Microsoft Intune ervaringentopic

Vraag me af wat voor hardware er in zit. Zou me niet verbazen dat dit gebouwd is met een Snapdragon. Dan blijft de enige vraag of de storage een NVMe SSD zou zijn, want dan zou ik zeggen: wissen die handel en een full blown Windows erop

Zelf gebruiken we op dit moment geen Win365 in de firma.

En Azure Virtual Desktop wordt er dan weer niet mee ondersteund.

En tot mijn verbazing draait het op een Intel CPU volgens dat artikel van The Verge. Alles zal afhangen van hoe open/gesloten de BIOS is en of de storage vast gesoldeerd zit, al vermoed ik dat dat laatste wel het geval zijn zijn.

Hey, we zijn tweakers voor iets

HKLM_ schreef op dinsdag 19 november 2024 @ 16:41:
[...]


Ja Business Premium komt er al een tijdje karig vanaf. Ik ken NinjaOne voor updates niet goed genoeg maar Autopatch met Hotpatch had wel tof geweest ook voor BP.

Autopatch & Hotpatch zit gewoon in Business Premium. Je krijgt wel minder features dan bij bijv. enterprise E3, maar Hotpatch zit er wél bij.

[ Voor 7% gewijzigd door FREAKJAM op 20-11-2024 20:44 ]

MC938544 - Feature Update: Improved Autopatch Reporting

Autopatch reports will now cover all Entra joined devices in your Intune tenant. Previously, they only covered devices which were members of an Autopatch Group.

For the love of ... why? Het noemt autopatch reporting, waarom zou je daarin de stats willen zien van apparaten die je expliciet niet opneemt in Autopatch? Nu kan ik niet langer dat mooie grafiekje elke maand doorsturen naar mgmt om te tonen hoe goed onze Win11 devices het doen met hun updates in vergelijking met de Win10 devices die nog op WSUS zitten.

Blokker_1999 schreef op dinsdag 19 november 2024 @ 20:19:
[...]


CoPilot is de nieuwe melkkoe van Microsoft, en wij gaan dit jaar onze pilot met Copilot afronden en alle licenties terug wegdoen

Waarom precies? Ik bedoel, ik snap het dat het blijkbaar niet voldoet aan jullie verwachtingen / eisen, maar op welk vlak?

Er wordt niet genoeg waarde uit gehaald. Ongeveer 10% van onze gebruikers heeft het afgelopen half jaar met CoPilot kunnen werken. En als we dan nakijken hoeveel het gebruikt wordt, wat mensen er mee doen en welke meerwaarde ze eruit halen, dan kan je niet zeggen dat de kost van het product te verantwoorden valt.

Vergeet niet dat dit ook nog eens een groep mensen betreft die zich vrijwillig hebben opgegeven voor deze pilot en dus net tot een groep mensen behoren die een bovengemiddelde interesse horen te hebben in het product. Wanneer je dan ziet dat de meeste mensen het bijna exclusief gebruiken in Teams met een kleiner deel in Outlook en voor de rest bijna niet, dan is de meerwaarde al beperkt. Bedenk daarnaast dat als we het company wide zouden uitrollen, we over een bedrag met 6 cijfers per jaar spreken aan licentiekosten alleen, en het eerste cijfer is geen 1. Dat geld kunnen we beter op andere manieren investeren.

Wij hebben een team in ons bedrijf dat verantwoordelijk is voor samenwerking op online platformen. Zij hebben dit opgenomen, groepssessies georganiseerd, documentatie voorzien voor wat mensen ermee kunnen doen, op hun vraag hebben we de pilot users ook toegang gegeven tot de nieuwe Outlook daar Copilot daar beter in geintegreerd zit, zij hebben ook de opvolging gedaan door surveys uit te sturen enzoverder.

Er is dus wel in geinvesteerd in een poging dit tot een succes te brengen, maar wanneer zelfs de surveys dan nog eens weinig response krijgen, dan valt het kaartenhuisje natuurlijk snel in elkaar want dan kan je ook moeilijk gaan bijsturen.

Blokker_1999 schreef op vrijdag 22 november 2024 @ 14:48:
Wij hebben een team in ons bedrijf dat verantwoordelijk is voor samenwerking op online platformen. Zij hebben dit opgenomen, groepssessies georganiseerd, documentatie voorzien voor wat mensen ermee kunnen doen, op hun vraag hebben we de pilot users ook toegang gegeven tot de nieuwe Outlook daar Copilot daar beter in geintegreerd zit, zij hebben ook de opvolging gedaan door surveys uit te sturen enzoverder.

Er is dus wel in geinvesteerd in een poging dit tot een succes te brengen, maar wanneer zelfs de surveys dan nog eens weinig response krijgen, dan valt het kaartenhuisje natuurlijk snel in elkaar want dan kan je ook moeilijk gaan bijsturen.

Zonde, ik gebruik het bijna dagelijks maar ik ben dan ook een enorme nerd. Maar het is volgens mij niet iets wat ‘gewone’ mensen snel gaan gebruiken. Dat heeft volgens mij tijd nodig, in het begin van de smartphone vond het gros van Nederland het ook maar stom. Denk dat de adoptie van zaken als Copilot voor de medewerkers >30 best een lange adem nodig heeft.

Persoonlijk ben ik van mening dat er wél voor een verkeerde aanpak gekozen. Begrijp mij niet verkeerd: ik vind het goed dat er een team is aangewezen en dat er groepssessies en dergelijke zijn georganiseerd, maar Microsoft 365 Copilot gaat niet persé over het verbeteren van de samenwerking, maar is juist gericht op het individu, wat leidt tot verhoogde productiviteit over je gehele organisatie. Als je de flowchart erbij pakt van Microsoft beschrijft die ook dat Microsoft 365 Copilot is gericht op het individu. Wat ik probeer te zeggen is dat het vooraf enorm belangrijk is om je strategie te bepalen en om use cases te identificeren.

Van te voren dien je met verschillende afdelingen het gesprek aan te gaan om per afdeling inzichtelijk te kregen welke use cases er zijn en wat de processen zijn. Het menselijke aspect en processen zijn erg belangrijk voordat je aan de slag gaat met AI. Begin ook met mensen die al wat langer in de organisatie werken of medior niveau zijn of hoger; zij weten de bedrijfs context, kennen de organisatie en weten beter wat ze nodig hebben op basis van hun use case of die van hun afdeling . Nieuwe mensen hebben eerst tijd nodig om zowel de organisatie als de processen te leren kennen.

Mijn advies is om een strategie te bepalen en te starten met het identificeren van je use cases. Start bijv. eerst met de gratis Copilot versie (dus niet Microsoft 365 Copilot). Deze vereist een verlaagd zero trust fundament omdat hier een beperktere mate van risico's aan vastkleven omdat deze niet direct integreert met Microsoft 365. En ja, ook voor Microsoft Copilot geldt dezelfde enterprise terms als voor Microsoft 365 Copilot.

Je kunt zodoende alvast ervaring opdoen, use cases bouwen en een adoptietraject starten waarbij je je mensen ook leert verantwoord om te gaan met AI en leert hoe te prompten.

Ik werk bij een Microsoft partner en wij begeleiden klanten met o.a. dit soort trajecten. Vanuit security oogpunt haak ik aan omdat mijn specialiteit zero trust is en Microsoft security. Het zijn al met al erg leuke opdrachten, maar er dient echt veel vooraf te gebeuren voordat je met de techniek aan de slag gaat, net als bijv. met NIS2.

[ Voor 11% gewijzigd door FREAKJAM op 22-11-2024 20:19 ]

HKLM_ schreef op dinsdag 19 november 2024 @ 20:26:
[...]


Die vind ik wel heel gaaf, zodra die leverbaar is in NL ga ik die wel aanschaffen denk

Prive gebruik ik al Windows 365, dus ik denk dat ik er ook eentje ga aanschaffen. Ik ga er vanuit dat zo'n ding bij ons in de VS sowieso wel uit komt.

Misschien leuk om een apart Windows 365 topic aan te maken, want hoewel Windows 365 wel verweven is met Intune, het is iets compleet anders.

[ Voor 16% gewijzigd door ibmpc op 22-11-2024 21:15 ]

Lijkt mij beter om het hier samen te houden. Windows 365 wordt volledig beheert vanuit Intune.
@ibmpc Interessant dat je privé Windows365 gebruikt. Vindt je het niet prijzig voor privégebruik?

Quad schreef op vrijdag 22 november 2024 @ 23:22:
Lijkt mij beter om het hier samen te houden. Windows 365 wordt volledig beheert vanuit Intune.
@ibmpc Interessant dat je privé Windows365 gebruikt. Vindt je het niet prijzig voor privégebruik?

Ja. Daarom ben ik enige tijd geleden teruggegaan naar M365 Business Premium in plaats van E5. Ik test graag in een live omgeving omdat je dan veel meer de ervaring hebt dan een lab. Maar je wil niet in een productieomgeving testen. Mijn privetenant zie ik niet als een productieomgeving, wel als een live omgeving. Toch zou ik wel gaan huilen als mijn privetenant om zeep wordt geholpen, maar dan zijn er nog altijd backups

Daarnaast heb ik uiteraard een aantal E5 sandbox/lab omgevingen die vreemd genoeg ook na 3 maanden gewoon actief blijven, mits je ze actief gebruikt.

Ik heb een tijdje de 4 GB versie gehad van Windows 365. Die vond ik echt te traag. Nu zit ik op de 8 GB versie, die voor mijn gebruik prima is. Voor mijn gebruik is Windows 365 het geld natuurlijk niet waard, maar de gebruikerservaring die ik ermee heb is enorm waardevol. In een lab omgeving zie je toch nog vaak dingen over het hoofd.

@FREAKJAM, het team heeft uiteraard meer verantwoordelijkheden dan enkel de samenwerking bevorderen, maar zij zijn bij ons het aangewezen team om dit project te trekken. Ik geef enkel de technische ondersteuning van mijn kant uit.

En doel van de pilot is natuurlijk gaan uitzoeken welke use cases we binnen ons bedrijf kunnen vinden voor Copilot, daarom ook dat men niet naar bepaalde teams is gaan kijken voor de uitrol, maar net een brede oproep heeft gedaan om mensen uit alle teams erbij betrokken te krijgen, zodat ze dingen kunnen uitproberen en testen met Copilot.

Ik ben er daarnaast zeker van dat hoewel we vandaag dus weggaan van Copilot, dat we daar in de toekomst op zullen terugkomen, wanneer er meer ervaring is, wanneer het een meer volwassen en stabieler product is. Je ziet ook vandaag bij MS dat ze enorm veel ideeen opgooien, dat ze continue evolueren en dat Copilot nog volop in beweging is. Ook dat vind ik zelf niet echt handig om dan maar in een bedrijfscontext te gaan uitrollen. Van het ene op het andere moment moest je bijv. omschakelen van de Copilot app naar de M365 app. En als ik zie hoeveel berichten rondom Copilot er elke week voorbijkomen in het berichtencentrum, hoe fluide het product is, dan denk ik zelf toch ook: geef nu eens wat meer stabiliteit, geef mensen een houvast. Want wat vandaag gedocumenteerd wordt is volgende week al weer verourderd.

Ik heb een enorme beginnersvraag en ik zie denk ik iets supersimpels over het hoofd. Ik heb een machine ingesteld als Windows 365 Boot PC (shared). Hoe verbind ik een bluetooth muis? Ik loop ook tegen een issue aan dat iCloud for Windows niet in mijn Windows 365 sessie kan worden ingelogd, omdat ik blijkbaar mijn iPhone met bluetooth aan mijn sessiehost moet verbinden.

Dat was inderdaad supersimpel. Je moet gewoon één knopje verder klikken op "Open local PC settings" bij "Hardware settings restricted". Die feature is inderdaad niet te vinden door Bluetooth in het zoekveld in te typen.

ibmpc schreef op woensdag 27 november 2024 @ 19:49:
Ik heb een enorme beginnersvraag en ik zie denk ik iets supersimpels over het hoofd. Ik heb een machine ingesteld als Windows 365 Boot PC (shared). Hoe verbind ik een bluetooth muis? Ik loop ook tegen een issue aan dat iCloud for Windows niet in mijn Windows 365 sessie kan worden ingelogd, omdat ik blijkbaar mijn iPhone met bluetooth aan mijn sessiehost moet verbinden.

En dan heb ik ook beginners vraag voor jou: wat is je use case? Windows 365 is mega interessant, maar zit niet in een branch waar ik er een use case voor kan vinden. Heb je zin om iets over die van jou te vertellen?

Gr4mpyC3t schreef op woensdag 27 november 2024 @ 20:15:
[...]


En dan heb ik ook beginners vraag voor jou: wat is je use case? Windows 365 is mega interessant, maar zit niet in een branch waar ik er een use case voor kan vinden. Heb je zin om iets over die van jou te vertellen?

De engine use case die ik had was een partij die veel met externen werkten. Waarbij ze toegang hadden tot best belangrijke data. Helaas ben ik voortijdig vertrokken, maar daar was Windows 365 perfect voor.

In mijn huidige werkgever zie ik zelf idd ook niet direct potentie, maar misschien moeten we het zelf beter vermarkten.

Gr4mpyC3t schreef op woensdag 27 november 2024 @ 20:15:
[...]


En dan heb ik ook beginners vraag voor jou: wat is je use case? Windows 365 is mega interessant, maar zit niet in een branch waar ik er een use case voor kan vinden. Heb je zin om iets over die van jou te vertellen?

Ik kan er zo een aantal noemen, maar de meest voorkomende is denk ik de external contractor.

Ik ben in het verleden veel als external contractor aan het werk geweest, ik had graag gewild dat Windows 365 toen al bestond. Omdat veel van onze klanten device compliance hebben, geven we external contractors vaak gewoon een Windows 365 sessiehost zodat ze toch bij data kunnen. Toen ik nog in Nederland woonde had ik vaak per klant een dedicated laptop en omdat ik vrij chaotisch was kwam het vaak voor dat ik de verkeerde laptop bij me had.

We hebben trouwens een aantal klanten die volledig in Windows 365 werken (maar nog niet met Cloud PC desktops). In Nederland is alles toch wel een webapp en komen legacy apps niet heel vaak voor. Hier wel. Een Windows 365 sessiehost is toch wel echt makkelijk als je veel legacy software hebt die je in een image moet verwerken.

(ik sta stiekem te springen om die nieuwe dedicated Windows 365 terminal)

[ Voor 18% gewijzigd door ibmpc op 27-11-2024 20:23 ]

Quad schreef op woensdag 27 november 2024 @ 20:18:
[...]

De engine use case die ik had was een partij die veel met externen werkten. Waarbij ze toegang hadden tot best belangrijke data. Helaas ben ik voortijdig vertrokken, maar daar was Windows 365 perfect voor.

In mijn huidige werkgever zie ik zelf idd ook niet direct potentie, maar misschien moeten we het zelf beter vermarkten.

Ja, precies. Zat ook nog te fantaseren over call centers, point of sale systemen in een winkel, enzovoorts.

Voor ‘on the go’ is het nog iets te zwak. Het zit nog niet op het niveau van plug and play voor smartphones en tablets. Zou mega zijn als je simpelweg je telefoon in een dock prikt en direct aan de slag kan. Waar je dan ook maar bent.

wij willen ook testen met de GPU versie
We hebben wat vragen voor autocad voor externen.

Verder werkt het wel mooi
Snapshots. Users kunnen zelf herstellen en opnieuw installeren.
En licentie ontnemen en aan iemand anders geven werkt ook goed.

DarkSide schreef op donderdag 28 november 2024 @ 16:45:

En licentie ontnemen en aan iemand anders geven werkt ook goed.

De laatste keer dat ik dit deed, duurde het 72 uur voordat de nieuwe machine voor de nieuwe toegewezen gebruiker actief was. Is dit nog steeds zo?

Standaard grace is 7 dagen.
Maar in de intune portal kan je hem een zetje geven.
En dan zie ik meteen provisioning voor de nieuwe user.

We zijn nog wat aan het POC-en en kijken wat een goede balans is qua licenties die we nodig hebben.

nu 2cpu/8gb/128gb

Dit lijkt voornamelijk goed te werken. Had eerst wat issues met Teams. Maar nu niet meer.
Alleen youtube loopt geluid en beeld niet in sync.

Doel is nu even te kijken wat we gaan doen.
We hebben aantal AVD's draaien. Maar soms hebben we daar userprofile errors als iemand even niet heeft ingelogd. Dan moeten wij systeem herstarten of soms weggooien.

W365 is duurder. Maar heeft ook wel mooie self service opties.
Dan binnenkort wat extra mensen laten testen.

DarkSide schreef op donderdag 28 november 2024 @ 19:09:
Dit lijkt voornamelijk goed te werken. Had eerst wat issues met Teams. Maar nu niet meer.
Alleen youtube loopt geluid en beeld niet in sync.

Ik heb vooral ruzie met Multimedia Redirection. Werkt prima, totdat je meer tabbladen open hebt staan en dan gaat het vreemd doen.

W365 is duurder. Maar heeft ook wel mooie self service opties.
Dan binnenkort wat extra mensen laten testen.

Vooral dat je een deel van het beheer naar de eindgebruiker verschuift zal voor veel gebruikers als positief worden ervaren. Over het algemeen zetten wij Storage Location policies aan, zodat gebruikers alleen bestanden kunnen opslaan in hun sync roots+Downloads, zodat users veilig een factory reset kunnen uitvoeren en alleen hun Downloads folder verliezen.

[ Voor 15% gewijzigd door ibmpc op 30-11-2024 17:34 ]

Zijn er hier die de Enhanced Hardware Inventory al kunnen gebruiken? Ik heb het hier nog altijd niet zien verschijnen.

Ah, dacht dat het van oktober naar november was opgeschoven

[ Voor 4% gewijzigd door Blokker_1999 op 03-12-2024 09:41 ]

Blokker_1999 schreef op dinsdag 3 december 2024 @ 09:41:
Ah, dacht dat het van oktober naar november was opgeschoven

Helaas: https://techcommunity.mic...oming-in-december/4303744

Today, we’re announcing that Windows device hardware inventory will start rolling out in December.

Aldus Lior op 19 november.

Nog Tweakers die straks naar Azure Ape XXL gaan in Apeldoorn?

Ik heb denk ik een bug of feature gevonden in Windows 365 Boot.

Zoals eerder in dit topic genoemd kun je dus je local PC settings wijzigen, onder andere om je bluetooth devices koppelen.

Wat echter niet kan is je tijdzone wijzigen op je local PC. Of ik zie wederom iets enorm over het hoofd. Wellicht heeft Microsoft bedacht dat je de tijdzone juist in je Windows 365 sessie aanpast, maar ook dat kan ik niet want Time Zone redirection staat als policy ingesteld (ik zal hem zo eens uitzetten om te testen).

Wat ik nu doe is om tijdens het autopilotproces met tzutil de juiste tijdzone instellen van de local PC voordat autopilot is afgerond.

Zie ik iets over het hoofd?

Dat is dit probleem :
nieuws: Microsoft bevestigt probleem met wijzigen van tijdzones in Windows 11...

Grappig, die link had ik nog niet gelegd. Ook interessant dat ik los van Windows 365 en Windows 365 Boot wel gewoon tijdzones kan aanpassen in 24H2.

HKLM_ schreef op donderdag 5 december 2024 @ 20:54:
[...]


Check je tenant!!! Lior heeft net gepost dat ze zijn begonnen met de uitrol. Bij mij is die beschikbaar

Communicatie vanuit Microsoft laat wat te wensen over maar het is er eindelijk haha

Hier nog niets op 2 tenants.

HKLM_ schreef op donderdag 5 december 2024 @ 20:54:
[...]


Check je tenant!!! Lior heeft net gepost dat ze zijn begonnen met de uitrol. Bij mij is die beschikbaar

Communicatie vanuit Microsoft laat wat te wensen over maar het is er eindelijk haha

Hier even snel wat tenants gecontroleerd. Eerste 10 hadden de optie nog niet.. Kijken morgenochtend weer verder.

Edit: Nog steeds niet...

[ Voor 3% gewijzigd door xven0mxz op 06-12-2024 09:13 ]

Hier wel beschikbaar in een aantal tenants. Intune versie 2411 North America.

ibmpc schreef op zaterdag 7 december 2024 @ 20:38:
Hier wel beschikbaar in een aantal tenants. Intune versie 2411 North America.

Hier inmiddels nog maar 2 tenants... Duurt ff.

Hier is het eindelijk beschikbaar gekomen, direct maar een policy gemaakt om naar mijn eigen devices te pushen en te zien wat we er uit krijgen

Dank U Microsoft

We zijn eindelijk de migratie aan het afronden van de native Apple email app op iOS naar Outlook op iOS. Hierbij heb ik het configuratieprofiel in intune weggehaald bij alle gebruikers voor de mail configuratie. Een uur later barst de hel los. Een hele hoop mensen die komen klagen dat ze niet meer aan hun mail kunnen daar hun telefoon ineens als non-compliant staat.

Ga je in intune kijken naar zo een telefoon en zie je dat deze meldt dat de oude compliance policy als non-compliant staat te melden, klik je die policy open om te zien waarop gecontroleerd wordt, en alles ✅.

Tot een jaar geleden, voordat we naar EXO waren gemigreerd, stond er in die compliance policy dat er een email moest geconfigureerd zijn, maar dat maakt al een jaar geen deel meer uit van die policy. Daarnaast stond deze policy ondertussen gemarkeerd om verwijderd te worden daar we ook de compliance policies aan het vereenvoudigen zijn.

De oplossing was dus simpel, niet wachten tot we aan de opkuis komen, maar de policy onmiddelijk verwijderen en een sync triggeren bij alle gebruikers. Maar dit is niet wat je verwacht.

HKLM_ schreef op donderdag 12 december 2024 @ 17:49:
[...]


Je had de compliance policy toch kunnen checken en aanpassen voordat je migreerde?

Dat is net heel het punt, die is lang geleden al aangepast, en als je de details bekeek voor een toestel dat zich ineens als non-compliant raporteerde, dan gaf die policy bij alle criteria aan dat het toestel voldeed. Dit kon je niet zien aankomen.

We hebben de afgelopen maanden veel gewijzigd, en Outlook was het laatste puzzelstukje wat we nu aan het afronden zijn, daarna komt de opkuis van alles wat niet meer nodig is, maar tussendoor hebben we wel continue rekening gehouden met alles aan te passen net om dit soort problemen te voorkomen.

Mag weg.

[ Voor 94% gewijzigd door Davidas op 16-12-2024 10:44 ]

Eindejaarsopkuis aan het doen, of beter gezegd, een project aan het afronden voordat het nieuwe jaar in gaat . Ik heb 2 weken terug bij een configuratieprofiel alle assignments weggehaald, vandaag wil ik dit profiel verwijderen en tot mijn verbazing zijn er nog altijd 6 toestellen die het profiel hebben. Ik check het eerste toestel en dat heeft zich vandaag nog aangemeld bij Intune om policies op te halen.

Dit is echt weer zo een what the f*ck momentje ...

Blokker_1999 schreef op maandag 23 december 2024 @ 13:42:
Eindejaarsopkuis aan het doen, of beter gezegd, een project aan het afronden voordat het nieuwe jaar in gaat . Ik heb 2 weken terug bij een configuratieprofiel alle assignments weggehaald, vandaag wil ik dit profiel verwijderen en tot mijn verbazing zijn er nog altijd 6 toestellen die het profiel hebben. Ik check het eerste toestel en dat heeft zich vandaag nog aangemeld bij Intune om policies op te halen.

Dit is echt weer zo een what the f*ck momentje ...

Gebruik je Config Refresh al? https://techcommunity.mic...y-new-mdm-feature/4176921

Modbreak:

Misschien drie jaar te laat, maar dit topic is verplaatst van Windows clients naar Serversoftware en clouddiensten.

Op m'n werk zijn we bezig met het inrichten van Intune en Auto-pilot. Omdat we nogal wat on-prem hebben qua applicaties, moeten we hybrid join gebruiken. Dit heeft helaas tot gevolg dat systemen een random naam krijgen waar je geen enkele invloed over hebt. Het domain join profiel vereist een prefix en de rest van de 15 tekens (max lengte netbios) wordt met random zut aangevuld. Wipe en herinstalleer een systeem en er komt een nieuw object in zowel on-prem AD als in Intune/AAD.

Nou kan je in Auto-pilot bij de devices een naam invullen. Die wordt ook netjes bij de uitrol toegewezen, elke keer weer, totdat het bij het configureren aan komt, dan komt de random naam van de hybrid join weer naar voren.

Online zijn al vele topics te vinden hierover en wisselende resultaten. Maar ze gebruiken bijna allemaal variabelen zoals serienummer. Dat wil ik niet. Nou heb ik wel gevonden dat in het register de provisioned hostnaam wordt opgeslagen, dus wat je in AP toewijst, is daar te vinden.

Dit is mooi, en dit gebruik ik in een script om de naam weer te herstellen naar wat we willen. Echter als ik rename-computer aanroep met de nieuwe (oude, oorspronkelijke) naam, krijg ik de foutmelding dat dit niet kan omdat er al een systeem met die naam bestaat.

Op de OU waar het systeem komt heb ik delegatie toegevoegd dat het systeem volledig beheer heeft over z'n eigen object, dus het zou zonder een domain admin gebruiker z'n naam kan wijzigen. Dit zoals op https://oofhours.com/2020...id-azure-ad-join-devices/ is beschreven.

Zou het ook maar iets te maken kunnen hebben dat er 2 objecten met dezelfde naam in de AD trash staan? Dit zou geen issue moeten zijn, ik heb vaker gebruikers en objecten weggegooid om dan weer opnieuw aan te maken met dezelfde naam.

We gebruiken altijd al opvolgende nummers die bij het apparaat horen. Op het apparaat plakken we onze eigen systeemnaam.

Maar al zou ik het serienummer gebruiken hebben we nog steeds het probleem dat de hybrid join een random naam uitspuugt waar je geen enkele invloed op hebt. Dus zelfs serienummer is onmogelijk om te gebruiken (staat ook duidelijk bij, variabelen worden niet ondersteund). Ik zit dan nog steeds met het laatste probleem, de foutmelding die komt dat het apparaat schijnbaar al bestaat. AP bepaald een zekere naam, Hybrid verkloot dit en maakt het elke keer weer anders. Labels op het apparaat heb je dan niks meer aan na een nieuwe uitrol.

Hero of Time schreef op maandag 23 december 2024 @ 21:11:

Dit is mooi, en dit gebruik ik in een script om de naam weer te herstellen naar wat we willen. Echter als ik rename-computer aanroep met de nieuwe (oude, oorspronkelijke) naam, krijg ik de foutmelding dat dit niet kan omdat er al een systeem met die naam bestaat.

Op de OU waar het systeem komt heb ik delegatie toegevoegd dat het systeem volledig beheer heeft over z'n eigen object, dus het zou zonder een domain admin gebruiker z'n naam kan wijzigen. Dit zoals op https://oofhours.com/2020...id-azure-ad-join-devices/ is beschreven.

Zou het ook maar iets te maken kunnen hebben dat er 2 objecten met dezelfde naam in de AD trash staan? Dit zou geen issue moeten zijn, ik heb vaker gebruikers en objecten weggegooid om dan weer opnieuw aan te maken met dezelfde naam.

Toevallig loop ik bij een klant, tegen hetzelfde probleem aan. Ik heb alleen nog geen oplossing gevonden (nog niet heel veel tijd ingestoken)

Ik heb een app gemaakt die computer moet Renamen op basis van een csv lijst (om de oude naam naar boven te halen)

Omdat het object daadwerkelijk heeft bestaan, krijg ik met de rename-computer functie. Ook de foutmelding dat deze al in gebruik is. Ondanks dat deze verwijderd is uit DNS en AD (en gerepliceerd)

Als ik een andere naam gebruik (die nooit heeft bestaan) werkt de app wel.

Het gekke is dat een handmatige Rename WEL functioneert. Dan maakt het niet uit of de naam al bestaat.

Ik ga hier halverwege januari weer mee verder.

Hero of Time schreef op maandag 23 december 2024 @ 22:10:
We gebruiken altijd al opvolgende nummers die bij het apparaat horen. Op het apparaat plakken we onze eigen systeemnaam.

Wij liepen hier ook tegen aan in onze Hybrid Join omgeving. Aantal calls met Microsoft support gehad. Conclusie: zonder heel veel scripten en kans op fouten; niet aan beginnen en accepteren dat het nu eenmaal zo is. Het had, als ik het me goed herinner, vooral te maken met het stukje blob-provisioning in je AzureAD connect server.

In een Azure AD join omgeving zal dit wel lukken wat je wil maar daar heb je nu niks aan.

Kun je in je CMD geen "alias" gebruiken? Dus een sticker plakken op het device, netjes opvolgend maar in je CMDB een alias vermelden met de AP naam bij dat device ?

nextware schreef op maandag 23 december 2024 @ 22:23:
[...]


Wij liepen hier ook tegen aan in onze Hybrid Join omgeving. Aantal calls met Microsoft support gehad. Conclusie: zonder heel veel scripten en kans op fouten; niet aan beginnen en accepteren dat het nu eenmaal zo is. Het had, als ik het me goed herinner, vooral te maken met het stukje blob-provisioning in je AzureAD connect server.

In een Azure AD join omgeving zal dit wel lukken wat je wil maar daar heb je nu niks aan.

Kun je in je CMD geen "alias" gebruiken? Dus een sticker plakken op het device, netjes opvolgend maar in je CMDB een alias vermelden met de AP naam bij dat device ?

Wij hadden dat met heel veel scripts aan elkaar gekregen.. was super foutgevoelig.. inmiddels zijn we volledig over naar Azure AD Join dus geen last meer van.. maar idd; accepteer maar dat het niet gaat met Hybrid.

Ja, je kan het scripten maar mijn ervaring is het gaat vaker fout dan goed.

Het probleem is mij 100% bekend, en het heeft mij enorm veel moeite gekost om the powers that be te overtuigen af te stappen van die oplopende volgnummers, of eigenlijk nog erger, jaar van levering, maand van levering en dan een volgnummer. Zo was het vroeger.

Vandaag, omdat we in hybrid zitten, heb ik een compromis kunnen vinden waarbij we het jaar nog encoderen (met behulp van de groeptag) en de rest gewoon random laten opvullen. Het opvolgen van wanneer iets vervangen moet worden, hoort simpelweg te gebeuren in je asset management systeem, en nooit aan de hand van je hostname.

Volgend jaar willen we ook van hybrid devices vanaf, eindelijk, en dan gaan we nog een stap verder en verdwijnt zelfs het jaartal uit de hostname en gaat enkel nog de serienummer van het toestel er in zodat we weer iets statisch hebben om op die stomme stickertjes te zetten

Daarnaast ook nog een belangrijke vraag: wat is de reden dat je hybrid moet gaan? Want geloof me, daar kleven ook wel wat nadelen aan. Onderzoek de reden waarom je dit wenst te doen zeer goed, en ga na of er geen oplossingen voor zijn. We hebben bij ons beslist dat voor die ene applicatie waarvoor het echt noodzakelijk is, dat we simpelweg niet meer toestaan dat deze nog op laptops zal draaien. En voor die 2 uitzonderingen waar dit wel noodzakelijk is, die krijgen dan alsnog een hybrid setup, op aanvraag.

De suggestie om niet hybrid te doen is al heel vaak gegeven aan HoT, maar daar wilt die niet aan.

Microsoft zegt het zelf ook.

'Microsoft recommends deploying new devices as cloud-native using Microsoft Entra join. Deploying new devices as Microsoft Entra hybrid join devices isn't recommended, including through Autopilot'

https://learn.microsoft.c.../windows-autopilot-hybrid

[ Voor 15% gewijzigd door xven0mxz op 24-12-2024 11:14 ]

xven0mxz schreef op dinsdag 24 december 2024 @ 11:13:
Microsoft zegt het zelf ook.

'Microsoft recommends deploying new devices as cloud-native using Microsoft Entra join. Deploying new devices as Microsoft Entra hybrid join devices isn't recommended, including through Autopilot'

https://learn.microsoft.c.../windows-autopilot-hybrid

Exact, ben nu ook bezig met een traject bij een Universiteit om ze over te brengen naar Intune. Studenten zijn sindskort over, nu bezig met de medewerkers. Uiteindelijk valt er altijd wel een ontwerp te maken waarbij je Intune cloud native kan inzetten en dus hybrid buiten beschouwing laat, anders moet je uiteindelijk alsnog de stap maken, doe ik het liever in een keer goed. Met VPN / DNS policies kom je al een heel eind, tegenwoordig heb je Global Secure Access wat het ook allemaal weer wat makkelijker maakt.

Zoals gezegd, we hebben een paar on-prem applicaties en we hebben niet getest of die überhaupt met een Entra-only systeem werken. We hebben nu niet de tijd om dit alsnog te gaan testen. Dit is o.a. de reden voor de vereiste van hybrid.

Ander punt is dat we net het wifi hebben omgezet van user/pass naar certificaten. Om te kunnen authenticeren met een certificaat op het wifi, is het hebben van een computerobject in AD vereist. Anders is er niks om tegen te valideren (leuk, je hebt een certificaat, maar wie moet je voorstellen?) en faalt het. Ook hier heb ik nu geen tijd voor om een nieuwe oplossing voor te onderzoeken en implementeren.

Dus hoewel ik het ook liever anders zou doen, is dat helaas nu niet mogelijk met de tijd die ik heb. We hebben helaas ook nog steeds een .local domein on-prem. Dit zal in de toekomst wel gaan veranderen naar een subdomein van onze bestaande .nl. Omdat we dan ook zo'n beetje elke (applicatie) server opnieuw moeten optuigen, gaan we opnieuw kijken naar de cloud omgeving en dat als uitgangspunt nemen. Maar nu dus niet.

@HKLM_:

Je had ook getest toch met entra id joined? Was dat zo dramatisch dat je daar niet mee verder kon?

Heb ik getest en waar ik eerst dacht dat het sowieso niet werkte, deden de shares het iets later netjes zoals het moet. Maar ik kon daarna eigenlijk helemaal niks meer, want onze admins zijn on-prem only (er is geen enkele reden om onze domein admins in de cloud te hebben). Ik heb wel een aparte cloud admin, maar met het super ingewikkelde en lange wachtwoord heb ik daar geen enkele behoefte aan om dat (regelmatig) in te gaan typen.

Het was dus van korte duur vanwege het niet direct kunnen uitvoeren van de gewenste dingen door het ontbreken van admin rechten op de machine. Ja het werkt in de basis, nee het is niet bruikbaar om iets buiten de company portal en configuratie te doen. Eigenlijk moet ik m'n Windows admin account nog eens opsplitsen in domain admin en local server/client admin.

We hebben ook nog een paar ontwikkelaars met Macbooks. Die dingen kunnen überhaupt niet Entra joinen, de enige manier om er met onze bedrijfsaccounts op te kunnen inloggen is lid maken van het domein. Die config is klaar en werkt prima. Ook het wifi doet het fantastisch.

HKLM_ schreef op dinsdag 24 december 2024 @ 20:17:
[...]

thx voor je reactie! Persoonlijk denk ik dat je een aantal keuzes hebt gemaakt die anders hadden gekund en ik zie je een aantal aannames doen die eigenlijk opgelost hadden kunnen worden bij een goede inventarisatie en project plan. Je hebt toch ook hulp van een consultant of MSP? Heeft die je niet geadviseerd in deze dingen?

We hebben idd een MSP die helpt. Want ik zou dit niet alleen kunnen, daar gaat veel meer tijd in zitten om dingen uit te zoeken, terwijl zij het bij andere klanten ook hebben ingericht. Echter is er maar 1 of 2 die hybrid zijn.

- Je hebt net een leuk Wi-Fi project gehad met certificate based authentication. Je geeft aan Anders is er niks om tegen te valideren (leuk, je hebt een certificaat, maar wie moet je voorstellen?) en faalt het. Dit is iets waar je vanuit Intune / Entra ID prima mee om kan gaan via SCEP/NDES misschien kan dat in je huidige setup ook wel, als je het direct had meegenomen in je wifi project. Dan had je nu geen belemmering voor hybride gehad op dat gebied.

We krijgen ook wel een certificaat via Intune. Dat is het probleem niet om te krijgen. Maar het certificaat hoort bij een computer object. Geen computer in AD met dezelfde naam is geen verbinding met wifi. Hier kwam ik achter toen ik juist met de Apple's bezig was. De config voor het aanvragen van het certificaat via SCEP was eerder dan de domain join en hierdoor werkte het certificaat niet. Die opnieuw laten opvragen en wifi werkte. In de logs op de NPS server zag ik ook 'unknown username/password' totdat het certificaat dus werd aangevraagd nadat het computer object bestond.

- Een .local domein is niet ideaal maar ook niet echt een belemmering

Zeker niet, maar ik noem het even om de legacy aan te geven.

- Goed dat je getest hebt met entra ID join, je domain admins in de cloud hangen zou ik ook niet adviseren nee.
Ik snap de relatie met je admin accounts niet 100% als je non-admin account het user account kan aanmelden op een entra id joined device en de file shares werken (Eventueel met WHFB en Cloud kerberos) en bij de applicaties kan dan is dat voor de user toch goed? Cloud Admin account met lang wachtwoord kan je oplossen door o.a passwordless te gaan (Ja ook met je admin account)

Niet alles hebben we fatsoenlijk kunnen packagen. Zonder local admin kan je dus geen flikker meer installeren. Onze ERP gaat via een powershell script en als je die onder system draait, zijn paden anders dan wanneer je het als interactieve gebruiker draait. Omdat het niet voor elke gebruiker nodig is, gaan we hier geen extra tijd in steken en installeren we het wel handmatig. Maar als je geen local admin hebt, gaat dat dus niet.

- De applicaties waarvan je nu niet weet of het wel of niet werkt met een entra id account dat had in de voorbereiding gemoeten. Dan had je goede wel overwogen keuzes kunnen maken in het ontwerp.

Probleem van m'n manager, die gaat rennend een project in terwijl ik net zit. Hoe hard ik ook op de rem trappen, hij luistert niet en vliegt er als een traditionele ADHD'er er vandoor. En dan klagen dat er losse eindjes zijn. Of zo lang duurt. Ik word gewoon pissig als ik er aan denk.

- Apple Macbooks kunnen prima Entra joinen tenzij het oude meuk is, die hoeven daarvoor niet in een domein te hangen. ABM is een de way maar company portal enrolled zodat je iets van management en compliance kan doen werkt ook prima.

Ook dus zo'n ding. Via company portal enrolled. Config hangt in Intune. ABM kwam pas toen we bijna klaar waren met de Macbooks naar boven. Hebben we niet en gaat er ook nog even niet komen. De eerste productie Mac draait gewoon prima met AD join via Intune config. Had overigens al eerder gezocht erop, Entra join gaat gewoon niet met Apple. Die ondingen snappen dat hele principe niet. Het is stand-alone/MDM-achtig of AD join als je met je AD credentials wilt kunnen inloggen.

Heb het al zo vaak gezegd, Apple is niet geschikt in een zakelijke omgeving.

Sorry voor de kritiek en misschien op sommige punten wat hard, je hebt in een ander topic wel eens wat verteld over je bedrijf en met hoeveel jullie zijn maar voor mij als iemand die dagelijks dit soort trajecten doet voor kleine bedrijven (6 man) tot enterprises 5000+ staan er heel veel seinen op rood om een goede implementatie te doen waar echt winst is voor zowel IT als de business.

Als ik mijn ongezoute en ongevraagde mening mag geven zou ik tegen je manager zeggen terug naar de tekentafel want er zijn te veel onzekerheden en huur iemand extern in die je hier goed mee kan helpen.

We hebben dus al een pallet met nieuwe hardware die we asap willen kunnen uitrollen (ook weer zo'n actie dat is gedaan voordat er ook maar groen licht is qua inrichting). Maar goed, het was of dit, of onze Citrix zut verlengen en volgend jaar de investering nogmaals maken. Dan maar nu en de komende jaren niks.

Vooral dat laatste. Heb als test mijn nieuwe laptop ook Entra ID only ingericht en er is tot op heden niets wat niet werkt. Hier en daar misschien even een kleine register wijziging om het net even wat makkelijker of mooier te maken, maar dat is het dan ook wel. Werkt echt verbazingwekkend goed.

@HKLM_ we maken allemaal wel eens keuzes die achteraf gezien beter hadden gekund. Ja, een goede inventarisatie is belangrijk om je vereisten duidelijk op papier te krijgen, maar een goede inventarisatie kost ook gruwelijk veel tijd als je die al niet hebt en daar moet je mgmt ook weer van overtuigd krijgen.

Van in het begin van het Win11 project bij ons in de onderneming heb ik geprobeerd om hybrid te vermijden. Met de belangrijkste vereisten die we hadden zou hybrid zeer moeilijk worden. Ik sta uiteindelijk dicht tegen het voltooien van heel de setup, ga 3 weken met vakantie en kom daarna terug om te ontdekken dat men boven mijn hoofd beslist had om toch naar hybrid te gaan en dat collega's een hoop aanpassingen hadden gemaakt om dat mogelijk te maken waar ik uiteindelijk maanden later nog last van had met opkuisen. Dit omdat het voor 1 applicatie noodzakelijk was en buiten mijzelf op dat moment niemand echt goed de impact van alles begreep.

Dit jaar hebben we eindelijk nagegaan wie die applicatie eigenlijk nog lokaal moet kunnen draaien, en dan val je bijna achterover wanneer je bedenkt hoeveel pijn en moeite die beslissing van hogerhand gekost heeft om te leren dat het allemaal voor niets was.

Wij hadden een externe consultant ingehuurd om ons te helpen bij het opzetten van onze setup. Die mannen zijn niet goedkoop. Maar als je dan eenvoudige vragen stelt zoals: wat met LAPS in een non-hybrid setup (dit was voor de nieuwe LAPS die met Intune werkt) en die consultant moet op Google gaan zoeken om dan het eerste antwoord te vinden dat hij tegenkomt, dan vraag ik me af waarom we ervoor betalen. Niet alleen dat, maar hij kwam dan ook met een oplossing die hij zelf nog nooit gezien of getest had en waarbij hij ook de reacties onder die blogpost had gemist die waarschuwde voor de mogeijks sterk oplopende kosten van die oplossing. De basis is niet moeilijk, die kan ik zelf ook vinden, en als je consultant voor elke moeilijkere vraag die je stelt zelf Google moet openen of aan collgega's moet gaan vragen die dan niet antwoorden, dan is die zijn geld ook niet waard. Dus ook daar moet je maar weer geluk hebben dat je een goed persoon treft.

Met wifi hebben we vandaag hetzelfde probleem. We maken gebruik van NPS voor authenticatie en 1 van de voorwaarden is dat de computer in het domein te vinden is. We hebben ondertussen al naar andere radius oplossingen zitten kijken die hetzelfde kunnen met bijv. Entra, maar vinden niet direct een goede oplossing hiervoor. Technisch gezien kan je puur op het certificaat gaan vertrouwen als de private key niet exporteerbaar is, maar ook dat moet je weer voorbij je security afdeling krijgen. Wij hadden zelf de switch naar 802.1x dit jaar al willen maken, het zal nu voor volgend jaar zijn. En net zoals Hero hebben wij geworsteld met de enkele macbooks die we hebben.

Apple edvices blijven relatief beperkt in Intune imho. Zelf hangen we nog altijd vast aan Jamf voor het beheer van de macbooks, al wil mgmt graag dat we omschakelen naar Intune. Maar zolang Intune het niet mogelijk maakt om de superuser rechten af te nemen van de gebruiker die het toestel opzet en de Intune join doet, blijven wij vasthangen aan Jamf. Het kan niet zijn dat wij een hoop policies gaan zetten en dan de gebruiker de rechten geven om die gewoon ongedaan te maken.

@Hero of Time, wat wifi betreft, er is een mogelijkheid om dit werkende te krijgen. Mijn Entra ID joined test devices kunnen wel op onze wifi. Ik heb daarvoor wel een script lopen dat elk kwartier een sync doet met Entra ID, een oplijsting maakt van alle Entra ID joined devices en hiervoor dummy objecten gaat aanmaken in AD waarna de check voor het apparaat wel werkt. Als je wenst kan ik eens kijken of ik nog gevonden krijg waar ik alles vandaan heb gehaald.Heb ik ineens een OU met dit soort van apparaten: En geen paniek, want de sync verwijderd ook apparaten die niet meer bestaan.



Voor je local admin kan je kijken naar EPM wat onderdeel is van Intune Suite, maar ook los verkrijgbaar. Is wel een bijkomende licentiekost, maar maakt het mogelijk om applicaties, en tegenwoord zelfs specifieke PowerShell scripts, als admin te draaien zonder dat de gebruiker admin rechten moet hebben op heel de machine. Werkt op zich wel netjes. Er zijn trouwens ook andere commerciele partijen die gelijkaardige software aanbieden. Het is iets dat je in het achterhoofd kunt houden als verbeterproject. Zelf zijn we net zeer blij dat we eindelijk van de lokale admin rechten vanaf zijn op onze systemen en tot op heden nog geen EPM nodig gehad.

Onze macbooks zijn niet domain joined, als ik dan vraag waarom dat zo is, dan kan niemand daar een goed antwoord op geven, enkel dat het zo werd aanbevolen door de firma die ons Jamf heeft verkocht als MDM platform voor de macbooks. Zelf hebben we wel ABM (en je kan bestaande devices alsnog in ABM zetten) waardoor onze macbooks netjes bij het opzetten van de macbook zich reeds bij Jamf en Intune aanmelden. Dat laatste maakt dan weer de passwordsync met AD mogelijk. Belangrijkste nadeel van niet domain joined te zijn is dat we voor onze SMB shares niet kunnen verwijzen naar de DFS root \\fqdn.domain maar naar een specifieke server moeten verwijzen.

En ik geef je deels gelijk, Apple is niet geschikt om te integreren in een zakelijke omgeving als deze al jarenlang is ingericht voor Windows only gebruik en volledig gebruik maakt van een Microsoft stack. Mijn god, de tijd die ik bijv. verloren heb in het uitzoeken of we die macbooks toch niet konden verbinden met onze Microsoft Always-On VPN servers om uiteindelijk in de logs te vinden dat ze een verschillend, niet compatibel type van EAP willen gebruiken langs bijde kanten.

@TheVMaster , met de ervaring van vandaag moet ik Microsoft en de vele roepers gelijk geven. Maar zo eenvoudig is het niet altijd. Ik kwam tijdens mijn implementatie toen ik op zoek was naar oplossingen ook voldoende blogposts tegen die aanhaalden dat je hybrid altijd zou moeten vermijden als het kan, heb voldoende memes zien passeren hierover. Maar als je ineens een applicatie hebt met harde eis dat je systeem domain joined moet zijn, dan hang je er aan vast, hoe spijtig dat ook is, hoe problematisch dat ook is.



Ondertussen heb ik nog altijd de eerste AADJ built laptop op kantoor liggen en gebruik deze nog regelmatig. Ook het systeem dat ik op mijn private laptop (testen met ARM cpu ) heb gezet is een AADJ systeem en ik heb er zelf geen enkel probleem mee. We weten ondetussen ook dat we voor 99,9% van onze gebruikers perfect naar AADJ zouden kunnen overstappen en voor die laatste 0,1% kunnen we, op verzoek, Hybrid devices leveren. Alles is klaar om dit op te nemen, enkel de goedkeuring van mgmt krijgen om er tijd in te mogen steken. Ben ik blij dat begin januari ik eindelijk versterking krijg op dit vlak, op de dag dat we klaar zijn om de laatste stap in heel ons Win11 project te beginnen uitrollen, namelijk de upgrade van de laatste Win10 machines

🧑‍🎄🎄🎁

Allereerst excuses, @Blokker_1999, dat ik één punt uit je uitgebreide post naar voren haal. Dit moet me echter echt even van het hart.

Ik lees dat bepaalde zaken vanuit hogere hand (management) worden beslist. Waarom moet het management overtuigd worden dat jij je due diligence wilt doen? Of besluit het management bijvoorbeeld zomaar dat er Microsoft Intune gebruikt moet worden in plaats van Jamf?

Je hebt ontzettend veel goede argumenten gegeven waarom iets niet handig is of niet goed zal werken. En toch gebeurt het? Het geeft sterk de indruk dat jouw expertise en input niet serieus worden genomen. Super jammer, want jij mag, zoals je zelf al zegt, vervolgens de boel opruimen.

@Gr4mpyC3t ,geen nood om je te verontschuldigen. Het feit dat ik vandaag zo een lange post kan typen toont al deels aan dat een dag als vandaag voor mij een verloren dag is.

Bij ons in de firma hebben we gelukkig redelijk wat vrijheden, maar op het einde van de dag, wanneer je over budgetten gaat praten of over grote investeringen, moet je uiteraard wel altijd samenwerken met management. En bij sommige in management leeft de wens om van Jamf af te stappen want daar hangt een extra kost aan vast terwijl Intune reeds vervat zit in onze M365 licenties. Bijkomend heb je dan 1 enkel platform waarop je al je beheerstaken kunt uitvoeren in plaats van de kennsi over 2 totaal verschillende platformen te moeten onderhouden.

Ik zie de voordelen ook in van naar 1 platform te gaan, maar het moet uiteraard wel een haalbare kaart zijn. En de meeste mensen boven ons begrijpen dat gelukkig wel, al heb je ook van die managers die graag tegengas geven en we nu effectief een ander, totaal ongerelateerd project geblokkeerd zien liggen omdat we daar niet aan mogen beginnen totdat macbooks in Intune beheerd worden. Dat de blokkerende factor ontbrekende functionaliteit is, daar heeft die ene manager spijtig genoeg geen oren naar.

En wat betreft de hybrid join, zoals aangehaald, dat is een beslissing die genomen is op een moment dat ik op vakantie was. Heeft men nu mijn vakantie afgewacht om die te nemen? Dat durf ik niet beweren. Ik was er niet bij en wist helemaal van niets. Ja, dat heeft kwaad bloed gezet bij mij en ik heb achteraf ook geraporteerd wat de gevolgen zijn geweest van het op die manier te doen.

Op zich zijn dat ook momenten waaruit je zelf weer dingen leert. Hoe reageert management, wat kan ik best overleggen, wat kan ik best gewoon doen en, mocht het nodig zijn, achteraf om vergiffenis voor gaan vragen En wie weet, op een dag ben ik diegene die dat soort beslissingen moet nemen of net moet gaan verantwoorden naar senior management, en dan zijn de negatieve ervaringen even belangrijk als de positieve

En ondanks alle nadelen, ben ik nog altijd trots op wat we uiteindelijk hebben opgeleverd en ondanks dat sommige gebruikers klagen over het ontbreken van lokale admin hoor ik van onze first line support dat er minder problemen zijn, hoor ik van security dat we veel beter scoren op vulnerability scanning, zien we in onze rapportering dat updates veel vlotter installeren, ...

Het is mij al duidelijk. Ipv een antwoord te geven op m'n vraag, wordt mij de les gelezen en dat ik het allemaal fout doe. Hier kom ik dus ook niet tot een oplossing. Had ik gezeik willen horen, dan was ik wel een discussie aan gegaan met een flat-earther of zo.

Voor mensen zoals @HKLM_ en @Blokker_1999, bedankt voor het iig begrijpen en proberen mee te denken.

Hero of Time schreef op woensdag 25 december 2024 @ 21:13:
Het is mij al duidelijk. Ipv een antwoord te geven op m'n vraag, wordt mij de les gelezen en dat ik het allemaal fout doe. Hier kom ik dus ook niet tot een oplossing. Had ik gezeik willen horen, dan was ik wel een discussie aan gegaan met een flat-earther of zo.

Voor mensen zoals @HKLM_ en @Blokker_1999, bedankt voor het iig begrijpen en proberen mee te denken.

Ik begrijp dat het frustrerend kan zijn wanneer je specifiek op zoek bent naar een oplossing, maar niet de antwoorden krijgt die je nodig hebt. Volgens mij is het niet de bedoeling van iemand hier om de indruk te wekken dat je iets fout doet, maar juist om je te wijzen op mogelijke alternatieven die je situatie kunnen verbeteren. We zijn hier immers om elkaar verder te helpen.

Hero of Time schreef op woensdag 25 december 2024 @ 21:13:
Het is mij al duidelijk. Ipv een antwoord te geven op m'n vraag, wordt mij de les gelezen en dat ik het allemaal fout doe. Hier kom ik dus ook niet tot een oplossing. Had ik gezeik willen horen, dan was ik wel een discussie aan gegaan met een flat-earther of zo.

Voor mensen zoals @HKLM_ en @Blokker_1999, bedankt voor het iig begrijpen en proberen mee te denken.

Ik ben het met je eens. Dat het niet aan te raden is om Hybrid join te gebruiken, weten de meeste hier wel. Soms zijn er gewoon situaties, waardoor je er niet onderuit kan (of in 2 fases overgaat).

Zoals ik al eerder zei ik ga in januari, er mee aan de slag. En hoop je dan meer feedback te kunnen geven over het probleem met de “bezette” computernaam.

[ Voor 0% gewijzigd door Sjod op 25-12-2024 22:04 . Reden: Typo ]

Blokker_1999 schreef op woensdag 25 december 2024 @ 11:08:
@Gr4mpyC3t ,geen nood om je te verontschuldigen. Het feit dat ik vandaag zo een lange post kan typen toont al deels aan dat een dag als vandaag voor mij een verloren dag is.

Bij ons in de firma hebben we gelukkig redelijk wat vrijheden, maar op het einde van de dag, wanneer je over budgetten gaat praten of over grote investeringen, moet je uiteraard wel altijd samenwerken met management. En bij sommige in management leeft de wens om van Jamf af te stappen want daar hangt een extra kost aan vast terwijl Intune reeds vervat zit in onze M365 licenties. Bijkomend heb je dan 1 enkel platform waarop je al je beheerstaken kunt uitvoeren in plaats van de kennsi over 2 totaal verschillende platformen te moeten onderhouden.

Ik zie de voordelen ook in van naar 1 platform te gaan, maar het moet uiteraard wel een haalbare kaart zijn. En de meeste mensen boven ons begrijpen dat gelukkig wel, al heb je ook van die managers die graag tegengas geven en we nu effectief een ander, totaal ongerelateerd project geblokkeerd zien liggen omdat we daar niet aan mogen beginnen totdat macbooks in Intune beheerd worden. Dat de blokkerende factor ontbrekende functionaliteit is, daar heeft die ene manager spijtig genoeg geen oren naar.

En wat betreft de hybrid join, zoals aangehaald, dat is een beslissing die genomen is op een moment dat ik op vakantie was. Heeft men nu mijn vakantie afgewacht om die te nemen? Dat durf ik niet beweren. Ik was er niet bij en wist helemaal van niets. Ja, dat heeft kwaad bloed gezet bij mij en ik heb achteraf ook geraporteerd wat de gevolgen zijn geweest van het op die manier te doen.

Op zich zijn dat ook momenten waaruit je zelf weer dingen leert. Hoe reageert management, wat kan ik best overleggen, wat kan ik best gewoon doen en, mocht het nodig zijn, achteraf om vergiffenis voor gaan vragen En wie weet, op een dag ben ik diegene die dat soort beslissingen moet nemen of net moet gaan verantwoorden naar senior management, en dan zijn de negatieve ervaringen even belangrijk als de positieve

En ondanks alle nadelen, ben ik nog altijd trots op wat we uiteindelijk hebben opgeleverd en ondanks dat sommige gebruikers klagen over het ontbreken van lokale admin hoor ik van onze first line support dat er minder problemen zijn, hoor ik van security dat we veel beter scoren op vulnerability scanning, zien we in onze rapportering dat updates veel vlotter installeren, ...

Mooi om te lezen dat je ondanks de frustratie toch lessen uit de situatie haalt en nadenkt over hoe je dit in de toekomst kunt aanpakken.

Wat betreft de switch naar Intune, het lijkt me een moeilijke afweging om de balans te vinden tussen kostenbesparing en het behoud van functionaliteit. Vooral als dit dan ook nog samenvalt met de druk vanuit management. Maar zo te lezen kom je daar vast wel uit.

Gr4mpyC3t schreef op woensdag 25 december 2024 @ 22:00:
[...]

Ik begrijp dat het frustrerend kan zijn wanneer je specifiek op zoek bent naar een oplossing, maar niet de antwoorden krijgt die je nodig hebt. Volgens mij is het niet de bedoeling van iemand hier om de indruk te wekken dat je iets fout doet, maar juist om je te wijzen op mogelijke alternatieven die je situatie kunnen verbeteren. We zijn hier immers om elkaar verder te helpen.

Nou, enige wat ik als antwoord kreeg is "je doet het fout", "begin er niet aan", "stom dat je dit doet", etc. Niks behulpzaams aan. Vooral omdat ik al aangaf dat ik bewust ben van de hybrid join adviezen. Dan verwacht ik niet door meerdere personen nogmaals de les te worden gelezen zonder zinvolle antwoorden. Als je (algemeen gesproken) niet constructief kan helpen, zeg dan niks.

@Hero of Time begrijp ik nu goed dat met hybrid join de ingestelde computernaam in Autopilot domweg wordt genegeerd? Bijzonder.

Quad schreef op woensdag 25 december 2024 @ 22:09:
@Hero of Time begrijp ik nu goed dat met hybrid join de ingestelde computernaam in Autopilot domweg wordt genegeerd? Bijzonder.

Klopt helaas

Quad schreef op woensdag 25 december 2024 @ 22:09:
@Hero of Time begrijp ik nu goed dat met hybrid join de ingestelde computernaam in Autopilot domweg wordt genegeerd? Bijzonder.

Ja. In AP stel je een naam in. Die krijgt 'ie ook netjes totdat het de hybrid join profiel lees, dan komt de domain join config om de hoek kijken en dat eist een prefix en maakt de rest random. Niks van de AP naam blijft over.

Hero of Time schreef op woensdag 25 december 2024 @ 22:11:
[...]

Ja. In AP stel je een naam in. Die krijgt 'ie ook netjes totdat het de hybrid join profiel lees, dan komt de domain join config om de hoek kijken en dat eist een prefix en maakt de rest random. Niks van de AP naam blijft over.

Hm oké, dan is die hele flow niet lekker. Ik heb zelf geen hybride configuratie thuis, dus kan daar zelf niet in testen of meedenken.

Hero of Time schreef op woensdag 25 december 2024 @ 22:08:
[...]

Nou, enige wat ik als antwoord kreeg is "je doet het fout", "begin er niet aan", "stom dat je dit doet", etc. Niks behulpzaams aan. Vooral omdat ik al aangaf dat ik bewust ben van de hybrid join adviezen. Dan verwacht ik niet door meerdere personen nogmaals de les te worden gelezen zonder zinvolle antwoorden. Als je (algemeen gesproken) niet constructief kan helpen, zeg dan niks.

Even voor de volledigheid: ik heb de laatste berichten teruggelezen en ik zie niemand zeggen dat jij het fout doet of dat het stom is dat jij dit doet. Wat ik wél lees, zijn meerdere reacties die je dringend adviseren om het niet te doen, met daarbij argumenten/ervaringen.

Nogmaals: ik begrijp dat dit misschien niet de reacties zijn die je had gehoopt, maar op het Tweakers-forum kun je dit soort reacties wel verwachten.

Veel succes, ik hoop dat je toch nog oplossingen vindt voor de uitdagingen die je nu hebt.

@HKLM_, uiteraard is het cherry picking daar het een n=1 ervaring is, maar als we een bedrijf betalen om iemand langs te sturen en we betalen hen meer per dag dan wat ik op 1 week kost, dan hoop ik altijd dat het iemand met tenminste wat ervaring is op het gebied van waar je aan wenst te werken. Ik betwijfel niet dat er zijn die een stuk meer kennis hebben dan de persoon die wij hadden gekregen om ons te helpen. En ik heb alle begrip voor het feit dat die mensen ook kennis moeten opbouwen. Maar als ik een vraag krijg en ik krijg in essentie gewoon het eerste antwoord terug dat men op Google gevonden heeft zonder ook maar enig onderzoek van wat het doet of hoe het werkt, dan kan ik echt wel verder zonder die duurbetaalde zoekhulp, ook de collega's vonden het niet waard om hem te laten terugkomen. En spijtig genoeg krijg je wel vaker klachten dat men iemand stuurt met te weinig ervaring, die enkel maar de basics kent.

En ik moet uiteraard toegeven dat hoewel ik nu mijn eigen omgeving heel goed ken, en ongetwijfeld dit bij een ander kan gaan herhalen, ik daar vermoedelijk ook vragen zou krijgen die ik niet kan beantwoorden.

@Hero of Time, om even terug te komen op je originele probleem, ben je wel zeker dat het object verwijderd is uit je AD? Die keren dat ik zulks een melding tegenkwam kon ik altijd een object met dezelfde naam terugvinden in mijn AD. En denk ook aan de eventuele vertraging bij replicatie, want ook daar ben ik al tegenaan gelopen. Verwijderd uit AD, maar bestond nog op de domain controller waar de machine de rename opdracht naartoe stuurde.

Wat er in de recycle bin staat mag inderdaad niet uitmaken, heb de afgelopen weken meerdere malen eenzelfde test VM aangemaakt en telkens ook weer uit AD verwijderd, al doe ik daar geen rename maar slechts een verplaatsing van de ene naar de andere OU.

Blokker_1999 schreef op donderdag 26 december 2024 @ 07:36:
@Hero of Time, om even terug te komen op je originele probleem, ben je wel zeker dat het object verwijderd is uit je AD? Die keren dat ik zulks een melding tegenkwam kon ik altijd een object met dezelfde naam terugvinden in mijn AD. En denk ook aan de eventuele vertraging bij replicatie, want ook daar ben ik al tegenaan gelopen. Verwijderd uit AD, maar bestond nog op de domain controller waar de machine de rename opdracht naartoe stuurde.

Wat er in de recycle bin staat mag inderdaad niet uitmaken, heb de afgelopen weken meerdere malen eenzelfde test VM aangemaakt en telkens ook weer uit AD verwijderd, al doe ik daar geen rename maar slechts een verplaatsing van de ene naar de andere OU.

Ik ben 200% zeker dat het object niet in AD bestaat. Meermaals zoeken op het object gaf geen resultaat, ook niet met powershell of adsisearcher. Met de hand proberen te hernoemen gaf dezelfde melding, terwijl normaal gesproken als je dit met je domein admin doet, het reeds bestaande object gewoon wordt overschreven.

Replicatie kon ik al uitsluiten, want er zat zeker meer dan een uur tussen de pogingen.