna heel de week mee bezig geweest en men wordt een beetje kribbig omdat de 'cijfers niet kloppen'.
Kun je zien of de devices eerder wel hun updates hebben gehad?
En heb je de wsus database wel eens bekeken/onderhouden?
Je update source is sccm en je update vanuit huis ook apparaten? Via cmg?
Hier wat zaken die je kunt proberen.
Unselect couple of products from SCCM with regards to downloading updates for instance if you have chrome, citrix, win 8.1 etcc. uncheck chrome and citrix and run the sync. check logs. once the issue is fixed re-select those products and check again.
make sure stale, expired or old updates are cleaned up from SCCM and SQL DB.
Run WSUS cleanup from within the tool itself.
there are couple of scripts that are available and which i run on weekly basis which does - Re-index SUSDB, Monthly cleanup of updates and deleting old updates on top of the above steps.
doing all the above steps have so far fixed my windows update issues.
hopefully this helps
[Voor 18% gewijzigd door ReZpie op 07-02-2022 21:57]
pcc schreef op maandag 7 februari 2022 @ 10:53:
We zijn van plan om over te schakelen naar Defender for endpoint, alle gebruikers hebben een E5 licentie maar we hebben nog een 12 kiosk pc's. De kiosk pc's worden gebruikt door klanten, deze hebben dus geen E5 licentie.
Helaas kan ik nergens terugvinden hoe het zit met de licentie hieromtrent. En of er een device-licentie bestaat. Bij het opzoeken en rondhoren bij enkele andere bedrijven zei men mij om 12 P2 licenties aan te kopen en deze niet toe te kennen. Klopt het dan dat het licentie-gewijs/wettelijk in orde is? Of is er nog een andere mogelijkheid?
Ik heb toevallig vanmorgen een meeting gehad met Microsoft, ze vertelde mij dat er voor kiosk devices alleen een "device" based license nodig was en deze niet van te voren en in aantallen hoeft te worden aangeschaft en dat Microsoft dit zelf berekent.
Ik heb toevallig vanmorgen een meeting gehad met Microsoft, ze vertelde mij dat er voor kiosk devices alleen een "device" based license nodig was en deze niet van te voren en in aantallen hoeft te worden aangeschaft en dat Microsoft dit zelf berekent.
Dit lijkt mij inderdaad de perfecte manier, heb je toevallig iets meer informatie van hoe we dit bij Microsoft kunnen aanvragen of hoe de berekening loopt?
Dat laatste ja. PIN is sowieso beter dan password voor de gebruiker zonder in te leveren op beveiliging (praktisch gezien.)
Het is inderdaad een company policy dat we dit vereisen, we willen niet hebben dat er privacy gevoelige gegevens op straat komt na een diefstal van een laptop. De Pin is inderdaad een goede optie maar staat vanuit Intune alles toe dus ook 1,2,3,4,5,6 of 1111111111 en je weet hoe gebruikers zijn dan heb ik straks 100 laptops met 1,2,3,4,5,6. Vandaar dat we toch voor het wachtwoord gaan
Het is inderdaad een company policy dat we dit vereisen, we willen niet hebben dat er privacy gevoelige gegevens op straat komt na een diefstal van een laptop. De Pin is inderdaad een goede optie maar staat vanuit Intune alles toe dus ook 1,2,3,4,5,6 of 1111111111 en je weet hoe gebruikers zijn dan heb ik straks 100 laptops met 1,2,3,4,5,6. Vandaar dat we toch voor het wachtwoord gaan
Uiteraard doen we bitlocker encryptie, maar niet met additionele PIN.
Als de laptop op straat komt te liggen, moet je eerst nog zien in te loggen om bij de data te kunnen en een secure wipe als het device online komt blaast het sprookje dan ook verder uit.
Altijd benieuwd naar de verschillende uitgangspunten.
(en we hebben nogal een focus op security en dit is niet een van de actiepunten die bovenaan de lijst staan.)
Het is inderdaad een company policy dat we dit vereisen, we willen niet hebben dat er privacy gevoelige gegevens op straat komt na een diefstal van een laptop. De Pin is inderdaad een goede optie maar staat vanuit Intune alles toe dus ook 1,2,3,4,5,6 of 1111111111 en je weet hoe gebruikers zijn dan heb ik straks 100 laptops met 1,2,3,4,5,6. Vandaar dat we toch voor het wachtwoord gaan
Die pre-boot PIN voegt volgens mij qua veiligheid niet echt iets toe op moderne devices? Of heb je, naast de eis vanuit security/policy, ook een technische reden om die pre-boot pin te vereisen?
Uiteraard doen we bitlocker encryptie, maar niet met additionele PIN.
Als de laptop op straat komt te liggen, moet je eerst nog zien in te loggen om bij de data te kunnen en een secure wipe als het device online komt blaast het sprookje dan ook verder uit.
Altijd benieuwd naar de verschillende uitgangspunten.
(en we hebben nogal een focus op security en dit is niet een van de actiepunten die bovenaan de lijst staan.)
Inderdaad. Ik werk ook met best grote (internationale security focused) organisaties en er zijn er een paar die deze eis initieel op het lijstje hadden staan, maar die hem er zonder uitzondering allemaal hebben afgehaald voor de 'standaard uitrol' (zeg 99% van de gebruikers). Hooguit voor een groep VIPS/High Secure werkplekken is er wel een klant die het alsnog doorvoert.
Ik zal er wel overheen gekeken hebben, maar het valt mij op dat de online Portal geen apps laat zien op de devices terwijl de Company Portal app wel al onze apps laat zien.
(Dit zijn door PatchyMyPC geconfigureerde apps, handmatig gemaakte apps en MS Store apps)
Alleen blijft https://portal.manage.microsoft.com/ leeg. Devices zijn corporate managed, compliant, maar toch krijgen we dat "Your company hasn't made any apps available to you on this device"
Inderdaad. Ik werk ook met best grote (internationale security focused) organisaties en er zijn er een paar die deze eis initieel op het lijstje hadden staan, maar die hem er zonder uitzondering allemaal hebben afgehaald voor de 'standaard uitrol' (zeg 99% van de gebruikers). Hooguit voor een groep VIPS/High Secure werkplekken is er wel een klant die het alsnog doorvoert.
Wat ik nog steeds interessant vind is dat binnen onze organisaties de beveiliging voor de VIPS juist "gerekt" wordt. Windows updates vertraagt met als excuus de "white glove" behandeling, maar dat is juist niet logisch.
Wat ik nog steeds interessant vind is dat binnen onze organisaties de beveiliging voor de VIPS juist "gerekt" wordt. Windows updates vertraagt met als excuus de "white glove" behandeling, maar dat is juist niet logisch.
Dat de VIPS juist 'minder strikte' security maatregelen willen? Ja, misschien is de VIPS groep ook een verkeerd voorbeeld (ook al zou je die vanuit Security oogpunt graag voorzien van een 'extra' laagje). Gelukkig voegt de pre-boot PIN (naar ding ook btw) voor het gros van de gebruikers weinig toe.
Die pre-boot PIN voegt volgens mij qua veiligheid niet echt iets toe op moderne devices? Of heb je, naast de eis vanuit security/policy, ook een technische reden om die pre-boot pin te vereisen?
Naja als je een laptop kan opstarten en op je Windows Login zit kan je hem eventueel hacken
Dus ik snap de bedrijfs policy wel aangezien we het wel over privacy gevoelige data hebben en soms zelf medisch (wat eigenlijk niet mag) en ze als de dood zijn dat zo iets op straat komt na een diefstal.
Momenteel hebben we niks qua laptop management dus ik moet eerst Intune maar uitrollen met de huidige perikelen en dan eens kijken wat ik er echt goed en technisch onderbouwd uit kan slopen.
[Voor 13% gewijzigd door HKLM_ op 08-02-2022 15:27]
Dat de VIPS juist 'minder strikte' security maatregelen willen? Ja, misschien is de VIPS groep ook een verkeerd voorbeeld (ook al zou je die vanuit Security oogpunt graag voorzien van een 'extra' laagje). Gelukkig voegt de pre-boot PIN (naar ding ook btw) voor het gros van de gebruikers weinig toe.
Ik vind het een uitstekend voorbeeld om die reden: Role based security lijkt me in de huidige tijd juist belangrijk en je wilt stricter omgaan met de devices en data van je executives, omdat die waarschijnlijk data met de grootste waarde hebben op hun devices en in hun accounts.
Naja als je een laptop kan opstarten en op je Windows Login zit kan je hem eventueel hacken
Dus ik snap de bedrijfs policy wel aangezien we het wel over privacy gevoelige data hebben en soms zelf medisch (wat eigenlijk niet mag) en ze als de dood zijn dat zo iets op straat komt na een diefstal.
Tja, theoretisch kun je ook de laptop openbreken en de disk eruit halen. Wat ik al eerder zei, ik weet niet over welk bedrijf we het hebben. Maar dat betekend dus eigenlijk dat ze striktere veiligheidseisen hebben dan grote internationale banken, EU instellingen en eh...Europese rijksoverheden.
Ik vind het een uitstekend voorbeeld om die reden: Role based security lijkt me in de huidige tijd juist belangrijk en je wilt stricter omgaan met de devices en data van je executives, omdat die waarschijnlijk data met de grootste waarde hebben op hun devices en in hun accounts.
Inderdaad. Probleem is vaak wel dat die groep ook met de hand op de knip zit en een PA heeft die van mening is dat de CEO niet 'lastig gevallen' moet worden met security ofzo. Ik snap oprecht niet waarom de C** onaantastbaar zou zijn voor malware/hacks, etc. Die groep is juist een high value target zou ik zeggen, waarbij je dus moet zorgen dat de bedrijfsdata en -middelen die zij gebruiken extra aandacht zou moeten krijgen.
Tja, theoretisch kun je ook de laptop openbreken en de disk eruit halen. Wat ik al eerder zei, ik weet niet over welk bedrijf we het hebben. Maar dat betekend dus eigenlijk dat ze striktere veiligheidseisen hebben dan grote internationale banken, EU instellingen en eh...Europese rijksoverheden.
Naja als wij een laptop kwijt zijn en daar kunnen ze in en de medewerker heeft bijvoorbeeld een verslag of andere data toch lokaal staan dan halen wij het NOS journaal denk ik wel
Onze Functionaris Gegevens bescherming is zeer blauw en zeer streng haha maar er is uiteraard verbetering mogelijk alleen ik heb de tijd momenteel niet
Naja als wij een laptop kwijt zijn en daar kunnen ze in en de medewerker heeft bijvoorbeeld een verslag of andere data toch lokaal staan dan halen wij het NOS journaal denk ik wel
Onze Functionaris Gegevens bescherming is zeer blauw en zeer streng haha maar er is uiteraard verbetering mogelijk alleen ik heb de tijd momenteel niet
Tja, al staat die data lokaal (ik neem dan aan in je OneDrive map ), dan is de disk versleuteld en kan de dief er weinig mee natuurlijk.
Maar snapt die functionaris gegevensbescherming wel hoe het werkt dan? Een disk versleuteld met Bitlocker, of heeft hij/zij geen idee hoe het technisch opgelost wordt? Daarnaast zou je natuurlijk MIP kunnen gebruiken, om ook je data te beschermen. Tja, wat kan je dan nog gebeuren :-)
[Voor 18% gewijzigd door TheVMaster op 08-02-2022 15:34]
Je gaat mij niet vertellen dat je data nog op een fileshare opslaat op het netwerk?
Sorry, ik werk eigenlijk alleen maar met klanten die of al in de cloud zitten of ermee geholpen gaan worden. On-prem is zo 2020
Eh...wat data op de D partitie, zonder backup? Mag hopen dat de disk wel versleuteld is met bitlocker?
[Voor 19% gewijzigd door TheVMaster op 08-02-2022 15:37]
Je gaat mij niet vertellen dat je data nog op een fileshare opslaat op het netwerk?
Sorry, ik werk eigenlijk alleen maar met klanten die of al in de cloud zitten of ermee geholpen gaan worden. On-prem is zo 2020
Ja het MDM project is al twee jaar uitgesteld en ja de klassieke fileshare ik ben blij dat ik nu eindelijk ben begonnen na de 100 andere prio projecten
Geloof me @TheVMaster ik zou zo veel anders willen maar tijd en geen kennis bij mijn andere collegaβs dan houdt het een keer op.
Eh...wat data op de D partitie, zonder backup? Mag hopen dat de disk wel versleuteld is met bitlocker?
Uiteraard is die ook versleuteld met bitlocker
[Voor 23% gewijzigd door HKLM_ op 08-02-2022 15:40]
Ja het MDM project is al twee jaar uitgesteld en ja de klassieke fileshare ik ben blij dat ik nu eindelijk ben begonnen na de 100 andere prio projecten
Geloof me @TheVMaster ik zou zo veel anders willen maar tijd en geen kennis bij mijn andere collegaβs dan houdt het een keer op.
[...]
Uiteraard is die ook versleuteld met bitlocker
Zonde is dat. Maar je beheert de boel nu wel ConfigMgr dan?
Nee Ik heb drie jaar geleden snel MDT en WDS opgetuigd en WSUS en dat is het
Wauw, maar dan is het ook niet echt een hele grote club. Ach, met MDT kan het ook best. Maar eh, ik zou stiekem Autopilot inregelen en Hybrid AD join aanzetten en dan lekker policies d.m.v. Endpoint Manager gaan managen.
Hoe distribueer je de software nu dan? Op basis van GPO (geen idee of dat anno 2022 nog een ding is btw). Dat kan makkelijker, met minder beheerinspanning, zou ik zeggen.
Wauw, maar dan is het ook niet echt een hele grote club. Ach, met MDT kan het ook best. Maar eh, ik zou stiekem Autopilot inregelen en Hybrid AD join aanzetten en dan lekker policies d.m.v. Endpoint Manager gaan managen.
Hoe distribueer je de software nu dan? Op basis van GPO (geen idee of dat anno 2022 nog een ding is btw). Dat kan makkelijker, met minder beheerinspanning, zou ik zeggen.
Kleine 500 AutoPilot en de Hybride AD join ben ik nu mee bezig en zit in de scope Software distribueer doen we nu via GPO inderdaad.
Had al een GPO analyse gedaan in Intune en bijna alles kan over (is niet heel spannen)
Kleine 500 AutoPilot en de Hybride AD join ben ik nu mee bezig en zit in de scope Software distribueer doen we nu via GPO inderdaad.
Had al een GPO analyse gedaan in Intune en bijna alles kan over (is niet heel spannen)
Ach, beter laat dan nooit he. En kun je ook zonder de Hybrid AD join, dus native AAD of heb je legacy stuff wat dan kapot gaat?
Als je dan Autopilot gaat doen, neem aan dat je dan gelijk Intune mee gaat nemen? Waarom zou je alleen Autopilot gaan doen en dan niet direct inzetten op Intune managed?
Ach, beter laat dan nooit he. En kun je ook zonder de Hybrid AD join, dus native AAD of heb je legacy stuff wat dan kapot gaat?
Als je dan Autopilot gaat doen, neem aan dat je dan gelijk Intune mee gaat nemen? Waarom zou je alleen Autopilot gaan doen en dan niet direct inzetten op Intune managed?
Iemand ervaring met de Machine Risk Score compliance policy vanuit Windows Defender for Endpoint.
Ik heb mijn machine toegevoegd en zie deze terug in Defender en de sensor is geinstalleerd alleen mijn device is als Not Compliant gemarkeerd wegens de Machine Risk Score.
De Compliance policy heb ik op High staan en mijn machine is volledig up-to-date, firewall aan etc iemand een idee waar dit in kan zitten?
HKLM_ schreef op donderdag 17 februari 2022 @ 19:53:
Iemand ervaring met de Machine Risk Score compliance policy vanuit Windows Defender for Endpoint.
Ik heb mijn machine toegevoegd en zie deze terug in Defender en de sensor is geinstalleerd alleen mijn device is als Not Compliant gemarkeerd wegens de Machine Risk Score.
De Compliance policy heb ik op High staan en mijn machine is volledig up-to-date, firewall aan etc iemand een idee waar dit in kan zitten?
Kan je "doorklikken"? Of van high naar medium zetten om te zien of je dan ineens wel een groen vinkje krijgt?
Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month
Kan je "doorklikken"? Of van high naar medium zetten om te zien of je dan ineens wel een groen vinkje krijgt?
Wat bedoel je met doorklikken? Als ik in Intune op mijn device klik zie ik staan Not Compliant
Als ik daar vervolgens op klik dan krijg ik dit
Misschien komt het ook hier door
Alleen die Compliance policy bestaat dus wel
Als ik in security.microsoft.com kijk zie ik mijn device daar ook terug met de status Active en een Test Alert via Powershell wordt ook netjes geregistreerd.
Misschien dus toch de Conditional Access policy daar had ik gisteravond mee zitten spelen maar misschien was ik te snel thx ga vanavond / van het weekend weer eens kijken.
Interessant topic dit, heb ik gelijk een vraag. Binnen de organisatie hebben wij de agenda in Outlook zo ingesteld dat vergadertijden verkort zijn en je standaard geen vergaderingen direct na elkaar kunt planning.
Dit is voor de 'normale'werkplek middels een GPO geregeld, echter hebben wij nog een ~120 laptops welke uitsluitend vanuit Endpoint Manager worden beheerd. Is er ergens een instelling binnen Endpoint Manager waarmee dit voor de laptops ook makkelijk geregeld kan worden of is het hier een kwestie een reg-key te distribuΓ«ren naar de laptops?
Sinds 1999@Tweakers | Bij IT-ers gaat alles automatisch, maar niets vanzelf. | https://www.go-euc.com/
_Dune_ schreef op vrijdag 29 april 2022 @ 16:57:
Interessant topic dit, heb ik gelijk een vraag. Binnen de organisatie hebben wij de agenda in Outlook zo ingesteld dat vergadertijden verkort zijn en je standaard geen vergaderingen direct na elkaar kunt planning.
Dit is voor de 'normale'werkplek middels een GPO geregeld, echter hebben wij nog een ~120 laptops welke uitsluitend vanuit Endpoint Manager worden beheerd. Is er ergens een instelling binnen Endpoint Manager waarmee dit voor de laptops ook makkelijk geregeld kan worden of is het hier een kwestie een reg-key te distribuΓ«ren naar de laptops?
Weet jij zo welke GPO dat is, dan kan ik wel even kijken of ik die erin kan krijgen hier Volgens mij is dat deze policy
[Voor 13% gewijzigd door TheVMaster op 29-04-2022 17:13]
Ik had de MEM portal open staan (kom net uit een workshop met een klant), dus kon het direct even voor je opzoeken. Daarnaast adem ik bijna Endpoint Manager de laatste maanden.
[Voor 9% gewijzigd door TheVMaster op 29-04-2022 17:16]
Zelfs zoiets Exact is zo old skool, dat het alleen Windows NTML-auth grappig vind voor SSO
Oefff, Ik ben zo blij dat ik in de βmoderneβ wereld leef en eigenlijk alleen maar klanten mag helpen om ook die move te maken. De laatste keer dat ik werk-gerelateerd met een on-prem omgeving te maken heb gehad (om daar dus zaken te deployed/managen) is ehβ¦meer dan 6-7 jaar geleden denk ik
Maar goed, de rest van de wereld is nog niet zo ver, helaas.
Ik krijg het verzoek om Intune policies te documenteren. Nu kun je natuurlijk vrij eenvoudig (met behulp van de Intune Powershell voorbeelden vanuit Microsoft) een export maken van alle policies, maar daarmee heb je ze nog niet in een document (of Excel sheet) zitten.
Nu kwam ik deze 'tool' tegen van Thomas Kur op Github. Is iemand hier bekend mee? Je krijgt dan uiteindelijk een Word document met daarin alle policies in een mooi overzicht.
Vraagje aan de Intune beheerders. Intune is een klein stukje van mijn werkzaamheden dus niet heel veel ervaring mee.
Een klant van ons gebruikt Always on VPN op hun endpoints en het AOVPN profiel wordt met Intune gepusht. Ik moest een kleine wijziging in de NRPT tabel aanbrengen binnen het AOVPN profiel zodat enkele web applicatie URL's niet meer via publieke DNS resolved werden maar door de interne DNS servers die je via de AOVPN benader.
Ik vraag me af wat de beste optie is om deze wijziging gesynct te krijgen. Volgens mij syncen endpoints minimaal elke 8 uur.
Handmatig kan de gebruiker binnen Windows een sync triggeren. Zelfde kan binnen Intune.
Mij viel gisteren op dat handmatig de sync uitvoeren er niet altijd voor zorgde dat de wijziging doorgevoerd werd. Gebruikers waarbij de sync getriggerd was resolvden nog steeds het publieke IP in plaats van het interne IP. Ook na een flush van de DNS op de Endpoint.
Vanuit Intune had ik bij een device de Diagnostic logs opgevraagd. Ik had gehoopt in een log, of in een REG key, te kunnen zien of de NRPT table current was of toch nog de oude entries bevatte, maar die info kon ik er niet uit halen helaas.
Is er uberhaupt een manier om er achter te komen dat de wijziging doorgevoerd is?
Benieuwd of iemand er iets kan zeggen Dank alvast.
technoaddict schreef op vrijdag 19 augustus 2022 @ 11:09:
Vraagje aan de Intune beheerders. Intune is een klein stukje van mijn werkzaamheden dus niet heel veel ervaring mee.
Een klant van ons gebruikt Always on VPN op hun endpoints en het AOVPN profiel wordt met Intune gepusht. Ik moest een kleine wijziging in de NRPT tabel aanbrengen binnen het AOVPN profiel zodat enkele web applicatie URL's niet meer via publieke DNS resolved werden maar door de interne DNS servers die je via de AOVPN benader.
Ik vraag me af wat de beste optie is om deze wijziging gesynct te krijgen. Volgens mij syncen endpoints minimaal elke 8 uur.
Handmatig kan de gebruiker binnen Windows een sync triggeren. Zelfde kan binnen Intune.
Mij viel gisteren op dat handmatig de sync uitvoeren er niet altijd voor zorgde dat de wijziging doorgevoerd werd. Gebruikers waarbij de sync getriggerd was resolvden nog steeds het publieke IP in plaats van het interne IP. Ook na een flush van de DNS op de Endpoint.
Vanuit Intune had ik bij een device de Diagnostic logs opgevraagd. Ik had gehoopt in een log, of in een REG key, te kunnen zien of de NRPT table current was of toch nog de oude entries bevatte, maar die info kon ik er niet uit halen helaas.
Is er uberhaupt een manier om er achter te komen dat de wijziging doorgevoerd is?
Benieuwd of iemand er iets kan zeggen Dank alvast.
Is het niet zo dat bestaande connecties blijven bestaan en er een reboot voor nodig is om de wijziging door te voeren op de laptops?
Ik meen mij te herinneren dat je bestaande AOVPN connecties op basis van een ProfileXML niet kunt updaten op de client. Wanneer je de nieuwe XML uploadt in Endpoint Manager, wordt de wijziging niet doorgevoerd op de client. Dit werkt pas wanneer je het bestaande profiel verwijdert en een nieuwe distribueert. Richard Hicks heeft hier wel eens een blog over gepost alleen kan ik deze zo snel niet meer vinden. (dit heb ik ongeveer ~1 jaar geleden wel eens gehad bij een klant, maar kan zijn dat dit inmiddels dus niet meer het geval is).
Gaat het om Windows 10 of Windows 11 devices trouwens? Windows 11 staat bekend sowieso problemen te hebben met de AOVPM XML en moet je een hotfix installeren om dit op te lossen.
Tip voor nu:
Deploy de nieuwe versie van de XML eens naar een nieuwe client. (die de vorige versie dus niet heeft gehad).
[Voor 40% gewijzigd door FREAKJAM op 19-08-2022 11:44]
Die reboot is al gebeurt.
Vanmiddag niet meer aan het werk maar zal maandag verder gaan met jouw bericht @FREAKJAM
Ik had gehoopt geen nieuw profiel te hoeven pushen. Omdat ik niet weet hoe Intune (of de endpoint er mee om gaat)..
Dank!
TheVMaster schreef op woensdag 11 mei 2022 @ 14:46:
Ik krijg het verzoek om Intune policies te documenteren. Nu kun je natuurlijk vrij eenvoudig (met behulp van de Intune Powershell voorbeelden vanuit Microsoft) een export maken van alle policies, maar daarmee heb je ze nog niet in een document (of Excel sheet) zitten.
Nu kwam ik deze 'tool' tegen van Thomas Kur op Github. Is iemand hier bekend mee? Je krijgt dan uiteindelijk een Word document met daarin alle policies in een mooi overzicht.
Weet iemand een oplossing voor onderstaand luxe probleem
Onze leverancier upload de HWID direct in de tenant bij een bestelling en dat verloopt momenteel prima.
Nu zou ik graag een notificatie krijgen als er nieuwe devices worden bijgeschreven.
Onze leverancier upload de HWID direct in de tenant bij een bestelling en dat verloopt momenteel prima.
Nu zou ik graag een notificatie krijgen als er nieuwe devices worden bijgeschreven.
Iemand een idee hoe je dit kan bewerk stellen?
Je zou iets met een Azure Logic app kunnen doen of met een PS script. Je zult ieder geval met Graph API aan de slag moeten.
Je zou iets met een Azure Logic app kunnen doen of met een PS script. Je zult ieder geval met Graph API aan de slag moeten.
Ik heb afgelopen week iets in elkaar weten te knutselen, werkt nog niet 100% perfect zoals ik wil maar begin is er. Via PowerAutomate monitor ik de Autopilot groep in Azure AD. Als daar nieuwe devices worden toegevoegd (Dit gebeurt automatisch als er nieuwe devices worden geupload) dan zend PowerAutomate een bericht naar Microsoft Teams dat er nieuwe devices zijn toegevoegd.
Ik heb afgelopen week iets in elkaar weten te knutselen, werkt nog niet 100% perfect zoals ik wil maar begin is er. Via PowerAutomate monitor ik de Autopilot groep in Azure AD. Als daar nieuwe devices worden toegevoegd (Dit gebeurt automatisch als er nieuwe devices worden geupload) dan zend PowerAutomate een bericht naar Microsoft Teams dat er nieuwe devices zijn toegevoegd.
Wat werkt er nog niet helemaal, misschien kan ik je helpen?
yeah, ik zie dat de βnieuweβ url https://intune.microsoft.com/#home live is. @HKLM_ is het ook niet een idee om het topic te hernoemen naar het Microsoft Intune ervaringen topic? Aangezien Endpoint Manager niet meer bestaat
Nice, is die URL echt nieuw? Of was die er al? (heb hem nooit geprobeerd haha)
Die url is echt nieuw, paar weken terug kreeg ik nog een foutmelding. Vermoed dat hij nog steeds naar de βoudeβ intune omgeving stond te wijzen. Kwam hem hier tegen btw.
Die url is echt nieuw, paar weken terug kreeg ik nog een foutmelding. Vermoed dat hij nog steeds naar de βoudeβ intune omgeving stond te wijzen.
Nice, weet jij trouwens wat de gedachte bij Microsoft is om ook devices te kunnen managen vanaf het admin center? Ik vindt dat een rage keuze eigenlijk.
Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.
Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.
Functioneel en analytisch
Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie.
Meer details
janee
Relevantere advertenties
Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht.
Meer details
Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.
Ingesloten content van derden
Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden.
Meer details