Microsoft Intune ervaringentopic

Blokker_1999 schreef op vrijdag 7 februari 2025 @ 15:24:
Zucht, ineens hier een stomme discussie over "Fast Startup". Iemand hier een mooie oplossing om dat uit te schakelen? Of zal het met scripts moeten?

https://andrewstaylor.com...-via-intune-remediations/

HKLM_ schreef op vrijdag 7 februari 2025 @ 18:15:
[...]


Why de discussie?

Het gaat uiteindelijk om iets dat je vandaag in zowat elk OS standaard hebt aanstaan, waarvoor MS ook geen eenvoudige optie geeft om het via GPO of Intune policy uit te zetten. En hoewel ikzelf en mijn seniors meermaals de vraag stellen om het probleem te kwantificeren krijg je heel de tijd alleen maar hypotetische scenario's toegeworpen.

Ik wil gerust testen en iedereen een plezier doen, maar als je niet kunt zeggen wie er problemen heeft, welke problemen je denkt te gaan oplossen, ja, dan krijg je een discussie met mij.

Blokker_1999 schreef op vrijdag 7 februari 2025 @ 19:26:
[...]

Het gaat uiteindelijk om iets dat je vandaag in zowat elk OS standaard hebt aanstaan, waarvoor MS ook geen eenvoudige optie geeft om het via GPO of Intune policy uit te zetten. En hoewel ikzelf en mijn seniors meermaals de vraag stellen om het probleem te kwantificeren krijg je heel de tijd alleen maar hypotetische scenario's toegeworpen.

Ik wil gerust testen en iedereen een plezier doen, maar als je niet kunt zeggen wie er problemen heeft, welke problemen je denkt te gaan oplossen, ja, dan krijg je een discussie met mij.

Snap ik. Waarom zou je het ook uit willen zetten. Maar de business wil het uit hebben dan, of zijn het een aantal personen die het uit willen hebben?

Het zijn een aantal junior personen, en ik wil gerust testen, ik wil het zelfs op hun machine uitzetten, maar ze moeten begrijpen dat als je test, je ook moet weten wat je gaat testen en welke voordelen je denkt te verkrijgen. Simpelweg afkomen met een argument als "met een NVME merk je het toch niet" is ook geen argument voor mij. Als MS geen optie voorziet voor beheerders om het met een policy uit te schakelen betekend dat voor mij ook dat ze bij MS ook geen nadelige gevolgen verwachten, ook al erken ik wel dat er inderdaad bedrijven zijn waar men het wel uitschakelt op dit moment.

Het nadeel met registry aanpassingen is dat je er maar op moet vertrouwen dat de functionaliteit nooit veranderd en dat wanneer je jaren later ineens die registry key nog eens tegenkomt, dat je weet waarom deze gezet is geweest.

On another note, iemand hier van plan om hotpatch te gaan gebruiken op 24H2? Ik ben zelf van mening dat een reboot 1x per maand echt niet zo slecht is voor laptops en denk er dan zelf over na om de functionaliteit hier bij ons voorlopig niet te introduceren.

[ Voor 13% gewijzigd door Blokker_1999 op 10-02-2025 09:02 ]

HKLM_ schreef op vrijdag 7 februari 2025 @ 18:15:
[...]


Why de discussie?

Het is gewoon perceptie van de gebruiker. Microsoft wil niet dat je zit te wachten op een draaiende cirkel bij het opstarten. Dus "afsluiten" is niet meer wat het was. Het is een veredelde slaapstand. Alleen herstarten zorgt ervoor dat de machine vers start.

Feitelijk doet "klepje dicht" hetzelfde en zouden ze optie gewoon anders moeten gaan noemen omdat het niet meer is wat het ooit was.

Blokker_1999 schreef op maandag 10 februari 2025 @ 09:00:
Het zijn een aantal junior personen, en ik wil gerust testen, ik wil het zelfs op hun machine uitzetten, maar ze moeten begrijpen dat als je test, je ook moet weten wat je gaat testen en welke voordelen je denkt te verkrijgen. Simpelweg afkomen met een argument als "met een NVME merk je het toch niet" is ook geen argument voor mij. Als MS geen optie voorziet voor beheerders om het met een policy uit te schakelen betekend dat voor mij ook dat ze bij MS ook geen nadelige gevolgen verwachten, ook al erken ik wel dat er inderdaad bedrijven zijn waar men het wel uitschakelt op dit moment.

Klinkt als het hebben van een probleem, maar niet weten waar de klepel hangt. Ik snap je beargumentatie wel. Als er geen antwoord komt op je vragen waarom dit uit zou moeten, had ik er ook geen zin in gehad.

HKLM_ schreef op maandag 10 februari 2025 @ 09:30:
[...]


I know, maar we hebben dit al sinds 2015 ofzo? We zijn 10 jaar verder dan kan dit eigenlijk geen discussie meer zijn

Voor normale gebruikers wel. Die lezen "afsluiten" en afsluiten was altijd uitzetten. En er waren gevallen waarin stroomloos maken de oplie was. Dat zit er nog steeds in gebakken. Zeker bij de oudere generatie. Dat dat nu anders is moet je ze uitleggen als iets niet meer werkt omdat de machine niet echt uit gaat.

Volgens mij kan het uit, zit ergens in de power settings verstopt.

En dat klopt inderdaad ook, we hebben al gevallen gezien waarin we vragen aan gebruikers om te herstarten, en in plaats van de restart optie te gebruiken, zetten zij hun computer uit en starten deze opnieuw op. Gebruikers weten dus niet dat de effecten dus verschillend zijn. Je kan nog altijd een volledige shutdown doen voro zover ik weet door shift in te drukken.

Voor gebruikers zit er inderdaad ergens een toggle in de power settings, als zij daar toegang toe hebben.

In hetzelfde straatje kwam een collega vorige week af dat hij het niet leuk vindt dat zijn laptop automatisch opstart wanneer hij deze opendoet. 🙄terwijl een andere collega net klaagt over het feit dat zijn laptop in hibernate gaat wanneer deze niet aan het net hangt en hij de laptop dichtklapt (daar valt nog een beetje voor te argumenteren dat het ongewenst kan zijn)

Misschien dat me iemand kan helpen.

We richten onze machines in met autopilot. dit is onze werkwijze

- Laptop komt binnen
- W11 mediacreation boot stick erin
- Autopilot doet de rest


Is er een manier om stap 2 te vervangen voor een oplossing waar we meerdere devices met w11 kunnen voorzien? PXE?

HKLM_ schreef op maandag 10 februari 2025 @ 13:34:
[...]


Waarom stap 2 niet vervangen door een bloatware free image mee te laten leveren zodat je niet meer hoeft te imagen? En heel die stap kan skippen.

Als je dat niet wilt dan kan je eens kijken naar OSDCloud.

mee leveren vanuit? de leverancier van de devices?
Is osdcloud niet ook met een stick?

[ Voor 4% gewijzigd door kromme op 10-02-2025 14:18 ]

Kijk eens bij iventoy, bootable ISO images laden via het netwerk dmv PXE.

HKLM_ schreef op maandag 10 februari 2025 @ 14:52:
[...]


Ja vanuit de leverancier inderdaad, alle merken leveren eigenlijk wel zo’n image.

OSD Cloud geeft verschillende opties waaronder hun WinPE of bootable ISO. Deze kan je in een willekeurige PXE loader gooien zoals een linux variant of bijvoorbeeld WDS.

Ik heb het over een MS surface reeks. Wat we nu merken is dat de batch die staat geen 24h2 bevat en dat opnieuw inrichten met stick sneller gaat dan handmatig updaten met de hand. Maar ik zou er het liefs 10 per keer aanzetten

HKLM_ schreef op maandag 10 februari 2025 @ 15:14:
[...]


Die opties zijn je door mij en @Quad toch gegeven? Of heb je iets speciaals waardoor dat niet zou werken?

Had betrekking op het antwoord over de leverancier...
Ik ga kijken naar de geboden oplossingen.

Dennis0162 schreef op donderdag 2 november 2023 @ 14:33:
Tip ga in Intune ook echt Winget gebruiken om je appliaties te deployen, verwijderen en up-to-date te houden:

Heb ff een simpel blogje toegevoegd:

https://www.anoopcnair.co...managerstore-apps-intune/

sorry voor het schopje, maar hoe ziet jouw detection eruit?

Blokker_1999 schreef op maandag 10 februari 2025 @ 18:56:
Ook positief dat ze niet meer over preview spreken

Het woord Legacy klopt al op de deur

Bevat een MS Business Premium nou wel of niet een ingebakken licentie voor Windows11 Pro?
van de MS365 E3 weet ik dat er in zit, maar de Bus Prem is een wel-niet discussie

Windows 11 business zit daar in. Je hebt een legitieme Pro licentie nodig.

Zoals ik het begrijp zit er geen volwaardige licentie in. Je hebt dus altijd een device nodig met een Windows Pro licentie waarna je dus het wel het recht krijgt voor upgrades en bijkomende functionaliteit. Als je hardware hebt met Windows 7 Pro kan je dus alsnog upgraden naar Windows 10 met een Business Premium

Ik snap jullie niet helemaal: Wat is dan het verschil met de MS365 E3?
Want met een E3 aan een account kan ik format C: doen , Win Pro installatie en het zooitje draait.

Dus je betaald ~22 euro/maand en kan alsnog 260 euro neerleggen voor een licentie?

De licentie komt over het algemeen met het toestel. Elke laptop die wij kopen heeft gewoon een Windows 11 Pro aan boord.

Nou vond ik het wel erg grof om tegen een klant te zeggen: stuur de boel maar terug -- maar zo te lezen was dat wel het beter(-e) advies. Heb wel aangegeven de volgende keer de Probook lijn aan te schaffen i.p.v. de Pavilion

Alright, dank

HKLM_ schreef op maandag 10 februari 2025 @ 20:14:
[...]


Ow ze hebben devices aangeschaft met Windows home? (In een zakelijke omgeving)

Jeps. En met mijn Intune hoofd nog in 2021 denkend aan MS365 E3, was je gewoon gedekt.
Omdat ik dus Win10/11Pro zag in het "apps" rijtje, dacht ik dat het wel snor zat (helaasch, zwarte achtergrond)

260 euro voor een Pro licentie is ook helemaal van het potje gerukt.

Quad schreef op maandag 10 februari 2025 @ 20:17:
260 euro voor een Pro licentie is ook helemaal van het potje gerukt.

Tweakers PW geeft (gelukkig) andere prijzen, maar als je de MS Store opent krijg je de volle mik te zien.

Verder eens, beetje te gek

D_Jeff schreef op maandag 10 februari 2025 @ 20:19:
[...]

Tweakers PW geeft (gelukkig) andere prijzen, maar als je de MS Store opent krijg je de volle mik te zien.

Verder eens, beetje te gek

Alleen zou ik daar echt niet te hard op vertrouwen. Te veel mensen (en bedrijven) die leren dat "goedkope" licenties na een tijdje ineens niet meer werken omdat het sleutels zijn die misbruikt worden. Zo hebben we hier op dit forum nu weer iemand die een MAK key gekocht heeft terwijl hij dacht een retail key te hebben en die nu niet meer wilt activeren want vermoedelijk honderden keren dezelfde key verkocht door die verkoper.

Blokker_1999 schreef op maandag 10 februari 2025 @ 20:53:
[...]

Alleen zou ik daar echt niet te hard op vertrouwen. Te veel mensen (en bedrijven) die leren dat "goedkope" licenties na een tijdje ineens niet meer werken omdat het sleutels zijn die misbruikt worden. Zo hebben we hier op dit forum nu weer iemand die een MAK key gekocht heeft terwijl hij dacht een retail key te hebben en die nu niet meer wilt activeren want vermoedelijk honderden keren dezelfde key verkocht door die verkoper.

Een Win 11 Pro Retail key voor 225 euro lijkt mij geen "scam", aangezien @HKLM_ aangeeft voor 214 euro te kunnen inkopen.

Daarnaast weet je ook dat de crew achter de PW totaal geen scammers in de lijst wil hebben, dus zodra 1 er op duikt: gewoon melden, die listing is zo weg.

HKLM_ schreef op donderdag 13 februari 2025 @ 20:11:
[...]


Ik kwam vandaag iets interesants tegen in onze licentie portal: Microsoft Windows 11 Home to Pro Upgrade for Microsoft 365 Business licenties. Dit zijn licenties die Microsoft 365 Business licenties het recht geven te upgraden van Home naar Pro voor een prijs van 52,- per licentie.

Twijfel of je een Business licentie klant had en misschien heb je er nog wat aan?

Voor deze situatie hebben we alsnog via de bekende kanalen een win11 pro retail aangeschaft. Klant heeft de hint ook begrepen.

Echter vind ik jou suggestie zeker interessant. Reden: De HP Victus serie is een stuk goedkoper dan de Z-book lijn, maar die Victus serie komt voor 90% met een Win 11 Home key. Deze laptops worden gebruikt om Autocad achtige zaken te bekijken en te bewerken.
Welke SKU of volledige artikel omschrijving hangt daar aan? En zitten daar nog speciale instructies bij (bijv: Een Win 11 Pro N key werkt niet op een standaard Win 11 Pro installatie en heeft format C: nodig )

@D_Jeff upgrade uitvoeren met generieke key, daarna activeren met de geleverde key.

Upgrade met generieke key kan zelfs via cmd in het oobe scherm zodat je aansluitend Autopilot kan laten draaien. Na het afronden activeren met geleverde sleutel.

@Quad Ik zie meerdere erover schrijven: Win 10/11 home naar pro upgrade kan gewoon.
Wellicht dat ik iets te vast geroest zit aan Win7 MSCA (en begin van Win10), maar toen was van home naar pro een format C:

In deze situatie heb ik dus een format C: uitgevoerd, want ik wist niet beter.

Klopt, kan gewoon. Via portaal geleverde licenties lukte het meestal niet direct te upgraden, dus generieke W11 pro key gebruiken, daarna kan je de geleverde licentie gebruiken voor activatie.

https://gist.github.com/s...cb6b2351a2d5f7cb0972ac6b6

Kan zo gauw MS eigen pagina niet vinden.

Ik heb voldoende Reddit pagina's gezien met een key die begint met VT
Als die format C: niet meer nodig, scheelt dat weer een kwartier (indien niet meer)

Hallo medetweakers - vraagje.
Wij zitten met onze technische dienst die graag een update wil voor hun meterstanden. Nu doen ze dit op pen en papier en zo via een excel doorsturen, etc..

Nu hebben we bedacht dat we via Intune ze een Samsung tablet geven met Managed Home Screen, waar ze eerst moeten op aanmelden met hun AD account, en zo via een shortcut (web app) naar de gedeelde Excel gaan.

Nu is die web app geopend via Edge en verliezen we veel schermruimte. Een ander alternatief is de Excel app zelf maar we hebben nu het volgende fenomeen: we melden ons aan met ons AD account, maar dan hebben we problemen dat Excel, ook al zijn we aangemeld nogmaals vraagt om ons aan te melden. Vervolgens meldt Excel ons niet af zodra er wordt geswitched tussen AD accounts op de tablet.
We zitten met mensen van 25 tot en met pensioengerechtigde leeftijd. Het moet dus zo simpel mogelijk zijn.

Heeft iemand een idee?

Thanks!

[ Voor 6% gewijzigd door Callewaert op 14-02-2025 15:35 ]

Universeel tablet account gebruiken.

Moet het per sé rechtstreeks in die Excel-sheet? Mijn eerste gedachte zou een SharePoint lijst zijn met een PowerApp of iets in die richting, dat is zeker bij gebruik op een tablet al veel gebruiksvriendelijker.
Of een Microsoft Form waarvan de response als nieuwe rij wordt toegevoegd aan de Excel-sheet (met een PowerAutomate flow, bijvoorbeeld).

Callewaert schreef op vrijdag 14 februari 2025 @ 15:34:
Hallo medetweakers - vraagje.
Wij zitten met onze technische dienst die graag een update wil voor hun meterstanden. Nu doen ze dit op pen en papier en zo via een excel doorsturen, etc..

Nu hebben we bedacht dat we via Intune ze een Samsung tablet geven met Managed Home Screen, waar ze eerst moeten op aanmelden met hun AD account, en zo via een shortcut (web app) naar de gedeelde Excel gaan.

Nu is die web app geopend via Edge en verliezen we veel schermruimte. Een ander alternatief is de Excel app zelf maar we hebben nu het volgende fenomeen: we melden ons aan met ons AD account, maar dan hebben we problemen dat Excel, ook al zijn we aangemeld nogmaals vraagt om ons aan te melden. Vervolgens meldt Excel ons niet af zodra er wordt geswitched tussen AD accounts op de tablet.
We zitten met mensen van 25 tot en met pensioengerechtigde leeftijd. Het moet dus zo simpel mogelijk zijn.

Heeft iemand een idee?

Thanks!

Misschien is het niet het gewenste antwoord, maar heb je al overwogen om met Power Apps aan de slag te gaan? Deze processen zijn namelijk uiterst geschikt voor dit platform. Met Power Apps kun je een low-code app ontwikkelen die functioneert op zowel tablets als andere apparaten, waarbij je eenvoudig workflows kunt integreren.

Als je daar meer over wil weten dan hoor ik het graag!

Edit: @ralpje zijn post zat verstopt op de volgende pagina. Excuses!

ralpje schreef op vrijdag 14 februari 2025 @ 16:06:
Moet het per sé rechtstreeks in die Excel-sheet? Mijn eerste gedachte zou een SharePoint lijst zijn met een PowerApp of iets in die richting, dat is zeker bij gebruik op een tablet al veel gebruiksvriendelijker.
Of een Microsoft Form waarvan de response als nieuwe rij wordt toegevoegd aan de Excel-sheet (met een PowerAutomate flow, bijvoorbeeld).

Gr4mpyC3t schreef op vrijdag 14 februari 2025 @ 16:51:
[...]


Misschien is het niet het gewenste antwoord, maar heb je al overwogen om met Power Apps aan de slag te gaan? Deze processen zijn namelijk uiterst geschikt voor dit platform. Met Power Apps kun je een low-code app ontwikkelen die functioneert op zowel tablets als andere apparaten, waarbij je eenvoudig workflows kunt integreren.

Als je daar meer over wil weten dan hoor ik het graag!

Edit: @ralpje zijn post zat verstopt op de volgende pagina. Excuses!

Zolang het voor onze eindgebruikers zo simpel is als "op het icoontje klikken en onze gegevens ingeven" is dat OK. Een universeel account zoals iemand eerder voorstelde is een no go ivm onze IT Policy. Ik werk in een ziekenhuis, dus we moeten ergens de grens leggen

Callewaert schreef op maandag 17 februari 2025 @ 09:38:
[...]


[...]


Zolang het voor onze eindgebruikers zo simpel is als "op het icoontje klikken en onze gegevens ingeven" is dat OK. Een universeel account zoals iemand eerder voorstelde is een no go ivm onze IT Policy. Ik werk in een ziekenhuis, dus we moeten ergens de grens leggen

Ja, zo simpel kan je het letterlijk zelf maken. En het is nog veiliger ook. Als je een simpel formulier nodig hebt maak je dat in de Power Apps applicatie. De invoervelden kan je ook nog valideren, bijvoorbeeld. Gebruikers loggen in met een eigen account, weet je ook nog eens dat het een geldige gebruiker is en wie het formulier dan heeft verzonden. Ik zeg doen.

Gr4mpyC3t schreef op maandag 17 februari 2025 @ 10:34:
[...]


Ja, zo simpel kan je het letterlijk zelf maken. En het is nog veiliger ook. Als je een simpel formulier nodig hebt maak je dat in de Power Apps applicatie. De invoervelden kan je ook nog valideren, bijvoorbeeld. Gebruikers loggen in met een eigen account, weet je ook nog eens dat het een geldige gebruiker is en wie het formulier dan heeft verzonden. Ik zeg doen.

Ik heb zelf nog nooit met Power Apps gewerkt - is dit license based dan?

Callewaert schreef op maandag 17 februari 2025 @ 11:50:
[...]

Ik heb zelf nog nooit met Power Apps gewerkt - is dit license based dan?

Dat hangt er een beetje van af hoe je het gebruikt, welke licenties je nu hebt, etc.
Zie https://learn.microsoft.c...-skus?WT.mc_id=MVP_396303 voor meer info.

Wij hebben toegang tot Power Automate - is dit hetzelfde?
Sorry voor de vele vragen. Ik ben namelijk een leek in het cloud gedeelte.
Ik zie op de site ook dat het uitermate geschikt is voor offline gebruik - een ander probleem dat wij hebben is als de technische dienst bv in de kelder staat, waar er obv geen wifi is, dat het dan ook problemen geeft.

Zou deze "flow" gekoppeld worden aan een specifiek account? Of is dit dan gekoppeld aan onze tenant?

Dank!

Callewaert schreef op dinsdag 18 februari 2025 @ 08:33:
Wij hebben toegang tot Power Automate - is dit hetzelfde?
Sorry voor de vele vragen. Ik ben namelijk een leek in het cloud gedeelte.
Ik zie op de site ook dat het uitermate geschikt is voor offline gebruik - een ander probleem dat wij hebben is als de technische dienst bv in de kelder staat, waar er obv geen wifi is, dat het dan ook problemen geeft.

Zou deze "flow" gekoppeld worden aan een specifiek account? Of is dit dan gekoppeld aan onze tenant?

Dank!

Geen sorry nodig, maar misschien is de tijd wel rijp voor een eigen topic waar je al je vragen kwijt kan. Zo voorkomen we dat we offtopic gaan hier. Ik beantwoord al je vragen graag in dat topic!

Gr4mpyC3t schreef op dinsdag 18 februari 2025 @ 08:36:
[...]


Geen sorry nodig, maar misschien is de tijd wel rijp voor een eigen topic waar je al je vragen kwijt kan. Zo voorkomen we dat we offtopic gaan hier. Ik beantwoord al je vragen graag in dat topic!

Klinkt goed, dan maak ik idd een topic aan ivm dit specifieke probleem

HKLM_ schreef op maandag 10 februari 2025 @ 18:55:
[...]


Ze hebben een nieuw installatie script uitgebracht welke o.a minder poorten nodig heeft voor MCC

https://learn.microsoft.c...otes#install-script-v2002

Vandaag men laatste node opgezet die ik hopelijk voorlopig moet opzetten, tot mijn verbazing zag ik een foutmelding in decimale errorcode ipv hex wat aangeeft dat het nog altijd de oude versie van het script was dat in het package zat dat ik gedownload heb.

Wel geleerd dat het netwerk in China gewoon xboxlive.net toestaat Moet ik nog eens doorgeven aan de firewall jongens om dat dicht te timmeren.

Wij hebben sinds vandaag een probleem bij het inspoelen van Android Knox devices dat deze bij het inloggen een foutmelding geeft:

"Er is iets fout gegaan

Er zijn problemen met verbinding maken met Microsoft Intune. Dit wordt mogelijk veroorzaakt door een probleem met uw netwerkverbinding. Neem contact op met de helpdesk van uw bedrijf als dit probleem zich voordoen blijft."

Ik heb overal in Intune en Knox gekeken, maar kan niet zien waarom we ineens deze melding krijgen bij het inspoelen van die telefoons. Geen certificaten verlopen, geen policies ineens aangepast.. iemand enig idee wat dit kan veroorzaken?

Misschien kan iemand eens meedenken met het volgende;

Ik heb een win32 applicatie gemaakt met een batch script dat verschillende uninstallaties doet (oudere versies), services stopt en start, etc etc. om vervolgens een applicatie te installeren.

Deze installatie vereist een herstart voordat deze operationeel is.

In de basis werkt dit script en de deployment hiervan goed, tot de laatste stap:

Ik exit met code 1641, en heb de Intune deployment zo geconfigureerd aangaan de reboot 'is set to either Determine behavior based on return codes or Intune will force a mandatory device restart. '

Vervolgens heb ik in de assignment aangegeven dat er een grace period voor de reboot is ingesteld, en dat de gebruiker deze nog eens met x aantal minuten mag uitstellen.

Ik heb met een aantal verschillende combinaties van intellingen getest, maar wanneer ik 'Determine behavior based on return codes or Intune will force a mandatory device restart. ' selecteer wordt de computer onmiddelijk na de installatie herstart zonder enige waarschuwing aan de gebruiker.

Kies ik een van de andere reboot behaviour opties, of gebruik ik enig andere exit code; er gebeurt niets, geen verdere meldingen aan de gebruiker.

Hoe kom ik erachter wat er nu mis gaat?

HKLM_ schreef op woensdag 26 februari 2025 @ 09:08:
[...]


Volgens mij komt dit omdat je voor code 1641 kies " Hard Reboot" en zoek jij naar code 3010 Soft Reboot

Hard reboot – The Hard reboot return code indicates that the device is required to restart to complete the installation. Additional Win32 apps cannot be installed on the device without restart.

Soft reboot – The Soft reboot return code indicates that the next Win32 app is allowed to be installed without requiring a restart, but a restart is necessary to complete the installation of the installed Win32 app.

Determine behavior based on return codes: This option means that the device will restart based on the configured return code. With this configuration a Hard reboot return code will immediately trigger a restart of the device and a Soft reboot return code will notify the user that a restart is required to finish the installation.

Bedankt voor je reactie, maar zoals gezegd levert dat als resultaat op; geen enkele verdere interactie met de user, en geen reboot.

Ik heb op verschillende itune blogs gelezen dat alleen de twee genoemde opties ( 'Determine behavior based on return codes (met exit code 1641) or Intune will force a mandatory device restart.) ervoor zorgen dat Intune een geforceerde reboot gaat verzorgen, en dat hier een grace periode voor kan worden in geregeld.

Nou, de reboot lukt zeker, maar geen grace periode helaas.

[ Voor 4% gewijzigd door McLambo op 26-02-2025 09:25 ]

Klopt, een soft reboot exit zegt eigenlijk tegen Intune: de installatie is nog niet voltooid, maar ik heb alles gedaan wat ik kan doen. Kijk de installatie pas na om als succes fo failure te markeren na de volgende reboot.

Een harde reboot is hier noodzakelijk als de reboot binnen het gestelde tijdskader moet gebeuren.

"Intune will force a mandatory device restart" triggert volgens de documentatie een onmiddelijke herstart, zonder grace period, dus die wil je ook niet hebben. Ook "Determine behavior based on return codes" zou een onmiddelijke herstart triggeren bij het voltooien van de installatie. De optie die je wenst te selecteren is net "App install may force a device restart" waarbij de gebruiker de optie krijgt om de grace period te gebruiken.

Zie bijv. ook deze blogpost: https://petervanderwoude....t-behavior-of-win32-apps/ . Het gedrag van de optie is verouderd in die blogpost, maar legt voor de rest wel alles goed uit.

En neen, zelf nog niet moeten testen.

Bedankt voor de reacties!

Ik heb het artikel van Peter van der Woude eerder al uitvoerig bestudeerd

Toch nog een keer het app package aangepast met als exit code 3010 en de reboot setting ingesteld op 'App install may force a device restart'.

Test machines weer gereset en een aantal keer het package geprobeerd.

Resultaat: Package wordt geïnstalleerd, Company portal status:Installed -> Geen reboot, geen melding, nada


/update: nieuw plan. laatste regel van script:

shutdown /t 180 /r /c "!! Je computer wordt over 3 minuten herstart. Sla je werk op en sluit alle applicaties af!! "

en basta. Ik ben er klaar mee

[ Voor 19% gewijzigd door McLambo op 26-02-2025 16:51 ]

Maar waarom met een soft reboot? Wat is het effect van een hard reboot icm 'App install may force a device restart'?

Blokker_1999 schreef op woensdag 26 februari 2025 @ 19:10:
Maar waarom met een soft reboot? Wat is het effect van een hard reboot icm 'App install may force a device restart'?

Onmiddelijke reboot zonder verdere waarschuwing of grace periode.

Mogelijk een tenant setting of config policy die conflicteert?

Moet nog eens uitgezocht worden

Momenteel heb ik een Surface laptop in handen welke na een verse usb installatie van Windows11 in de oobe omgeving een bedrijfslogo laat zien en vraagt om een specifieke bedrijfs emailadres

In de bios van de laptop zie je onder het tab management "managed by" en "on behalf of" staan welke velden beide leeg zijn.

Echter zie je onder details enkele thumbprints staan en subjects. DFCIEnceyotion2.manage.microsoft.com, DFCIEnrollmentManager2023, Microsoft device Management Trust

En wanneer ik op configure klik zie ik "the settings manager has enabled the management recovery feature of management mode"

Dus ik meen dat voor deze laptop Intune is ingeregeld, klopt dat? En betekend dat ook dat de laptop niet uit het register is gehaald door de desbetreffende bedrijf/eigenaar

[ Voor 41% gewijzigd door AOC op 27-02-2025 16:34 ]

Dat device is dan inderdaad in Autopilot geregistreerd van het betreffende bedrijf. Het beste kun je contact op nemen met het betreffende bedrijf, dan kunnen ze deze adhv het serienummer uit Autopilot verwijderen

volgens mij maakt het niet echt uit of dit een Surface is of niet. HardwareID etc zit ergens in een tenant. Die zal de Surface bij hun uit AutoPilot moeten gooien.

Edit: Lol tegelijk

Als je niet weet bij welk bedrijf de laptop in AutoPilot zit, kun je dat met het PSscript van deze site achterhalen.
https://scloud.work/get-autopilotprofileinfo/

Mocht dat bedrijf niet willen mee werken zal je contact op moeten nemen met Microsoft. Heb ik helaas ook een keer moeten doen en dat was ontzettend vermoeiend. Na 3 weken over en weer mailen en bellen uiteindelijke toch gelukt. Ze hadden wel wat dingen nodig (zoals aankoop factuur waarop serienummer staat) om te bewijzen dat je ook eigenaar/gemachtigd bent.

[ Voor 62% gewijzigd door Tusk op 27-02-2025 16:29 ]

Tusk schreef op donderdag 27 februari 2025 @ 16:26:
volgens mij maakt het niet echt uit of dit een Surface is of niet. HardwareID etc zit ergens in een tenant. Die zal de Surface bij hun uit AutoPilot moeten gooien.

Klopt, fabrikant staat hier totaal los van. Gaat om de hash die nog aan de betreffende tenant zal hangen.

Snelle reacties

Mitssz schreef op donderdag 27 februari 2025 @ 16:26:
Dat device is dan inderdaad in Autopilot geregistreerd van het betreffende bedrijf. Het beste kun je contact op nemen met het betreffende bedrijf, dan kunnen ze deze adhv het serienummer uit Autopilot verwijderen

Enige is dat in de bios onder management de velden 'managed by' en 'on behalf' leeg zijn.

Echter zie je onder details: DFCIEnceyotion2.manage.microsoft.com, DFCIEnrollmentManager2023, Microsoft device Management Trust met de bijbehorende thumbprints taan

Of zegt dat niks over het feit dat de laptop wel/niet uit autopilot verwijderd is?

Dat zegt er niks over. Als de OOBE verbinding met internet maakt dan checkt hij of het device ergens in Autopilot geregistreerd is. Het device heeft daarvoor geen weet van de registratie.

Tusk schreef op donderdag 27 februari 2025 @ 16:26:

Als je niet weet bij welk bedrijf de laptop in AutoPilot zit, kun je dat met het PSscript van deze site achterhalen.
https://scloud.work/get-autopilotprofileinfo/

Bovenstaande werkt helaas niet. Term not recognised

Is een alternatief als b.v. in regedit de gegevens opzoeken?

Ik heb de oobe login gepasseerd dmv cmd promlt en een offline account aangemaakt.
in Windows11 zie ik in regedit Tenantdomain, Tenantid velden, deze zijn echter leeg.

Dus de enige aanwijzing die ik heb is met een verse windows11 installatie en dan het bedrijfslogo en de vraag om specifiek bedrijfsmail.

AOC schreef op donderdag 27 februari 2025 @ 17:23:
[...]


Bovenstaande werkt helaas niet. Term not recognised

Vreemd, zojuist nog even getest bij een verse laptop.
In elevated powershell:
Install-Script -Name Get-AutopilotProfileInfo

dan Get-AutopilotProfileInfo -all

Allen die hybrid device join doen zullen voor eind mei de connector moeten vernieuwen. Microsoft stapt af van de huidige connector die onder SYSTEM draait en stapt over op een MSA. Enige probleem op dit moment is dat ze al wel de aankondiging hebben gedaan (MC1019294), maar als je de connector download, krijg je nog altijd de oude.

https://techcommunity.mic...y-security-update/4386898

Tusk schreef op vrijdag 28 februari 2025 @ 08:54:
[...]

Vreemd, zojuist nog even getest bij een verse laptop.
In elevated powershell:
Install-Script -Name Get-AutopilotProfileInfo

dan Get-AutopilotProfileInfo -all

Update van Powershell gedaan en nu werkt het de velden zijn leeg omdat ik het oobe proces vermeden heb.

Wanneer ik win11 vers geïnstalleerd heb en dan weer in het oobe proces zit waar ik met bedrijfemail moet inloggen, dan zie ik in cmd / regedit wel alle tenant/bedrijfsinfo. En dan ook in de bios nog wat restanten van dfci management zaken.

Nja, deze laptop gaat retour waar ik 'm gekocht heb is dus nog gekoppeld aan het een en ander. Durf ik niet aan ook al is het te omzeilen, dat in de bios vertrouw ik niet.

HKLM_ schreef op vrijdag 28 februari 2025 @ 10:33:
[...]


Nice! Hij is best wel lang in preview geweest deze connector maar ben blij te zien dat die er nu is.

@Hero of Time lees je mee

Dank voor de heads-up. De zoveelste GVD die MS flikt tijdens mijn uitrol met Intune. Eerder al het gezeik met de certificate connector om maar een oudere aan te blijven bieden tot de boel bijna in elkaar zou storen van ellende en nu dit.

Dan ook nog deze stappen:

First, you need to uninstall the existing connector by:

Uninstalling from the Settings app on Windows
Then, uninstalling using the ODJConnectorBootstrapper.exe (select Uninstall).

Waarom moet het bij MS altijd zo omslachtig om een dom stuk software te verwijderen? Gewoon 'uninstall' is er niet bij, nee, je moet het in dit geval via 2 methoden doen. En wat dan als je dit niet (goed) doet? Dat zeggen ze weer niet, maar gegarandeerd dat het ook weer extreem dichte mist veroorzaakt met onherleidbare foutmeldingen en andere vaagheden.

Zaken staan meer dan een jaar in preview en nadat de oude methode al lang en breed is verwijdert is de preview label eraf. Of wordt er iets direct op 'retired' gezet terwijl er nog lang geen volledige vervanger is (zie Administrative Templates dat naar Settings Catalog moet, maar niet alles daar te vinden is *kuch* drive mappings *kuch*).

Sneller je config wijzigingen krijgen is altijd mooi. Maar ik zie veel liever de logging een stuk duidelijker gemaakt worden. Ik heb UltraVNC bijvoorbeeld in 2 packages gebakken, eentje met alleen viewer en een ander met alleen server+service. Op een kiosk staat deze geïnstalleerd (maar ondanks firewall regel lijkt 't niet te antwoorden), maar in de test VM krijg ik doodleuk de viewer terwijl ik Server wil. Sowieso wat vaags met die VM, want het komt ook niet meer bij geïnstalleerde apps/appwiz.cpl te staan. Handmatig installeren ook niet, maar de installer dan nogmaals draaien geeft iig wel de optie voor verwijderen (via Intune/CP installeren en daarna handmatig de installer draaien doet dat dan weer niet).

In plaats van de bestaande connector te vervangen via een uninstall denk ik dat ik gewoon een nieuwe VM ga opspinnen om deze op te zetten. Minder kansen op fouten lijkt mij.

Typisch Microsoft, installeer je de nieuwe connector in je testomgeving, verschijnt die 2 keer in je Intune.

Zoals gezed: nieuwe VM opgezet en die staat nu dus 2x in de lijst.

En het moet weer lukken. De ODJ connector in de test omgeving --> Geen probleem. Wil je die in productie installeren, kan je niet eens een sign-in doen, en het gebrek aan goede foutmeldingen helpt ook niet echt.

Vandaag wat verder gaan kijken, zie je in de logfile een melding dat de MSA niet geldig is. Ga je in AD kijken, staan daar al een 20tal MSAs van die ODJ connector . Maa rgeen enkele aanwijzing van wat er dan wel mis is. En ja, ik draai de tool met een domain admin account terwijl ik een sign-in doe met een account die intune admin rechten heeft wat volgens de connector zelf voldoende zou moeten zijn, al zie ik in de docs ook wel een global admin vermeld worden. Maar die hebben dan weer geen Intune licentie, wat ook vereist is.

Blokker_1999 schreef op dinsdag 18 maart 2025 @ 14:38:
Vandaag wat verder gaan kijken, zie je in de logfile een melding dat de MSA niet geldig is. Ga je in AD kijken, staan daar al een 20tal MSAs van die ODJ connector . Maa rgeen enkele aanwijzing van wat er dan wel mis is. En ja, ik draai de tool met een domain admin account terwijl ik een sign-in doe met een account die intune admin rechten heeft wat volgens de connector zelf voldoende zou moeten zijn, al zie ik in de docs ook wel een global admin vermeld worden. Maar die hebben dan weer geen Intune licentie, wat ook vereist is.

Heb je hier dan iets verder mee kunnen doen?
We zitten hier voorlopig op een hybrid AD en willen graag eens voor PoC een laptop deployen en wat klooien met Autopilot. Die MSA accounts komen er bij op onze AD, maar niets te zien op intune - zelfs de connector bugt out want we melden aan, om dan terug op het scherm te komen met "log in".

Dat is dus de situatie zoals ik hem heb. Ben ondertussen 1 stap verder geraakt. Na het aanmelden op de server met domain admin (wat eigenlijk not done is) ben ik er in geslaagd om de sign-in te voltooien. Vreemd genoeg is de connector nog altijd niet verschenen in Intune, maar de sign-in knop is nu wel uitgegrijsd terwijl de setup knop voor de MSA kan aangeklikt worden... met een volgende foutmelding.

Ofwel komt ie met een melding dat de account "" niet gebruikt kan worden omdat de account msaODJ<random> niet geldig is, ofwel vindt ie de account leuk genoeg, maar krijg je een andere foutmelding die ik even vergeten ben op te schrijven, maar waarbij, als je in de logfile gaat kijken, ziet dat er eerst een hoop rechten gezet worden in het register en op de OU, om die daarna terug af te nemen zonder dat er gemeld wordt waarom.

--edit--
correctie, foutmelding is terug

[ Voor 11% gewijzigd door Blokker_1999 op 18-03-2025 16:47 ]

Blokker_1999 schreef op dinsdag 18 maart 2025 @ 16:43:
Dat is dus de situatie zoals ik hem heb. Ben ondertussen 1 stap verder geraakt. Na het aanmelden op de server met domain admin (wat eigenlijk not done is) ben ik er in geslaagd om de sign-in te voltooien. Vreemd genoeg is de connector nog altijd niet verschenen in Intune, maar de sign-in knop is nu wel uitgegrijsd terwijl de setup knop voor de MSA kan aangeklikt worden... met een volgende foutmelding.

Ofwel komt ie met een melding dat de account "" niet gebruikt kan worden omdat de account msaODJ<random> niet geldig is, ofwel vindt ie de account leuk genoeg, maar krijg je een andere foutmelding die ik even vergeten ben op te schrijven, maar waarbij, als je in de logfile gaat kijken, ziet dat er eerst een hoop rechten gezet worden in het register en op de OU, om die daarna terug af te nemen zonder dat er gemeld wordt waarom.

--edit--
correctie, foutmelding is terug
[Afbeelding]

Collega heeft nu de Legacy geinstalleerd (ja, not done, maar het is maar om wat te klooien) en die werkt gewoon perfect. Weer een Microsoft akkefietje

@Callewaert, denk eraan dat die legacy over 2 maanden stopt met werken.

Zo te zien mag ik blij zijn de nieuwe connector niet 'eventjes' voor mijn vakantie heb geïnstalleerd, getuige het vele gezeik dat er weer eens van komt. Het zou MS niet zijn als ze iets maken dat bagger werkt voor iets dat prima z'n ding doet.

Ben vergeten of deze nieuwe nou nog steeds een random naam maakt of dat het wel de naam die het via auto-pilot krijgt behoud.

HKLM_ schreef op woensdag 19 maart 2025 @ 11:59:
[...]

De werking van de connector is niet veranderd is het puur een lager privilege dingetje.

Ah, dus ipv dat je de optie 'system' vs 'service account' had, is het nu alleen nog maar 'service account'. Dat hadden ze ook met een update van de connector kunnen doen, maar er zal vast een hele hoop bagger in de code zitten om het te laten werken en een refactor zou hoe dan ook een complete rewrite zijn geworden.

Schiet mij maar lek, hoe lastig kan het zijn om een Dynamic membership group rule te maken zodat alleen Windows Servers in een groep worden gezet?

Iemand de gouden tip?

Danielson schreef op donderdag 20 maart 2025 @ 12:31:
Schiet mij maar lek, hoe lastig kan het zijn om een Dynamic membership group rule te maken zodat alleen Windows Servers in een groep worden gezet?

Iemand de gouden tip?

Zou dit niet werken:

(device.deviceOSType -eq "Windows") and (device.osVersion -startsWith "10.0.17763")