Microsoft Intune ervaringentopic

TheVMaster schreef op woensdag 28 mei 2025 @ 02:13:
[...]


Tenzij er weer security eisen zijn die dan verlangen dat een gebruiker z’n pc naar kantoor komt brengen en dan een nieuw device meekrijgt.

Niet eens zozeer security eisen, als wel 'gemak'.
Als zo'n ding echt fysiek stuk is (en geloof me, dat gebeurt hier regelmatig, zeker bij de TD) dan zal er een ander device uitgegeven moeten worden. Hem dan alvast kunnen pre-provisionen is toch wel handig.
Hetzelfde bij een hardware-swap vanwege lifecyclemanagement. Nieuwe laptop? Ding voorbereiden, kom naar kantoor, lever je oude in en je kunt een stuk sneller weer aan de slag met je nieuwe.

[ Voor 15% gewijzigd door ralpje op 28-05-2025 08:45 ]

TheVMaster schreef op dinsdag 27 mei 2025 @ 23:17:
[...]


100en per jaar ook maar weer 10-20 per week. Dat kan nog steeds met een usb stick 😎

Laat ik het zo zeggen, ik kom nog uit de tijd dat we 50+ machines per keer inspoelden door ze op te starten met een CD-ROM met Ghost.exe om vervolgens via het seperate 100 mbit netwerk de image te verspreiden.

Een USB stick of welke moderne tool dan ook is alsof ik ruimtereiziger ben geworden

Drardollan schreef op woensdag 28 mei 2025 @ 09:28:
[...]

Laat ik het zo zeggen, ik kom nog uit de tijd dat we 50+ machines per keer inspoelden door ze op te starten met een CD-ROM met Ghost.exe om vervolgens via het seperate 100 mbit netwerk de image te verspreiden.

Een USB stick of welke moderne tool dan ook is alsof ik ruimtereiziger ben geworden

Ohw, been there done that. Bij jou ging het al over 100Mbit, bij mij ging het in het begin over 16Mbit Tokenring

Blokker_1999 schreef op dinsdag 27 mei 2025 @ 16:22:
Preprovisioning wordt ook afgeraden door velen trouwens.

Wij overwegen juist voor ons <300 personen org dit als standaard te gaan nemen, toestellen niet moeten aanraken voordat ze naar de users gaan is wel mooi. Waarom wordt het afgeraden ?

Blokker_1999 schreef op woensdag 28 mei 2025 @ 13:00:
Zonder preprovisioning kan de eindgebruiker de doos zelf openmaken, de laptop zelf uitpakken en in gebruik nemen.

OK ik had het fout begrepen, ik bedoelde de zero-touch implementation en verwarde het met preprovisioning.

Blokker_1999 schreef op woensdag 28 mei 2025 @ 13:00:
Zonder preprovisioning kan de eindgebruiker de doos zelf openmaken, de laptop zelf uitpakken en in gebruik nemen. Het duurt iets langer omdat ook de computer policies en applicaties moeten gedownload worden, maar zolang je geen 100GB aan apps wenst te installeren, mag dat ook geen showstopper zijn. De enige app die bij ons veel tijd in beslag neemt is Office, en ik lobby al lange tijd om die net als user installed app te aanschouwen. Maar je zit daar met het verschil tussen nieuwe gebruikers en bestaande gebruikers die een nieuwe laptop krijgen. Die eerste groep kan perfect een half uur wachten totdat Office erop staat als ze eenmaal op hun desktop zijn, die moeten sowieso eerst nog wat training volgen in de browser en daarna de security quiz afleggen. Maar die andere kan mogelijks wel eens sneller nood hebben aan het office pakket zonder dat ze met 2 laptops moeten weglopen om verder te kunnen werken.

Mijn insteek was altijd het verspreiden van de overtuiging dat een gebruiker zelf in staat is om een apparaat in te richten. Daar hoort ook het installeren van software bij. Het signaal wat je afgeeft naar eindgebruikers is dat je ze serieus neemt, maar vanuit technisch perspectief verkort je ook de wachttijd voor ze.

Microsoft 365-apps lever je dan nog mee en de rest zoekt met maar uit via de Company Portal, hoor.

Ervaren jouw gebruikers het als vervelend om op zo’n uitrol te wachten? Een halfuurtje is toch niet bijzonder veel?

We installeren ook effectief enkel de basics. Onze virusscanner, onze VPN software, wat config die we sowieso noodzakelijk hebben (zo moeten we de schijf partitioneren want we hebben software die een folder op E:\ verwacht) en op verzoek van mgmt en client side zit er dus ook Office bij omdat iedereen in het bedrijf toch Office nodig heeft. Al ben ik persoonlijk vna mening dat die vereiste stilaan komt te vervallen vlak na de ingebruikname. Als je echt snel aan je mail moet of een document moet bewerken dan kan dat vandaag ook perfect in de browser.

Het is uiteindelijk vooral ons client side team, de mensen die helpen bij het opzetten van de systemen, dat wachten vervelend vindt. Zowel bij de onboarding als bij vervangingen gebeurt zoveel mogelijk in groep. En als iedereen daar dan een half uur naar een wachtscherm zit te staren, is dat niet leuk natuurlijk. Daarom dat wij wel de preprovisioining doen bij ons op dit moment, wanneer het mogelijk is. Voor sommige remote offices waar we geen IT staffing hebben alsook voor sommige gebruikers die nooit op kantoor komen is het sowieso niet mogelijk.

Sommige gebruikers vinden het vreemd dat ze van een laptop gaan waarop alles voorgeinstalleerd is wat je maar kunt nodig hebben (en waar ze nog admin zijn!) naar een laptop waar we die admin afnemen en waar ze bijna alles zelf moeten installeren via de Company Portal, maar die transitie ronden we dit jaar ook af en is eigenlijk heel pijnloos verlopen in deze organsiatie, veel vlotter dan ik zelf verwacht had.

Er zijn ook niet veel gebruikers die het wachten vervelend vinden, ze worden toch betaald voor die tijd, maar vanuit managementsperspectief wil men daarom net de kosten laag houden uiteraard. Als je 20 man hebt die een half uur met hun vingers zitten te draaien zijn dat 10 verloren manuren. Maar met preprovisioning en met het overslaan van de user setup fase in de OOBE valt er eigenlijk niet veel meer te wachten voor de meeste mensen.

Grrr. Had een perfect werkende Bitlocker policy. Gooi ik hem per ongeluk weg en nu weet ik natuurlijk niet meer exact wat ik had ingesteld

Voelt als vrijdagmiddag...

Drardollan schreef op woensdag 28 mei 2025 @ 13:36:
Grrr. Had een perfect werkende Bitlocker policy. Gooi ik hem per ongeluk weg en nu weet ik natuurlijk niet meer exact wat ik had ingesteld

Voelt als vrijdagmiddag...

Daarom eerst documenteren, controleren en dan uitvoeren

Mosterd en maaltijd

Ik ben nu begonnen om bij mijn huidige opdrachtgever over te gaan naar modern workplace. 70 FTE.

Blijft dit leuke projecten vinden om te doen. Moet ook wel zeggen dat ik behoorlijk MS minded ben en de tooling ed goed vind werken.

Unknown Alien schreef op woensdag 28 mei 2025 @ 14:07:
[...]

Daarom eerst documenteren, controleren en dan uitvoeren

Mosterd en maaltijd

Ja haha. Ik maakte de fout door niet op te letten of ik in mijn test of productie tenant zat. Mijn Powershell scripts documenteer ik wel consequent, maar daar heb je niks aan als het om policies gaat

Blokker_1999 schreef op woensdag 28 mei 2025 @ 13:02:
[...]

Vraag me af welke overwegingen dat zijn. Ja, in principe zou iemand de laptop kunnen onderscheppen en er malware op installeren, maar dan denk ik toch dat dat een zeer onwaarschijnlijke aanvalsvector is.

Ligt beetje aan de klant natuurlijk, maar klanten zoals bepaalde ministeries met locaties all over de world zijn wel een voorbeeld waarbij pre-provisioning een optie kan zijn. Device worden dan versleuteld en voorzien van alle beveiligingen geshipt.

Gaan we weer, vandaag wat tijd gevonden, en gekregen, om die hybrid join connector te bekijken, en waarom deploys falen met de nieuwe connectors. Ga je in de event viewer kijken en kom je een foutmelding tegen die zegt:

RequestOfflineDomainJoinBlob_Failure: Failed to generate ODJ blob
InstanceId: <id>
RequestId: <id>
DeviceId: <id>
DomainName: <domain name>
RetryCount: 0
WinErrorCode: 5
ErrorDescription: Failed to call NetProvisionComputerAccount machineName=<ComputerName>
DiagnosticCode: 2048
DiagnosticText:"Failed to get the ODJ Blob. The ODJ connector does not have sufficient privileges to complete the operation [Exception Message: "DiagnosticException: 0x00000800. Failed to get the ODJ Blob. The ODJ connector does not have sufficient privileges to complete the operation"] [Exception Message: "Failed to call NetProvisionComputerAccount machineName=<ComputerName>"]"

En je vindt exact dezelfde foutmelding op de site van Microsoft. Het enige wat MS daar zegt is dat de permissies op de OU verkeerd staan als je die foutmelding ziet. Ik kijk de permissies na en ... die staan gewoon goed. De MSA mag computer objecten aanmaken in die OU.

Is het nu echt te veel gevraagd om wat meer detail in de foutmeldingen te steken zodat je op zijn minst weet op welke OU het misloopt? Want het kan niet de OU zijn waar ik de computerobjecten in wil laten terechtkomen, daar staan de rechten gewoon goed.

Dus kiezen we maar even voor de nucleaire optie en geef ik die MSA full control op de OU, en dat maakt ook geen verschil. Verder zoeken dus. Uit nieuwsgierigheid start ik ook even mijn tweede connector op en sluit ik de eerste af. En verhip. Nummer twee werkt wel gewoon. Waar zit dan het verschil? (buiten dat 1 op 2025 draait en 2 op 2022).

Wat verder zoeken, en dan kom ik er achter dat op de eerste server, de service onder het system account draait ipv de MSA, terwijl op server 2 deze wel netjes onder de MSA draait. En daar heb je dus het verschil. Ik probeer om nogmaals de MSA op te zetten op server 1 en loop weer tegen exact dezelfde problemen aan als enkele weken terug. Problemen die ik dacht opgelost te hebben. Ik blijf een access denied krijgen, en na wat zoekwerk ga ik kijken naar de OU waarop ik vermoed dat ik vast loop en .. mijn account heeft er full control, toch faalt deze op het "verwijderen" van de MSA, ondanks dat deze niet eens rechten heeft op die OU.

Op dus naar een andere oplossing. Even de computeraccount rechten geven om computers aan te maken in die OU. Als de MSA niet werkt, werkt dat misschien wel, ook al is het niet de bedoeling. En ja hoor. Nu werkt alles.

Nu maar hopen dat wanneer MS eind deze maand de stekker eruit trekt, dat ze dat gewoon doen aan de hand van de versie van de connector. En in de toekomst verder kijken hoe we dit toch correct kunnen opzetten.

[ Voor 3% gewijzigd door Blokker_1999 op 04-06-2025 13:01 ]

@Blokker_1999

wat config die we sowieso noodzakelijk hebben (zo moeten we de schijf partitioneren want we hebben software die een folder op E:\ verwacht)

Ik kan niet zeggen of het voor jullie usecase een oplossing is, maar ipv partitioneren zou je ook nog een extra driveletter naar een map in je systeemvolume kunnen toekennen met een registerinstelling als in onderstaand voorbeeld:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\DOS Devices
REG_SZ=X:
VALUE=\??\D:\Downloads\Work\MyFiles



Deze driveletter is permanent en ook zichtbaar/vindbaar voor applicaties die in system context draaien (wat niet het geval is met SUBST).

Daarmee vermijd je dan eventuele perikelen met partities, bitlocker, heb je je data in 1 volume en kun je toch een driveletter gebruiken voor die specifieke (legacy) software

Het is halvelings nog een concept uit het verleden. Zet alle userdata op een aparte partitie zodat wanneer je moet herinstalleren, die data blijft staan. Zelf ben ik tegen dit concept. Data die belangrijk genoeg is dat ze niet verloren moet gaan, moet niet op de harde schijf van een laptop staan. Als die defect is, ben je alsnog alles verloren, en ja, dat gebeurd af en toe. Nu lopen we soms weer tegen het probleem aan dat de ene partitie vol zit terwijl er op de andere plaats genoeg is. 1 van de redenen waarom ik net tegen het partitioneren ben. Maar Rome was ook niet op 1 dag gebouwd

We hebben vroeger trouwens ook al zoiets gedaan, waarbij we een drive mapten naar een folder op die E: partitie. Nooit goed begrepen wat daar dan weer de achterliggende gedachte was, want of een gebruiker nu naar X: gaat of naar E:\Folder gaat, mag nooit veel uitmaken. Die hebben we sinds Win11 dan ook laten vallen.

Een nieuwe dag, een nieuw probleem. We merken tegenwoordig dat tijdens de onboarding van computers, deze de stap om apps te installeren over lijkten te slaan. Dit zowel bij preprovisioning alsook wanneer je direct de gebruiker het apparaat laat opzetten. Bij preprovisioning merk je dan wel dat wanneer je deze start an de reseal, de app fase alsnog wordt doorgevoerd, maar zit je net weer een tijd te wachten op die computerfase die je graag doorloopt voordat de laptop naar de gebruiker gaat.

Iemand dit al tegengekomen?

HKLM_ schreef op vrijdag 6 juni 2025 @ 08:26:
Iemand hier al tegenaan gelopen in zijn omgeving?

Intune PowerShell Scripts Failing?
https://patchmypc.com/blo...-executing-maxjsonlength/


[...]

Was hier niet laatst iemand die problemen had met een PowerShell script dat uninstall strings van software uit het register wilde vissen? Ik ben onzeker of dat wellicht gerelateerd is aan deze melding.

HKLM_ schreef op vrijdag 6 juni 2025 @ 08:26:
Iemand hier al tegenaan gelopen in zijn omgeving?

Intune PowerShell Scripts Failing?
https://patchmypc.com/blo...-executing-maxjsonlength/


[...]

Hier wordt er meer over uitgelegd.
https://patchmypc.com/blo...-executing-maxjsonlength/

Gr4mpyC3t schreef op vrijdag 6 juni 2025 @ 08:37:
[...]


Was hier niet laatst iemand die problemen had met een PowerShell script dat uninstall strings van software uit het register wilde vissen? Ik ben onzeker of dat wellicht gerelateerd is aan deze melding.

Hey, vandaag eindelijk voor het eerst die verdomde Dell tool uninstalled via mijn script. Die msi installer doet niets voor een uninstall, moest ik terug grijpen naar het verwijderen van de appx provisioned package ... Wie verzint het? Maar dat was geen script, dat zit dan weer netjes verpakt in een win32 app

HKLM_ schreef op vrijdag 6 juni 2025 @ 11:24:
[...]


Dat is letterlijk mijn link

Sorry overheen gelezen!

Deze is ook nieuw, krijg net een screenshot doorgestuurd van een collega die het Win11 start menu toont met in de recommend een shortcut om Whatsapp te installeren. We blokkeren nota bene heel de MS Store net om dit soort van crapware van onze systemen te houden, en dan gaat MS het er alsnog in adverteren. Iemand enig idee of dit tegen te houden is?

Blokker_1999 schreef op donderdag 12 juni 2025 @ 12:01:
Deze is ook nieuw, krijg net een screenshot doorgestuurd van een collega die het Win11 start menu toont met in de recommend een shortcut om Whatsapp te installeren. We blokkeren nota bene heel de MS Store net om dit soort van crapware van onze systemen te houden, en dan gaat MS het er alsnog in adverteren. Iemand enig idee of dit tegen te houden is?

Welke versie van Windows 11 betreft dit?

Gr4mpyC3t schreef op donderdag 12 juni 2025 @ 12:04:
[...]


Welke versie van Windows 11 betreft dit?

nieuws: Windows-bètatesters kunnen nieuwe startmenu uitproberen

xven0mxz schreef op donderdag 12 juni 2025 @ 12:06:
[...]


nieuws: Windows-bètatesters kunnen nieuwe startmenu uitproberen

Bedankt, maar wat wil je hiermee zeggen?

Blokker_1999 schreef op donderdag 12 juni 2025 @ 12:01:
Deze is ook nieuw, krijg net een screenshot doorgestuurd van een collega die het Win11 start menu toont met in de recommend een shortcut om Whatsapp te installeren. We blokkeren nota bene heel de MS Store net om dit soort van crapware van onze systemen te houden, en dan gaat MS het er alsnog in adverteren. Iemand enig idee of dit tegen te houden is?

Je blokkeert de MS Store, maar ik neem aan dat je built-in apps wel laat updaten?

Kun je dat btw niet met policies dicht zetten, volgens mij kan dat met deze setting: Show recommendations for tips, shortcuts, new apps, and more.

Gr4mpyC3t schreef op donderdag 12 juni 2025 @ 12:07:
[...]


Bedankt, maar wat wil je hiermee zeggen?

Gr4mpyC3t schreef op donderdag 12 juni 2025 @ 12:04:
[...]


Welke versie van Windows 11 betreft dit?

Dat gebeurt in Preview Build 26200.5641. Vanuit het artikel.

Edit: Aaah ik zie dat het om de huidige gaat niet het nieuwe. Foutjeee

[ Voor 8% gewijzigd door xven0mxz op 12-06-2025 12:09 ]

Gr4mpyC3t schreef op donderdag 12 juni 2025 @ 12:04:
[...]


Welke versie van Windows 11 betreft dit?

Dat zullen 24H2s zijn met de update van vorige maand.

TheVMaster schreef op donderdag 12 juni 2025 @ 12:07:
[...]


Je blokkeert de MS Store, maar ik neem aan dat je built-in apps wel laat updaten?

Kun je dat btw niet met policies dicht zetten, volgens mij kan dat met deze setting: Show recommendations for tips, shortcuts, new apps, and more.

[Afbeelding]

Daar is dan weer geen Intune setting voor, ook geen GPO. Dat is weer enkel registry en zit natuurlijk weer in de HKU

Elke dag weer een nieuwe uitdaging met Microsoft

HKLM_ schreef op donderdag 12 juni 2025 @ 13:41:
[...]


Het zou zo fijn zijn als je vanuit Intune gewoon fatsoenlijk regkeys kan aanmaken zoals dat ook met een GPO kan.

https://www.envoycontrol.com/

HKLM_ schreef op donderdag 12 juni 2025 @ 13:41:
[...]


Het zou zo fijn zijn als je vanuit Intune gewoon fatsoenlijk regkeys kan aanmaken zoals dat ook met een GPO kan.

Ja dat zou net wat chiller zijn. Maar in de tussentijd eventueel scriptje in een IntuneWinApp pakken en met een detectie runnen onder user?

TheVMaster schreef op donderdag 12 juni 2025 @ 15:43:
[...]


Eh, nee je zou het idd 'gewoon' met een custom policy moeten kunnen doen. Ik ben hem ff aan het testen en deel hem daarna wel ff :-)

Als ik regkeys zou willen zetten, zou ik dat denk ik met een script doen, of een (script verpakt in een) Win32 app. Maar goed, ik zet het liefst geen custom-regkeys, maar soms ontkom je er niet aan.

Het grootste probleem met regkeys is nog als deze in HKU gezet moet worden, dat is niet 1 enkele key, maar krijg je ook nog eens met rechten te maken.

TheVMaster schreef op donderdag 12 juni 2025 @ 15:46:
Iets anders, herkennen jullie dit? Ik probeer te PIM-en, maar ik kan dus pas na een paar minuten in het Reason veld klikken dus iets intypen en dan doorgaan. Zo frustrerend, heb dat sinds een paar weken...geen idee waardoor het komt. Irritant is het wel.

[Afbeelding]

Edit: ander probleem

[ Voor 16% gewijzigd door ReZpie op 12-06-2025 16:06 ]

Blokker_1999 schreef op donderdag 12 juni 2025 @ 12:22:
[...]

Dat zullen 24H2s zijn met de update van vorige maand.


[...]

Daar is dan weer geen Intune setting voor, ook geen GPO. Dat is weer enkel registry en zit natuurlijk weer in de HKU

Elke dag weer een nieuwe uitdaging met Microsoft

Haha oke dit is mijn schuld, ben meer benieuwd naar de SKU. Is 't een Pro of Enterprise? Met Enterprise zou je dit geneuzel niet moeten hebben.

In ieder geval zit je wel goed met HKCU, dat lijkt de enige optie te zijn. Dat wordt weer een scriptje maken, dat gaat de laatste goed bij jou in de tenant of niet?

Uiteraard op Enterprise, krijgen ze via hun E3 licentie.

TheVMaster schreef op donderdag 12 juni 2025 @ 15:46:
Iets anders, herkennen jullie dit? Ik probeer te PIM-en, maar ik kan dus pas na een paar minuten in het Reason veld klikken dus iets intypen en dan doorgaan. Zo frustrerend, heb dat sinds een paar weken...geen idee waardoor het komt. Irritant is het wel.

[Afbeelding]

Had ik vanochtend ook. Even een devver naar laten kijken.
Die heeft in inspection view in de HTML iets in de richting van "Disabled: $Disabled" verwijderd in dat vak. Toen werkte het gelijk

Komt een extra vereiste optie aan in Intune bij het uploaden van Win32Apps. Onder requirements moet/kan je naast de minimum OS versie ook een architectuur straks opgeven.
Standaard staat deze optie op Nee, toestaan op alle systemen.

De vorige optie om te kiezen tussen 32/64 bit vervalt hier dan mee.

[ Voor 7% gewijzigd door Quad op 13-06-2025 16:11 ]

Quad schreef op vrijdag 13 juni 2025 @ 16:10:
[Afbeelding]
Komt een extra vereiste optie aan in Intune bij het uploaden van Win32Apps. Onder requirements moet/kan je naast de minimum OS versie ook een architectuur straks opgeven.
Standaard staat deze optie op Nee, toestaan op alle systemen.

De vorige optie om te kiezen tussen 32/64 bit vervalt hier dan mee.

EIN-DE-LIJK

Mijn Surface Laptop 7 zal hen dankbaar zijn. Nu de packagers nog aanleren dat ze dit zeker voor browsers goed moeten doen want spijtig genoeg is er niet veel software dat een universele installer heeft, zoals bij Office trouwens wel het geval is.

Zijn hier al mensen die veel met supersedence doen voor Win32 apps?

Davidas schreef op zaterdag 14 juni 2025 @ 11:51:
Zijn hier al mensen die veel met supersedence doen voor Win32 apps?

Heb een paar packages (7-zip, Notepad++) waar ik het voor gebruik en zoals we gewend zijn van MS marketing werkt de de 'auto-update' functie geweldig. NIET! Het blijft doodleuk als update staan, maar automatisch toepassen? Heb eens een uurtje besteed om wat te vinden in de logs. Niks. En online ook niks over te vinden, alleen de leugens van MS.

Davidas schreef op zaterdag 14 juni 2025 @ 11:51:
Zijn hier al mensen die veel met supersedence doen voor Win32 apps?

Ja, maar wel middels Robopack werkt voor alsnog helemaal prima.

xven0mxz schreef op zaterdag 14 juni 2025 @ 14:21:
[...]


Ja, maar wel middels Robopack werkt voor alsnog helemaal prima.

Tevreden van Robopack? Zou zelf ook eens op zoek moeten naar een tool die ons kan helpen bij het up-to-date houden van vele pakketten. Hebben hun bibliotheek van software spijtig genoeg niet openbaar staan. Vind het aantal applicaties wel hoog als het er effectief 30k zijn, herinner me nog een ander product dat ik eens bekeken had, maar daar telden ze letterlijk elke versie van een applicatie die ze ooit gereleased hadden als een applicatie om zo toch boven de 1000 uit te komen.

Davidas schreef op zaterdag 14 juni 2025 @ 11:51:
Zijn hier al mensen die veel met supersedence doen voor Win32 apps?

Check! Werkt als een zonnetje. Doe elke maand even een rondje langs de meest belangrijke applicaties (stuk of 5) in Intune en wanneer er een nieuwe versie is dan package ik die en stel ik supersedence in. En zo nu en dan eens de oudste versies opruimen natuurlijk.

Hero of Time schreef op zaterdag 14 juni 2025 @ 12:50:
[...]

Heb een paar packages (7-zip, Notepad++) waar ik het voor gebruik en zoals we gewend zijn van MS marketing werkt de de 'auto-update' functie geweldig. NIET! Het blijft doodleuk als update staan, maar automatisch toepassen? Heb eens een uurtje besteed om wat te vinden in de logs. Niks. En online ook niks over te vinden, alleen de leugens van MS.

Is dit nu echt nodig?

TheVMaster schreef op zaterdag 14 juni 2025 @ 16:07:
[...]


Is dit nu echt nodig?

Zolang ze onwaarheden blijven verkondigen wel. "Klik hier, zet deze optie aan en het werkt". Bij hun in een zeer specifieke omgeving, maar een relatief nieuwe en standaard omgeving werkt het niet zoals ze zeggen. Terwijl ik alles doe wat er in hun documentatie staat.

Blokker_1999 schreef op donderdag 12 juni 2025 @ 12:22:
[...]

Dat zullen 24H2s zijn met de update van vorige maand.


[...]

Daar is dan weer geen Intune setting voor, ook geen GPO. Dat is weer enkel registry en zit natuurlijk weer in de HKU

Elke dag weer een nieuwe uitdaging met Microsoft

Volgens mij kan je die reclames tegen gaan met Allow third party suggestions in windows spotlight -> block

https://learn.microsoft.c...estionsinwindowsspotlight

[ Voor 12% gewijzigd door Gerwinnn op 14-06-2025 21:00 ]

HKLM_ schreef op zaterdag 14 juni 2025 @ 20:16:
[...]

Maar het werkt gewoon zoals beschreven staat, wil je die auto update waar je eerder over klaagde dat werkt alleen als de user ZELF de app vanuit de Company portal heeft geinstalleerd en de app als beschikbaar staat aangemerkt in intune.

Gebruiker HEEFT ook N++ vanuit de company portal geïnstalleerd. Ik doe zelfs de detectie op string in de .exe met de exacte versie. Dat werkt prima. Maar alsnog wordt de update niet automatisch geïnstalleerd. Iedereen en hun moeder beweert dat het werkt, maar de waarheid is toch echt anders.

Hero of Time schreef op zaterdag 14 juni 2025 @ 21:19:
[...]

Gebruiker HEEFT ook N++ vanuit de company portal geïnstalleerd. Ik doe zelfs de detectie op string in de .exe met de exacte versie. Dat werkt prima. Maar alsnog wordt de update niet automatisch geïnstalleerd. Iedereen en hun moeder beweert dat het werkt, maar de waarheid is toch echt anders.

Zelfde ervaring hier.

Waarom de app niet vervangen door een nieuwe te uploaden? Zo te lezen maken jullie een nieuwe app aan en zetten dan supersedence erop? Ik gebruik die functie helemaal niet eigenlijk.

Ik bewerk meestal de app, upload de nieuwe Intunewin bestand en zet dan een versiedetectie aan ofzo.

Quad schreef op zondag 15 juni 2025 @ 09:22:
Waarom de app niet vervangen door een nieuwe te uploaden? Zo te lezen maken jullie een nieuwe app aan en zetten dan supersedence erop? Ik gebruik die functie helemaal niet eigenlijk.

Ik bewerk meestal de app, upload de nieuwe Intunewin bestand en zet dan een versiedetectie aan ofzo.

Dat doet het dus niet. De app is geïnstalleerd en dat blijft zo, het gaat geen nieuwe detectie doen of wat dan ook. CP zal doodleuk blijven aangeven dat het programma geïnstalleerd is zelfs als je de uninstaller buiten CP draait. Het vervangen van het package had ik eerst gedaan, maar dan blijf je alsnog met oude versie zitten.

Stel je packaged N++ versie 8.7.0. Gebruiker installeert die. Later is 8.8.0 uit, je vervangt de vorige met deze. Andere gebruiker installeert N++ en krijgt de nieuwe versie. Maar de eerste gebruiker blijft op 8.7.0 zitten. Kan 'm niet eens updaten zonder te verwijderen en opnieuw installeren, als je een uninstall optie geeft in CP.

MS zegt ook dat je met supersedence moet werken, bij het assignen van de app kan je auto-update aanvinken. Al heb ik dat pas gezien nadat ik het package al heb gemaakt en de assignment bewerk. Maar die hele auto-update functie werkt dus niet. Je ziet het als update staan bij je overzicht van apps (waar je dus ook de verplichte apps ziet) maar dat is 't.

In principe zou dat wel moeten werken als je maar op de juiste manier gaat controleren of een app geinstalleerd is. Maar ook ik vertrouw daar niet op. Heb al meermaals meegemaakt tijdens testen dat ik de package vervang, in de CP netjes de nieuwe versie zie staan, op installeren klik en alsnog het oude pakket gedownload wordt. Dat vind ik een nog slechtere situatie.

Maar er is nog een probleem. Zoals eerder aangehaald werkt de auto update enkel en alleen voor wanneer mensen het superseded pakket handmatig hebben geinstalleerd. Maar dat is dus net grote BS. Want voordat we deze optie hadden moesten we wel 2 pakketten packagen, en dat moet dus nog altijd. Want je kan niet zomaar zeggen: verplicht dit pakket te installeren op systemen waar de vorige versie opstaat maar maak het beschikbaar voor systemen waar het nog niet op staat, want de detectie voor systemen waar het op staat kan je niet doen op de assignments tab, omdat je het daar enkel aan gebruikers of computers kunt toewijzen. Het is dus idioot wanneer de auto update niet zou werken omdat het pakket automatisch geinstalleerd is geweest ondanks dat vroeger die automatische installatie de enige manier was om een pakket up to date te houden wanneer gebruikers niet zelf even hun geinstalleerde software onderhouden.

Het gaat dus specifiek om het aanbieden van apps via de company portal? Dat gebruiken wij dus nagenoeg niet voor onze klanten. Dan heb ik niets gezegd.

Hero of Time schreef op zaterdag 14 juni 2025 @ 16:42:
[...]

Zolang ze onwaarheden blijven verkondigen wel. "Klik hier, zet deze optie aan en het werkt". Bij hun in een zeer specifieke omgeving, maar een relatief nieuwe en standaard omgeving werkt het niet zoals ze zeggen. Terwijl ik alles doe wat er in hun documentatie staat.

Ze verkondigen natuurlijk geen onwaarheden, maar ze kunnen ook onmogelijk alle 1.000.000.000 verschillende combinaties van instellingen testen. En als iets in jouw situatie niet werkt, dan log je natuurlijk een support case zodat jouw issue kan worden opgelost.

Heb je dat nog niet gedaan? Doe dat dan gewoon even…

Overigens kan de documentatie ook best een keer iets gemist hebben. Zijn er geen blogs van MVP’s waar deze issues naar voren zijn gekomen of waar een uitleg staat hoe je dit moet fixen? Ow en anders gewoon een support case aanmaken, of had ik dat al genoemd?

[ Voor 15% gewijzigd door TheVMaster op 15-06-2025 17:15 ]

Zelfs al meegemaakt na enkele maanden heen en weer over een issue dat ze ineens terugkomen met: je ticket moet naar een ander team, maar wij kunnen dat niet doorsturen. Gelieve dus een nieuw ticket aan te maken.

Alleen kan ik uit die lange lijst die ik heb nergens dat specifieke team vinden

Een support ticket is inderdaad meestal waardeloos. Enkel wanneer je ver genoed doorgeescalleerd krijgt, tot iemand die het product tenminste kent waar je een probleem mee hebt, dan gaat het ineens snel en heb je soms zelfs op enkele uren ineens wel de oplossing.

En ik kan zeer goed begrijpen dat er ook vele eenvoudige vragen binnen komen en dat je die door een 1st line wenst te laten afhandellen. Maar wanneer ik na weken expliciet vraag om te escaleren nadat de support tech eerder zelf al had aangegeven dat te zullen gaan doen, en dan ga je ineens weigeren om in te zien dat je zelf geen idee hebt wat er mis loopt en ga je weigeren van te escaleren, ... dan vraag ik me af waarom wij miljoenen per jaar aan software en support afnemen en hoeveel je dan wel moet afnemen om op zijn minst een beetje respect terug te krijgen.

Blokker_1999 schreef op zaterdag 14 juni 2025 @ 14:35:
[...]

Tevreden van Robopack? Zou zelf ook eens op zoek moeten naar een tool die ons kan helpen bij het up-to-date houden van vele pakketten. Hebben hun bibliotheek van software spijtig genoeg niet openbaar staan. Vind het aantal applicaties wel hoog als het er effectief 30k zijn, herinner me nog een ander product dat ik eens bekeken had, maar daar telden ze letterlijk elke versie van een applicatie die ze ooit gereleased hadden als een applicatie om zo toch boven de 1000 uit te komen.

Tot nu toe zeker tevreden. Je kan gratis een demo starten. En koppelen aan je dev tenant om wat zaken te testen bijv.

Zo hebben wij het ook gedaan. Zit rond de €2,70 ~ 3. per device per jaar. Tenzij je hele grote aantallen hebt dan gaat het al snel richting de 2 euro.

https://forms.zohopublic....k0abKehgCs0pePP1POyqVbzXg

[ Voor 6% gewijzigd door xven0mxz op 16-06-2025 10:46 ]

akimosan schreef op maandag 16 juni 2025 @ 16:10:
Zelf heb ik nu een redelijke keten van wat tools die beschikbaar zijn in winget om deze met powershell scripts te deployen via Intune

Basically: 3 powershell scripts en 1 custom app (winget-autoupdate) + configuration profile met een custom ADMX die winget-autoupdate configureert

Workflow: 3 scripts: check.ps1, install.ps1, uninstall.ps1

• Maak een working folder aan voor je app (ik gebruik meestal de winget ID ook als naam van de map)
• Plaats daarin de scripts
• Bewerk de scripts en in elk script zet je de value voor variable $programname naar de winget package ID
• Gebruik IntuneWinAppUtil.exe en maak een intunewin file aan met daarin de install.ps1 en uninstall.ps1 die je net bewerkt hebt
• Maak een win32 app aan
• Gebruik als Install command: %SystemRoot%\sysnative\WindowsPowerShell\v1.0\powershell.exe -executionpolicy bypass -command .\install.ps1
• Gebruik als Uninstall command: %SystemRoot%\sysnative\WindowsPowerShell\v1.0\powershell.exe -executionpolicy bypass -command .\uninstall.ps1
• Voor detection rules maak je gebruik van het custom detection script check.ps1

Rest is wat je normaliter ook doet voor apps die je installeert in de system context.
Assign naar behoefte

Hiermee heb je de deployment van je app maar nog niet je versiebeheer op orde.

In principe zou je de detection script nu verder kunnen gaan uitbouwen naar 1 of meer remediation scripts die kijken of een upgrade beschikbaar is en deze dan installeren.
Daarvoor maak ik echter gebruik van Romanitho.Winget-AutoUpdate
Deze app deploy ik ook (met bovenstaande optie)
De tool maakt standaard een geplande taak aan die bij logon alle geïnstalleerde apps, die een update beschikbaar hebben via winget bijwerkt.

Daarnaast is er een ADMX template: https://github.com/Romani...ain/Sources/Policies/ADMX
Welke ik importeer en via een Configuration profile gebruik ik dan een blacklist om apps waarvan ik weet dat ze niet lekker bijwerken via winget, of waarvan ik tijdelijk een update/versie wil blokkeren, uit te zonderen.

En op deze manier werkt het nu vrij aardig

Nieuwe installaties van apps krijgen direct de recentste versie
Bestaande installaties worden bijgewerkt "at logon"

Voorbeeld Romanitho.Winget-AutoUpdate:

check.ps1

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

$ProgramName = "Romanitho.Winget-AutoUpdate" # resolve winget_exe $winget_exe = Resolve-Path "C:\Program Files\WindowsApps\Microsoft.DesktopAppInstaller_*_*__8wekyb3d8bbwe\winget.exe" if ($winget_exe.count -gt 1){ $winget_exe = $winget_exe[-1].Path } if (!$winget_exe){ Write-Error "Winget not installed" }else{ $wingetPrg_Existing = & $winget_exe list --id $ProgramName --exact --accept-source-agreements if ($wingetPrg_Existing -like "*$ProgramName*"){ Write-Host "Found it!" } }

install.ps1

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22

Param ( [parameter(Mandatory=$false)] [String[]] $param ) $ProgramName = "Romanitho.Winget-AutoUpdate" $Path_local = "$Env:Programdata\Microsoft\IntuneManagementExtension" Start-Transcript -Path "$Path_local\Logs\$ProgramName-install.log" -Force -Append # resolve winget_exe $winget_exe = Resolve-Path "C:\Program Files\WindowsApps\Microsoft.DesktopAppInstaller_*_*__8wekyb3d8bbwe\winget.exe" if ($winget_exe.count -gt 1){ $winget_exe = $winget_exe[-1].Path } if (!$winget_exe){Write-Error "Winget not installed"} & $winget_exe install --exact --id $ProgramName --silent --accept-package-agreements --accept-source-agreements --scope=machine $param Stop-Transcript

Uninstall.ps1

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

$ProgramName = "Romanitho.Winget-AutoUpdate" $Path_local = "$Env:Programdata\Microsoft\IntuneManagementExtension" Start-Transcript -Path "$Path_local\Logs\$ProgramName-uninstall.log" -Force -Append # resolve winget_exe $winget_exe = Resolve-Path "C:\Program Files\WindowsApps\Microsoft.DesktopAppInstaller_*_*__8wekyb3d8bbwe\winget.exe" if ($winget_exe.count -gt 1){ $winget_exe = $winget_exe[-1].Path } if (!$winget_exe){Write-Error "Winget not installed"} & $winget_exe uninstall --exact --id $ProgramName --silent --accept-source-agreements Stop-Transcript

Win32 app
[Afbeelding]

ADMX
[Afbeelding]

Device config policy
[Afbeelding]

Deze manier gebruikte ik ook bij mijn vorige werkgever. Werkt prima, mits software ook beschikbaar blijft via winget. Al eens lang gezocht waarom iets niet meer wou deployen, bleek men het hele product niet meer aan te bieden via winget.

@pjlgt Dat is dan in dit geval makkelijker te vinden.

In Intune de logs ophalen/downloaden van het device.
Open <ProgramName>-install.log
In de output zou je daarover informatie moeten vinden

akimosan schreef op maandag 16 juni 2025 @ 17:03:
En ondanks dit ben ik toch wel op zoek naar een SaaS dienst die dit nog makkelijker maakt.

In een notedop wil ik eigenlijk:

• Een app kunnen selecteren, deze wordt beschikbaar in Intune Company Portal (of automatisch deployed) waarbij ik daarna geen omkijken meer heb naar updates/patches etc.
• Als er een bekend probleem is met een bepaalde app of app versie, deze (tijdelijk) blokkeren.
• Apps moeten geïnstalleerd maar ook verwijderd kunnen worden

Ik heb gekeken (geen trials of iets gestart) naar deze 2 tools:

PatchMyPC met Enterprise Plus subscripton
https://robopack.com/pricing/
Gaat om iets meer dan 1000 devices.

Ze lijken me vergelijkbaar in functionaliteit en pricing. Iemand ervaring met beide tools en eventueel mening pro's en cons tussen deze 2 tools?

Uiteindelijk zou ik wel een trial of proof of concept starten, maar ik mis wel voor mezelf een developers tenant.

Daarnaast heb ik enige tijd geleden contact gehad met Ivanti in verband met hun workspace management solution, waarbij ze ook wat informatie hadden omtrent enkele Neurons addons waarmee je ook app/patch management kunt doen.
Daarbij ben ik wel wat terughoudend, maar mischien zijn er mensen met ervaring met hun UWM Hybrid product in combinatie met Workplace management/Intune/app management?

Zelf heb ik vandaag een evaluatie van robopack aan onze backlog laten toevoegen waarbij we mogelijks ook naar de concurentie gaan kijken. PMPC en Scappman (ondertussen overgenomen door PMPC) heb ik 2 jaar terug naar gekeken (wat vliegt de tijd) en destijds te licht bevonden, al kan een herevaluatie vandaag wel een ander resultaat opleveren. Bij PMPC had je toen geen optie om eigen pakketten toe te voegen terwijl Scappman een veel te kleine bibliotheek aan apps had destijds. Nog geen 25% van onze applicaties zat in hun bibliotheek waardoor we er alsnog veel tijd zelf zouden insteken.

Het mooie aan robopack is dat je een gratis licentie kunt krijgen als je een test tenant zou hebben met minder dan 100 devices. En die hebben we . Al ben ik voor een ander project ook aan het kijken of ik tijdelijk een developer tenant kan aanmaken, die blijft in de basis 90 dagen bestaan en kan verlengd worden. Dan heb je ook direct een speeltuin om zoiets eens uit te testen. Geen idee wat de test mogelijkheden bij de andere 2 vandaag zijn.

En iets wat voor onze onderneming ook een plus is, is dat Robopack blijkbaar recent ook ondersteuning heeft toegevoegd voor Macbooks, wat ons gaat helpen wanneer we daar met Jamf stoppen en die gaan beheren in Intune.

[ Voor 4% gewijzigd door Blokker_1999 op 16-06-2025 19:48 ]

Wat is er gebeurd met Hello ID? Of snijd ik dan een veel te groot pakket aan voor waar jullie naar op zoek zijn? Nooit meer gewerkt overigens, maar ik hoorde her en der verhalen dat het applicatiemanagement gedeelte erg prettig was om mee te werken.

Gr4mpyC3t schreef op maandag 16 juni 2025 @ 20:18:
Wat is er gebeurd met Hello ID? Of snijd ik dan een veel te groot pakket aan voor waar jullie naar op zoek zijn? Nooit meer gewerkt overigens, maar ik hoorde her en der verhalen dat het applicatiemanagement gedeelte erg prettig was om mee te werken.

Hello ID is toch een IAM tool en niet application management (package)

Het applicatie management wat er inzit is toegang of provisiong van oauth apps

Blokker_1999 schreef op maandag 16 juni 2025 @ 19:47:
[...]

Bij PMPC had je toen geen optie om eigen pakketten toe te voegen terwijl Scappman een veel te kleine bibliotheek aan apps had destijds. Nog geen 25% van onze applicaties zat in hun bibliotheek waardoor we er alsnog veel tijd zelf zouden insteken.

Bij Scappman (en ik vermoed ook bij PMPC) zitten alleen apps in de database die 'vrij' te downloaden zijn. Dat wil zeggen: je moet zonder inlog / abbo de installers kunnen downloaden.
De dichtheid in die categorie is bij Scappman in ieder geval wel dusdanig dat ik bij meerdere projecten (ik werk als freelancer) al gekozen heb voor het gebruik van Scappman, omdat dat onder de streep goedkoper was dan min inzet voor het packagen van die apps.
Je kunt je eigen tijd dan mooi besteden aan het packagen van die apps die niet in die catalogus zitten.

Blokker_1999 schreef op maandag 16 juni 2025 @ 19:47:
[...]
En iets wat voor onze onderneming ook een plus is, is dat Robopack blijkbaar recent ook ondersteuning heeft toegevoegd voor Macbooks, wat ons gaat helpen wanneer we daar met Jamf stoppen en die gaan beheren in Intune.

Kan hier eigenlijk niets over vinden, of kijk ik verkeerd ?

DDX schreef op dinsdag 17 juni 2025 @ 11:20:
[...]


Kan hier eigenlijk niets over vinden, of kijk ik verkeerd ?

https://robopack.com/#roadmap en dan onder H1/2025 al zie ik nu dat er nog geen vinkjes staan bij die functionaliteiten.

[ Voor 13% gewijzigd door Blokker_1999 op 17-06-2025 11:27 ]

Sjod schreef op maandag 16 juni 2025 @ 21:50:
[...]


Hello ID is toch een IAM tool en niet application management (package)

Het applicatie management wat er inzit is toegang of provisiong van oauth apps

Ja, je hebt helemaal gelijk. Ik zat in de verkeerde hoek.

Blokker_1999 schreef op dinsdag 17 juni 2025 @ 11:26:
[...]

https://robopack.com/#roadmap en dan onder H1/2025 al zie ik nu dat er nog geen vinkjes staan bij die functionaliteiten.

Zit er nog niet in helaas.

Hoe gaan jullie met het publiceren van een nieuwe app om waarvan al een oudere versie beschikbaar is gemaakt. Het liefst zou ik de oude app loskoppelen zodat deze verdwijnt uit de Company Portal maar dan kunnen de eindgebruikers die de app hebben geinstalleerd deze niet meer verwijderen vanuit daar.

En welke detectie methode stellen jullie in, mij lijkt een detectie in het register op versie het meest aannemelijke.

Davidas schreef op donderdag 19 juni 2025 @ 10:33:
Hoe gaan jullie met het publiceren van een nieuwe app om waarvan al een oudere versie beschikbaar is gemaakt. Het liefst zou ik de oude app loskoppelen zodat deze verdwijnt uit de Company Portal maar dan kunnen de eindgebruikers die de app hebben geinstalleerd deze niet meer verwijderen vanuit daar.

En welke detectie methode stellen jullie in, mij lijkt een detectie in het register op versie het meest aannemelijke.

Een uninstall van de oude versie koppelen aan de nieuwe versie geen optie ?

Davidas schreef op donderdag 19 juni 2025 @ 10:33:
Hoe gaan jullie met het publiceren van een nieuwe app om waarvan al een oudere versie beschikbaar is gemaakt. Het liefst zou ik de oude app loskoppelen zodat deze verdwijnt uit de Company Portal maar dan kunnen de eindgebruikers die de app hebben geinstalleerd deze niet meer verwijderen vanuit daar.

En welke detectie methode stellen jullie in, mij lijkt een detectie in het register op versie het meest aannemelijke.

Sowieso zijn end-user uninstalls zeldzaam voor applicaties. De meeste gebruikers geven daar niet om. Als een uninstall noodzakelijk is voor de installatie van de nieuwe versie, dan moet je met supersedence werken, maar blijf je alsnog met het probleem zitten dat je supersedence keten niet oneindig lang kan zijn. De beste oplossing is dus om te zorgen dat de nieuwe versie automagisch geinstalleerd wordt bij die gebruikers waar de app reeds geinstalleerd is.

Inmiddels heb ik van één van onze MSP's begrepen dat ze ook Robopack leveren en middels die tool packages distribueren naar customer tenants.

Dus dat biedt wel meer aanknopingspunten om daar verder naar te kijken.

Damnit, ga terug de documentatie moeten induiken. Ben nieuwe test tenant aan het opzetten en het lukt me niet om een device te onboarden via autopilot. Moet ergens een verkeerde bocht genomen hebben denk ik .

Blokker_1999 schreef op maandag 23 juni 2025 @ 18:53:
Damnit, ga terug de documentatie moeten induiken. Ben nieuwe test tenant aan het opzetten en het lukt me niet om een device te onboarden via autopilot. Moet ergens een verkeerde bocht genomen hebben denk ik .

Huisstijl ingericht?

Nope, gewoon vergeten dat je eerst in Entra je MDM platform moet specifieren voor je apparaten. Daarna gaat alles wel goed. Weer typisch Microsoft. Alles zet je op 1 platform, maar je moet wel ergens op een totaal ander platform een schakelaar omzetten.

Een huisstijl is er nog niet. Alle ideeen zijn welkom

Misschien een hele domme vraag. Wij hebben ons beheer buiten de deur staan bij een grote leverancier waar dingen standaard zijn ingericht.
Wat er nu gebeurd is dat we 3 profielen hebben voor verschillende gebruikers.( Vaste machines voor medewerkers, Wisselmachines, en beheerders). Wij als werkplekbeheerders maken die machines voor de gebruikers klaar.
- Laptop in intune aan juiste Profiel
- W11 stick erin en instaleren.
- Vullen de gebruiker zijn credentials in
- updaten de machine verder en stellen de zooi in
- en leveren uit

Ik zou deze laatste 2 stappen eigenlijk vanuit intune willen doen ( weet niet of dit kan).
- Dus ik geef op voorhand een account op voor de laptop.
- En de laatste windows updates en eventuele drivers voor de machine

Voor mijn gevoel doen we een hoop werk wat wellicht ook automatisch kan.

Het eerste wat jullie gaan zeggen, ga naar de leverancier maar die zit niet meteen in de mee werk stand. Wellicht als ik kan aangeven aan mijn leiding gevende dat het niet zo moeilijk in te richten is dat ze wel in de meewerkstand raken.

Kan iemand me op weg helpen? Of vertellen of dit uberhaub kan?
Onze gebruikers zijn van zulk digibeet nivo dat het process helaas zo moet.

Iedereen hier kent die uitdagingen wel en zal er meer of minder tijd aan spenderen afhankelijk van de behoeften.

Het hangt er maar vanaf wat de verwachting is van gebruikers en management hoe ver je wilt of moet gaan om van tevoren "alles" maar in te stellen voor de (digibete) eindgebruiker.

Hoe minder je mensen zelf laat doen (met ondersteuning en instructies) des te meer afhankelijk maak of houd je ze van ander (IT) personeel.

De meeste gebruikersinstellingen moet de gebruiker eigenlijk zelf doen, dit zijn meestal voorkeuren.
NB: Het kan vanuit Intune maar dan heb je op een gegeven moment even zoveel profielen en groepen gebruikers als dat er voorkeuren zijn

De meeste machinegebonden instellingen zul je vanuit Intune doen, middels (configuration) policies, baseline, etc.

Over het algemeen is mijn voorkeur vaak wel een beetje "less is more" . Dus niet alles maar vooraf instellen en gebruikers hun handje vasthouden. Waak voor "over-delivery"..

Het kan dus best dat je leverancier daarom ook wat terughoudend is om maar elke wens en brainfart ook te willen implementeren met "iets in Intune".. Want ze hebben het soms al vaker bij de hand gehad en zien het keer op keer mislukken of van de ene instelling naar de andere hoppen want vaak wordt te weinig rekening gehouden met de impact van de instellingen op de gebruikservaring van weer andere groepen eindgebruikers

Updates, Instellingen, kun je allemaal vanuit Intune doen. Waar de apps het gebruik van policies en ADMX templates ondersteunen, is dat zelfs vrij eenvoudig.

Bij ons staat alles klaar tot de OOBE, en vanaf dat moment dient de gebruiker zelf door de enrollment heen te gaan.
Daarna krijgt hij 1 verplichte app die tijdens enrollment fase wordt geïnstalleerd, de rest (ook het Office pakket) komt erna. Alles bij elkaar kost het meestal een uurtje voordat de gebruiker volledig aan de slag kan met alle apps en dat alle updates op de achtergrond zijn geïnstalleerd en het apparaat enkele keren is herstart.

In gebruik nemen van een apparaat kost dus enige tijd. Die tijd kan de nieuwe medewerker besteden aan het volgen van enkele online trainingen of kennismaking met zijn nieuwe collega's en een medewerker die een Fresh Start of Autopilot reset heeft gekregen kan de tijd gebruiken om zijn of haar zonden te overdenken (want vaak hebben ze zelf iets verkloot wat tot de Fresh Start heeft geleid )

[ Voor 8% gewijzigd door akimosan op 24-06-2025 14:17 ]

kromme schreef op dinsdag 24 juni 2025 @ 13:39:

- Vullen de gebruiker zijn credentials in

Security technisch gezien lijkt mij dit toch een beste "nogo", laat de gebruiker lekker zelf de credentials invullen en updates doen.

bramassendorp schreef op dinsdag 24 juni 2025 @ 14:12:
[...]


Security technisch gezien lijkt mij dit toch een beste "nogo", laat de gebruiker lekker zelf de credentials invullen en updates doen.

Eens echter gaf ik al aan dat dit bij ons niet het geval is ivm digi nivo. Die discussie ga ik ook niet voeren.
Idem voor het instellen en resetten van wachtwoord etc.

HKLM_ schreef op dinsdag 24 juni 2025 @ 14:02:
[...]


Je maakt een grapje toch met Vullen de gebruiker zijn credentials in

Je kan naar DEM (Device Enrollment Manager) accounts kijken of naar Pre-Provision. Als je Windows 11 24H2 installeerd dan krijg je dit binnenkort al vanuit de OOBE waarbij hij de Update ringen welke geconfigureerd zijn in Intune gaat volgen. Tot die tijd zou je het met een scriptje kunnen doen bijvoorbeeld.

updaten de machine verder en stellen de zooi in -> Wat stel je in dan? Je hebt toch Intune?

Dus, ik kan niet op voorhand in intune zeggen. Deze persoon krijgt die laptop? En dat hij dat proces vanzelf doet?

Zooi wat we instellen zijn, outlook, wifi verbinding opzetten, updates draaien.

akimosan schreef op dinsdag 24 juni 2025 @ 14:12:
Iedereen hier kent die uitdagingen wel en zal er meer of minder tijd aan spenderen afhankelijk van de behoeften.

Het hangt er maar vanaf wat de verwachting is van gebruikers en management hoe ver je wilt of moet gaan om van tevoren "alles" maar in te stellen voor de (digibete) eindgebruiker.

Hoe minder je mensen zelf laat doen (met ondersteuning en instructies) des te meer afhankelijk maak of houd je ze van ander (IT) personeel.

De meeste gebruikersinstellingen moet de gebruiker eigenlijk zelf doen, dit zijn meestal voorkeuren.
NB: Het kan vanuit Intune maar dan heb je op een gegeven moment even zoveel profielen en groepen gebruikers als dat er voorkeuren zijn

De meeste machinegebonden instellingen zul je vanuit Intune doen, middels (configuration) policies, baseline, etc.

Over het algemeen is mijn voorkeur vaak wel een beetje "less is more" . Dus niet alles maar vooraf instellen en gebruikers hun handje vasthouden. Waak voor "over-delivery"..

Het kan dus best dat je leverancier daarom ook wat terughoudend is om maar elke wens en brainfart ook te willen implementeren met "iets in Intune".. Want ze hebben het soms al vaker bij de hand gehad en zien het keer op keer mislukken of van de ene instelling naar de andere hoppen want vaak wordt te weinig rekening gehouden met de impact van de instellingen op de gebruikservaring van weer andere groepen eindgebruikers

Updates, Instellingen, kun je allemaal vanuit Intune doen. Waar de apps het gebruik van policies en ADMX templates ondersteunen, is dat zelfs vrij eenvoudig.

Bij ons staat alles klaar tot de OOBE, en vanaf dat moment dient de gebruiker zelf door de enrollment heen te gaan.
Daarna krijgt hij 1 verplichte app die tijdens enrollment fase wordt geïnstalleerd, de rest (ook het Office pakket) komt erna. Alles bij elkaar kost het meestal een uurtje voordat de gebruiker volledig aan de slag kan met alle apps en dat alle updates op de achtergrond zijn geïnstalleerd en het apparaat enkele keren is herstart.

In gebruik nemen van een apparaat kost dus enige tijd. Die tijd kan de nieuwe medewerker besteden aan het volgen van enkele online trainingen of kennismaking met zijn nieuwe collega's en een medewerker die een Fresh Start of Autopilot reset heeft gekregen kan de tijd gebruiken om zijn of haar zonden te overdenken (want vaak hebben ze zelf iets verkloot wat tot de Fresh Start heeft geleid )

Bij ons doen wij dit, en ik krijg het momenteel ook niet zover dat we dit bij de gebruiker gaan neerleggen. En geloof me dat had ik graag.

[ Voor 99% gewijzigd door kromme op 24-06-2025 14:55 ]

In dat geval: run.

ralpje schreef op dinsdag 24 juni 2025 @ 14:53:
In dat geval: run.

?

kromme schreef op dinsdag 24 juni 2025 @ 14:49:
[...]


Eens echter gaf ik al aan dat dit bij ons niet het geval is ivm digi nivo. Die discussie ga ik ook niet voeren.
Idem voor het instellen en resetten van wachtwoord etc.


[...]


Dus, ik kan niet op voorhand in intune zeggen. Deze persoon krijgt die laptop? En dat hij dat proces vanzelf doet?

Zooi wat we instellen zijn, outlook, wifi verbinding opzetten, updates draaien.

Blijft toch altijd wonderbaarlijk dat ze thuis vaak wel een laptop/telefoon hebben waarop prive mail e.d. staat, maar zodra het zakelijk word het ineens allemaal onmogelijk is.

Outlook is gewoon doorklikken en klaar (mits juist geconfigureerd in intune), wifi, kan ook gewoon via intune gepushed worden, updates.. die komen vanzelf wel.

Kijk desnoods eens naar autopilot icm intune, als dat er al nog niet is.

bramassendorp schreef op dinsdag 24 juni 2025 @ 14:57:
[...]

Blijft toch altijd wonderbaarlijk dat ze thuis vaak wel een laptop/telefoon hebben waarop prive mail e.d. staat, maar zodra het zakelijk word het ineens allemaal onmogelijk is.

Outlook is gewoon doorklikken en klaar (mits juist geconfigureerd in intune), wifi, kan ook gewoon via intune gepushed worden, updates.. die komen vanzelf wel.

Kijk desnoods eens naar autopilot icm intune, als dat er al nog niet is.

Begrijp me niet verkeerd, ik ben het met je eens. En we zijn bezig om de digivaardigheid te verbeteren. Alleen dat gaat niet zo snel als we zouden willen.
Maar weet dat ze in de zorg vaak 0 affiniteit hebben met techniek.

Wifi kan niet gepusht worden want het gaat op gebruikersnaam en ww. Updates komen wel is toch echt niet het geval.

We gebruiken het icm Autopilot.

Run away
Het resetten van wachtwoorden naar een bekend wachtwoord en vervolgens gebruiken van accounts van anderen is absoluut geen security best practice.

Dat je de discussie daarover niet verder wilt voeren met anderen kan ik wel begrijpen maar niet goed praten.
Voelt voor mij toch een beetje als "de kop in het zand steken".
Als directie je daarbij de hand boven het hoofd houdt en dit als "beleid" ziet, dan valt hen nog wel het een en ander te verwijten.

Misschien dat jullie organisatie niet valt onder sectoren die volgens de NIS2 richtlijn moeten gaan werken, maar één van de zaken waarin daar op gehamerd wordt, is dat organisaties duidelijke risico analyses moeten maken en laten zien hoe ze die risico's verminderen.
Als bij eventuele audits aan het licht komt dat dit soort risico's door het bedrijf actief in stand worden gehouden kunnen directeuren en bestuurders ook persoonlijk verantwoordelijk gehouden worden voor de eventuele gevolgen.

Stel je dat dus even voor:
Als door dit soort gedrag datalekken of malware/ransomware infecties plaatsvinden, dat de gevolgschade bij jullie bedrijf, klanten, partners of andere 3e partijen op jullie verhaald kan worden of dat er zelfs strafrechtelijke vervolging kan plaatsvinden.

Als jij bij zo'n bedrijf werkt, moet je jezelf de vraag stellen. Wil ik hier wel deel van zijn?
Vandaar de raad: Run, Forest, run!