Microsoft Intune ervaringen topic

Probleem is dat voor de klassieke follow-me van Ricoh je wel een opdracht naar een shared printer op de printserver moet sturen omdat de (hebben we het hier over Equitrac?) printserver software een geautoriseerde opdracht moet hebben in de queue zodat hij weet

* wie de opdracht stuurt
* om hoeveel pagina's het gaat
* of het een kleurenafdruk of zwart wit betreft
* etc.

Dat zijn allemaal zaken die de afdruksoftware registreert en koppelt aan een gebruikersdatabase zodat ook zaken als verbruik en verrekening met eventuele costcenters kunnen worden gedaan.
Maar natuurlijk zeker zodat bekend is wie de opdracht stuurt zodat enkel DIE gebruiker vervolgens naar de printer gaat, zijn pas aanbiedt (of inlogt via control panel op de printer) en vervolgens zijn opdracht kan "ophalen" , dat is hoe die follow-me oplossing werkt.

De driver installatie is (an sich) het probleem niet, het toevoegen van een printer connection naar de shared printer wel.

En met de fixes voor PrinterNightMare die MS heeft doorgevoerd kunnen gewone gebruikers niet meer zonder admin rechten een shared printer toevoegen:

KB5005652—Manage new Point and Print default driver installation behavior (CV...

Bij mijn werkgever maken we ook gebruik van de Equitrac Follow-me oplossing en zouden we dit voor reguliere eindgebruikers enkel kunnen oplossen door de vermelde registry wijziging door te voeren en mitigations op de printserver toe te passen (enkel trusted printservers toestaan)
Die mitigations beschermen je echter niet volledig tegen de exploit. Daarom is er voor nu gekozen om printing naar de follow-me voor de Azure AD joined devices niet toe te staan (men kan afdrukken via onze Citrix omgeving)
Er wordt gekeken naar een cloud print management oplossing ter vervanging van de huidige Equitrac oplossing, details hierover zijn me nog niet bekend.

@HKLM_ Helaas is Uni. Print van MS een extra licentie MET extra kosten (4 dollar/maand/user)
Die ga ik er niet doorheen krijgen, omdat er nog een Windows Server AD + GPO mogelijkheden zijn.

Aan de andere kant jammer dat er niet gekozen is voor Papercut. Dat is een kwestie van de installer.exe ombouwen naar een win32 app en bij het installatieveld /gui meegeven. User de wizard laten doorlopen en volia, alle ellende is voorbij

D_Jeff schreef op zondag 7 november 2021 @ 17:56:
[...]


- Uitrol van een hybride omgeving
- Geen VPN ingesteld
- Dit gaat indd om de 2e log in ("Fase 3") waarin de volgende stap "joining your..." is

Misschien is het mosterd na de maaltijd. Maar ik zie dat je een Hybrid Join uitvoert.
Om problemen met Azure PRT te voorkomen dien je de User Status Page op ESP uit te schakelen.

./Vendor/MSFT/DMClient/Provider/MS DM Server/FirstSyncStatus/SkipUserStatusPage,true --> Assign aan Device groep.

Zie ook:
https://joymalya.com/auto...d-join-reworked-with-joy/

@DJ-B Dit heb ik een aantal keer getest zonder het uit te zetten (policies staan wel gereed mocht het echt te vervelend worden). Het enige dat een hikje heeft, is Onedrive.

Zodra ik later Onedrive alsnog aanmeld, zie dat ik het alsnog goed gaat.
---

Toch bedankt voor het meedenken !

D_Jeff schreef op vrijdag 26 november 2021 @ 18:57:
@HKLM_ Helaas is Uni. Print van MS een extra licentie MET extra kosten (4 dollar/maand/user)
Die ga ik er niet doorheen krijgen, omdat er nog een Windows Server AD + GPO mogelijkheden zijn.

Aan de andere kant jammer dat er niet gekozen is voor Papercut. Dat is een kwestie van de installer.exe ombouwen naar een win32 app en bij het installatieveld /gui meegeven. User de wizard laten doorlopen en volia, alle ellende is voorbij

Beetje offtopic wel, maar als je zoekt naar follow-me print oplossing, kijk ook zeker naar Uniflow. Qua licenties transparanter en doorgaans goedkoper en vind ik beter werken dan Papercut. (Papercut heeft wel ondersteuning voor meer type printers, al is dat niet helemaal zo zwart-wit, want wat zou moeten werken, werkt niet altijd.

Bitlocker blijft momenteel mijn 'tripwire':

De bedoeling is dat Bitlocker, zonder vragen in de achtergrond, ingesteld wordt.
Ik weet dat het mogelijk is om dit in te stellen bij "Endpoint" en als Cloud Policy -- maar beide geven niet het gewenste effect.

Het beste dat ik tot zover werkend heb, zijn de meldingen dat bitlocker vereist is. Negeer je de meldingen, gebeurt er niets.

Iemand nog suggesties?

D_Jeff schreef op vrijdag 17 december 2021 @ 11:06:
Bitlocker blijft momenteel mijn 'tripwire':

De bedoeling is dat Bitlocker, zonder vragen in de achtergrond, ingesteld wordt.
Ik weet dat het mogelijk is om dit in te stellen bij "Endpoint" en als Cloud Policy -- maar beide geven niet het gewenste effect.

Het beste dat ik tot zover werkend heb, zijn de meldingen dat bitlocker vereist is. Negeer je de meldingen, gebeurt er niets.

Iemand nog suggesties?

ook al gekeken naar Endpoint Security - > Disk encryption?

Om dat in te regelen gebruik ik al een tijdje het volgende configuratie profiel :

jeroentjeh schreef op vrijdag 17 december 2021 @ 14:25:
Om dat in te regelen gebruik ik al een tijdje het volgende configuratie profiel :

[Afbeelding]

Precies zo hebben wij hem ook bij al onze klanten staan. Nooit geen issues mee gehad.

@jeroentjeh Dank voor het screenshot.
Blokkeert dit profiel ook alternatieve aanmeldingen? (Windows Hello PIN / Vingerafdrukscanner /Face/ enz)

D_Jeff schreef op vrijdag 17 december 2021 @ 15:20:
@jeroentjeh Dank voor het screenshot.
Blokkeert dit profiel ook alternatieve aanmeldingen? (Windows Hello PIN / Vingerafdrukscanner /Face/ enz)

Dit Bitlocker profiel blokkeert het gebruik van een PIN of startup key in combinatie met eventueel een TPM chip voordat Windows start.

Windows Hello kun je apart aan of uit zetten onder Devices > Windows enrollment > Windows Hello for Business.

[Voor 6% gewijzigd door jeroentjeh op 17-12-2021 16:17]

Ik ben op een VM Windows 11 aan het testen voor een mogelijke volgende uitrol (toekomst).

Ik heb binnen Intune een test user aangemaakt, in aparte groep geplaatst enz. en toegevoegd voor het meenemen binnen profielen en andere applicatie configuraties. Eigenlijk hetzelfde als de reeds functionerende inrichting.

Als ik de VM start kom ik netjes bi het aanmeldscherm voor de organisatie. Echter bij fase 2 slaat het systeem de installatie van apps over. Net als of hij bij het indexeren geen apps kan vinden en dus niet installeert. Alles nagelopen maar kan het niet vinden. Groepslidmaatschap staat bij diverse apps juist ingevuld.

Iemand een idee?

Edit
Op een of andere manier na een keer opnieuw opstarten van de VM zijn de apps wel geïnstalleerd.
Mogelijk een GUI bug.

[Voor 19% gewijzigd door panomi op 08-01-2022 15:44]

@HKLM_
1) Hoe groot is de MSI (jn MB / KB)?
2) Heb je in een VM de MSI al eens afgetrapt om te zien wat het allemaal doet?
3) HOOFDLETTER-parameter vereist?

HKLM_ schreef op dinsdag 11 januari 2022 @ 20:40:
[...]


1: +- 100MB
2: ja en dat werkt gewoon (msiexec /i "GitHubDesktopSetup-x64.msi" /q)
3: nee

Het commando msiexec /i "GitHubDesktopSetup-x64.msi" /q wordt ook gebruikt in de Intunepackage en dan werkt het dus wel… dat is natuurlijk prima maar wel vreemd.

/i -- dude, remove it -- Die heb je daar helemaal niet nodig. Intune voert zelf /i of /a uit (afhankelijk van de keuze die je maakt: user / system).
Feitelijk wordt er nu 2x /i gedaan en dat snapt msiexec.exe niet
------------------------------
Edit, dit maal met voorbeeld:


De enigste parameter die je nog wil meegeven is /q in het veld "Command-Line arguments"

[Voor 16% gewijzigd door D_Jeff op 11-01-2022 20:58]

MSI installers zijn de fijnste installers voor gebruik met Intune:
MSI uploaden, optioneel /q meegeven, toewijzen doen en klaar.

Daarom zat ik mij al af te vragen waarom je zo moeilijk deed

Ik heb hier een vreemd issue met enkele devices die op geen enkele manier updates binnen kunnen halen.
Ik zie volgende foutmeldingen in zowel de ScanAgent.log als de WUAHander.log
ScanAgent.log

WUAHandler.log


Als ik via CCMTrace de error opzoek, dan kom ik volgende uit:
Error 0x87d00631 betekent ‘Scan retry Pending’
Error 0x80244007 betekent “Same as SOAPCLIENT_SOAPFAULT - SOAP client failed because there was a SOAP fault for reasons of WU_E_PT_SOAP_* error codes.”

Als ik zoek op foutmelding 0x80244007, dan kom ik enkele hits tegen in Google. Ik heb de aanpassingen in web.config en een IIS reset geprobeerd, maar dat biedt niet veel soelaas.

Ik heb voor de rest al volgende acties ondernomen op de getroffen clients:
- Reinstall SCCM client
- Reset WSUS client (by stopping the service and remove the content of SoftwareDistribution)
- Registry.pol heraangemaakt

SSL is uitgeschakeld op zowel de IIS WSUS website, op de SUP server als op de SCCM Management server. Dus daar kan het ook niet liggen.

Ik denk ook niet dat er iets anders in de netwerk infrastructuur (daar heb ik ook verder geen zicht op) de boel ophoudt, want dit is verspreid over meerdere toestellen in verschillende locaties. Alsook met toestellen die enkel thuis verbonden staan.

Iemand een idee hoe ik dit kan oplossen? Ik ben er bijna heel de week mee bezig geweest en men wordt een beetje kribbig omdat de 'cijfers niet kloppen'.

HKLM_ schreef op woensdag 26 januari 2022 @ 07:15:
Misschien weet iemand het hier, ik heb het namelijk nog niet kunnen testen.

Onze laptops zijn voorzien van bitlocker maar de policy en keys worden door ons AV pakket gepushte en opgeslagen (vraag me niet waarom ze hier ooit voor gekozen hebben)

Nu wil ik Intune gaan gebruiken voor bitlocker en daar ook de keys in opslaan. De keys kan ik met powershell uitlezen en opslaan maar kan ik ook de Intune bitlocker policy pushen zonder gedoe? Of moeten de laptops eerst decrypt worden en dan weer geencrypt?

Ik vermoed dat je eerst een decrypt zult moeten uitvoeren voordat je dit met Intune kunt doen. Ik denk dat je nu in Intune een melding gaat krijgen dat het volume al encryot is en dat het daardoor wordt geskipped.

nextware schreef op woensdag 26 januari 2022 @ 07:43:
[...]


Ik vermoed dat je eerst een decrypt zult moeten uitvoeren voordat je dit met Intune kunt doen. Ik denk dat je nu in Intune een melding gaat krijgen dat het volume al encryot is en dat het daardoor wordt geskipped.

Die conclusie kan voorbarig zijn. Als de policy gewoon standaard bitlocker gebruikt, zouden de devices na verandering van policy prima hun keys kunnen publishen in Intune.

Ik heb alleen geen ervaring met die actie van 3rd party naar Intune, maar alleen met Bitlocker management console naar SCCM en SCCM naar intune.

Bitlocker server database was gecrashed en we konden via policy de meeste keys terugkrijgen in SCCM.

Hann1BaL schreef op woensdag 26 januari 2022 @ 15:08:
[...]


Die conclusie kan voorbarig zijn. Als de policy gewoon standaard bitlocker gebruikt, zouden de devices na verandering van policy prima hun keys kunnen publishen in Intune.

Ik heb alleen geen ervaring met die actie van 3rd party naar Intune, maar alleen met Bitlocker management console naar SCCM en SCCM naar intune.

Bitlocker server database was gecrashed en we konden via policy de meeste keys terugkrijgen in SCCM.

Daarom zeg ik ook " ik vermoed"
Ik heb zelf niet in deze situatie gezeten, dus ik kan niet uit ervaring praten.

Waarom een bitlocker pin? Is dat een vereiste in het bedrijf?

We zijn van plan om over te schakelen naar Defender for endpoint, alle gebruikers hebben een E5 licentie maar we hebben nog een 12 kiosk pc's. De kiosk pc's worden gebruikt door klanten, deze hebben dus geen E5 licentie.
Helaas kan ik nergens terugvinden hoe het zit met de licentie hieromtrent. En of er een device-licentie bestaat. Bij het opzoeken en rondhoren bij enkele andere bedrijven zei men mij om 12 P2 licenties aan te kopen en deze niet toe te kennen. Klopt het dan dat het licentie-gewijs/wettelijk in orde is? Of is er nog een andere mogelijkheid?

ReZpie schreef op maandag 7 februari 2022 @ 21:43:
[...]


Ik heb toevallig vanmorgen een meeting gehad met Microsoft, ze vertelde mij dat er voor kiosk devices alleen een "device" based license nodig was en deze niet van te voren en in aantallen hoeft te worden aangeschaft en dat Microsoft dit zelf berekent.

Dit lijkt mij inderdaad de perfecte manier, heb je toevallig iets meer informatie van hoe we dit bij Microsoft kunnen aanvragen of hoe de berekening loopt?

HKLM_ schreef op dinsdag 1 februari 2022 @ 19:43:
[...]


Verduidelijk je vraag wil je weten waarom we van password over gaan op pin of waarom we een startup pin / wachtwoord als vereiste hebben

Dat laatste ja. PIN is sowieso beter dan password voor de gebruiker zonder in te leveren op beveiliging (praktisch gezien.)

HKLM_ schreef op dinsdag 8 februari 2022 @ 10:18:
[...]


Het is inderdaad een company policy dat we dit vereisen, we willen niet hebben dat er privacy gevoelige gegevens op straat komt na een diefstal van een laptop. De Pin is inderdaad een goede optie maar staat vanuit Intune alles toe dus ook 1,2,3,4,5,6 of 1111111111 en je weet hoe gebruikers zijn dan heb ik straks 100 laptops met 1,2,3,4,5,6. Vandaar dat we toch voor het wachtwoord gaan

Uiteraard doen we bitlocker encryptie, maar niet met additionele PIN.
Als de laptop op straat komt te liggen, moet je eerst nog zien in te loggen om bij de data te kunnen en een secure wipe als het device online komt blaast het sprookje dan ook verder uit.
Altijd benieuwd naar de verschillende uitgangspunten.
(en we hebben nogal een focus op security en dit is niet een van de actiepunten die bovenaan de lijst staan.)

Hann1BaL schreef op Tuesday 8 February 2022 @ 15:21:
[...]


Wat ik nog steeds interessant vind is dat binnen onze organisaties de beveiliging voor de VIPS juist "gerekt" wordt. Windows updates vertraagt met als excuus de "white glove" behandeling, maar dat is juist niet logisch.

Dat de VIPS juist 'minder strikte' security maatregelen willen? Ja, misschien is de VIPS groep ook een verkeerd voorbeeld (ook al zou je die vanuit Security oogpunt graag voorzien van een 'extra' laagje). Gelukkig voegt de pre-boot PIN (naar ding ook btw) voor het gros van de gebruikers weinig toe.

TheVMaster schreef op dinsdag 8 februari 2022 @ 15:22:
[...]


Dat de VIPS juist 'minder strikte' security maatregelen willen? Ja, misschien is de VIPS groep ook een verkeerd voorbeeld (ook al zou je die vanuit Security oogpunt graag voorzien van een 'extra' laagje). Gelukkig voegt de pre-boot PIN (naar ding ook btw) voor het gros van de gebruikers weinig toe.

Ik vind het een uitstekend voorbeeld om die reden: Role based security lijkt me in de huidige tijd juist belangrijk en je wilt stricter omgaan met de devices en data van je executives, omdat die waarschijnlijk data met de grootste waarde hebben op hun devices en in hun accounts.

HKLM_ schreef op Tuesday 8 February 2022 @ 15:32:
[...]


Naja als wij een laptop kwijt zijn en daar kunnen ze in en de medewerker heeft bijvoorbeeld een verslag of andere data toch lokaal staan dan halen wij het NOS journaal denk ik wel

Onze Functionaris Gegevens bescherming is zeer blauw en zeer streng haha maar er is uiteraard verbetering mogelijk alleen ik heb de tijd momenteel niet

Tja, al staat die data lokaal (ik neem dan aan in je OneDrive map ), dan is de disk versleuteld en kan de dief er weinig mee natuurlijk.

Maar snapt die functionaris gegevensbescherming wel hoe het werkt dan? Een disk versleuteld met Bitlocker, of heeft hij/zij geen idee hoe het technisch opgelost wordt? Daarnaast zou je natuurlijk MIP kunnen gebruiken, om ook je data te beschermen. Tja, wat kan je dan nog gebeuren :-)

[Voor 18% gewijzigd door TheVMaster op 08-02-2022 15:34]

HKLM_ schreef op Tuesday 8 February 2022 @ 15:35:
[...]


Hé hé niet zo nieuwerwets met je OneDrive alles op een D partitie zonder back-up

* HKLM_ huilt in een hoekje

Je gaat mij niet vertellen dat je data nog op een fileshare opslaat op het netwerk?
Sorry, ik werk eigenlijk alleen maar met klanten die of al in de cloud zitten of ermee geholpen gaan worden. On-prem is zo 2020

Eh...wat data op de D partitie, zonder backup? Mag hopen dat de disk wel versleuteld is met bitlocker?

[Voor 19% gewijzigd door TheVMaster op 08-02-2022 15:37]

HKLM_ schreef op Tuesday 8 February 2022 @ 15:38:
[...]


Ja het MDM project is al twee jaar uitgesteld en ja de klassieke fileshare ik ben blij dat ik nu eindelijk ben begonnen na de 100 andere prio projecten

Geloof me @TheVMaster ik zou zo veel anders willen maar tijd en geen kennis bij mijn andere collega’s dan houdt het een keer op.


[...]


Uiteraard is die ook versleuteld met bitlocker

Zonde is dat. Maar je beheert de boel nu wel ConfigMgr dan?

HKLM_ schreef op Tuesday 8 February 2022 @ 15:42:
[...]


Nee Ik heb drie jaar geleden snel MDT en WDS opgetuigd en WSUS en dat is het

Wauw, maar dan is het ook niet echt een hele grote club. Ach, met MDT kan het ook best. Maar eh, ik zou stiekem Autopilot inregelen en Hybrid AD join aanzetten en dan lekker policies d.m.v. Endpoint Manager gaan managen.

Hoe distribueer je de software nu dan? Op basis van GPO (geen idee of dat anno 2022 nog een ding is btw). Dat kan makkelijker, met minder beheerinspanning, zou ik zeggen.

HKLM_ schreef op Tuesday 8 February 2022 @ 15:47:
[...]


Kleine 500 AutoPilot en de Hybride AD join ben ik nu mee bezig en zit in de scope Software distribueer doen we nu via GPO inderdaad.

Had al een GPO analyse gedaan in Intune en bijna alles kan over (is niet heel spannen)

Ach, beter laat dan nooit he. En kun je ook zonder de Hybrid AD join, dus native AAD of heb je legacy stuff wat dan kapot gaat?

Als je dan Autopilot gaat doen, neem aan dat je dan gelijk Intune mee gaat nemen? Waarom zou je alleen Autopilot gaan doen en dan niet direct inzetten op Intune managed?

HKLM_ schreef op Tuesday 8 February 2022 @ 15:54:
[...]


Ja klopt wil full Intune gaan

Dat is altijd fijn in het Endpoint Manager topic.

@asing shout voor HKLM

@HKLM_ Zo te zien is het nog niet helemaal klaar.

setup : https://docs.microsoft.co...ccess?view=o365-worldwide

Dit kan ook helpen : https://techcommunity.mic...se-of-missing/m-p/2959028

Goed, 3 verschillende machines, 1 account
En slechts 1 machine is succesvol "enrolled"

Machine 1:
Lenovo Thinkpad T480s || status: succes

Machine 2:
HP EliteDesk 800 G1 || status: Something went wrong, 80007002 (task failed to schedule)

Machine 3:
Surface Pro 7 || status: <zie HP>

Dsregcmd /debug /join laat de error zien "failed task to schedule"
Het feit dat de Thinkpad wel doorgaat en de andere 2 niet is like: wtf

Volgorde van uitproberen:
1) Surface pro 2) HP 3) Thinkpad

Nevermind:
Collega opent net (na een duvelse lach) een conditional access policy met een filter op Lenovo.
zucht

[Voor 10% gewijzigd door D_Jeff op 15-04-2022 14:51]

D_Jeff schreef op vrijdag 15 april 2022 @ 14:16:
Goed, 3 verschillende machines, 1 account
En slechts 1 machine is succesvol "enrolled"

Machine 1:
Lenovo Thinkpad T480s || status: succes

Machine 2:
HP EliteDesk 800 G1 || status: Something went wrong, 80007002 (task failed to schedule)

Machine 3:
Surface Pro 7 || status: <zie HP>

Dsregcmd /debug /join laat de error zien "failed task to schedule"
Het feit dat de Thinkpad wel doorgaat en de andere 2 niet is like: wtf

Volgorde van uitproberen:
1) Surface pro 2) HP 3) Thinkpad

Nevermind:
Collega opent net (na een duvelse lach) een conditional access policy met een filter op Lenovo.
zucht

Wat een nare collega.

Interessant topic dit, heb ik gelijk een vraag. Binnen de organisatie hebben wij de agenda in Outlook zo ingesteld dat vergadertijden verkort zijn en je standaard geen vergaderingen direct na elkaar kunt planning.

Dit is voor de 'normale'werkplek middels een GPO geregeld, echter hebben wij nog een ~120 laptops welke uitsluitend vanuit Endpoint Manager worden beheerd. Is er ergens een instelling binnen Endpoint Manager waarmee dit voor de laptops ook makkelijk geregeld kan worden of is het hier een kwestie een reg-key te distribuëren naar de laptops?

Je kunt ADMX templates gebruiken in Configuration Profiles:
https://www.nielskok.tech...configuration-via-intune/

Dank heren, mooi toch hoe snel je hier altijd weer een antwoord hebt.

_Dune_ schreef op vrijdag 29 april 2022 @ 17:15:
Dank heren, mooi toch hoe snel je hier altijd weer een antwoord hebt.

Ik had de MEM portal open staan (kom net uit een workshop met een klant), dus kon het direct even voor je opzoeken. Daarnaast adem ik bijna Endpoint Manager de laatste maanden.

[Voor 9% gewijzigd door TheVMaster op 29-04-2022 17:16]

HKLM_ schreef op vrijdag 29 april 2022 @ 17:47:
[...]


Die migrate policy werkt als een tier afgelopen week bijna al onze on-prem naar intune kunnen moven in 10 minuten

Jij moet nog migreren dan? 😬 Hier pushen we niet heel veel policies en wat er komt, is 100% Intune.

HKLM_ schreef op vrijdag 29 april 2022 @ 18:57:
[...]


Ja wij hebben nog hybride………………. Hopelijk wel het laatste jaar.

Alles is nog hybride? Dus ook nieuw geïnstalleerde machines? Why? Die kun je toch gewoon AAD only uitrollen? :-)

HKLM_ schreef op vrijdag 29 april 2022 @ 20:21:
[...]


We hebben deze (discussie) al een keer gevoerd
Iets met tijd en oude meuk waardoor ik een hybride nodig heb

Sorry, ik val soms wat in herhaling iets met leeftijd denk ik.

HKLM_ schreef op vrijdag 29 april 2022 @ 20:21:
[...]


We hebben deze (discussie) al een keer gevoerd
Iets met tijd en oude meuk waardoor ik een hybride nodig heb

Been there, got the

Zelfs zoiets Exact is zo old skool, dat het alleen Windows NTML-auth grappig vind voor SSO

D_Jeff schreef op vrijdag 29 april 2022 @ 21:43:
[...]


Been there, got the

Zelfs zoiets Exact is zo old skool, dat het alleen Windows NTML-auth grappig vind voor SSO

Oefff, Ik ben zo blij dat ik in de ‘moderne’ wereld leef en eigenlijk alleen maar klanten mag helpen om ook die move te maken. De laatste keer dat ik werk-gerelateerd met een on-prem omgeving te maken heb gehad (om daar dus zaken te deployed/managen) is eh…meer dan 6-7 jaar geleden denk ik

Maar goed, de rest van de wereld is nog niet zo ver, helaas.

@TheVMaster Dat is ook part of mijn job (ook bij verschillende opdrachtgevers)

D_Jeff schreef op vrijdag 29 april 2022 @ 22:23:
@TheVMaster Dat is ook part of mijn job (ook bij verschillende opdrachtgevers)

Wat hebben wij toch een fijne job

Ik krijg het verzoek om Intune policies te documenteren. Nu kun je natuurlijk vrij eenvoudig (met behulp van de Intune Powershell voorbeelden vanuit Microsoft) een export maken van alle policies, maar daarmee heb je ze nog niet in een document (of Excel sheet) zitten.

Nu kwam ik deze 'tool' tegen van Thomas Kur op Github. Is iemand hier bekend mee? Je krijgt dan uiteindelijk een Word document met daarin alle policies in een mooi overzicht.

Vraagje aan de Intune beheerders. Intune is een klein stukje van mijn werkzaamheden dus niet heel veel ervaring mee.
Een klant van ons gebruikt Always on VPN op hun endpoints en het AOVPN profiel wordt met Intune gepusht. Ik moest een kleine wijziging in de NRPT tabel aanbrengen binnen het AOVPN profiel zodat enkele web applicatie URL's niet meer via publieke DNS resolved werden maar door de interne DNS servers die je via de AOVPN benader.

Ik vraag me af wat de beste optie is om deze wijziging gesynct te krijgen. Volgens mij syncen endpoints minimaal elke 8 uur.
Handmatig kan de gebruiker binnen Windows een sync triggeren. Zelfde kan binnen Intune.
Mij viel gisteren op dat handmatig de sync uitvoeren er niet altijd voor zorgde dat de wijziging doorgevoerd werd. Gebruikers waarbij de sync getriggerd was resolvden nog steeds het publieke IP in plaats van het interne IP. Ook na een flush van de DNS op de Endpoint.
Vanuit Intune had ik bij een device de Diagnostic logs opgevraagd. Ik had gehoopt in een log, of in een REG key, te kunnen zien of de NRPT table current was of toch nog de oude entries bevatte, maar die info kon ik er niet uit halen helaas.
Is er uberhaupt een manier om er achter te komen dat de wijziging doorgevoerd is?

Benieuwd of iemand er iets kan zeggen Dank alvast.

Ik meen mij te herinneren dat je bestaande AOVPN connecties op basis van een ProfileXML niet kunt updaten op de client. Wanneer je de nieuwe XML uploadt in Endpoint Manager, wordt de wijziging niet doorgevoerd op de client. Dit werkt pas wanneer je het bestaande profiel verwijdert en een nieuwe distribueert. Richard Hicks heeft hier wel eens een blog over gepost alleen kan ik deze zo snel niet meer vinden. (dit heb ik ongeveer ~1 jaar geleden wel eens gehad bij een klant, maar kan zijn dat dit inmiddels dus niet meer het geval is).

Gaat het om Windows 10 of Windows 11 devices trouwens? Windows 11 staat bekend sowieso problemen te hebben met de AOVPM XML en moet je een hotfix installeren om dit op te lossen.

Tip voor nu:
Deploy de nieuwe versie van de XML eens naar een nieuwe client. (die de vorige versie dus niet heeft gehad).

[Voor 40% gewijzigd door FREAKJAM op 19-08-2022 11:44]

Die reboot is al gebeurt.
Vanmiddag niet meer aan het werk maar zal maandag verder gaan met jouw bericht @FREAKJAM
Ik had gehoopt geen nieuw profiel te hoeven pushen. Omdat ik niet weet hoe Intune (of de endpoint er mee om gaat)..
Dank!

TheVMaster schreef op woensdag 11 mei 2022 @ 14:46:
Ik krijg het verzoek om Intune policies te documenteren. Nu kun je natuurlijk vrij eenvoudig (met behulp van de Intune Powershell voorbeelden vanuit Microsoft) een export maken van alle policies, maar daarmee heb je ze nog niet in een document (of Excel sheet) zitten.

Nu kwam ik deze 'tool' tegen van Thomas Kur op Github. Is iemand hier bekend mee? Je krijgt dan uiteindelijk een Word document met daarin alle policies in een mooi overzicht.

Prima tool!

Ook voor audits super.

HKLM_ schreef op zaterdag 15 oktober 2022 @ 16:50:
Weet iemand een oplossing voor onderstaand luxe probleem

Onze leverancier upload de HWID direct in de tenant bij een bestelling en dat verloopt momenteel prima.
Nu zou ik graag een notificatie krijgen als er nieuwe devices worden bijgeschreven.

Iemand een idee hoe je dit kan bewerk stellen?

Je zou iets met een Azure Logic app kunnen doen of met een PS script. Je zult ieder geval met Graph API aan de slag moeten.

HKLM_ schreef op maandag 24 oktober 2022 @ 18:55:
[...]


Ik heb afgelopen week iets in elkaar weten te knutselen, werkt nog niet 100% perfect zoals ik wil maar begin is er. Via PowerAutomate monitor ik de Autopilot groep in Azure AD. Als daar nieuwe devices worden toegevoegd (Dit gebeurt automatisch als er nieuwe devices worden geupload) dan zend PowerAutomate een bericht naar Microsoft Teams dat er nieuwe devices zijn toegevoegd.

Wat werkt er nog niet helemaal, misschien kan ik je helpen?

yeah, ik zie dat de ‘nieuwe’ url https://intune.microsoft.com/#home live is. @HKLM_ is het ook niet een idee om het topic te hernoemen naar het Microsoft Intune ervaringen topic? Aangezien Endpoint Manager niet meer bestaat

HKLM_ schreef op zondag 6 november 2022 @ 09:44:
[...]


Ja goed idee! Kan jij dat regelen?

Zeker, het is al gefixt.

HKLM_ schreef op zondag 6 november 2022 @ 09:49:
[...]


Nice, is die URL echt nieuw? Of was die er al? (heb hem nooit geprobeerd haha)

Die url is echt nieuw, paar weken terug kreeg ik nog een foutmelding. Vermoed dat hij nog steeds naar de ‘oude’ intune omgeving stond te wijzen. Kwam hem hier tegen btw.

One more reason to ❤ #Intune. The new URL is live. Now waiting for renaming the Admin Center. #MVPbuzz #MSIntune #intune pic.twitter.com/81O570pogw

— Somesh Pathak - MVP - Enterprise Mobility (@pathak_somesh) 5 november 2022

[Voor 12% gewijzigd door TheVMaster op 06-11-2022 09:56]