Microsoft Intune ervaringentopic

DennusF schreef op donderdag 20 maart 2025 @ 12:56:
[...]


Zou dit niet werken:

(device.deviceOSType -eq "Windows") and (device.osVersion -startsWith "10.0.17763")

Nee, dat is ook het buildnummer van Windows 10 1809 LTSC, die gebruiken we ook nog hier en daar...

Danielson schreef op donderdag 20 maart 2025 @ 13:07:
[...]


Nee, dat is ook het buildnummer van Windows 10 1809 LTSC, die gebruiken we ook nog hier en daar...

Dat in combinatie met een bepaalde server naamgevingsconventie?

DennusF schreef op donderdag 20 maart 2025 @ 13:08:
[...]


Dat in combinatie met een bepaalde server naamgevingsconventie?

Onze servers hebben helaas geen vast naamconvensie zoals SRVxxxxxxx

Wat irritant dit!

HKLM_ schreef op donderdag 20 maart 2025 @ 13:10:
[...]


Waar wil je het voor gebruiken?

Om een Windows Defender policy te koppelen aan een servers...

Hoevaak heb je mutaties aan Windows Servers? Als in, komen erbij en gaan eraf?

Quad schreef op donderdag 20 maart 2025 @ 13:16:
Hoevaak heb je mutaties aan Windows Servers? Als in, komen erbij en gaan eraf?

Het kan natuurlijk gewoon met de hand, maar dit is meer zoiets van WTF, hoe lastig kan het zijn, zo'n vreemd verzoek is dit toch niet!

MS heeft laatst juist de regels aangepast zodat servers ook daadwerkelijk als OSType 'Windows Server' is, ipv alleen 'Windows'. Is meen ik een paar maanden geleden doorgevoerd, moet online wel te vinden zijn, kwam het namelijk tegen toen ik wat anders zocht voor regels. Heb het alleen nu niet bij de hand.

Hoe ga je policies naar servers sturen vanuit Intune?

Begin deze week een ticket geopend bij Intune support voor mijn probleem met die ODJ connector. Krijg ik vandaag via mail een stappenplan doorgestuurd van hoe je de connector moet installeren.

Met andere woorden, we zijn bijna een week verder, en er heeft zelfs niemand maar gekeken naar de omschrijving van het probleem of de logfile die ik heb meegestuurd. Waarom is MS support toch altijd zo waardeloos...

Ik zie het op hun 'forum' ook te veel. Van die 'senior' gebruikers die eerst danken dat je een bericht plaatst, daarna een standaard lap tekst dat net zo goed door een AI geschreven kan zijn. Kwam vandaag bij het zoeken voor iets anders ook al zo'n onzin reactie tegen dat powershell opties noemde die helemaal niet bestaan.

Iemand anders ook problemen met de Company Portal op dit moment? Of ben ik weer de gleuksvogel waarbij alles in de soep draait?

Draait prima, maar je geeft geen details wat er mis gaat bij je.z

Ondertussen hier ook weer in orde, CP wou gewoon geen apps laden, kwam steeds af met een mogelijks netwerk issue, terwijl er niets mis is met het netwerk natuurlijk, En dat op meerdere toestellen.

Blokker_1999 schreef op dinsdag 1 april 2025 @ 12:54:
Ondertussen hier ook weer in orde, CP wou gewoon geen apps laden, kwam steeds af met een mogelijks netwerk issue, terwijl er niets mis is met het netwerk natuurlijk, En dat op meerdere toestellen.

Het is altijd DNS.



Hier ook geen issues gerapporteerd.

En ik maar denken dat het altijd de firewall is

HKLM_ schreef op dinsdag 1 april 2025 @ 21:40:
Is er hier iemand die zijn Intune werkplek / moderne werkplek heeft gebaseerd op de CIS benchmarks? (Misschien meer van toepassing voor MSP’s)

Ik zit daar nu eens serieus naar te kijken voor o.a. de Microsoft 365 benchmarks en de Microsoft Intune for Windows benchmarks.

Ik werk met klanten waarbij de CIS leidend is.

HKLM_ schreef op dinsdag 1 april 2025 @ 21:40:
Is er hier iemand die zijn Intune werkplek / moderne werkplek heeft gebaseerd op de CIS benchmarks? (Misschien meer van toepassing voor MSP’s)

Ik zit daar nu eens serieus naar te kijken voor o.a. de Microsoft 365 benchmarks en de Microsoft Intune for Windows benchmarks.

Ik ben hiermee bezig geweest bij mijn vorige werkgever. Was wel een enorm uitzoek werk om de betreffende settings te implementeren via Intune. En achteraf bleken bepaalde zaken niet werkbaar waardoor we bepaalde zaken weer terug hebben gedraaid. En "nadeel" is dat je dus ieder jaar die benchmark opnieuw moet draaien en dan ook weer, indien van toepassing, de nodige configuraties moet aanpassen.

HKLM_ schreef op woensdag 2 april 2025 @ 11:40:
[...]


Heb je een linkje naar die importeer bare templates?

Eh… volgens mij zit het achter een paywall. Klant heeft het zelf gedaan, maar ik kan wel ff zoeken waar ie ze kunt vinden. Heb zelf ook een CIS account.

HKLM_ schreef op dinsdag 1 april 2025 @ 21:40:
Is er hier iemand die zijn Intune werkplek / moderne werkplek heeft gebaseerd op de CIS benchmarks? (Misschien meer van toepassing voor MSP’s)

Ik zit daar nu eens serieus naar te kijken voor o.a. de Microsoft 365 benchmarks en de Microsoft Intune for Windows benchmarks.

Bedoel je zoiets? https://github.com/SkipToTheEndpoint/OpenIntuneBaseline

Hoe zit het ook alweer met de nieuwe AD Join connector voor Hybrid Join? Gebruiker die je gebruikt voor de Intune connectie naar 365 opzetten moet zowel Intune Admin en Intune licentie hebben? Of is Global Admin nodig, en ook licentie?

Omdat er nog zo'n 3 weken tijd is voordat de oude connector die via SYSTEM draait niet meer werkt moet ik het natuurlijk bijwerken en wil zo veel mogelijk gezeik voorkomen.

HKLM_ schreef op dinsdag 1 april 2025 @ 21:40:
Is er hier iemand die zijn Intune werkplek / moderne werkplek heeft gebaseerd op de CIS benchmarks? (Misschien meer van toepassing voor MSP’s)

Ik zit daar nu eens serieus naar te kijken voor o.a. de Microsoft 365 benchmarks en de Microsoft Intune for Windows benchmarks.

nextware schreef op woensdag 2 april 2025 @ 08:11:
[...]


Ik ben hiermee bezig geweest bij mijn vorige werkgever. Was wel een enorm uitzoek werk om de betreffende settings te implementeren via Intune. En achteraf bleken bepaalde zaken niet werkbaar waardoor we bepaalde zaken weer terug hebben gedraaid. En "nadeel" is dat je dus ieder jaar die benchmark opnieuw moet draaien en dan ook weer, indien van toepassing, de nodige configuraties moet aanpassen.

Ik heb bij een opdrachtgever CIS benchmark geïmplementeerd zien worden in Intune. Dat was een klus. Voor een andere opdracht heb ik een non-domain joined server gehardened volgens CIS. Was ook geen smooth sailing zeg maar.

Een paar key punten:
- CIS bevool dingen aan die niet in de policies van de machine zaten. Je moest een aparte ADMX downloaden om in te kunnen stellen wat CIS wilde. Als de ADMX nieuwer was dan degene op de server dan had je echt een uitdaging.
- CIS bevool settings aan die iets kapot maakten. DNS bijvoorbeeld. Door DoH te vereisen, of het downloaden van updates
- Voor Intune moest er toen heel veel via OMA-URIs geregeld worden. Er bestond domweg geen setting. Microsoft adviseert dat niet want ze zijn zelf ook constant bezig die policy set uit te breiden. Dan zou het elkaar in het vaarwater kunnen zitten.

Ik zeg niet dat je het niet moet doen, maar het is onverstandig om het coûte que coûte over te nemen als de waarheid. Begrijpen wat je aan het doen bent, of het in jouw geval zinvol is, en testen testen en nog eens testen.

En bedenk je: de zwakste schakel is degene die de muis bedient en overal op klikt. Maak ze geen admins, neem Defender licenties en zet deze goed in, en volg de aanwijzingen op security.microsoft.com*. Ik heb het voor mijn werkgever gedaan en we gingen van een score van 45% (wat heel normaal was voor onze omvang) naar 80%.

Microsoft beveelt impersonation protection aan te zetten op de e-mail. Dat doet het iets te goed , er kwam geen factuur meer binnen . Dus die kan ik niet adviseren .

Hero of Time schreef op woensdag 2 april 2025 @ 18:21:
Hoe zit het ook alweer met de nieuwe AD Join connector voor Hybrid Join? Gebruiker die je gebruikt voor de Intune connectie naar 365 opzetten moet zowel Intune Admin en Intune licentie hebben? Of is Global Admin nodig, en ook licentie?

Omdat er nog zo'n 3 weken tijd is voordat de oude connector die via SYSTEM draait niet meer werkt moet ik het natuurlijk bijwerken en wil zo veel mogelijk gezeik voorkomen.

Het is een rommeltje, afhankelijk van wie je moet geloven lijkt het niet altijd te kloppen. Ik had mijn Global Admin account een licentie gegeven en bleef tegen problemen aanlopen. Ik gaf mijn gewone gebruiker, die een licentie heeft Intune Admin en dat lijkt meer succes te hebben, al denk ik dat de veiligste optie, om zeker te zijn dat het werkt gewoon de combinatie van alle 3 is, want die ben ik op o.a. reddit ook al tegengekomen. GA+Intune Admin+licentie.

En als ik me niet vergis was het pas eind volgende maand dat de oude niet meer zou werken, anders mag MS eens gaan haasten met een oplossing voor het probleem dat ik heb, en als ik op het internet kijk, ik niet alleen.

@Blokker_1999, idd:

quote: https://techcommunity.mic...y-security-update/4386898

The old connector which uses the local SYSTEM account will no longer be available for download in Intune and will stop being supported in late May 2025. At that point, we’ll stop accepting enrollments from the old connector build. Follow the guidance provided below to update your environment to the new connector.

Eind mei dus. Maar dan nog, als je de 'oude' connector al met een MSA hebt draaien, gaat die ook stuk als ik 't goed lees.

Het kan afhankelijk zijn van interpretatie of bestaande connectoren dan nog blijven werken, want een zin zoals "At that point, we’ll stop accepting enrollments from the old connector build." kan je lezen als dat je geen nieuwe connector meer gaat kunnen toevoegen, maar ook dat je geen nieuwe devices meer in je on-prem AD gaat kunnen krijgen. En ik vermoed vooral dat laatste, al hoop ik, aan het huidige tempo waarmee MS mijn probleem behandelt, het eerste.

Vandaag 2 mails ontvangen vanuit hun support. De eerste waarmee werd aangegeven dat het probleem eindelijk zou doorgezet worden naar second level en enkele uren later kwam hij af met een link naar de MS answers site zogenaamd met iemand die hetzelfde probleem had ... niet dus. Oude connector en hoewel het ook een null exception was, wel een totaal andere.

Ik denk dus dat het het laatste geval gaat zijn mbt functioneren van de connector. Zeker als het onder system draait, dan is het gewoon klaar en over. Gebruik je al een service account, dan wellicht ook want versie is gelijk aan die oude connect.


Het hele MS Answers forum bevat alleen maar standaard nutteloze (AI) antwoorden van 'senior members' of andere MS medewerkers. Als je een werkende oplossing vindt, is het van een andere beheerder die hetzelfde probleem heeft gehad en zelf heeft opgelost. Niet MS of wat voor excuus ze ook maar hebben voor de irrelevante bagger.

HKLM_ schreef op woensdag 2 april 2025 @ 17:20:
[...]


Die ken ik inderdaad (en de maker ook), alleen als iets officieels er is zou dat de voorkeur hebben

CIS heeft ook tooling om de level 1 en 2 baselines te vergelijken tegen je huidige endpoint setttings, wel de intune baseline check gebruiken en niet zoals iemand bij ons deed de standard check runnen.


Maar de baseline van James komt imo het meest in de buurt van ready to go import, ook omdat er best wat zaken zijn die hij benoemd onder de OIBvsCIS-Rationale.csv die je niet zo maar moet aanzetten of die op een andere manier worden afgevangen.

"Goed" nieuws, MS heeft de vereiste voor de nieuwe offline device join connector met 1 maand uitgesteld, van eind mei naar eind juni.

hebben jullie ook problemen met de enrollment dat je het niet kan deleten?

alles is healthy, maar ht blijft maar terug komen.

Wat wil je precies deleten? Ik begrijp je vraag niet helemaal.

ralpje schreef op woensdag 9 april 2025 @ 11:04:
Wat wil je precies deleten? Ik begrijp je vraag niet helemaal.

ik wil de hash deleten, maar elke keer komt het terug.
de device wat je daar ziet, geen idee maar krijg het niet verwijderd!

Blokker_1999 schreef op woensdag 9 april 2025 @ 10:37:
"Goed" nieuws, MS heeft de vereiste voor de nieuwe offline device join connector met 1 maand uitgesteld, van eind mei naar eind juni.

Nu maar hopen dat veel klanten alsnog gewoon overstappen naar native Entra ID only. Al zal dat natuurlijk niet in een maand geregeld zijn.

Dat kan zomaar niet. Dat is een werk van jaren in de meeste ondernemingen daar je een hybrid joined device niet kunt omvormen naar non-hybrid. Dat vereist een redeploy. En je gaat niet heel de firma op korte termijn de laptop laten redeployen voor niets te winnen.

Blokker_1999 schreef op woensdag 9 april 2025 @ 13:31:
Dat kan zomaar niet. Dat is een werk van jaren in de meeste ondernemingen daar je een hybrid joined device niet kunt omvormen naar non-hybrid. Dat vereist een redeploy. En je gaat niet heel de firma op korte termijn de laptop laten redeployen voor niets te winnen.

Natuurlijk kan dat wel. Je zet een streep in het zand en vanaf dat moment ga je devices Entra ID only enrollen. Er zijn vrij weinig redenen te verzinnen waarom dat niet werkt en er zaken zaken gaan omvallen. Tenzij je natuurlijk geen enkel idee hebt wat je allemaal in je netwerk hebt draaien. Moet zeggen dat ik de afgelopen jaren bij diverse grote (> 10.000 werkplekken) organisatie dit soort gesprekken mede heb gevoerd en eigenlijk waren er in geen van de gevallen issues om vanaf een bepaald moment nieuwe machines niet volledig cloud only te enrollen, tuurlijk zou je ook dan nog wel zaken via Co-Management kunnen uitvoeren (als je dat nu echt zou willen), maar het device leeft vanaf dat moment puur in de cloud.

Maar goed, de angst zit voornamelijk bij de IT afdeling, die denken dat er zaken niet werken of dat er mogelijk een of andere legacy app draait die authenticeert op basis van device-naam of misschien wel hard codes allerhande legacy methoden gebruikt. Alles kan....maar in de praktijk kom ik het eigenlijk niet tegen.

En begrijp me niet verkeerd, je huidige laptops opnieuw deployen puur om te wisselen van Hybrid naar Endtra ID joined is ook niet echt een goeie business case natuurlijk Maar er uberhaupt niet aan beginnen is gewoon onverstandig volgens mij.

[ Voor 7% gewijzigd door TheVMaster op 09-04-2025 13:52 ]

Zal vast leuk zijn voor bedrijven die heel basic met office werken, maar gebruikers hier zien me al aankomen met even machine opnieuw deployen.
Designers die al hun plugins/settings opnieuw moeten instellen in Adobe pakketten.
En Developers die weer alle local iis sites/settings mogen gaan configureren.

In ideale wereld heb je alles netjes via scripting ed geregeld maar....

DDX schreef op woensdag 9 april 2025 @ 13:56:
Zal vast leuk zijn voor bedrijven die heel basic met office werken, maar gebruikers hier zien me al aankomen met even machine opnieuw deployen.
Designers die al hun plugins/settings opnieuw moeten instellen in Adobe pakketten.
En Developers die weer alle local iis sites/settings mogen gaan configureren.

In ideale wereld heb je alles netjes via scripting ed geregeld maar....

IIS sites...? Is dat nog een ding, wist niet eens dat dat nog bestond/ondersteund werd? Maar niet alleen in een ideale wereld heb je alles via scripting/automations geregeld, dat zou onderhand (het is geen 2000 meer he) toch eigenlijk iedere zichzelf respecterende IT-er toch geregeld moeten hebben? En als dat niet zo is, dan is het er op zo'n moment tijd voor.

[ Voor 3% gewijzigd door TheVMaster op 09-04-2025 14:05 ]

Heel veel zaken zijn niet (/eenvoudig) te scripten.
Ga jij maar even scriptje maken voor adobe photoshop settings of wat voor programma's mensen dan ook gebruiken.
En roaming profiles is dat nog een ding tegenwoordig ? (los ervan dat veel desingers op macs werken)

En waarom zou IIS niet meer bestaan ? Zit ook gewoon nog in Windows Server 2025.
Websites developers draaien gewoon heel veel zaken lokaal.

[ Voor 14% gewijzigd door DDX op 09-04-2025 14:31 ]

DDX schreef op woensdag 9 april 2025 @ 14:22:
Heel veel zaken zijn niet (/eenvoudig) te scripten.
Ga jij maar even scriptje maken voor adobe photoshop settings of wat voor programma's mensen dan ook gebruiken.
En roaming profiles is dat nog een ding tegenwoordig ? (los ervan dat veel desingers op macs werken)

En waarom zou IIS niet meer bestaan ? Zit ook gewoon nog in Windows Server 2025.
Websites developers draaien gewoon heel veel zaken lokaal.

Nee, roaming profiles is al heel lang geen ding meer. Ohw tuurlijk zijn er veel zaken die niet eenvoudig te scripten zijn, maar dat betekend niet dat je dan dingen maar niet meer moet doen. Als je dus een machine moet wipen (omdat hij vervangen moet worden, of omdat hij kaput is) dan kun je op dat moment switchenv an Hybrid naar Entra ID joined. Ohw en designers die op mac's werken die hebben weinig te maken met roaming profiles en/of Hybrid joined devices :-)

Ook macs zijn hier gelukkig gewoon entra id joined, platform sso werkt erg goed. (en weg met gedoe met jamf connect om passwords te syncen)

Al blijft macos en intune nog wel wat issues hebben, heb nu 3 supportcases lopen :

Device die vrolijk blijft melden dat macos versie 14.5 erop staat in intune console/reports terwijl er gewoon 15.4 op staat.
Last check-in gewoon recent en ook compliance vinkje. (wat hij niet zou krijgen als er oude versie op zou staan)
En ook verder lijkt alles ok te zijn. (pkg's kan ik ook gewoon uitrollen naar die mac)
Supportmedewerker gaf na 2 weken aan ja doe maar format reenroll, toen ik aangaf dat ik daar niet echt zin in heb omdat alleen versie nummer niet klopt is hij in overleg met senior engineer.

Device die niet meer synct, last check-in inmiddels paar maanden geleden.
Ook die is het antwoord doe maar reenroll ;
Unfortunately, when a device has not checked in with Intune for more than 60 days, the certificates expire. To renew them, re-enrollment of the device is necessary. I understand this may not be the ideal solution, and I empathize with your situation.
Dus als iemand ziek is/lang vakantie moet je daarna maar reenroll doen ?
Ligt ook weer bij een senior engineer.

En dan nog ticket omdat ik een programma update uitrol via een pkg en die vrolijk meld, install pending op alle machines.
company portal log meld niets nuttigs (zover ik kan zien)
Supportcase inmiddels al 2 weken open en weinig leven aan de kant van Microsoft, als ik dan vraag om een teken van leven krijg je een mailtje kan je de logs sturen of screenshot, terwijl die al gewoon bij case opening toegevoegd zijn...

Ok dat was even mij frustratie over macos icm intune

Blokker_1999 schreef op donderdag 3 april 2025 @ 09:08:
[...]

Het is een rommeltje, afhankelijk van wie je moet geloven lijkt het niet altijd te kloppen. Ik had mijn Global Admin account een licentie gegeven en bleef tegen problemen aanlopen. Ik gaf mijn gewone gebruiker, die een licentie heeft Intune Admin en dat lijkt meer succes te hebben, al denk ik dat de veiligste optie, om zeker te zijn dat het werkt gewoon de combinatie van alle 3 is, want die ben ik op o.a. reddit ook al tegengekomen. GA+Intune Admin+licentie.

En als ik me niet vergis was het pas eind volgende maand dat de oude niet meer zou werken, anders mag MS eens gaan haasten met een oplossing voor het probleem dat ik heb, en als ik op het internet kijk, ik niet alleen.

Hier vandaag een installatie gedaan bij een klant waarbij we moesten updaten naar de nieuwste versie. Ook hier kwam de sign-in in een loop terecht, zelfs wanneer de gebruiker was voorzien van licentie & intune administrator role.

Wat blijkt:
Waneer je de nieuwe connector installeert, maakt hij automatisch al een MSA account aan. Vervolgens hebben we de intune connector service gekoppeld aan de MSA onder het logon tabje (geen wachtwoord invullen, want een MSA heeft geen wachtwoord) en de service herstart. Toen weer de intune connector geopend en toen werkte het direct. Mogelijk is dit een fix die ook voor anderen werkt.

HKLM_ schreef op woensdag 2 april 2025 @ 17:20:
[...]


Die ken ik inderdaad (en de maker ook), alleen als iets officieels er is zou dat de voorkeur hebben

Ik kan je de openintunebaseline echt aanraden. Wij hebben laatst een nieuwe klant volledig ingericht op basis van deze baselines en het is echt een verademing ten opzichte van CIS en/of de Microsoft baselines. Op Github staat ook een overzicht van mogelijke issues die je gaat krijgen bij het toepassen van de CIS of Microsoft baselines.

Zie OIBvsCIS-Rationale.csv

[ Voor 20% gewijzigd door FREAKJAM op 09-04-2025 16:41 ]

HKLM_ schreef op woensdag 9 april 2025 @ 15:50:
[...]


Ik had niet verwacht het te zeggen maar ook ik heb laatst een hybride join opgeleverd. Tuurlijk wilde ik full entra maar dan waren we een jaar verder voordat alles rond was qua opruimen, policies, apps packagen etc. Nu kunnen ze al van Intune genieten en werken we aan de overgang naar entra joined.

Een tijdelijke tussenstop zegmaar.

Moet eerlijk bekennen dat ik nu ook met pre-sales bezig ben voor een project waar we waarschijnlijk Hybrid moeten gaan doen. Klant is echt heel erg bang om Entra ID joined te doen en het gaat om best veel devices (en een groot traject), maar goed eerst de POC maar eens ff afwachten. Mogelijk zien ze dan in dat het allemaal niet zo eng gaat zijn en gaan we gewoon EntraID joined doen. Is wel een traject waarbij de hele uitrol meer dan een jaar gaat duren mede omdat er pre-provisioning gedaan (moet) worden en nog wat andere 'limiterende' zaken.

TheVMaster schreef op woensdag 9 april 2025 @ 16:40:
[...]


Moet eerlijk bekennen dat ik nu ook met pre-sales bezig ben voor een project waar we waarschijnlijk Hybrid moeten gaan doen. Klant is echt heel erg bang om Entra ID joined te doen en het gaat om best veel devices (en een groot traject), maar goed eerst de POC maar eens ff afwachten. Mogelijk zien ze dan in dat het allemaal niet zo eng gaat zijn en gaan we gewoon EntraID joined doen. Is wel een traject waarbij de hele uitrol meer dan een jaar gaat duren mede omdat er pre-provisioning gedaan (moet) worden en nog wat andere 'limiterende' zaken.

Als ze het 'eng' vinden is het inderdaad proberen om de angst weg te nemen. Ben wel benoemd waar ze dan bang voor zijn. (dat bepaalde dingen niet zouden werken oid?)

Microsoft benoemt ook heel duidelijk in de docs om het bij nieuwe deployments niet meer toe te passen.

'Microsoft recommends deploying new devices as cloud-native using Microsoft Entra join. Deploying new devices as Microsoft Entra hybrid join devices isn't recommended, including through Windows Autopilot. For more information, see Microsoft Entra joined vs. Microsoft Entra hybrid joined in cloud-native endpoints: Which option is right for your organization.'

FREAKJAM schreef op woensdag 9 april 2025 @ 16:47:
[...]


Als ze het 'eng' vinden is het inderdaad proberen om de angst weg te nemen. Ben wel benoemd waar ze dan bang voor zijn. (dat bepaalde dingen niet zouden werken oid?)

Microsoft benoemt ook heel duidelijk in de docs om het bij nieuwe deployments niet meer toe te passen.

'Microsoft recommends deploying new devices as cloud-native using Microsoft Entra join. Deploying new devices as Microsoft Entra hybrid join devices isn't recommended, including through Windows Autopilot. For more information, see Microsoft Entra joined vs. Microsoft Entra hybrid joined in cloud-native endpoints: Which option is right for your organization.'

Ja, daar ben ik dus ook wel benieuwd naar. Ik weet dat MS het niet meer aanraadt, maar deze klant heeft het idee dat ze daar geen rekening mee hoeven te houden, aangezien MS het wel ondersteund.

Zijn er mensen die toevallig deze week ook op de MEM Summit in Parijs te vinden zijn?

TheVMaster schreef op woensdag 9 april 2025 @ 18:12:
[...]


aangezien MS het wel ondersteund.

Ja, dat ze daar eens mee stoppen !

[ Voor 6% gewijzigd door ralpje op 22-04-2025 11:44 ]

Zullen ze niet snel doen. Ik zie hybrid join via Autopilot niet voor 2030 verdwijnen. Wel hoop ik dat Entra ID en on-prem AD dichter naar elkaar toegroeien de volgende jaren zodat er meer management vanuit Entra mogelijk is en dus ook write-back voor meer dingen naar on-prem groepen mogelijk wordt.

Na zowat een maand, en nog altijd geen stap verder met Microsoft support ben ik ineens toch een stap verder met de ODJ connector. Op dit moment aan het wachten op een collega die in principe toegang hoort te hebben tot de juiste user account om het recht te zetten...

Ik heb ondertussen dat onding in Dotpeek gegooid om zelf eens in de code te kijken en ook de logfiles verder blijven analyseren.

Om een voor mij nog altijd onbegrijpelijke reden wordt tijdens de setup van de MSA een functie aangeroepen die alle toegangsrechten van die MSA gaat probneren te verwijderen op alle OUs in je eigen omgeving. Om het nog wat erger te maken wordt deze functie deze eerste keer ook aangeroepen met de vlag om logging te doen op false

Hierdoor krijg je in de logs dus wel een foutboodschap te zien, maar niet op welke OU dit gebeurd. Nadat deze fout voorkomt, begint de tool met het opkuisen van alle aanpassingen die mogelijks gebeurd zijn en daarbij wordt opnieuw dezelfde functie aangeroepen om de account van alle OUs te verwijderen, maar ditmaal met logging aangezet. Spijtig genoeg is de logging slecht ontworpen, want op het moment dat het misloopt krijg je dus in beide gevallen wel een foutmelding, maar die verteld niet op welke OU het misloopt.

Maar daar ik logging heb, zie ik wel op welke OUs het wel gelukt is. Al llijkt dat op het eerste zicht ook niet zinvol, we hebben meer dan 200 OUs en we zijn nog niet halfweg op het moment dat de fout zich voordoet. Maar ik maakte toch even een oplijsting van OUs in PowerShell en tot mijn verbazing stonden die eerste 10 OUs in dezelfde volgorde als waarin ze ook in mijn log staan.

Dus ik begin erdoor te scrollem met de 2 lijsten naast elkaar en verdorie, die komen helemaal overeen. Dus de OU die volgt op de laatste OU in de logging is de OU waar het misloopt. Ik ga naar die OU, vraag de eigenschappen op, ga naar het security tab en wat zie ik? Mijn domain admin account heeft geen rechten op die OU. Ik vraag een collega met een Enterprise Admin account om ook even te kijken en tot onze verbazing heeft ook hij geen rechten op die OU.

Dit verklaard natuurlijk wel waarom het misloopt. De code probeert de security aan te passen, maar het account waarmee we dat doen heeft simpelweg geen rechten.

Ik heb een idee van het account dat wel rechten zou moeten hebben, en gebruik onze PAM tool om met dat account even de rechten te gaan bekijken, en zelfs die account heeft geen full control over de security van de OU. Er blijkt welgeteld 1 service account te zijn met full control, een account waarvan ons security team al jaren vraagt om het te verwijderen en waardoor ik ineens blij ben dat die nog altijd bestaat.

Het is nu wachten op een collega die hopelijk nog het wachtwoord heeft van dat service account, want de andere enterprise admins zeggen dat het wachtwoord in hun keyvault niet overeen komt met het huidige wachtwoord in AD. Hopelijk kunnen we na 1 maand dit hoofdstuk eindelijk afsluiten.

Hotpatch for Windows client now available

En toch denk ik niet dat we bij ons snel aan Hotpatching op laptops gaan doen. Aan de ene kant is het positief als gebruikers minstens 1x per maand eens herstarten, en dan ook echt herstarten (wat een shutdown+startup al lang niet meer is dankzij fastboot) en daarnaast zijn er nog andere updates die tussendoor ook wel eens een herstart kunnen vragen, zoals drivers of applicaties die een gebruiker installeert. En het is nu ook niet alsof herstarten lang duurt tegenwoordig, toch niet bij quality updates. Feature updates, dat is iets anders.

Bij hotpatch haal je net die reboot weg en kom je potentieel weer een stuk dicher bij devices die 100 dagen aan uptime gaan hebben. Ja, de grootste kwetsbaarheden op het niveau van het OS zijn dan wel gedicht, en dat is positief, maar we weten als beheerder ook dat een systeem dat blijft draaien en nooit herstart ook wel eens de nodige problemen durft krijgen.

Dankzij de patching van het OS zorgen we er vandaag net voor dat er toch eens maandelijks een herstart gebeurt en alles terug in initiele staat wordt gezet. En dat lijkt mij toch echt geen slecht idee te zijn en kan helpen om bepaalde problemen net te voorkomen.

Gebruikers krijgen bij ons 1 week in totaal tussen dat hun laptop de update aangeboden krijgt en de reboot verplicht wordt uitgevoerd. Een balans tussen planbaarheid en dwingendheid. Als het echt zo belangrijk is dat patching zo snel mogelijk gebeurt, kan je evengoed je update rings gaan afschaffen en iedereen op patch tuesday bijwerken. Maar dat doen we uiteraard ook niet. Bij ons zit er bijv. 9 dagen vertraging op de broad ring en heb nog nooit geweten dat MS, ondanks dat we dat toestaan, updates versneld heeft doorgevoerd (of niet heeft doorgevoerd).

Vandaag de ODJ connector bijgewerkt naar de nieuwe versie die een MSA gebruikt. Wat zijn de instructies bagger zeg en de configuration wizard net zo.

Begint met het punt dat het Edge Webview2 gebruikt. Als je de configuration wizard start, komt 'ie met de melding of je het wil downloaden als je 't niet hebt. Prima, op de server opent IE en krijg een download voorgeschoteld. Dat is niet de webview, maar Edge zelf. Zou dat voldoen? Zou dat ook de webview in zich hebben? Nee, dat is het niet. Mag je die alsnog zelf gaan opzoeken en downloaden.

Staat 'ie erop, start je de wizard weer, UAC prompt want moet met admin rechten draaien. Klik op 'Sign in' en je wordt begroet met de melding dat het niks kan vinden/maken in de EBView (oid) map. Die bestaat helemaal niet. De bovenliggende map in de melding is leeg. Gooi ik die map weg, start de wizard opnieuw en de map wordt opnieuw aangemaakt, maar dezelfde melding komt weer naar voren.

In de comments bij de blogposting over de nieuwe connector staat dat je maar de gebruiker waaronder het zou draaien (eh, dat ben ik, met local admin rechten, de groep administrators mag al genoeg) full control moet geven. En dat werkt idd, had maar 'everyone' erop toegewezen.

Toch wel erg triest eigenlijk dat het zo veel problemen geeft voor iets dat eenvoudig zou moeten zijn. Nu moet ik het nog testen, had niet direct een systeem om in te spoelen, de grote bulk is al gedaan.

Hero of Time schreef op woensdag 7 mei 2025 @ 18:59:
Vandaag de ODJ connector bijgewerkt naar de nieuwe versie die een MSA gebruikt. Wat zijn de instructies bagger zeg en de configuration wizard net zo.

Begint met het punt dat het Edge Webview2 gebruikt. Als je de configuration wizard start, komt 'ie met de melding of je het wil downloaden als je 't niet hebt. Prima, op de server opent IE en krijg een download voorgeschoteld. Dat is niet de webview, maar Edge zelf. Zou dat voldoen? Zou dat ook de webview in zich hebben? Nee, dat is het niet. Mag je die alsnog zelf gaan opzoeken en downloaden.

Staat 'ie erop, start je de wizard weer, UAC prompt want moet met admin rechten draaien. Klik op 'Sign in' en je wordt begroet met de melding dat het niks kan vinden/maken in de EBView (oid) map. Die bestaat helemaal niet. De bovenliggende map in de melding is leeg. Gooi ik die map weg, start de wizard opnieuw en de map wordt opnieuw aangemaakt, maar dezelfde melding komt weer naar voren.

In de comments bij de blogposting over de nieuwe connector staat dat je maar de gebruiker waaronder het zou draaien (eh, dat ben ik, met local admin rechten, de groep administrators mag al genoeg) full control moet geven. En dat werkt idd, had maar 'everyone' erop toegewezen.

Toch wel erg triest eigenlijk dat het zo veel problemen geeft voor iets dat eenvoudig zou moeten zijn. Nu moet ik het nog testen, had niet direct een systeem om in te spoelen, de grote bulk is al gedaan.

Misschien dat je toch wat meer druk moet gaan uitoefenen intern om af te stappen van het hele Hybrid gebeuren

TheVMaster schreef op woensdag 7 mei 2025 @ 21:42:
[...]

Misschien dat je toch wat meer druk moet gaan uitoefenen intern om af te stappen van het hele Hybrid gebeuren

De oude connector werkte met een paar klikken. Deze nieuwe versie die voor 'security' redenen met een MSA moet werken lijkt door een stagiair te zijn gemaakt. Gezien de problemen die met Windows Updates het afgelopen halve jaar al zijn, hebben ze blijkbaar de hele QC afdeling ontslagen en Copilot de opdracht gegeven.

Het maakt niet uit of je nou wel of niet hybrid wil/moet doen, het gaat om de kwaliteit van wat ze opleveren. En dat laat erg te wensen over.

Hero of Time schreef op woensdag 7 mei 2025 @ 22:13:
[...]

De oude connector werkte met een paar klikken. Deze nieuwe versie die voor 'security' redenen met een MSA moet werken lijkt door een stagiair te zijn gemaakt. Gezien de problemen die met Windows Updates het afgelopen halve jaar al zijn, hebben ze blijkbaar de hele QC afdeling ontslagen en Copilot de opdracht gegeven.

Het maakt niet uit of je nou wel of niet hybrid wil/moet doen, het gaat om de kwaliteit van wat ze opleveren. En dat laat erg te wensen over.

Tja, het wordt sowieso tijd om eens verder te kijken naar native Entra ipv Hybrid en daar langzaam van weg te migreren.

Ik moet nog altijd een periode zoeken om verder te troubleshooten. Ik had enkele weken terug de connector eindelijk up and running, ik schakel de oude uit en meld aan men client side team dat ze eens een deploy moeten proberen om te zien of deze werkt.

Enkele uren later de melding dat alle deploys aan het falen zijn omdat ze niet meer geregistreerd geraken in AD, de connector is dus wel opgezet, maar werkt simpelweg niet.

Wraakroepend is zoiets. En omdat de connectors gewoon Intune gaan pollen en deze dus niet toewijst aan een specifiek profiel, kan je ook niet zeggen dat je ze even los gaat testen. En dat terwijl we net volop in de eindsprint van onze Win10 naar Win11 updates zitten waarbij we een wipe en load doen die mensen ook remote kunnen uitvoeren. Omdat we daarmee geen controle hebben over wie wanneer een update doet, heb ik ook geen tijdframe waarin ik kan zeggen dat ik even de connectors omdraai om wat te gaan troubleshooten.

HKLM_ schreef op woensdag 7 mei 2025 @ 22:40:
[...]

Wij hadden eigenlijk 0 issues met de overgang, setup draaien en gaan. Enige was dat de 2x in de gui stond van intune.

We moeten de connector nog testen. Er staan er nu ook 2 in Intune, de oude en de nieuwe. Dat schijnt te kloppen en lost vanzelf op als de oude na een maand niet meer rapporteert. Dat zou het ook niet meer moeten doen, want het is verwijdert.

Morgen gaat m'n collega van de SD met een Surface Pro 10 aan de slag voor een nieuwe collega. We gaan het dus wel zien.

Maar als je server nog IE opent welke versie is dat dan? Naar mijn weten hebben recente versie default edge.

Server 2019 heeft geen pre-installed Edge. Misschien Server 2022 al, maar 2025 iig wel.

Wellicht heeft iemand hier een idee.

Ik heb een Azure File Share met een access key, dit is voldoende voor onze beveiliging en voorkomt weer allerlei dure en onnodige componenten binnen Azure / M365. Na aanmaken van de fileshare krijg je een connectie Powershell script, dat heb ik iets ingekort en dit is wat er dan overblijft:


Als ik dit script lokaal draai als gebruiker dan worden de credentials netjes toegevoegd aan Windows en de Z wordt gekoppeld aan share. Niks aan de hand.

Stuur ik ditzelfde script uit via Intune dan worden de credentials wel netjes toegevoegd maar er komt geen share. In Intune na verloop van tijd een error dat de local name al in gebruik zou zijn (wat niet het geval is). Script loopt in de user context, niet gesigneerd en x32 of x64 maakt geen verschil.

Ben nu aan het kijken of ik het script enkel de credentials kan laten toevoegen en dan een ADMX erbij om de boel te koppelen. Maar in feite zou het powershell script dit toch ook moeten kunnen zo? Wat zie ik over het hoofd

https://learn.microsoft.c...sistent-drive-in-a-script


-scope Global toevoegen

Drardollan schreef op woensdag 14 mei 2025 @ 13:30:
Wellicht heeft iemand hier een idee.

Ik heb een Azure File Share met een access key, dit is voldoende voor onze beveiliging en voorkomt weer allerlei dure en onnodige componenten binnen Azure / M365. Na aanmaken van de fileshare krijg je een connectie Powershell script, dat heb ik iets ingekort en dit is wat er dan overblijft:

code:

1 2 3 4 5 6 7

# Add key to Credential Manager cmd.exe /C "cmdkey /add:`"url.file.core.windows.net`" /user:`"localhost\url`" /pass:`"1234`"" Start-Sleep -Seconds 2 # Mount the drive New-PSDrive -Name Z -PSProvider FileSystem -Root "\\url.file.core.windows.net\share" -Persist

Als ik dit script lokaal draai als gebruiker dan worden de credentials netjes toegevoegd aan Windows en de Z wordt gekoppeld aan share. Niks aan de hand.

Stuur ik ditzelfde script uit via Intune dan worden de credentials wel netjes toegevoegd maar er komt geen share. In Intune na verloop van tijd een error dat de local name al in gebruik zou zijn (wat niet het geval is). Script loopt in de user context, niet gesigneerd en x32 of x64 maakt geen verschil.

Ben nu aan het kijken of ik het script enkel de credentials kan laten toevoegen en dan een ADMX erbij om de boel te koppelen. Maar in feite zou het powershell script dit toch ook moeten kunnen zo? Wat zie ik over het hoofd

heb je hier niet wat aan?
https://intunedrivemapping.azurewebsites.net/

deze gebruik ik ook bij een klant.

of anders deze:

https://petervanderwoude....hares-on-windows-devices/


sowieso zorgen dat het script niet onder system draait maar onder user. anders krijg je sowieso nooit die drivemapping onder de user te zien.

[ Voor 7% gewijzigd door Dirtyrockers op 14-05-2025 14:08 ]

Dirtyrockers schreef op woensdag 14 mei 2025 @ 14:05:
[...]


heb je hier niet wat aan?
https://intunedrivemapping.azurewebsites.net/

deze gebruik ik ook bij een klant.

Die werkt volgens mij enkel voor shares in je onprem, die is afhankelijk van LDAP en dat soort dingen zover ik kan zien.

of anders deze:

https://petervanderwoude....hares-on-windows-devices/


sowieso zorgen dat het script niet onder system draait maar onder user. anders krijg je sowieso nooit die drivemapping onder de user te zien.

Yep draait als user, anders gaat het niet goed.

Drardollan schreef op woensdag 14 mei 2025 @ 14:14:
[...]

Die werkt volgens mij enkel voor shares in je onprem, die is afhankelijk van LDAP en dat soort dingen zover ik kan zien.


[...]

Yep draait als user, anders gaat het niet goed.

ik misbruik hem bij een klant voor azure file shares iig.

Drardollan schreef op woensdag 14 mei 2025 @ 13:30:
Wellicht heeft iemand hier een idee.

Ik heb een Azure File Share met een access key, dit is voldoende voor onze beveiliging en voorkomt weer allerlei dure en onnodige componenten binnen Azure / M365. Na aanmaken van de fileshare krijg je een connectie Powershell script, dat heb ik iets ingekort en dit is wat er dan overblijft:

code:

1 2 3 4 5 6 7

# Add key to Credential Manager cmd.exe /C "cmdkey /add:`"url.file.core.windows.net`" /user:`"localhost\url`" /pass:`"1234`"" Start-Sleep -Seconds 2 # Mount the drive New-PSDrive -Name Z -PSProvider FileSystem -Root "\\url.file.core.windows.net\share" -Persist

Als ik dit script lokaal draai als gebruiker dan worden de credentials netjes toegevoegd aan Windows en de Z wordt gekoppeld aan share. Niks aan de hand.

Stuur ik ditzelfde script uit via Intune dan worden de credentials wel netjes toegevoegd maar er komt geen share. In Intune na verloop van tijd een error dat de local name al in gebruik zou zijn (wat niet het geval is). Script loopt in de user context, niet gesigneerd en x32 of x64 maakt geen verschil.

Ben nu aan het kijken of ik het script enkel de credentials kan laten toevoegen en dan een ADMX erbij om de boel te koppelen. Maar in feite zou het powershell script dit toch ook moeten kunnen zo? Wat zie ik over het hoofd

Deze al gezien?
https://learn.microsoft.c...es-drive-with-a-sas-key-u

xven0mxz schreef op woensdag 14 mei 2025 @ 15:09:
[...]


Deze al gezien?
https://learn.microsoft.c...es-drive-with-a-sas-key-u

Nee, maar is wel interessant. Users zijn uiteraard local admin, dat is automatisch als je ze Entra Joined zo.

Drardollan schreef op donderdag 15 mei 2025 @ 09:55:
[...]

Nee, maar is wel interessant. Users zijn uiteraard local admin, dat is automatisch als je ze Entra Joined zo.

Dat hangt er maar weer net vanaf hoe je die Entra join doet.

En gebruikers als local admin wil je niet.

Drardollan schreef op donderdag 15 mei 2025 @ 11:04:
[...]


Dat lijkt wel de juiste weg te zijn, maar om een of andere reden geeft Get-CimInstance -Class Win32_ComputerSystem | Select-object de Username niet meer terug. Wat een gedoe.

Edit: reden gevonden. Die waarde is leeg als je connect via RDP, als je direct op de host inlogt dan is hij wel gevuld. Wie dat bedacht heeft....

Werkt nu dus?

xven0mxz schreef op donderdag 15 mei 2025 @ 11:36:
[...]


Werkt nu dus?

Dankzij mijn eigen aanpassing werkt het nu grotendeels, heb voor de username nu "whoami" gebruikt. Die is wel gevuld bij lokale en RDP inlog.

Ben nu zover dat ik het script kan droppen en uit voeren in een scheduled task. Ook weer moeten aanpassen, je kan vanuit Powershell geen Delay meegeven aan de trigger bij het aanmaken van de task, dus nu in het script maar een 60 seconden delay gegooid.

Maar heb het ook werkend met een Config Refresh en gebruik van Drive Mappings.admx. Dan komt de drive ook bij eerste inlog en vervolgens ook als de gebruiker "per ongeluk" een disconnect doet.

We zijn er dus bijna, eindelijk.

Hier ook een organisatie waar iedereen local admin was — vooral vanwege scriptjes die als administrator moesten draaien. Daardoor ontstonden overal ‘brandjes’ en vage issues. Ik draai nu een pilot waarbij sommige gebruikers (die eerder vaak problemen hadden) geen adminrechten meer hebben. Sindsdien heb ik ze niet meer gehoord.

Bijna alle oude scriptjes inmiddels vervangen en Intune met Autopilot ingericht. Kan niet wachten om dit overal de standaard te maken.

TheVMaster schreef op donderdag 15 mei 2025 @ 15:56:
[...]


Het is niet echt een zinloze discussie. Er is eigenlijk anno 2025 geen enkele reden meer te verzinnen om gebruikers local admin te laten zijn, tenminste als je Autopilot gebruikt. Als je dat niet gebruikt, dan kan ik er nog wel begrip voor opbrengen hoor. Of het verstandig is kunnen we ook gewoon kort over zijn, dat is het zeker niet.

Maar goed, laten we idd niet verzanden in wie de langste heeft. dat win ik toch altijd

dan he je nog geen spaanse software boeren gehad op je stoep.
Smart screen wat een applicatie niet opstart, alleen omdat het digitalk sign signature heeft.
Overgestapt van local naar hybride omgeving, najaa niet fijn.

Het is een leuke tool als je van die standaard applicaties hebt, maar beetje er buiten en je loopt al vast.