Microsoft Intune ervaringentopic

TheVMaster schreef op woensdag 28 mei 2025 @ 02:13:
[...]


Tenzij er weer security eisen zijn die dan verlangen dat een gebruiker z’n pc naar kantoor komt brengen en dan een nieuw device meekrijgt.

Niet eens zozeer security eisen, als wel 'gemak'.
Als zo'n ding echt fysiek stuk is (en geloof me, dat gebeurt hier regelmatig, zeker bij de TD) dan zal er een ander device uitgegeven moeten worden. Hem dan alvast kunnen pre-provisionen is toch wel handig.
Hetzelfde bij een hardware-swap vanwege lifecyclemanagement. Nieuwe laptop? Ding voorbereiden, kom naar kantoor, lever je oude in en je kunt een stuk sneller weer aan de slag met je nieuwe.

[ Voor 15% gewijzigd door ralpje op 28-05-2025 08:45 ]

TheVMaster schreef op dinsdag 27 mei 2025 @ 23:17:
[...]


100en per jaar ook maar weer 10-20 per week. Dat kan nog steeds met een usb stick 😎

Laat ik het zo zeggen, ik kom nog uit de tijd dat we 50+ machines per keer inspoelden door ze op te starten met een CD-ROM met Ghost.exe om vervolgens via het seperate 100 mbit netwerk de image te verspreiden.

Een USB stick of welke moderne tool dan ook is alsof ik ruimtereiziger ben geworden

Drardollan schreef op woensdag 28 mei 2025 @ 09:28:
[...]

Laat ik het zo zeggen, ik kom nog uit de tijd dat we 50+ machines per keer inspoelden door ze op te starten met een CD-ROM met Ghost.exe om vervolgens via het seperate 100 mbit netwerk de image te verspreiden.

Een USB stick of welke moderne tool dan ook is alsof ik ruimtereiziger ben geworden

Ohw, been there done that. Bij jou ging het al over 100Mbit, bij mij ging het in het begin over 16Mbit Tokenring

Blokker_1999 schreef op dinsdag 27 mei 2025 @ 16:22:
Preprovisioning wordt ook afgeraden door velen trouwens.

Wij overwegen juist voor ons <300 personen org dit als standaard te gaan nemen, toestellen niet moeten aanraken voordat ze naar de users gaan is wel mooi. Waarom wordt het afgeraden ?

Blokker_1999 schreef op woensdag 28 mei 2025 @ 13:00:
Zonder preprovisioning kan de eindgebruiker de doos zelf openmaken, de laptop zelf uitpakken en in gebruik nemen.

OK ik had het fout begrepen, ik bedoelde de zero-touch implementation en verwarde het met preprovisioning.

Blokker_1999 schreef op woensdag 28 mei 2025 @ 13:00:
Zonder preprovisioning kan de eindgebruiker de doos zelf openmaken, de laptop zelf uitpakken en in gebruik nemen. Het duurt iets langer omdat ook de computer policies en applicaties moeten gedownload worden, maar zolang je geen 100GB aan apps wenst te installeren, mag dat ook geen showstopper zijn. De enige app die bij ons veel tijd in beslag neemt is Office, en ik lobby al lange tijd om die net als user installed app te aanschouwen. Maar je zit daar met het verschil tussen nieuwe gebruikers en bestaande gebruikers die een nieuwe laptop krijgen. Die eerste groep kan perfect een half uur wachten totdat Office erop staat als ze eenmaal op hun desktop zijn, die moeten sowieso eerst nog wat training volgen in de browser en daarna de security quiz afleggen. Maar die andere kan mogelijks wel eens sneller nood hebben aan het office pakket zonder dat ze met 2 laptops moeten weglopen om verder te kunnen werken.

Mijn insteek was altijd het verspreiden van de overtuiging dat een gebruiker zelf in staat is om een apparaat in te richten. Daar hoort ook het installeren van software bij. Het signaal wat je afgeeft naar eindgebruikers is dat je ze serieus neemt, maar vanuit technisch perspectief verkort je ook de wachttijd voor ze.

Microsoft 365-apps lever je dan nog mee en de rest zoekt met maar uit via de Company Portal, hoor.

Ervaren jouw gebruikers het als vervelend om op zo’n uitrol te wachten? Een halfuurtje is toch niet bijzonder veel?

We installeren ook effectief enkel de basics. Onze virusscanner, onze VPN software, wat config die we sowieso noodzakelijk hebben (zo moeten we de schijf partitioneren want we hebben software die een folder op E:\ verwacht) en op verzoek van mgmt en client side zit er dus ook Office bij omdat iedereen in het bedrijf toch Office nodig heeft. Al ben ik persoonlijk vna mening dat die vereiste stilaan komt te vervallen vlak na de ingebruikname. Als je echt snel aan je mail moet of een document moet bewerken dan kan dat vandaag ook perfect in de browser.

Het is uiteindelijk vooral ons client side team, de mensen die helpen bij het opzetten van de systemen, dat wachten vervelend vindt. Zowel bij de onboarding als bij vervangingen gebeurt zoveel mogelijk in groep. En als iedereen daar dan een half uur naar een wachtscherm zit te staren, is dat niet leuk natuurlijk. Daarom dat wij wel de preprovisioining doen bij ons op dit moment, wanneer het mogelijk is. Voor sommige remote offices waar we geen IT staffing hebben alsook voor sommige gebruikers die nooit op kantoor komen is het sowieso niet mogelijk.

Sommige gebruikers vinden het vreemd dat ze van een laptop gaan waarop alles voorgeinstalleerd is wat je maar kunt nodig hebben (en waar ze nog admin zijn!) naar een laptop waar we die admin afnemen en waar ze bijna alles zelf moeten installeren via de Company Portal, maar die transitie ronden we dit jaar ook af en is eigenlijk heel pijnloos verlopen in deze organsiatie, veel vlotter dan ik zelf verwacht had.

Er zijn ook niet veel gebruikers die het wachten vervelend vinden, ze worden toch betaald voor die tijd, maar vanuit managementsperspectief wil men daarom net de kosten laag houden uiteraard. Als je 20 man hebt die een half uur met hun vingers zitten te draaien zijn dat 10 verloren manuren. Maar met preprovisioning en met het overslaan van de user setup fase in de OOBE valt er eigenlijk niet veel meer te wachten voor de meeste mensen.

Grrr. Had een perfect werkende Bitlocker policy. Gooi ik hem per ongeluk weg en nu weet ik natuurlijk niet meer exact wat ik had ingesteld

Voelt als vrijdagmiddag...

Drardollan schreef op woensdag 28 mei 2025 @ 13:36:
Grrr. Had een perfect werkende Bitlocker policy. Gooi ik hem per ongeluk weg en nu weet ik natuurlijk niet meer exact wat ik had ingesteld

Voelt als vrijdagmiddag...

Daarom eerst documenteren, controleren en dan uitvoeren

Mosterd en maaltijd

Ik ben nu begonnen om bij mijn huidige opdrachtgever over te gaan naar modern workplace. 70 FTE.

Blijft dit leuke projecten vinden om te doen. Moet ook wel zeggen dat ik behoorlijk MS minded ben en de tooling ed goed vind werken.

Unknown Alien schreef op woensdag 28 mei 2025 @ 14:07:
[...]

Daarom eerst documenteren, controleren en dan uitvoeren

Mosterd en maaltijd

Ja haha. Ik maakte de fout door niet op te letten of ik in mijn test of productie tenant zat. Mijn Powershell scripts documenteer ik wel consequent, maar daar heb je niks aan als het om policies gaat

Blokker_1999 schreef op woensdag 28 mei 2025 @ 13:02:
[...]

Vraag me af welke overwegingen dat zijn. Ja, in principe zou iemand de laptop kunnen onderscheppen en er malware op installeren, maar dan denk ik toch dat dat een zeer onwaarschijnlijke aanvalsvector is.

Ligt beetje aan de klant natuurlijk, maar klanten zoals bepaalde ministeries met locaties all over de world zijn wel een voorbeeld waarbij pre-provisioning een optie kan zijn. Device worden dan versleuteld en voorzien van alle beveiligingen geshipt.

Gaan we weer, vandaag wat tijd gevonden, en gekregen, om die hybrid join connector te bekijken, en waarom deploys falen met de nieuwe connectors. Ga je in de event viewer kijken en kom je een foutmelding tegen die zegt:

RequestOfflineDomainJoinBlob_Failure: Failed to generate ODJ blob
InstanceId: <id>
RequestId: <id>
DeviceId: <id>
DomainName: <domain name>
RetryCount: 0
WinErrorCode: 5
ErrorDescription: Failed to call NetProvisionComputerAccount machineName=<ComputerName>
DiagnosticCode: 2048
DiagnosticText:"Failed to get the ODJ Blob. The ODJ connector does not have sufficient privileges to complete the operation [Exception Message: "DiagnosticException: 0x00000800. Failed to get the ODJ Blob. The ODJ connector does not have sufficient privileges to complete the operation"] [Exception Message: "Failed to call NetProvisionComputerAccount machineName=<ComputerName>"]"

En je vindt exact dezelfde foutmelding op de site van Microsoft. Het enige wat MS daar zegt is dat de permissies op de OU verkeerd staan als je die foutmelding ziet. Ik kijk de permissies na en ... die staan gewoon goed. De MSA mag computer objecten aanmaken in die OU.

Is het nu echt te veel gevraagd om wat meer detail in de foutmeldingen te steken zodat je op zijn minst weet op welke OU het misloopt? Want het kan niet de OU zijn waar ik de computerobjecten in wil laten terechtkomen, daar staan de rechten gewoon goed.

Dus kiezen we maar even voor de nucleaire optie en geef ik die MSA full control op de OU, en dat maakt ook geen verschil. Verder zoeken dus. Uit nieuwsgierigheid start ik ook even mijn tweede connector op en sluit ik de eerste af. En verhip. Nummer twee werkt wel gewoon. Waar zit dan het verschil? (buiten dat 1 op 2025 draait en 2 op 2022).

Wat verder zoeken, en dan kom ik er achter dat op de eerste server, de service onder het system account draait ipv de MSA, terwijl op server 2 deze wel netjes onder de MSA draait. En daar heb je dus het verschil. Ik probeer om nogmaals de MSA op te zetten op server 1 en loop weer tegen exact dezelfde problemen aan als enkele weken terug. Problemen die ik dacht opgelost te hebben. Ik blijf een access denied krijgen, en na wat zoekwerk ga ik kijken naar de OU waarop ik vermoed dat ik vast loop en .. mijn account heeft er full control, toch faalt deze op het "verwijderen" van de MSA, ondanks dat deze niet eens rechten heeft op die OU.

Op dus naar een andere oplossing. Even de computeraccount rechten geven om computers aan te maken in die OU. Als de MSA niet werkt, werkt dat misschien wel, ook al is het niet de bedoeling. En ja hoor. Nu werkt alles.

Nu maar hopen dat wanneer MS eind deze maand de stekker eruit trekt, dat ze dat gewoon doen aan de hand van de versie van de connector. En in de toekomst verder kijken hoe we dit toch correct kunnen opzetten.

[ Voor 3% gewijzigd door Blokker_1999 op 04-06-2025 13:01 ]

@Blokker_1999

wat config die we sowieso noodzakelijk hebben (zo moeten we de schijf partitioneren want we hebben software die een folder op E:\ verwacht)

Ik kan niet zeggen of het voor jullie usecase een oplossing is, maar ipv partitioneren zou je ook nog een extra driveletter naar een map in je systeemvolume kunnen toekennen met een registerinstelling als in onderstaand voorbeeld:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\DOS Devices
REG_SZ=X:
VALUE=\??\D:\Downloads\Work\MyFiles



Deze driveletter is permanent en ook zichtbaar/vindbaar voor applicaties die in system context draaien (wat niet het geval is met SUBST).

Daarmee vermijd je dan eventuele perikelen met partities, bitlocker, heb je je data in 1 volume en kun je toch een driveletter gebruiken voor die specifieke (legacy) software

Het is halvelings nog een concept uit het verleden. Zet alle userdata op een aparte partitie zodat wanneer je moet herinstalleren, die data blijft staan. Zelf ben ik tegen dit concept. Data die belangrijk genoeg is dat ze niet verloren moet gaan, moet niet op de harde schijf van een laptop staan. Als die defect is, ben je alsnog alles verloren, en ja, dat gebeurd af en toe. Nu lopen we soms weer tegen het probleem aan dat de ene partitie vol zit terwijl er op de andere plaats genoeg is. 1 van de redenen waarom ik net tegen het partitioneren ben. Maar Rome was ook niet op 1 dag gebouwd

We hebben vroeger trouwens ook al zoiets gedaan, waarbij we een drive mapten naar een folder op die E: partitie. Nooit goed begrepen wat daar dan weer de achterliggende gedachte was, want of een gebruiker nu naar X: gaat of naar E:\Folder gaat, mag nooit veel uitmaken. Die hebben we sinds Win11 dan ook laten vallen.