Microsoft Intune ervaringentopic

Hero of Time schreef op woensdag 25 december 2024 @ 22:08:
[...]

Nou, enige wat ik als antwoord kreeg is "je doet het fout", "begin er niet aan", "stom dat je dit doet", etc. Niks behulpzaams aan. Vooral omdat ik al aangaf dat ik bewust ben van de hybrid join adviezen. Dan verwacht ik niet door meerdere personen nogmaals de les te worden gelezen zonder zinvolle antwoorden. Als je (algemeen gesproken) niet constructief kan helpen, zeg dan niks.

Zoals gezegd, we hebben een paar on-prem applicaties en we hebben niet getest of die überhaupt met een Entra-only systeem werken. We hebben nu niet de tijd om dit alsnog te gaan testen. Dit is o.a. de reden voor de vereiste van hybrid.

[ Voor 33% gewijzigd door Grvy op 26-12-2024 13:08 ]

Hero of Time schreef op donderdag 26 december 2024 @ 14:36:
Die reg key kan ik nog proberen, ben ik nergens in m'n zoeken tegen gekomen.

Blokker_1999 schreef op donderdag 26 december 2024 @ 14:32:
En veel meer bedrijven zitten vandaag met hybride setups dan zonder. Iedereen die geen Autopilot gebruikt, maar andere manieren voor imaging maar wel de devices via on-prem AD in Azure laat uitkomen en daarna in Intune registreert zit met een hybdride setup. En dat mag dan wel ouderwets zijn, het werkt gewoon en wordt nog doorgewoon ondersteund door Microsoft. Net zoals WSUS nog altijd een geldige optie is voor het verdelen van Windows Updates in je bedrijf ondanks dat Intune ook die taak kan overnemen, en al helemaal nu we eindelijk caching servers hebben.

Grvy schreef op donderdag 26 december 2024 @ 15:04:
[...]


WSUS is al deprecated en ik voorzie dat dat met Hybrid ook gaat gebeuren. Zie: https://techcommunity.mic...-wsus-deprecation/4250436

Daarnaast dat er soms als iets al opgezet is en alles goede redenen voor zijn (en daarom supported is..) betekent niet dat je een nieuwe flow ook zo moet laten lopen.

Ik ga iemand in ieder geval niet helpen met vallen, zo ben ik niet. Ik voorkom liever de val in zijn geheel.
Vond alleen deze argumentatie een beetje zwak.

Quad schreef op vrijdag 27 december 2024 @ 11:06:
Wat kost de connected cache? Je hebt toch Azure resources nodig? Ik zie de teller daarvoor dan al oplopen.

• Snellere autopilot deployments
• Het sneller leveren van updates. (dus niet alleen verhoogde productiviteit, maar ook versneld mitigeren van risico's als het om kritieke patches gaat).
• Geen hardware nodig voor branche locaties (mocht je nu nog de SCCM-variant gebruiken)
• Minder resources nodig voor beheer & onderhoud
• Voorkomen van overbelasting van internetlijn.

[ Voor 7% gewijzigd door FREAKJAM op 27-12-2024 11:23 ]

Quad schreef op vrijdag 27 december 2024 @ 11:06:
Wat kost de connected cache? Je hebt toch Azure resources nodig? Ik zie de teller daarvoor dan al oplopen.

Blokker_1999 schreef op vrijdag 27 december 2024 @ 12:33:
[...]

Niets, het klopt dat je er een azure resource aan moet koppelen, maar die is gratis en hoort ook gratis te blijven.
[Afbeelding]

Niet vergeten dat de service uiteindelijk op jouw eigen hardware draait als je het on-prem gebruikt en dat je net Microsoft helpt met het besparen op internetverkeer.

The Azure resources used for Connected Cache will be free to you during this public preview.

Is there a charge to create Connected Cache resources and cache node on Azure?

No. You won't be charged to create Connected Cache resource and cache nodes on Azure. However, you need an Azure pay-as-you-go subscription to create the resources but there is no charge for the resource itself.

[ Voor 16% gewijzigd door Gr4mpyC3t op 27-12-2024 12:39 ]

[ Voor 53% gewijzigd door Blokker_1999 op 27-12-2024 13:17 ]

Blokker_1999 schreef op vrijdag 27 december 2024 @ 15:52:
Wat voor mij het belangrijkste is, is dat wanneer we een groep starters hebben, en die moeten allemaal op ongeveer hetzelfde moment dezelfde packages hebben vanuit Windows Update/Intune/... dat dat vanuit een lokale cache kan. Ik verwacht dat dat de deployments via AutoPilot een stuk kan versnellen. Zeker wanneer volgend jaar we de optie krijgen om updates mee te laten installeren als odnerdeel van het OOBE process hoop ik dat we op die manier niet te veel tijd gaan verliezen, want ICT heeft maar een beperkt tijdsslot op de dag dat mensen starten.

HKLM_ schreef op vrijdag 27 december 2024 @ 19:59:
[...]


Microsoft werk aan dit soort functies momenteel net als OEM integratie als bij V1.

Persoonlijk had ik daar meer snelheid in verwacht maar self deployment is wat lastig omdat het profiel pas na de user login wordt opgehaald waarbij dit met v1 ging op basis van de device hash voor de user login.

HKLM_ schreef op vrijdag 27 december 2024 @ 20:11:
[...]


Nu moeten ze autopilot nog even laten werken met device bound passkeys en dan komen we ergens

HKLM_ schreef op vrijdag 27 december 2024 @ 20:12:
In ander News iemand de POC Entra Device Compliance Bypass gezien of al geprobeerd?

https://github.com/zh54321/PoCEntraDeviceComplianceBypass

HKLM_ schreef op vrijdag 27 december 2024 @ 20:16:
[...]


Ik bedoel er mee aanmelden in autopilot de passkey staat op je iPhone of iOS device in de Authenticator app.

[ Voor 9% gewijzigd door ibmpc op 27-12-2024 20:27 ]

TheVMaster schreef op vrijdag 27 december 2024 @ 23:07:
[...]


Maar de PIN/Face/Security Key, dat is toch de variant waarbij je ook een Passkey vanaf een ander device kunt gebruiken (in dit geval dus degene in de Authenticator app).

ibmpc schreef op vrijdag 27 december 2024 @ 23:12:
[...]

Nee, dat lukt dus helaas niet. Pas na de OOBE kun je de passkey in je Authenticator app gebruiken, niet tijdens de OOBE helaas.

[ Voor 10% gewijzigd door Gerwinnn op 29-12-2024 22:02 ]

HKLM_ schreef op zondag 29 december 2024 @ 22:05:
[...]


Je kan met een fidokey inloggen op Windows

Gerwinnn schreef op zondag 29 december 2024 @ 22:06:
[...]


Yes die kende ik, ik zou het een mooie optie vinden om het via de Authenticator app ook te kunnen doen.

HKLM_ schreef op zondag 29 december 2024 @ 22:05:
[...]


Je kan met een fidokey inloggen op Windows, passkey vanuit de Authenticator app volgens mij niet tenzij web sign-in dat ondertussen kan.

[ Voor 6% gewijzigd door ibmpc op 29-12-2024 22:44 ]

ibmpc schreef op zondag 29 december 2024 @ 22:44:
[...]

Web sign in kan intussen wel veel meer dan vroeger, misschien dat als het vanaf 24H2 wordt gefixt, dat het wel met passkeys kan inloggen. Wij gebruiken fidosleutels voor de initiele inlog, daarna kan men er voor kiezen om WHFB in te stellen zodat de fidokey niet meer nodig is.

Op macOS lukt het initiele inloggen mij niet met fidokey, en bovendien is er iets raars met macOS, namelijk de enrollment in je organisatie wordt door Entra gezien als een Browser ipv Modern Auth.

Blokker_1999 schreef op vrijdag 27 december 2024 @ 15:52:
Wat voor mij het belangrijkste is, is dat wanneer we een groep starters hebben, en die moeten allemaal op ongeveer hetzelfde moment dezelfde packages hebben vanuit Windows Update/Intune/... dat dat vanuit een lokale cache kan. Ik verwacht dat dat de deployments via AutoPilot een stuk kan versnellen. Zeker wanneer volgend jaar we de optie krijgen om updates mee te laten installeren als odnerdeel van het OOBE process hoop ik dat we op die manier niet te veel tijd gaan verliezen, want ICT heeft maar een beperkt tijdsslot op de dag dat mensen starten.

HKLM_ schreef op dinsdag 7 januari 2025 @ 19:04:
Iemand hier die WDAC heeft geïmplementeerd en zijn ervaring wilt delen?

Blokker_1999 schreef op woensdag 8 januari 2025 @ 19:53:
Verdomme, ik herstart net mijn eigen laptop terug in mijn company image en alle apps zijn gewoon geblokkeerd door ... Application Control for Business

@HKLM_, ben je in mijn omgeving aan het testen zonder iets te vragen?

Ik heb letterlijk geen enkel idee hoe dit ineens komt. Er zijn geen policies in onze omgeving die WDAC zouden aanzetten, als ik naar de Application Control for Enterprise (preview) blade ga zie ik daar ook niets staan. Geen enkel idee wat er met die PC aan de hand is, temeer daar mijn private install wel op de canary biuld zit, maar de corporate image gewoon op de productie build zit. Dit is op een Copilot+ systeem (enige PC die ik heb met ARM en Copilot+ om de gekte voor te zijn, vandaar een private computer aan het misbruiken), maar idt is uiteraard niet leuk.

Iemand dit al tegengekomen? Want vraag me nu hard af of het iets te maken kan hebben met dat het een Copilot+ PC is. Morgen even de enige andere non-hybrid PC testen die ik heb, maar die ligt op kantoor.

Wel moet ik bij het opstarten mijn Bitlocker recovery key ingeven omdat er iets zou zijn aangepast aan de secure boot omgeving (mogelijks firmware update vanuit de andere image), maar ook dat zou geen trigger mogen zijn om in 1 keer alles te blokkeren.

[ Voor 4% gewijzigd door FREAKJAM op 08-01-2025 20:00 ]

Blokker_1999 schreef op woensdag 8 januari 2025 @ 20:01:
Deze is niet eens opgezet met AutoPilot, maar simpelweg als gebruiker toegevoegd. Ik ben ook de enige gebruiker die zoiets kan in onze omgeving Daarnaast is een AutoPilot hash net een device hash en nooit afhankelijk van software, En het heeft ook netjes een sync gedaan met Intune.

[ Voor 8% gewijzigd door FREAKJAM op 08-01-2025 20:05 ]

aGraPusher schreef op donderdag 9 januari 2025 @ 16:55:
Onze organisatie wil graag een standaardthema (wallpaper, accentkleuren van de taakbalk en donkere modus) per Windows-apparaat instellen. Het lukt mij echter niet om dit op een fatsoenlijke manier via Intune te regelen.

Dit moet gelden voor zowel gedeelde apparaten als normale vaste laptops.

Weet iemand vanuit welke hoek ik dit moet aanpakken? Ik loop er namelijk steeds tegenaan dat policies niet goed werken, vooral wanneer ik met andere gebruikers inlog. Of moeten we echt voor zoals simpels als een wallpaper naar een E3 licentie gaan?

kromme schreef op woensdag 15 januari 2025 @ 11:01:
Is er binnen Intune een makkelijke manier om een custom snelkoppeling te pushen naar alle gebruikers?

We kijken met veel gebruikers mee via Quick Assist, alleen ben je bij veel mensen al minuten kwijt om die applicatie opgestart te krijgen.

Ik zou dus graag een snelkoppeling maken naar Quick assist met de benaming "Hulp op Afstand".

Nu vind ik we l handleidingen op internet maar deze lijken me zo complex dat ik me af vroeg of er geen simpele manier is.

kromme schreef op woensdag 15 januari 2025 @ 11:01:
Is er binnen Intune een makkelijke manier om een custom snelkoppeling te pushen naar alle gebruikers?

We kijken met veel gebruikers mee via Quick Assist, alleen ben je bij veel mensen al minuten kwijt om die applicatie opgestart te krijgen.

Ik zou dus graag een snelkoppeling maken naar Quick assist met de benaming "Hulp op Afstand".

Nu vind ik we l handleidingen op internet maar deze lijken me zo complex dat ik me af vroeg of er geen simpele manier is.

kromme schreef op woensdag 15 januari 2025 @ 11:01:
Is er binnen Intune een makkelijke manier om een custom snelkoppeling te pushen naar alle gebruikers?

We kijken met veel gebruikers mee via Quick Assist, alleen ben je bij veel mensen al minuten kwijt om die applicatie opgestart te krijgen.

Ik zou dus graag een snelkoppeling maken naar Quick assist met de benaming "Hulp op Afstand".

Nu vind ik we l handleidingen op internet maar deze lijken me zo complex dat ik me af vroeg of er geen simpele manier is.

kromme schreef op woensdag 15 januari 2025 @ 16:35:
Ja het is voor die mensen erg lastig om soms de start knop te vinden, om quick in te typen zonder dat ik het spel. En we hebben 2000 mensen in dienst waar de computer niet hun prio heeft.
Vandaar dat ik het ze makkelijk wil maken.@nextware Als je zou willen kijken zou ik dat waarderen.
@Blokker_1999 Heb jij toevallig de procedure script nog?

TheVMaster schreef op woensdag 15 januari 2025 @ 16:48:
[...]


Ik snap dat eigenlijk nooit zo heel goed. Ook voor mensen waarbij computer niet de hun prio heeft weten echt wel hoe ze iets moeten doen. Ze hebben waarschijnlijk allemaal een smartphone en kunnen na 2 x proberen apps installeren. Dus ik zou ze niet teveel pamperen en ze proberen wat educatie te geven, daar is iedereen uiteindelijk bij gebaat he.

[ Voor 25% gewijzigd door kromme op 16-01-2025 12:21 ]

kromme schreef op donderdag 16 januari 2025 @ 12:18:
[...]


Sommige mensen zijn niet op te voeden of educatie te geven.

Ik loop hier iedere dag tegen aan en ik zeg bij hel veel mensen (steeds dezelfde mensen) vaak hetzelfde. Natuurlijk probeer je mensen niet te pamperen maar als het mij en de eindgebruiker een paar minuten per keer kost om "Quick Assist" opgestart te krijgen gaat dit ook van mijn en de zorgmedewerker haar tijd af. Deze tijd kan beter aan een client besteed worden, los van het feit dat die onder zo een gesprek al de aandacht vraag. Ik snap jullie opmerkingen over "opvoeden" en "pamperen", maar ik wil het mezelf en de medewerker makkelijker maken.

Ook "CTRL"+"Win"+q is geen oplossing omdat ze vaak al niet snappen wat de windows toets is. Hetzelfde als start knop.
Het niveau van deze mensen is, als ik iedere dag op rood icoon klik en deze is morgen blauw....IT Bellen.

TheVMaster schreef op donderdag 16 januari 2025 @ 13:28:
[...]


I know, maar dat betekend niet dat je er maar vanuit moet gaan dat helemaal niemand het snapt. Het gros van de mensen snapt echt wel hoe het werkt, mogelijk moet je dan ook zorgen dat je een goede FAQ op je intranet beschikbaar hebt, waarnaar je ze kunt verwijzen (eventueel met filmpjes)?

Davidas schreef op donderdag 16 januari 2025 @ 13:38:
[...]

Exact, zorg voor een portal waar je kennisitems kwijt kan met duidelijke screenshots / video's.

Davidas schreef op donderdag 16 januari 2025 @ 13:38:
[...]

Exact, zorg voor een portal waar je kennisitems kwijt kan met duidelijke screenshots / video's.

kromme schreef op donderdag 16 januari 2025 @ 15:33:
[...]


die zijn er....kijkt geen hond naar.
Maar ik kan niet als ik aan de telefoon ben met iemand eerst vragen om de uitleg op intranet te kijken.
Dus om het punt niet voorbij te lopen, ik wil een snelkoppeling uitrollen in intune.

1
2
3
4
5
6

$wshShell = New-Object -ComObject "WScript.Shell"
$urlShortcut = $wshShell.CreateShortcut(
  (Join-Path $wshShell.SpecialFolders.Item("AllUsersDesktop") "Kladblok.lnk")
)
$urlShortcut.TargetPath = "%WINDIR%\System32\notepad.exe"
$urlShortcut.Save()

[ Voor 17% gewijzigd door akimosan op 16-01-2025 16:11 ]

[ Voor 25% gewijzigd door DDX op 22-01-2025 10:39 ]

Blokker_1999 schreef op donderdag 23 januari 2025 @ 19:03:
Vandaag ineens een laptop in ons kantoor in China die niet door zijn provisioning komt. De eerste keer komt er letterlijk een melding op dat het systeem niet weet wat er mis is gegaan. Ik kijk de config na, vind niet direct iets dat mis is, maar zie wel dat er een app ontbrak in de vereiste applicaties voor de Chinese laptops. Ik voeg die app toe. En enkele uren later krijg ik foto's te zien dat de laptop bezig is met het installeren van app 3 van 25 terwijl er slechts 18 apps assigned staan, waarvan meerdere niet eens de requirements gaan triggeren (updates voor apps) ...

En weer een failure in deploy. Prachtig toch. Geen veranderingen aan de config, en alles faalt alsnog.

Blokker_1999 schreef op vrijdag 24 januari 2025 @ 08:00:
En nu hebben ze die zelfde laptop deze ochtend opnieuw gedeployed en is deze er zonder problemen doorgeraakt ... ik heb letterlijk niets veranderd. We zullen het maar weer op Microsoft steken.

akimosan schreef op donderdag 6 februari 2025 @ 11:50:
Het pad naar het bestand waar hij dat logo uittrekt, verandert iedere keer (want de quick assist wordt op de achtergrond bijgewerkt)

Zo is het pad naar de Quick Assist bij mij :

C:\Program Files\WindowsApps\MicrosoftCorporationII.QuickAssist_2.0.32.0_x64__8wekyb3d8bbwe\Microsoft.RemoteAssistance.QuickAssist\QuickAssist.exe

. Kl0te he?

3 opties:

Simpel 1:

Een custom logo naar een fixed path wat wel altijd hetzelfde is, zoals een logo uit een standaard library als shell32.dll

Simpeler 2:
Extract icon uit de executable en sla deze op als een ICO bestand. (hier zijn utilities voor)
Distribueer ICO bestand met je app en sla deze ergens op waar het blijft staan (ergens in een mapje in programdata of zo..
Pas iconpath aan naar : <path>\icon.ico


Moeilijker:
Een custom (remediation?) script welke IEDERE keer de shortcut overschrijft en het iconpath resolved naar het correcte path, maar ja dat moet je dan ook weer in je detection bouwen met een custom detection script.

iets met

Resolve-Path "C:\Program Files\WindowsApps\MicrosoftCorporationII.QuickAssist_*_*__8wekyb3d8bbwe\Microsoft.RemoteAssistance.QuickAssist\QuickAssist.exe"


Ik zou gaan voor de simpele(r) oplossing. Je wilt een shortcut op de desktop. Gelukt!
F*ck de icon

[ Voor 7% gewijzigd door kromme op 06-02-2025 14:17 ]

akimosan schreef op donderdag 6 februari 2025 @ 15:42:
Voor optie 2 zal ik ergens het logo online moeten zetten wat ik dan kopieer naar de machine?
Ja, gewoon meepackagen met je win32 app in de intunewin file en in je script opnemen dat het even gekopieerd wordt naar bijvoorbeeld "C:\ProgramData\MyAppShortcuts\quickassist.ico"

Kan, en kosten vallen wel mee? Hangt een beetje af van hoeveel storage.
Vind het een beetje overkill voor een icoontje van een paar KB

Quad schreef op donderdag 6 februari 2025 @ 16:01:
Je kan advanced installer gebruiken. Pack je een logo en shortcut mee, verwijs je die naar het lokale pad. Voordeel, stop je met quick assist, zet je de groep in intune bij uninstall en alles verdwijnt weer, magisch.

DDX schreef op woensdag 22 januari 2025 @ 10:38:
Bijzonder, macbook die in intune overzicht staat met macos versie 14.5 (23F79)
Geraagd aan gebruiker om even te kijken naar updates, gisteren had die 15.1 en hij heeft geupdate naar 15.2.
Last check in half uur geleden...

Iemand dit wel eens meegemaakt/oplossing ?

En volgens mij heb ik nog een 2e macbook die hier last van heeft.
(we hebben intune policy ingesteld voor updates, dus erg bijzonder als iemand een zo'n oude versie kan draaien)

Quad schreef op donderdag 6 februari 2025 @ 16:50:
Advanced installer kost niets, en maakt je vraagstuk makkelijker zonder scripts.

kromme schreef op donderdag 6 februari 2025 @ 18:57:
[...]


Free trial...lijkt me dat je daana moet betalen.

Blokker_1999 schreef op vrijdag 7 februari 2025 @ 15:24:
Zucht, ineens hier een stomme discussie over "Fast Startup". Iemand hier een mooie oplossing om dat uit te schakelen? Of zal het met scripts moeten?