Microsoft Intune ervaringentopic

vrijdag 20 september 2024 11:33

Acties:

0 Henk 'm!

Blokker_1999

Full steam ahead

Microsoft Windows
Intune
Microsoft

Niet alleen ISO's missen vaak veel updates, heb je al eens een build vanuit de fabriek goed bekeken? Die staan soms meer dan een jaar achter. In dat opzicht is het zeker niet slecht, en men CISO zal gelukkig zijn want die zit al langer te klagen over nieuw gedeployde systemen die onmiddelijk naar de top schieten in vulnerability management. Gelukkig na een dag of 2 alweer opgelost.

Het probleem met maandelijks bijgewerkte ISO's is dat er ook wel wat tijd in kruipt, want er ontbreken te vaak een hoop drivers in. Kom je in de OOBE, geen muis, geen toetsenbord en geen netwerk te vinden. Hupsakee, weer tijd aan het verdoen met drivers erin te slipstreamen. En dan vergeet je alsnog iets waardoor mijn laatste ISO ineens weer geen muis heeft in de OOBE van onze nieuwste laptops

.

Elke dag een avontuur.

No keyboard detected. Press F1 to continue.

vrijdag 20 september 2024 11:42

Acties:

+4 Henk 'm!

tiguan

Ik dacht dat het juist de bedoeling was om de factory image te gebruiken als je laptops uitlevert voor Intune. Wij doen dat iig al een tijdje, tenzij de inkoper besluit een laptop met Home editie te kopen

, dan moet je wel. We gebruiken een anti-bloatware script om de meeste troep er af te halen zodat er een schone Windows uitrolt. Verder heb je dan geen problemen met drivers etc. Maar up to date is zo'n image idd vaak niet.

[ Voor 5% gewijzigd door tiguan op 20-09-2024 11:43 ]

vrijdag 20 september 2024 12:23

Acties:

+5 Henk 'm!

McLambo

MTB Junky

Aangaande bovenstaande opmerkingen; wel eens gekeken maar OSDCloud?

Maakt een USB stick aan waarmee je (indien gewenst offline) een laptop zo goed als klaar kunt uitgeven, incl updates en drivers

vrijdag 20 september 2024 12:28

Acties:

0 Henk 'm!

Quad

Doof

Intune

@McLambo niet mee bekend, wel handig om eens mee te spelen, ben wel benieuwd wat het qua tijd kost om elke keer een image te downloaden enz..

Alles went behalve een Twent.
⏩ PVOutput☀️

vrijdag 20 september 2024 12:29

Acties:

0 Henk 'm!

Grvy

Bot

@Quad valt allemaal wel mee, wij gebruiken het ook; OSDcloud is ongeveer 20 minuutjes en dan een white glove van 20 minuutjes ofzo.

Als user inlogt is het nog 5-10 minuten en dan is alles klaar.

Dit is een account.

vrijdag 20 september 2024 15:52

Acties:

0 Henk 'm!

McLambo

MTB Junky

Ik heb het gebruikt ( en gebruik het nog steeds) om de laatste +/- 25 collega's te migreren naar Intune/Autopilot en heeft me behoorlijk wat tijd bespaard, met name omdat OSDcloud lekker doorhobbelt zonder user intervention.

vrijdag 20 september 2024 16:31

Acties:

+1 Henk 'm!

Blokker_1999

Full steam ahead

Microsoft Windows
Intune
Microsoft

McLambo schreef op vrijdag 20 september 2024 @ 15:52:
Ik heb het gebruikt ( en gebruik het nog steeds) om de laatste +/- 25 collega's te migreren naar Intune/Autopilot en heeft me behoorlijk wat tijd bespaard, met name omdat OSDcloud lekker doorhobbelt zonder user intervention.

Dat process heb ik zelf uitgewerkt gehad zonder externe tools nodig te hebben. Gebruikers starten vanuit de Company Portal een scriptje op dat lokaal een ISO gaat downloaden en gaat klaarzetten om bij de volgende boot van op te starten. ISO is gemaakt met MDT en wist je C: schijf om er dan een herinstallatie op uit te voeren zonder interactie van de gebruiker. Moeilijkste was uitvissen hoe je dan moet opstarten, maar het mooie is dat je geen USB sticks of wat dan ook nodig hebt en de gebruiker, die zelf zijn bootvolgorde niet kan aanpassen hiermee ook zijn bios wachtwoord niet moet kennen, een wachtwoord dat na de installatie wel anders is dan voorheen.

No keyboard detected. Press F1 to continue.

vrijdag 20 september 2024 18:28

Acties:

+4 Henk 'm!

HKLM_

Intune
Microsoft Windows
Microsoft

Topicstarter

Blokker_1999 schreef op vrijdag 20 september 2024 @ 16:31:
[...]

Dat process heb ik zelf uitgewerkt gehad zonder externe tools nodig te hebben. Gebruikers starten vanuit de Company Portal een scriptje op dat lokaal een ISO gaat downloaden en gaat klaarzetten om bij de volgende boot van op te starten. ISO is gemaakt met MDT en wist je C: schijf om er dan een herinstallatie op uit te voeren zonder interactie van de gebruiker. Moeilijkste was uitvissen hoe je dan moet opstarten, maar het mooie is dat je geen USB sticks of wat dan ook nodig hebt en de gebruiker, die zelf zijn bootvolgorde niet kan aanpassen hiermee ook zijn bios wachtwoord niet moet kennen, een wachtwoord dat na de installatie wel anders is dan voorheen.

Is dat scriptje ergens te vinden? Ben wel benieuwd!

Cloud ☁️

zaterdag 21 september 2024 22:33

Acties:

0 Henk 'm!

McLambo

MTB Junky

Blokker_1999 schreef op vrijdag 20 september 2024 @ 16:31:
[...]

Dat process heb ik zelf uitgewerkt gehad zonder externe tools nodig te hebben. Gebruikers starten vanuit de Company Portal een scriptje op dat lokaal een ISO gaat downloaden en gaat klaarzetten om bij de volgende boot van op te starten. ISO is gemaakt met MDT en wist je C: schijf om er dan een herinstallatie op uit te voeren zonder interactie van de gebruiker. Moeilijkste was uitvissen hoe je dan moet opstarten, maar het mooie is dat je geen USB sticks of wat dan ook nodig hebt en de gebruiker, die zelf zijn bootvolgorde niet kan aanpassen hiermee ook zijn bios wachtwoord niet moet kennen, een wachtwoord dat na de installatie wel anders is dan voorheen.

Wij doen in principe alleen white glove re-installs (<100 users), dus tsja: OSDCloud downloaden en met een half uurtje had ik een USB stick die me veel (hand)werk uit handen naam. Voor remote users en/of grotere aantallen mooie oplossing, ben ook wel benieuwd naar het scriptje! Sharing=caring $_/-\o_$

zondag 22 september 2024 08:15

Acties:

+1 Henk 'm!

Blokker_1999

Full steam ahead

Microsoft Windows
Intune
Microsoft

HKLM_ schreef op vrijdag 20 september 2024 @ 18:28:
[...]

Is dat scriptje ergens te vinden? Ben wel benieuwd!

Op zich doet dit script niet zo heel veel
- Ga na of de iso file bestaat
- vind de E: partitie, welke op al onze laptops de laatste en grootste partitie hoort te zijn
- maak deze wat kleiner (het script dat dit script aanroept controleert of er voldoende ruimte is)
- maak een nieuwe partitie aan in de vrijgekomen ruimte
- kopieer de inhoud van de ISO naar de nieuwe partie
- pas de bootloader aan
- pauzeer bitlocker op de E: schijf, deze gaan we niet wissen en als we bitlocker niet tijdig stopxetten hebben we na de herinstall een gelockte schijf zonder sleutel (al zit de recovery key nog in AD)

code:

param (
    $isoFile = ".\LiteTouchMedia.iso"
)

# checking prerequisits
if (-not (Test-Path -Path "$isoFile")) {
    Throw "ISO file not found at $($isoFile)"
}

# On both light and full builds, the E-partition is the last partition
# created on the drive by the old build process. The G partition
# is placed before the E partition. So we want to shrink the E partition
# if possible and use that space to create a new, temporary partition.

Write-Output "Searching for the right partition"
$partitions = Get-Partition -DiskNumber 0 | Where-Object {$_.Type -eq "Basic"}
$partitionId = 0
foreach ($partition in $partitions) {
    if ($partition.DriveLetter -eq "E") {
        $partitionId = $Partition.PartitionNumber
        Write-Output "Found drive E with partition number $partitionId"
    }
}

if ($partitionId -eq 0) {
    Throw "Unable to find a partition with driveletter E, is this a properly deployed build?"
}

Write-Output "Checking if we have enough free disk space"
$requiredFreeSpace = 10737418240
$volume = Get-Volume -DriveLetter E
if ($volume.SizeRemaining -lt $requiredFreeSpace) {
    Throw "Less than 10GiB available on E, not enough space to extract image"
}

Write-Output "Checking if we the drive letter T is available"
if (-not $(Get-PSDrive -Name T -ErrorAction SilentlyContinue)) {
    $newPartitionLetter = "T"
}
if ($null -eq $newPartitionLetter) {
    Throw "Driveletter T is in use, is this a properly deployed build?"
}

Write-Output "Attempting to resize partition E"
try {
    Resize-Partition -DiskNumber 0 -PartitionNumber $partitionId -Size $($Volume.Size - $requiredFreeSpace)
}
catch {
    Throw "Unable to resize partition"
}

Write-Output "Creating new partition"
try {
    New-Partition -DiskNumber 0 -UseMaximumSize -DriveLetter "T"
}
catch {
    Throw "Unable to create new partition"
}

Write-Output "Formatting new volume T"
Format-Volume -DriveLetter T

Write-Output "Extracting ISO file"
$DiskImage = Mount-DiskImage -ImagePath "$isoFile" -StorageType ISO -NoDriveLetter -PassThru
New-PSDrive -Name ISOFile -PSProvider FileSystem -Root (Get-Volume -DiskImage $DiskImage).UniqueId
Push-Location ISOFile:
# we use copy-item as robocopy does not like our current location
Copy-Item .\* T:\ -Recurse
Pop-Location
Remove-PSDrive ISOFile
Dismount-DiskImage -DevicePath $DiskImage.DevicePath

Write-Output "Modifying boot loader"

Write-Output "- creating RAM disk options"
bcdedit /create "{ramdiskoptions}" /d "Ramdisk"
bcdedit /set "{ramdiskoptions}" ramdisksdidevice partition=T:
bcdedit /set "{ramdiskoptions}" ramdisksdipath \boot\boot.sdi

Write-Output "- creating new bootloader entry"
$copy = bcdedit -create /d "Upgrade" -application osloader
$bootId = $copy.Substring($copy.IndexOf("{")+1)
$bootId = $bootId.Substring(0,$bootId.IndexOf("}"))
Write-Output "- new entry created with GUID $bootId"

Write-Output "- setting device"
bcdedit /set "{$bootId}" device "ramdisk=[T:]\Deploy\boot\LiteTouchPE_x64.wim,{ramdiskoptions}"
Write-Output "- setting path"
bcdedit /set "{$bootId}" path \windows\system32\winload.efi
Write-Output "- setting OS device"
bcdedit /set "{$bootId}" osdevice "ramdisk=[T:]\Deploy\boot\LiteTouchPE_x64.wim,{ramdiskoptions}"
Write-Output "- setting system root"
bcdedit /set "{$bootId}" systemroot \windows
Write-Output "- setting winpe"
bcdedit /set "{$bootId}" winpe yes
Write-Output "- setting HAL detection"
bcdedit /set "{$bootId}" detecthal yes
Write-Output "- setting $bootId as standard boot entry"
bcdedit /bootsequence "{$bootId}"

Write-Output "Suspending bitlocker on E:"
Suspend-Bitlocker E:

No keyboard detected. Press F1 to continue.

zondag 22 september 2024 08:17

Acties:

+1 Henk 'm!

Blokker_1999

Full steam ahead

Microsoft Windows
Intune
Microsoft

McLambo schreef op zaterdag 21 september 2024 @ 22:33:
[...]

Wij doen in principe alleen white glove re-installs (<100 users), dus tsja: OSDCloud downloaden en met een half uurtje had ik een USB stick die me veel (hand)werk uit handen naam. Voor remote users en/of grotere aantallen mooie oplossing, ben ook wel benieuwd naar het scriptje! Sharing=caring $_/-\o_$

>1000 gebruikers bij ons, verspreid over een 10tal kantoren waarvan enkel de 3 grote een IT vertegenwoordiging hebben in combinatie met vele gebruikers die van thuis uit werken en sommige niet eens in een land zitten waar we een kantoor hebben. Dan moet je wel creatief worden.

No keyboard detected. Press F1 to continue.

maandag 23 september 2024 21:18

Acties:

+1 Henk 'm!

xven0mxz

Feyenoord Rotterdam 1908!

HKLM_ schreef op vrijdag 20 september 2024 @ 10:06:
[...]

Ik vind het wel een goed begin en zie eigenlijk ook geen probleem, beter een device uitgeven welke direct is geupdate dan dat de gebruiker na de oobe een non compliant device heeft en zelf een verplichte reboot moet doen om de updates te installeren.

Als ik soms zie wat voor iso’s mensen gebruiken om Windows te installeren en dan uitgeven die missen soms een half jaar aan updates…

Als je gewoon maandelijks de iso bijwerkt of download van de microsoft site dan zullen er ook niet veel updates tijdens oobe geïnstalleerd hieven te worden.

OSDCloud FTW.

woensdag 25 september 2024 12:48

Acties:

+3 Henk 'm!

Blokker_1999

Full steam ahead

Microsoft Windows
Intune
Microsoft

Quad schreef op woensdag 18 september 2024 @ 15:27:
Goede ontwikkeling voor Intune MDM gekoppelde apparaten in aantocht, vanaf oktober worden systemen die zijn gekoppeld aan Intune MDM vanuit OOBE gelijk gepatcht met de laatste CU.

Je kan dan rekening houden met extra tijd tijdens een enrollment, er wordt geen mogelijkheid tot het uitschakelen van deze feature verwacht, ingestelde policies binnen wufb worden wel gerespecteerd.
https://techcommunity.mic...ience-coming/ba-p/4246689

En is nu dus uitgesteld voor onbepaalde tijd totdat men de nodige mechanismen kan inbouwen in Intune om admins hier controle over te geven. En dan vraag ik me direct af: waarom hebben ze daar niet vanaf dag 1 aan gedacht?

No keyboard detected. Press F1 to continue.

woensdag 25 september 2024 13:05

Acties:

0 Henk 'm!

Quad

Doof

Intune

Microsoft gonna Microsoft? Zoiets?

Alles went behalve een Twent.
⏩ PVOutput☀️

woensdag 25 september 2024 14:48

Acties:

0 Henk 'm!

HKLM_

Intune
Microsoft Windows
Microsoft

Topicstarter

Blokker_1999 schreef op woensdag 25 september 2024 @ 12:48:
[...]

En is nu dus uitgesteld voor onbepaalde tijd totdat men de nodige mechanismen kan inbouwen in Intune om admins hier controle over te geven. En dan vraag ik me direct af: waarom hebben ze daar niet vanaf dag 1 aan gedacht?

Heb je daar een linkje van? Ik heb dat nog niet terug gezien?

Cloud ☁️

woensdag 25 september 2024 14:49

Acties:

+1 Henk 'm!

Davidas

HKLM_ schreef op woensdag 25 september 2024 @ 14:48:
[...]

Heb je daar een linkje van? Ik heb dat nog niet terug gezien?

Update September 20, 2024: We’ve heard your feedback regarding the Windows update experience during the OOBE, and while we understand the importance of keeping devices updated from the start, we’re committed to implementing this change in the best way for IT admins to manage their environments.

This change has been postponed. Updates will continue to not be applied during OOBE for Autopilot devices until we’ve established the right mechanisms for IT admins to properly manage and adhere to update policies. We appreciate your patience and understanding as we strive to enhance the Windows enrollment experience. Stay tuned for more updates!

Is toegevoegd aan de originele blog post: https://techcommunity.mic...ience-coming/ba-p/4246689

Tesla Model 3 (Highland) LR AWD Ultra Red

woensdag 25 september 2024 15:01

Acties:

+1 Henk 'm!

Blokker_1999

Full steam ahead

Microsoft Windows
Intune
Microsoft

Davidas schreef op woensdag 25 september 2024 @ 14:49:
[...]

Update September 20, 2024: We’ve heard your feedback regarding the Windows update experience during the OOBE, and while we understand the importance of keeping devices updated from the start, we’re committed to implementing this change in the best way for IT admins to manage their environments.

This change has been postponed. Updates will continue to not be applied during OOBE for Autopilot devices until we’ve established the right mechanisms for IT admins to properly manage and adhere to update policies. We appreciate your patience and understanding as we strive to enhance the Windows enrollment experience. Stay tuned for more updates!

Is toegevoegd aan de originele blog post: https://techcommunity.mic...ience-coming/ba-p/4246689

Alsook in het message center waar ik het eerst ben tegengekomen:
https://admin.microsoft.c...enter/:/messages/MC891223

No keyboard detected. Press F1 to continue.

woensdag 25 september 2024 15:01

Acties:

0 Henk 'm!

HKLM_

Intune
Microsoft Windows
Microsoft

Topicstarter

Davidas schreef op woensdag 25 september 2024 @ 14:49:
[...]

Update September 20, 2024: We’ve heard your feedback regarding the Windows update experience during the OOBE, and while we understand the importance of keeping devices updated from the start, we’re committed to implementing this change in the best way for IT admins to manage their environments.

This change has been postponed. Updates will continue to not be applied during OOBE for Autopilot devices until we’ve established the right mechanisms for IT admins to properly manage and adhere to update policies. We appreciate your patience and understanding as we strive to enhance the Windows enrollment experience. Stay tuned for more updates!

Is toegevoegd aan de originele blog post: https://techcommunity.mic...ience-coming/ba-p/4246689

A top dat had ik even gemist thx

Cloud ☁️

woensdag 25 september 2024 21:36

Acties:

+2 Henk 'm!

xven0mxz

Feyenoord Rotterdam 1908!

Voor de mensen met Dell devices https://techcommunity.mic...rtner-portal/ba-p/4253264

Zelfde als HP Connect en dat werkt als een zonnetje.

donderdag 26 september 2024 13:49

Acties:

0 Henk 'm!

Blokker_1999

Full steam ahead

Microsoft Windows
Intune
Microsoft

Een tijdje terug is Microsoft begonnen met het synchronizeren van wifi profielen tussen apparaten. Ik kan me inbeelden dat dit soms handig kan zijn, maar resulteert bij ons in ergernis omdat de authenticatie niet klopt. Wanneer de laptops op onze interne wifi willen verbinden na net opgezet te zijn faalt de verbinding en moeten we aan de gebruiker vragen om het netwerk te vergeten en dan opnieuw te verbinden waarbij je nogmaals een waarschuwing krijgt of je dat specifieke netwerk wel op deze locatie verwacht.

Allemaal niet gestroomlijnd dus.

Iemand enig idee hoe we kunnen voorkomen dat specifiek de gekende wifi netwerken worden gesynchroniseerd?

No keyboard detected. Press F1 to continue.

donderdag 26 september 2024 15:10

Acties:

0 Henk 'm!

xven0mxz

Feyenoord Rotterdam 1908!

Blokker_1999 schreef op donderdag 26 september 2024 @ 13:49:
Een tijdje terug is Microsoft begonnen met het synchronizeren van wifi profielen tussen apparaten. Ik kan me inbeelden dat dit soms handig kan zijn, maar resulteert bij ons in ergernis omdat de authenticatie niet klopt. Wanneer de laptops op onze interne wifi willen verbinden na net opgezet te zijn faalt de verbinding en moeten we aan de gebruiker vragen om het netwerk te vergeten en dan opnieuw te verbinden waarbij je nogmaals een waarschuwing krijgt of je dat specifieke netwerk wel op deze locatie verwacht.

Allemaal niet gestroomlijnd dus.

Iemand enig idee hoe we kunnen voorkomen dat specifiek de gekende wifi netwerken worden gesynchroniseerd?

Dit is onderdeel van Enterprise State Roaming (ESR). Het is niet mogelijk om een specifiek onderdeel van ESR uit te schakelen. Je zou echter wel iets met PowerShell en dergelijke kunnen doen, maar de vraag is of dat wenselijk is.

Hoe wordt de verbinding nu opgezet. Is dit doormiddel van certs of WPA2?

[ Voor 7% gewijzigd door xven0mxz op 26-09-2024 15:15 ]

donderdag 26 september 2024 15:39

Acties:

0 Henk 'm!

Blokker_1999

Full steam ahead

Microsoft Windows
Intune
Microsoft

Ik doe al wat met PS, dat is 1 van de andere redenen dat dit ineens een probleem werd

De beveiliging op het interne netwerk is certificate based. Voor het onboarden hebben we een specifiek verborgen netwerk opgezet met WPA2. Ik heb dus een remediation die nagaat of zowel het onboarding als het interne netwerk gekend zijn en dan het onboarding netwerk doet vergeten. Sinds enkele dagen kreeg ik ineens klachten dat dat ook gebeurde terwijl de onboarding nog bezig was. Heb dat script al aangepast om na te gaan of de OOBE nog bezig is of niet.

code:

$TypeDef = @"
 
using System;
using System.Text;
using System.Collections.Generic;
using System.Runtime.InteropServices;
 
namespace Api
{
 public class Kernel32
 {
   [DllImport("kernel32.dll", CharSet = CharSet.Auto, SetLastError = true)]
   public static extern int OOBEComplete(ref int bIsOOBEComplete);
 }
}
"@
 
Add-Type -TypeDefinition $TypeDef -Language CSharp
$IsOOBEComplete = $false
$hr = [Api.Kernel32]::OOBEComplete([ref] $IsOOBEComplete)

if ($IsOOBEComplete -eq $false) {
    Exit 0
}

Het is gewoon niet goed dat gebruikers een foutmelding krijgen als ze op een nieuwe laptop proberen te verbinden met wifi omdat het herstelde netwerk vermoedelijk probeert het cert van de oude computer te gebruiken wat op de nieuwe niet geinstalleerd staat. Is gewoon slordig.

No keyboard detected. Press F1 to continue.

donderdag 26 september 2024 21:24

Acties:

+2 Henk 'm!

HKLM_

Intune
Microsoft Windows
Microsoft

Topicstarter

Intune 2409 is uit https://learn.microsoft.c...2024-service-release-2409

Personal Disk Encryptie (insiders only) is nu beschik in de disk encryptie profiles in het Endpoint security deel.
Ik heb hier in oktober 2023 al eens via OMA-URI mee zitten spelen maar en dacht eigenlijk dat Microsoft er niks meer mee ging doen, dus blij verrast 🤩

Cloud ☁️

donderdag 26 september 2024 23:00

Acties:

0 Henk 'm!

ibmpc

Intune

HKLM_ schreef op donderdag 26 september 2024 @ 21:24:
Intune 2409 is uit https://learn.microsoft.c...2024-service-release-2409

Personal Disk Encryptie (insiders only) is nu beschik in de disk encryptie profiles in het Endpoint security deel.
Ik heb hier in oktober 2023 al eens via OMA-URI mee zitten spelen maar en dacht eigenlijk dat Microsoft er niks meer mee ging doen, dus blij verrast 🤩

Dat is groots nieuws. Vooralsnog gebruikten wij PDE alleen voor de mooie melding op het loginscherm, om gebruikers er op te wijzen dat ze WHFB moeten gebruiken.

Nu de KFM folders in PDE zitten, hebben gebruikers dus eindelijk geen toegang meer tot hun KFM folders als ze met een WW inloggen?

[ Voor 9% gewijzigd door ibmpc op 26-09-2024 23:19 ]

vrijdag 27 september 2024 10:35

Acties:

0 Henk 'm!

Blokker_1999

Full steam ahead

Microsoft Windows
Intune
Microsoft

Daar lijkt het wel op, al zie ik in de documentatie niet onmiddelijk een overzicht van wat er wel en wat er niet encrypt wordt. Dus de OneDrive data wel, daarom ook dat ze aanraden je data te backuppen naar OneDrive, er is ook sprake van de mail app, ik neem dus aan de cache van de nieuwe Outlook client. Maar geen melding of er daarbuiten nog data beschermd wordt.

No keyboard detected. Press F1 to continue.

vrijdag 27 september 2024 11:17

Acties:

0 Henk 'm!

Quad

Doof

Intune

Windows Pro valt erbuiten volgens de documentatie, daarmee voor ons niet inzetbaar.

Alles went behalve een Twent.
⏩ PVOutput☀️

vrijdag 27 september 2024 11:24

Acties:

0 Henk 'm!

ralpje

Deugpopje

Quad schreef op vrijdag 27 september 2024 @ 11:17:
Windows Pro valt erbuiten volgens de documentatie, daarmee voor ons niet inzetbaar.

Geen M365?

Freelance (Microsoft) Cloud Consultant & Microsoft Certified Trainer

vrijdag 27 september 2024 11:26

Acties:

0 Henk 'm!

Quad

Doof

Intune

ralpje schreef op vrijdag 27 september 2024 @ 11:24:
[...]

Geen M365?

We zetten bijna geen Ex licenties weg, meeste is Business Premium. En dat wordt ook niet genoemd in de documentatie.
https://learn.microsoft.c...personal-data-encryption/

Alles went behalve een Twent.
⏩ PVOutput☀️

vrijdag 27 september 2024 11:35

Acties:

+1 Henk 'm!

ralpje

Deugpopje

Ah, check. Ik doe eigenlijk nooit BP maar alleen E5, dus ik moest ff checken.
Enterprise geeft Windows 10/11 Enterprise, BP geeft Win 10/11 Pro.

Freelance (Microsoft) Cloud Consultant & Microsoft Certified Trainer

vrijdag 27 september 2024 11:40

Acties:

0 Henk 'm!

Quad

Doof

Intune

Correct.

Alles went behalve een Twent.
⏩ PVOutput☀️

vrijdag 27 september 2024 14:23

Acties:

0 Henk 'm!

pjlgt

BP geeft geen Win10/11 Pro licentie zover ik lees. Enkel de mogelijkheid tot een upgrade van 10 naar 11. Er zit wel een Windows 10 (11?) Business licentie bij.

dinsdag 1 oktober 2024 17:02

Acties:

0 Henk 'm!

HKLM_

Intune
Microsoft Windows
Microsoft

Topicstarter

HKLM_ schreef op donderdag 26 september 2024 @ 21:24:
Intune 2409 is uit https://learn.microsoft.c...2024-service-release-2409

Personal Disk Encryptie (insiders only) is nu beschik in de disk encryptie profiles in het Endpoint security deel.
Ik heb hier in oktober 2023 al eens via OMA-URI mee zitten spelen maar en dacht eigenlijk dat Microsoft er niks meer mee ging doen, dus blij verrast 🤩

Windows 11 24H2 is uit en schijnbaar staat het bij default aan.

“Personal Data Encryption (PDE) so that known Windows folders (Documents, Desktop, and Pictures) are protected using user authenticated encryption”

Cloud ☁️

dinsdag 1 oktober 2024 18:36

Acties:

0 Henk 'm!

ibmpc

Intune

HKLM_ schreef op dinsdag 1 oktober 2024 @ 17:02:
[...]

Windows 11 24H2 is uit en schijnbaar staat het bij default aan.

“Personal Data Encryption (PDE) so that known Windows folders (Documents, Desktop, and Pictures) are protected using user authenticated encryption”

Het WinPE en OOBE proces lijkt een enorme overhaul te hebben gekregen. De eerste grote overhaul sinds Windows Vista. PDE ben ik echt heel benieuwd naar, het is al zo lang aanwezig (zonder KFM) maar was zo slecht gedocumenteerd.

dinsdag 1 oktober 2024 18:51

Acties:

+1 Henk 'm!

Gr4mpyC3t

ibmpc schreef op dinsdag 1 oktober 2024 @ 18:36:
[...]

Het WinPE en OOBE proces lijkt een enorme overhaul te hebben gekregen. De eerste grote overhaul sinds Windows Vista. PDE ben ik echt heel benieuwd naar, het is al zo lang aanwezig (zonder KFM) maar was zo slecht gedocumenteerd.

Heb je meer informatie over WinPE? Ik kan het zo snel niet vinden

Have you tried turning it off and on again?

dinsdag 1 oktober 2024 19:30

Acties:

0 Henk 'm!

Blokker_1999

Full steam ahead

Microsoft Windows
Intune
Microsoft

Lap, dat wordt weer overwerk om alles te gaan uitzoeken en waar nodig blokkeren. De week zit nu al overvol.

No keyboard detected. Press F1 to continue.

dinsdag 1 oktober 2024 19:35

Acties:

0 Henk 'm!

HKLM_

Intune
Microsoft Windows
Microsoft

Topicstarter

Blokker_1999 schreef op dinsdag 1 oktober 2024 @ 19:30:
Lap, dat wordt weer overwerk om alles te gaan uitzoeken en waar nodig blokkeren. De week zit nu al overvol.

Mag hopen dat je WUFB of autopatch zo hebt ingesteld dat het nog niet naar je clients gaat. Toch? 😳

Cloud ☁️

dinsdag 1 oktober 2024 19:37

Acties:

+2 Henk 'm!

Blokker_1999

Full steam ahead

Microsoft Windows
Intune
Microsoft

HKLM_ schreef op dinsdag 1 oktober 2024 @ 19:35:
[...]

Mag hopen dat je WUFB of autopatch zo hebt ingesteld dat het nog niet naar je clients gaat. Toch? 😳

In principe wel, maar is de eerste keer dat we een feature update hebben sinds we er gebruik van maken, maakt een mens altijd zenuwachtig

Zie trouwens wel dat ie beschikbaar is gekomen:

[ Voor 24% gewijzigd door Blokker_1999 op 01-10-2024 19:40 ]

No keyboard detected. Press F1 to continue.

woensdag 2 oktober 2024 13:11

Acties:

+1 Henk 'm!

Hann1BaL

Do you stay for dinner?Clarice

Blokker_1999 schreef op dinsdag 1 oktober 2024 @ 19:37:
[...]

In principe wel, maar is de eerste keer dat we een feature update hebben sinds we er gebruik van maken, maakt een mens altijd zenuwachtig

Zie trouwens wel dat ie beschikbaar is gekomen:
[Afbeelding]

Meteen maar even op een paar systeempjes uitrollen

woensdag 2 oktober 2024 18:23

Acties:

0 Henk 'm!

ibmpc

Intune

HKLM_ schreef op dinsdag 1 oktober 2024 @ 19:35:
[...]

Mag hopen dat je WUFB of autopatch zo hebt ingesteld dat het nog niet naar je clients gaat. Toch? 😳

Opzich zijn die feature updates niet echt een probleem. De rollback is tegenwoordig echt heel simpel en duurt maar een minuut ofzoiets. Dat was in Windows 1024 en 1511 wel anders.

woensdag 2 oktober 2024 18:50

Acties:

0 Henk 'm!

HKLM_

Intune
Microsoft Windows
Microsoft

Topicstarter

Volgens mij was er hier laatst iemand die een hybride setup aan het maken was die tijdens de setup een VPN opstarte en connecte naar de DC?

Iemand die daar wat meer over delen?

Cloud ☁️

woensdag 2 oktober 2024 19:44

Acties:

+1 Henk 'm!

Blokker_1999

Full steam ahead

Microsoft Windows
Intune
Microsoft

@HKLM_, de term die je zoekt is Pre-Login Access Provider (PLAP). Dan krijg je tijdens de OOBE op het blauwe loginscherm rechts onderaan een extra icoon waarmee je de VPN verbinding als gebruiker kunt starten. We gebruiken dat niet alleen voor remote deploys, maar ook bijvoorbeeld als we het wachtwoord van een gebruiker moeten resetten die niet op kantoor zit.

Of het ondersteund wordt, is afhankelijk van je VPN oplossing. Maar vele grote providers ondersteunen het, zoals Cisco en PaloAlto, en er zijn zelfs OpenVPN clients die het kunnen. Als je eens wenst te zien hoe dat er voor de eindgebruiker uitziet kan ik je wel eens een extract uit onze documentatie doorsturen.

No keyboard detected. Press F1 to continue.

woensdag 2 oktober 2024 20:18

Acties:

0 Henk 'm!

HKLM_

Intune
Microsoft Windows
Microsoft

Topicstarter

Blokker_1999 schreef op woensdag 2 oktober 2024 @ 19:44:
@HKLM_, de term die je zoekt is Pre-Login Access Provider (PLAP). Dan krijg je tijdens de OOBE op het blauwe loginscherm rechts onderaan een extra icoon waarmee je de VPN verbinding als gebruiker kunt starten. We gebruiken dat niet alleen voor remote deploys, maar ook bijvoorbeeld als we het wachtwoord van een gebruiker moeten resetten die niet op kantoor zit.

Of het ondersteund wordt, is afhankelijk van je VPN oplossing. Maar vele grote providers ondersteunen het, zoals Cisco en PaloAlto, en er zijn zelfs OpenVPN clients die het kunnen. Als je eens wenst te zien hoe dat er voor de eindgebruiker uitziet kan ik je wel eens een extract uit onze documentatie doorsturen.

Oe graag!! Ik stuur je even een DM voor de documentatie.

Ik probeer zover mogelijk van hybride weg te blijven normaal maar nu is hybride echt nodig zoals het lijk wegens legacy applicaties die echt een join nodig hebben ofzo (moet ik verder laten checken)

Cloud ☁️

woensdag 2 oktober 2024 21:35

Acties:

0 Henk 'm!

nextware

HKLM_ schreef op woensdag 2 oktober 2024 @ 18:50:
Volgens mij was er hier laatst iemand die een hybride setup aan het maken was die tijdens de setup een VPN opstarte en connecte naar de DC?

Iemand die daar wat meer over delen?

Bij mijn vorige werkgever deployeden we de VPN via een Powershell script (machine based). Dit was gebaseerd op Microsoft Always-on VPN. Ik kan kijken of ik nog ergens de Powershell scripts kan vinden (heb ze uit voorzorg nog ergens opgeslagen voor ik vertrok).

[ Voor 12% gewijzigd door nextware op 02-10-2024 21:36 ]

woensdag 2 oktober 2024 22:09

Acties:

0 Henk 'm!

HKLM_

Intune
Microsoft Windows
Microsoft

Topicstarter

nextware schreef op woensdag 2 oktober 2024 @ 21:35:
[...]

Bij mijn vorige werkgever deployeden we de VPN via een Powershell script (machine based). Dit was gebaseerd op Microsoft Always-on VPN. Ik kan kijken of ik nog ergens de Powershell scripts kan vinden (heb ze uit voorzorg nog ergens opgeslagen voor ik vertrok).

Als je wilt graag!!

Cloud ☁️

woensdag 2 oktober 2024 22:17

Acties:

0 Henk 'm!

nextware

HKLM_ schreef op woensdag 2 oktober 2024 @ 22:09:
[...]

Als je wilt graag!!

OK, ik zal ze op gaan zoeken. Zal denk ik morgenavond zijn.. Kan / mag dat nog ?

donderdag 3 oktober 2024 04:51

Acties:

0 Henk 'm!

HKLM_

Intune
Microsoft Windows
Microsoft

Topicstarter

nextware schreef op woensdag 2 oktober 2024 @ 22:17:
[...]

OK, ik zal ze op gaan zoeken. Zal denk ik morgenavond zijn.. Kan / mag dat nog ?

Tuurlijk!

Cloud ☁️

vrijdag 4 oktober 2024 20:45

Acties:

+2 Henk 'm!

HKLM_

Intune
Microsoft Windows
Microsoft

Topicstarter

@Blokker_1999 @nextware Beide zeer bedankt voor het delen!

Cloud ☁️

vrijdag 4 oktober 2024 20:57

Acties:

0 Henk 'm!

Quad

Doof

Intune

Care to share?

Alles went behalve een Twent.
⏩ PVOutput☀️

vrijdag 4 oktober 2024 21:11

Acties:

0 Henk 'm!

nextware

Quad schreef op vrijdag 4 oktober 2024 @ 20:57:
Care to share?

Sure. Zeg maar hoe je de files wil ontvangen. Zijn Powershell en XML

zondag 6 oktober 2024 15:43

Acties:

0 Henk 'm!

Blokker_1999

Full steam ahead

Microsoft Windows
Intune
Microsoft

Ik realiseer me net dat ik nog iets mis bij het distribueren van apps via intune naar Windows. We kunnen wel selecteren of we 32bit danwel 64bit nodig hebben, maar er is nog geen toggle voor ARM.

No keyboard detected. Press F1 to continue.

zondag 6 oktober 2024 15:51

Acties:

0 Henk 'm!

DennusF

Kan je niet een always in device tunnel maken met Microsoft cloud pki? Werkt hier top in een hybride omgeving!

zondag 6 oktober 2024 17:16

Acties:

0 Henk 'm!

HKLM_

Intune
Microsoft Windows
Microsoft

Topicstarter

Blokker_1999 schreef op zondag 6 oktober 2024 @ 15:43:
Ik realiseer me net dat ik nog iets mis bij het distribueren van apps via intune naar Windows. We kunnen wel selecteren of we 32bit danwel 64bit nodig hebben, maar er is nog geen toggle voor ARM.

Goede! Dit zal binnenkort wel komen, maar kan wel even duren. Nieuwe Windows Builds duren vaak ook eventjes.

24H2 is ook nog niet toegevoegd aan de lijst

Afbeeldingslocatie: https://tweakers.net/i/deMkSKmRrVUjHh3tXWENsR2gs1E=/x800/filters:strip_icc():strip_exif()/f/image/CPNrQJpXHA2LMwjB8Ly82aGv.jpg?f=fotoalbum_large

[ Voor 34% gewijzigd door HKLM_ op 06-10-2024 17:20 ]

Cloud ☁️

zondag 6 oktober 2024 17:18

Acties:

0 Henk 'm!

Quad

Doof

Intune

nextware schreef op vrijdag 4 oktober 2024 @ 21:11:
[...]

Sure. Zeg maar hoe je de files wil ontvangen. Zijn Powershell en XML

Wetransferlinkje via DM?

Alles went behalve een Twent.
⏩ PVOutput☀️

zondag 6 oktober 2024 18:04

Acties:

0 Henk 'm!

Blokker_1999

Full steam ahead

Microsoft Windows
Intune
Microsoft

DennusF schreef op zondag 6 oktober 2024 @ 15:51:
Kan je niet een always in device tunnel maken met Microsoft cloud pki? Werkt hier top in een hybride omgeving!

Ouch, heb je weer die cloud PKI nodig. Als je reeds certificaten kunt afleveren via NDES/SCEP dan kan je zo ook de device tunnel opzetten.

Tsjah, wij voeren nu volop de discussie over E3 vs E5, ik kan niet nog eens extra geld gaan vragen voor Intune suite

en die NDES staat er ook al weer van voor je de cloud PKI had, dus waarom niet

No keyboard detected. Press F1 to continue.

zondag 6 oktober 2024 18:51

Acties:

0 Henk 'm!

HKLM_

Intune
Microsoft Windows
Microsoft

Topicstarter

Blokker_1999 schreef op zondag 6 oktober 2024 @ 18:04:
[...]

Ouch, heb je weer die cloud PKI nodig. Als je reeds certificaten kunt afleveren via NDES/SCEP dan kan je zo ook de device tunnel opzetten.

Tsjah, wij voeren nu volop de discussie over E3 vs E5, ik kan niet nog eens extra geld gaan vragen voor Intune suite en die NDES staat er ook al weer van voor je de cloud PKI had, dus waarom niet

Je hoeft ook niet gelijk de suite af te nemen he, je kan ook alleen de add-on afnemen van het product dat je wilt.

Wat voor discussie voor je voor E5? Je zou eventueel ook eerst naat een Security of een compliance add-on kunnen gaan als je daarmee de functionaliteit haalt die je wilt. Kan je later de switch naar full e5 maken als je de rest nodig heb.

[ Voor 17% gewijzigd door HKLM_ op 06-10-2024 18:52 ]

Cloud ☁️

maandag 7 oktober 2024 15:52

Acties:

+1 Henk 'm!

Blokker_1999

Full steam ahead

Microsoft Windows
Intune
Microsoft

Je weet hoe dat gaat van zodra het om geld gaat: "maar je gebruikt vandaag nog niet eens alles van E3", en we gaan inderdaad al sneller naar bepaalde add-ons kijken voordat onze huidige overeenkomst aan vernieuwing toe is daar we een nieuwe oplossing voor mailsecurity nodig hebben en EOP/MDO is 1 van die alternatieven.

Vandaag ook geleerd wat er gebeurt als je laptop toegewezen is aan 2 conflicterende feature update policies waarbij de ene zegt 23H2 en de andere 24H2. Ik vermoed dat de officiele positie van MS zal zijn dat zoiets niet te voorspellen is, maar in mijn geval bleef de laptop dus op 23H2 steken. Tijd om eens met de grove borstel door al die policies te gaan.

No keyboard detected. Press F1 to continue.

maandag 7 oktober 2024 16:07

Acties:

0 Henk 'm!

DDX

xven0mxz schreef op woensdag 25 september 2024 @ 21:36:
Voor de mensen met Dell devices https://techcommunity.mic...rtner-portal/ba-p/4253264

Zelfde als HP Connect en dat werkt als een zonnetje.

Benieuwd wanneer dat live gaat, er staat 'Starting in October' maarja dat is ruim begrip, er staat nu nog geen dell bij mij. (alleen hp en surface)

https://www.strava.com/athletes/2323035

maandag 7 oktober 2024 16:55

Acties:

0 Henk 'm!

Blokker_1999

Full steam ahead

Microsoft Windows
Intune
Microsoft

Ik wacht zelf meer op die verbeterde device raportering die volgens de roadmap ook in Oktober hoort uit te rollen. Verwacht dat die met de oktober release van Intune komt, en zou me niet verbazen dat die Dell connector ook op de volgende Intune release zal moeten wachten. En dan is het dus pas eind deze maand.

No keyboard detected. Press F1 to continue.

maandag 7 oktober 2024 20:57

Acties:

+1 Henk 'm!

HKLM_

Intune
Microsoft Windows
Microsoft

Topicstarter

Blokker_1999 schreef op maandag 7 oktober 2024 @ 16:55:
Ik wacht zelf meer op die verbeterde device raportering die volgens de roadmap ook in Oktober hoort uit te rollen. Verwacht dat die met de oktober release van Intune komt, en zou me niet verbazen dat die Dell connector ook op de volgende Intune release zal moeten wachten. En dan is het dus pas eind deze maand.

Je bedoelt intune device inventory? Ja daar zit ik ook wel op te wachten. Ik zelf verwacht ook met de 2410 release.

Het is ook bijna Ignite en ben wel benieuwd waar ze dit jaar mee komen

Cloud ☁️

dinsdag 8 oktober 2024 19:05

Acties:

+1 Henk 'm!

HKLM_

Intune
Microsoft Windows
Microsoft

Topicstarter

Blokker_1999 schreef op maandag 7 oktober 2024 @ 16:55:
Ik wacht zelf meer op die verbeterde device raportering die volgens de roadmap ook in Oktober hoort uit te rollen. Verwacht dat die met de oktober release van Intune komt, en zou me niet verbazen dat die Dell connector ook op de volgende Intune release zal moeten wachten. En dan is het dus pas eind deze maand.

Volgens mijn bron is het vanuit de link beschikbaar.

Afbeeldingslocatie: https://tweakers.net/i/z9UFgALNpg8XsNEUKf_SIicXenk=/800x/filters:strip_icc():strip_exif()/f/image/Cj1XehUel8BHJGPBZ2tcXIah.jpg?f=fotoalbum_large

Cloud ☁️

dinsdag 8 oktober 2024 19:46

Acties:

+1 Henk 'm!

Blokker_1999

Full steam ahead

Microsoft Windows
Intune
Microsoft

@DDX ⬆️⬆️⬆️👍

No keyboard detected. Press F1 to continue.

woensdag 9 oktober 2024 10:32

Acties:

0 Henk 'm!

DDX

Blokker_1999 schreef op dinsdag 8 oktober 2024 @ 19:46:
@DDX ⬆️⬆️⬆️👍

Niet zichtbaar op portal, dus snap even niet hoe je het dan moet inregelen ?

@HKLM_ Heb je een linkje, want vanuit plaatje ga ik niets kunnen lezen.

[ Voor 31% gewijzigd door DDX op 09-10-2024 10:34 ]

https://www.strava.com/athletes/2323035

woensdag 9 oktober 2024 10:42

Acties:

0 Henk 'm!

rickie19

DDX schreef op maandag 7 oktober 2024 @ 16:07:
[...]

Benieuwd wanneer dat live gaat, er staat 'Starting in October' maarja dat is ruim begrip, er staat nu nog geen dell bij mij. (alleen hp en surface)

Ik heb het nieuws bericht eens doorgelezen maar bij dit soort dingen vraag mij mij altijd af wat de meerwaarde ervan is.

woensdag 9 oktober 2024 10:51

Acties:

+1 Henk 'm!

ZeRoC00L

DDX schreef op woensdag 9 oktober 2024 @ 10:32:
[...]

Niet zichtbaar op portal, dus snap even niet hoe je het dan moet inregelen ?

@HKLM_ Heb je een linkje, want vanuit plaatje ga ik niets kunnen lezen.

Manage.dell.com

[*] Error 45: Please replace user
Volg je bankbiljetten

woensdag 9 oktober 2024 11:00

Acties:

0 Henk 'm!

DDX

ZeRoC00L schreef op woensdag 9 oktober 2024 @ 10:51:
[...]

Manage.dell.com

Ah, dacht 2e linkje.
Thnx

https://www.strava.com/athletes/2323035

woensdag 9 oktober 2024 11:01

Acties:

0 Henk 'm!

DDX

rickie19 schreef op woensdag 9 oktober 2024 @ 10:42:
[...]

Ik heb het nieuws bericht eens doorgelezen maar bij dit soort dingen vraag mij mij altijd af wat de meerwaarde ervan is.

Makkelijker uitrollen/bijhouden van de dell management tools/drivers is mijn hoop.

https://www.strava.com/athletes/2323035

woensdag 9 oktober 2024 14:01

Acties:

0 Henk 'm!

HKLM_

Intune
Microsoft Windows
Microsoft

Topicstarter

ZeRoC00L schreef op woensdag 9 oktober 2024 @ 10:51:
[...]

Manage.dell.com

Dit inderdaad.

Cloud ☁️

woensdag 9 oktober 2024 14:13

Acties:

+1 Henk 'm!

xven0mxz

Feyenoord Rotterdam 1908!

Dell al wel iets verder dan HP.

Dell heeft ook de mogelijkheid om apps en dergelijke te pushen. Waren er al een paar dagen mee aan het spelen.

donderdag 10 oktober 2024 07:03

Acties:

0 Henk 'm!

ReZpie

Custom admx in intune kan ook met Dell.
Ook is het instellen met de nieuwe Dell Command | Endpoint Configure for Microsoft Intune (DCECMI) is ook veel mogelijk.
Ik gebruik veel remediations om sceureboot,memory integrity
,en meer core isolation settings aan te kunnen zetten.

Een dev bij Dell heeft wel een mooie repo in github staan.

https://github.com/svenri...ree/main/CustomCompliance

donderdag 10 oktober 2024 07:30

Acties:

0 Henk 'm!

HKLM_

Intune
Microsoft Windows
Microsoft

Topicstarter

ReZpie schreef op donderdag 10 oktober 2024 @ 07:03:
Custom admx in intune kan ook met Dell.
Ook is het instellen met de nieuwe Dell Command | Endpoint Configure for Microsoft Intune (DCECMI) is ook veel mogelijk.
Ik gebruik veel remediations om sceureboot,memory integrity
,en meer core isolation settings aan te kunnen zetten.

Een dev bij Dell heeft wel een mooie repo in github staan.

https://github.com/svenri...ree/main/CustomCompliance

Dell is wel goed bezig inderdaad, die BIOS configurations and other settings in Intune is ook wel gaaf.
Ik heb alleen mijn Dell bios er mee gebickt

Cloud ☁️

donderdag 10 oktober 2024 07:34

Acties:

0 Henk 'm!

Gr4mpyC3t

ReZpie schreef op donderdag 10 oktober 2024 @ 07:03:
Custom admx in intune kan ook met Dell.
Ook is het instellen met de nieuwe Dell Command | Endpoint Configure for Microsoft Intune (DCECMI) is ook veel mogelijk.
Ik gebruik veel remediations om sceureboot,memory integrity
,en meer core isolation settings aan te kunnen zetten.

Een dev bij Dell heeft wel een mooie repo in github staan.

https://github.com/svenri...ree/main/CustomCompliance

Heb je misschien een aantal voorbeelden dat écht meerwaarde oplevert als je deze tools gebruikt? Zit het ‘m vooral in het configureren van de BIOS setting? Of is er iets wat ik over het hoofd zie?

Have you tried turning it off and on again?

donderdag 10 oktober 2024 09:08

Acties:

+1 Henk 'm!

ReZpie

Gr4mpyC3t schreef op donderdag 10 oktober 2024 @ 07:34:
[...]

Heb je misschien een aantal voorbeelden dat écht meerwaarde oplevert als je deze tools gebruikt? Zit het ‘m vooral in het configureren van de BIOS setting? Of is er iets wat ik over het hoofd zie?

Er stonden al voorbeelden in de post, maar we zijn bezig om op basis van compliancy in intune devices te blokkeren. Dit houdt in dat de devices aan een aantal security settings in Intune moeten voldoen. Dit zijn inderdaad vaak bios settings, maar je kunt in de admx settings ook Command Update settings instellen.(Ik gebruik zelf gewoon drivers in autopatch).
Laptops/Desktops worden helaas wereldwijd niet altijd met dezelfde instellingen geleverd.
Hieronder wat voorbeelden

Prerequisites voor core isolation voor Credentialguard/VBS
DellVirtualization >

Prerequisites voor Code intergrity/Secureboot/Bitlocker/
Uefi >
Tpm 2.0>
Secureboot >

Prerequisites voor Memory integrity
TrustExecution >

donderdag 10 oktober 2024 09:18

Acties:

0 Henk 'm!

Gr4mpyC3t

ReZpie schreef op donderdag 10 oktober 2024 @ 09:08:
[...]

Er stonden al voorbeelden in de post, maar we zijn bezig om op basis van compliancy in intune devices te blokkeren. Dit houdt in dat de devices aan een aantal security settings in Intune moeten voldoen. Dit zijn inderdaad vaak bios settings, maar je kunt in de admx settings ook Command Update settings instellen.(Ik gebruik zelf gewoon drivers in autopatch).
Laptops/Desktops worden helaas wereldwijd niet altijd met dezelfde instellingen geleverd.
Hieronder wat voorbeelden

Prerequisites voor core isolation voor Credentialguard/VBS
DellVirtualization >

Prerequisites voor Code intergrity/Secureboot/Bitlocker/
Uefi >
Tpm 2.0>
Secureboot >

Prerequisites voor Memory integrity
TrustExecution >

Ah, op die manier! Dus als ik het goed begrijp kun je op deze manier op afstand de handelingen verrichten in de BIOS die nodig zijn voor de juiste beveiligingsmaatregelen in Windows?

Have you tried turning it off and on again?

donderdag 10 oktober 2024 10:53

Acties:

+1 Henk 'm!

ReZpie

Gr4mpyC3t schreef op donderdag 10 oktober 2024 @ 09:18:
[...]

Ah, op die manier! Dus als ik het goed begrijp kun je op deze manier op afstand de handelingen verrichten in de BIOS die nodig zijn voor de juiste beveiligingsmaatregelen in Windows?

Yes, je kunt deze remote en op de achtergrond aanpassen, zodat men niet fysiek in de bios hoeft te pielen om dit aan te passen.

donderdag 10 oktober 2024 14:05

Acties:

0 Henk 'm!

Blokker_1999

Full steam ahead

Microsoft Windows
Intune
Microsoft

HKLM_ schreef op donderdag 10 oktober 2024 @ 07:30:
[...]

Dell is wel goed bezig inderdaad, die BIOS configurations and other settings in Intune is ook wel gaaf.
Ik heb alleen mijn Dell bios er mee gebickt

En dan vraag ik me af: hoe kan zoiets nu in hemelsnaam. Dat zou toch gewoon beveiligd moeten zijn zodat zoiets niet kan?

Op zich ben ik trouwens blij dat we net van Dell aan het wegmigreren zijn in de firma. Geen plastic behuizingen meer, geen opzwellende batterijen meer, en geen prijsverhoging van 100%

meer van het ene naar het andere jaar

No keyboard detected. Press F1 to continue.

donderdag 10 oktober 2024 17:01

Acties:

0 Henk 'm!

DDX

Mac beheerders aanwezig hier ?
Met de nieuwe 15.0 release issues dat gebruikers (die geen local admin zijn) voor 15 een update krijgen om admin login in te vullen.

Terwijl ik in intune netjes de setting 'Allow Standard User OS Updates' heb geconfigureerd.
Waarbij info staat :

If 'true', a standard user can perform Major and Minor Software Updates. If 'false', only administrators can perform Major and Minor Software Updates.

Gekke is dat er ook aantal gebruikers zijn die de update zonder problemen geinstallerd hebben.

info over die setting via:
https://techcommunity.mic...and-macos-15/ba-p/4240269

[ Voor 12% gewijzigd door DDX op 10-10-2024 17:02 ]

https://www.strava.com/athletes/2323035

donderdag 10 oktober 2024 20:19

Acties:

0 Henk 'm!

Blokker_1999

Full steam ahead

Microsoft Windows
Intune
Microsoft

Onze macs worden voorlopig nog via Jamf beheerd, al staat een migratie naar Intune op de planning van zodra we daar een rollout kunnen doen die gebruikers geen admin maakt.

No keyboard detected. Press F1 to continue.

donderdag 10 oktober 2024 20:27

Acties:

0 Henk 'm!

HKLM_

Intune
Microsoft Windows
Microsoft

Topicstarter

DDX schreef op donderdag 10 oktober 2024 @ 17:01:
Mac beheerders aanwezig hier ?
Met de nieuwe 15.0 release issues dat gebruikers (die geen local admin zijn) voor 15 een update krijgen om admin login in te vullen.

Terwijl ik in intune netjes de setting 'Allow Standard User OS Updates' heb geconfigureerd.
Waarbij info staat :

If 'true', a standard user can perform Major and Minor Software Updates. If 'false', only administrators can perform Major and Minor Software Updates.

Gekke is dat er ook aantal gebruikers zijn die de update zonder problemen geinstallerd hebben.

info over die setting via:
https://techcommunity.mic...and-macos-15/ba-p/4240269

Niet helemaal gerelateerd aan je beschreven issue maar er zijn wat issues met 15 en intune. Misschien is dit er ook wel 1

https://techcommunity.mic...on-compliant/ba-p/4250583

Cloud ☁️

vrijdag 11 oktober 2024 09:51

Acties:

0 Henk 'm!

DDX

Was trouwens met macos 13 naar 14 ook al een issue, maar had de hoop dat die nieuwe intune instelling zou helpen.

https://www.strava.com/athletes/2323035

donderdag 17 oktober 2024 13:53

Acties:

0 Henk 'm!

Blokker_1999

Full steam ahead

Microsoft Windows
Intune
Microsoft

Ik heb specifiek een policy die Credential Guard uitzet en toch duikt er af en toe een laptop op waarbij het aan staat. Geen idee hoe dat nu weer mogelijk is.

No keyboard detected. Press F1 to continue.

donderdag 17 oktober 2024 14:30

Acties:

0 Henk 'm!

HKLM_

Intune
Microsoft Windows
Microsoft

Topicstarter

Blokker_1999 schreef op donderdag 17 oktober 2024 @ 13:53:
Ik heb specifiek een policy die Credential Guard uitzet en toch duikt er af en toe een laptop op waarbij het aan staat. Geen idee hoe dat nu weer mogelijk is.

Zit die laptop wel in scope van de policy want vanaf Windows 11, 22H2 staat het bij default aan.

Mag ik je vragen waarom je het uit zet?

Cloud ☁️

donderdag 17 oktober 2024 14:40

Acties:

+1 Henk 'm!

DDX

Wij hebben het uitgezet omdat het 802.1x via computer account sloopt.
Merkte recent dat paar machines tijdelijk issues hadden met 802.1x authenticatie na update naar 24h2, volgens mij omdat die het weer aanzet en de policy van ons om het uit te zetten nog niet actief was.
Reboot later werkte het weer.

https://www.reddit.com/r/...n1123h2_credential_guard/

[ Voor 13% gewijzigd door DDX op 17-10-2024 14:41 ]

https://www.strava.com/athletes/2323035

donderdag 17 oktober 2024 15:28

Acties:

0 Henk 'm!

Blokker_1999

Full steam ahead

Microsoft Windows
Intune
Microsoft

HKLM_ schreef op donderdag 17 oktober 2024 @ 14:30:
[...]

Zit die laptop wel in scope van de policy want vanaf Windows 11, 22H2 staat het bij default aan.

Mag ik je vragen waarom je het uit zet?

Je mag altijd vragen

En ja, alle PCs die we deployen via autopilot zitten in scope.

Op dit moment lopen we op gebied van modern authentication nog achter. Hello is bijvoorbeeld niet actief in de onderneming, al is onze CISO wel aan het bijdraaien wat dat betreft. Dus als je Credential Guard aanzet en je hebt enkel maar basic authentication dan krijg je bij elke RDP sessie die je start een prompt voor je wachtwoord in te voeren. En er worden enorm veel RDP sessies gemaakt bij ons daar heel wat mensen hun dagelijks werk over RDP doen. Een laptop met honderden gigabytes geheugen is meestal niet erg praktisch en ook niet zonder risico, al is wel alles Bitlocker protected

No keyboard detected. Press F1 to continue.

donderdag 17 oktober 2024 16:13

Acties:

0 Henk 'm!

HKLM_

Intune
Microsoft Windows
Microsoft

Topicstarter

Blokker_1999 schreef op donderdag 17 oktober 2024 @ 15:28:
[...]

Je mag altijd vragen

En ja, alle PCs die we deployen via autopilot zitten in scope.

Op dit moment lopen we op gebied van modern authentication nog achter. Hello is bijvoorbeeld niet actief in de onderneming, al is onze CISO wel aan het bijdraaien wat dat betreft. Dus als je Credential Guard aanzet en je hebt enkel maar basic authentication dan krijg je bij elke RDP sessie die je start een prompt voor je wachtwoord in te voeren. En er worden enorm veel RDP sessies gemaakt bij ons daar heel wat mensen hun dagelijks werk over RDP doen. Een laptop met honderden gigabytes geheugen is meestal niet erg praktisch en ook niet zonder risico, al is wel alles Bitlocker protected

is jullie CISO tegen WHFB

ik hoor het wel vaker hoor maar even laten zien dat het phishing resistant mfa is en de authenticator easy te vissen is en dan gaan ze vaak wel over.

tegenwoordig als je nog netwerkschijven hebt etc is het ook geen reden meer want Cloud Kerberos

Maar ik leef met je mee

Cloud ☁️

vrijdag 18 oktober 2024 07:33

Acties:

0 Henk 'm!

Blokker_1999

Full steam ahead

Microsoft Windows
Intune
Microsoft

Ik denk dat er vooral een tekort is aan kennis bij onze CISO. Combineer dat met te veel werk en te weinig volk en je kan het hem ook niet in 1-2-3 bijbrengen. Zoals in vele bedrijven ongetwijfeld het geval is. Ik melde recent aan hem het bestaan van PDE in 24H2 met een heel high level overview van wat het is en ook daar kwamen direct een hoop opmerkingen bij die ontstaan vanuit het gebrek aan kennis.

En netwerkschijven hebben we trouwens genoeg, honderden terabytes aan storage op het netwerk, en nooit genoeg.

No keyboard detected. Press F1 to continue.

vrijdag 18 oktober 2024 09:45

Acties:

0 Henk 'm!

HKLM_

Intune
Microsoft Windows
Microsoft

Topicstarter

Blokker_1999 schreef op vrijdag 18 oktober 2024 @ 07:33:
Ik denk dat er vooral een tekort is aan kennis bij onze CISO. Combineer dat met te veel werk en te weinig volk en je kan het hem ook niet in 1-2-3 bijbrengen. Zoals in vele bedrijven ongetwijfeld het geval is. Ik melde recent aan hem het bestaan van PDE in 24H2 met een heel high level overview van wat het is en ook daar kwamen direct een hoop opmerkingen bij die ontstaan vanuit het gebrek aan kennis.

En netwerkschijven hebben we trouwens genoeg, honderden terabytes aan storage op het netwerk, en nooit genoeg.

Vraag is natuurlijk ook hoeveel kennis een CISO van de techniek moet weten daar is eigenlijk een TICO voor.
Voor mij is een slechte CISO & Privacy officer wel eens de reden geweest om het bedrijf te verlaten aangezien ik alleen maar tegen hoge muren opliep en op moderne techniek niks voor elkaar kreeg wat CISO en PO snapte het niet...

Ik heb wel eens discussies gehad met CISO"s die zeggen maar we gaan van een wachtwoord naar een PIN dat is niet veilig... hele moeilijke discussies zijn dat soms. Gelukkig kan naast WHFB nog een extra MFA afdwingen als je wilt haha maar blijven hangen in het oude is erg vervelend.

Netwerkschijven moest ik een paar weken geleden weer even aan wennen was in 2019 voor het laatst

Maar Microsoft heeft dat dus best goed voor elkaar tegenwoordig met WHFB en Cloud Kerberos.

[ Voor 10% gewijzigd door HKLM_ op 18-10-2024 09:47 ]

Cloud ☁️

vrijdag 18 oktober 2024 10:30

Acties:

0 Henk 'm!

DDX

Naja hele pin gebeuren is ook beetje maf naar mijn idee bij.
Stelt iemand 1111 in, collega (of klant) kan dat snel zien als je dat intikt.
En als je dan even naar wc gaat kan die op jouw laptop kijken....

https://www.strava.com/athletes/2323035

vrijdag 18 oktober 2024 11:12

Acties:

+1 Henk 'm!

Davidas

DDX schreef op vrijdag 18 oktober 2024 @ 10:30:
Naja hele pin gebeuren is ook beetje maf naar mijn idee bij.
Stelt iemand 1111 in, collega (of klant) kan dat snel zien als je dat intikt.
En als je dan even naar wc gaat kan die op jouw laptop kijken....

Dan moet je andere voorwaarden stellen aan dat beleid.

Tesla Model 3 (Highland) LR AWD Ultra Red

vrijdag 18 oktober 2024 11:22

Acties:

0 Henk 'm!

Blokker_1999

Full steam ahead

Microsoft Windows
Intune
Microsoft

PIN code van 20 characters met verplichting van cijfers en letters

No keyboard detected. Press F1 to continue.

vrijdag 18 oktober 2024 11:25

Acties:

0 Henk 'm!

DDX

Ja of gewoon optie om pincode uit te zetten, want je hebt al een wachtwoord...
Ik zou niet eens meer mijn pincode weten, log altijd in met wachtwoord. (desktop pc dus geen camera of fingerprint)

https://www.strava.com/athletes/2323035

vrijdag 18 oktober 2024 11:30

Acties:

+1 Henk 'm!

Davidas

DDX schreef op vrijdag 18 oktober 2024 @ 11:25:
Ja of gewoon optie om pincode uit te zetten, want je hebt al een wachtwoord...
Ik zou niet eens meer mijn pincode weten, log altijd in met wachtwoord. (desktop pc dus geen camera of fingerprint)

Het hele idee van Windows Hello (for Business) is dat je biometrische data niet rondzwerft in het netwerk maar lokaal op je apparaat blijft. Dus zitten een hoop voordelen aan op gebied van security.

Tesla Model 3 (Highland) LR AWD Ultra Red

vrijdag 18 oktober 2024 12:22

Acties:

0 Henk 'm!

HKLM_

Intune
Microsoft Windows
Microsoft

Topicstarter

DDX schreef op vrijdag 18 oktober 2024 @ 10:30:
Naja hele pin gebeuren is ook beetje maf naar mijn idee bij.
Stelt iemand 1111 in, collega (of klant) kan dat snel zien als je dat intikt.
En als je dan even naar wc gaat kan die op jouw laptop kijken....

Als je simple pin blokkeert dan kan dat niet.
Pin afkijken is net als het wachtwoord kan je ook afkijken

Cloud ☁️

vrijdag 18 oktober 2024 12:23

Acties:

+1 Henk 'm!

HKLM_

Intune
Microsoft Windows
Microsoft

Topicstarter

DDX schreef op vrijdag 18 oktober 2024 @ 11:25:
Ja of gewoon optie om pincode uit te zetten, want je hebt al een wachtwoord...
Ik zou niet eens meer mijn pincode weten, log altijd in met wachtwoord. (desktop pc dus geen camera of fingerprint)

Waarom zou je een wachtwoord gebruiken? WHFB is phishing resistent en je username en wachtwoord is dat niet.

Ik had eerst ook bedenkingen bij passwordless maar het is zo veel beter als je er eenmaal aan gewend bent.

[ Voor 11% gewijzigd door HKLM_ op 18-10-2024 12:24 ]

Cloud ☁️

vrijdag 18 oktober 2024 14:22

Acties:

0 Henk 'm!

ZeRoC00L

HKLM_ schreef op vrijdag 18 oktober 2024 @ 12:22:
[...]

Als je simple pin blokkeert dan kan dat niet.
Pin afkijken is net als het wachtwoord kan je ook afkijken

Maar pin is device afhankelijk. Wachtwoord niet.

HKLM_ schreef op vrijdag 18 oktober 2024 @ 12:23:
[...]

Waarom zou je een wachtwoord gebruiken? WHFB is phishing resistent en je username en wachtwoord is dat niet.

Ik had eerst ook bedenkingen bij passwordless maar het is zo veel beter als je er eenmaal aan gewend bent.

Ja, gezicht of vingerafdruk is prima.
Pin vind ik zelf ook wat dubieus

[ Voor 42% gewijzigd door ZeRoC00L op 18-10-2024 14:23 ]

[*] Error 45: Please replace user
Volg je bankbiljetten

vrijdag 18 oktober 2024 16:14

Acties:

0 Henk 'm!

Quad

Doof

Intune

Voor klanten die het wat lastig vinden om dit als veilig te zien zetten we DUO in.
Lokaal inloggen moet dan met wachtwoord én je moet via je smartphone het toestaan dat je lokaal wilt inloggen.

Het liefst had ik gezien dat Microsoft dit ook zou inbouwen, een soort extra MFA push bij gebruik PIN ipv biometrics.

Alles went behalve een Twent.
⏩ PVOutput☀️

vrijdag 18 oktober 2024 16:24

Acties:

+3 Henk 'm!

HKLM_

Intune
Microsoft Windows
Microsoft

Topicstarter

Quad schreef op vrijdag 18 oktober 2024 @ 16:14:
Voor klanten die het wat lastig vinden om dit als veilig te zien zetten we DUO in.
Lokaal inloggen moet dan met wachtwoord én je moet via je smartphone het toestaan dat je lokaal wilt inloggen.

Het liefst had ik gezien dat Microsoft dit ook zou inbouwen, een soort extra MFA push bij gebruik PIN ipv biometrics.

Niet helemaal op de mannier zoals duo maar je kan met WHFB nog wel wat afdwingen.

https://www.cloudcoffee.c...with-multi-factor-unlock/

En je kan altijd nog web sign-in gebruiken, log je in met je wachtwoord en die je de MFA met de authenticator app.

[ Voor 8% gewijzigd door HKLM_ op 18-10-2024 16:26 ]

Cloud ☁️

vrijdag 18 oktober 2024 17:07

Acties:

+1 Henk 'm!

Quad

Doof

Intune

HKLM_ schreef op vrijdag 18 oktober 2024 @ 16:24:
[...]

Niet helemaal op de mannier zoals duo maar je kan met WHFB nog wel wat afdwingen.

https://www.cloudcoffee.c...with-multi-factor-unlock/

En je kan altijd nog web sign-in gebruiken, log je in met je wachtwoord en die je de MFA met de authenticator app.

Vet, je brengt mij iig op wat usecases hiermee!

Alles went behalve een Twent.
⏩ PVOutput☀️

vrijdag 18 oktober 2024 19:38

Acties:

+2 Henk 'm!

TheVMaster

Moderator WOS

Intune
Microsoft Windows

Blokker_1999 schreef op vrijdag 18 oktober 2024 @ 11:22:
PIN code van 20 characters met verplichting van cijfers en letters

Dat vind ik dus de grootste bullshit een PIN met cijfers en letters. Gewoon Windows Hello met gezicht of vingerafdruk instellen.

vrijdag 18 oktober 2024 19:39

Acties:

+3 Henk 'm!

TheVMaster

Moderator WOS

Intune
Microsoft Windows

Quad schreef op vrijdag 18 oktober 2024 @ 16:14:
Voor klanten die het wat lastig vinden om dit als veilig te zien zetten we DUO in.
Lokaal inloggen moet dan met wachtwoord én je moet via je smartphone het toestaan dat je lokaal wilt inloggen.

Het liefst had ik gezien dat Microsoft dit ook zou inbouwen, een soort extra MFA push bij gebruik PIN ipv biometrics.

Je kunt toch eh..multi-factor unlock instellen? https://learn.microsoft.c...factor-unlock?tabs=intune

vrijdag 18 oktober 2024 19:57

Acties:

+1 Henk 'm!

TheVMaster

Moderator WOS

Intune
Microsoft Windows

DDX schreef op vrijdag 18 oktober 2024 @ 11:25:
Ja of gewoon optie om pincode uit te zetten, want je hebt al een wachtwoord...
Ik zou niet eens meer mijn pincode weten, log altijd in met wachtwoord. (desktop pc dus geen camera of fingerprint)

Waarom zou je precies willen inloggen met een wachtwoord (waarmee een mogelijke schouder-surfer ook toegang zou kunnen hebben tot clouddiensten) en niet met een PIN of Windows Hello?

Pagina: Vorige 1 ... 12 ... 22 Volgende Laatste

Reageer

Onderwerpen