Microsoft Intune ervaringentopic

Heb geen definitieve uitsluitsel gekregen, maar men was iig blij met 1 verandering: niet meer constant vragen om hun wachtwoord. Geen idee in welke context, mogelijk voor updaten. Die heb ik met een DDM config gezet op dat men tot 31 oktober heeft om 15.7 te installeren. Hopelijk houd dat 26 tegen.

HKLM_ schreef op vrijdag 26 september 2025 @ 17:39:
Windows 11 24H2 is eindelijk beschikbaar als recommended OS in de Windows App selectie.

Bijna een jaar geduurd hahah

Net nu we 25h2 bijna nodig hebben.

Hebben we het nodig? Ik draai preview 25H2 maar geen benul wat wezenlijk anders is.

Hoe denken jullie dat Microsoft gaat handelen komende oktober? Onze vloot is zo goed als over Windows 11 op ongeveer 60 devices na. Maar ik heb het idee dat wereldwijd nog steeds 40% op 10 zit. Als ze de support echt gaan stoppen zo dat een behoorlijk wereldwijd probleem kunnen worden.

Nouja, er is niet direct een probleem. En je kan support kopen.

Het is pas een issue als er een vulnerability is die niet op jouw systeem gepatcht gaat worden.

Quad schreef op vrijdag 26 september 2025 @ 20:49:
Nouja, er is niet direct een probleem. En je kan support kopen.

Het is pas een issue als er een vulnerability is die niet op jouw systeem gepatcht gaat worden.

Dat is wat ik bedoel. Er zijn miljoenen windows 10 ps die echt geen extended support hebben gekocht. En er komen elke maand genoeg zero days bij
Zowel zakelijk als consumers.
Je kunt makkelijk als microsoft zijnde kunnen wijzen naar de verantwoordelijkheid van de business/gebruiker/consument, maar je hebt ook zelf nog een goede naam te houden.

Tja dat was bij Windows XP en Windows 7/8 toch ook het geval ?
Denk dat er ook genoeg systemen zijn trouwens die unsupported windows 11 draaien, vaak kan (of kon) je prima de updaten installeren zonder tpm check maar daarna kan je niet meer updaten naar de volgende 'editie van windows 11'
Is mij ook overkomen dat ik windows 11 update gewoon kon draaien op pc met niet supported cpu en tpm1.1.
En dan na jaar merken dat je niet meer kan updaten... (of beter gezegd waarom krijg ik die update niet te zien?)

[ Voor 7% gewijzigd door DDX op 26-09-2025 21:00 ]

Ik denk zelf dat er nog behoorlijk lang gratis (2jaar?) cu security updates worden uitgegeven. Beetje zelfde als toen met windows 7.

Het grootste ding zal wel zijn dat er partijen zijn die bugs hebben ontdekt en het pas na het verlopen van de support gaan misbruiken.

ReZpie schreef op vrijdag 26 september 2025 @ 21:00:
Ik denk zelf dat er nog behoorlijk lang gratis (2jaar?) cu security updates worden uitgegeven. Beetje zelfde als toen met windows 7.

Dat ligt al vast en betreft 3 jaar met een prijsverdubbeling per device elk jaar.
Daarna is het exit en daar gaat Microsoft niets aan doen.

Nog los van het feit dat dat niets met Intune te maken heeft dan…

ReZpie schreef op vrijdag 26 september 2025 @ 20:36:
Hoe denken jullie dat Microsoft gaat handelen komende oktober? Onze vloot is zo goed als over Windows 11 op ongeveer 60 devices na. Maar ik heb het idee dat wereldwijd nog steeds 40% op 10 zit. Als ze de support echt gaan stoppen zo dat een behoorlijk wereldwijd probleem kunnen worden.

De support is gratis verlengd met een jaar toch?

Drardollan schreef op vrijdag 26 september 2025 @ 22:08:
[...]

De support is gratis verlengd met een jaar toch?

niet voor zakelijk... alleen voor thuis gebruikers.

Dirtyrockers schreef op vrijdag 26 september 2025 @ 22:19:
[...]


niet voor zakelijk... alleen voor thuis gebruikers.

Rot. Gelukkig heb ik jaren geleden al afscheid genomen van Win10. Geen enkele zakelijke gebruiker zou dit nog moeten draaien, los van eventuele specialistische machines. Maar die hangen sowieso niet aan het internet als het goed is.

En zo wel, dan mag je blijkbaar betalen voor een paar jaar extra. Dan kan je je vervolgens afvragen of het de besparing op een nieuwere machine waard was.

Hoianddoei schreef op woensdag 19 februari 2025 @ 15:19:
Wij hebben sinds vandaag een probleem bij het inspoelen van Android Knox devices dat deze bij het inloggen een foutmelding geeft:

"Er is iets fout gegaan

Er zijn problemen met verbinding maken met Microsoft Intune. Dit wordt mogelijk veroorzaakt door een probleem met uw netwerkverbinding. Neem contact op met de helpdesk van uw bedrijf als dit probleem zich voordoen blijft."

Ik heb overal in Intune en Knox gekeken, maar kan niet zien waarom we ineens deze melding krijgen bij het inspoelen van die telefoons. Geen certificaten verlopen, geen policies ineens aangepast.. iemand enig idee wat dit kan veroorzaken?

Wij lopen hier ook met regelmaat tegenaan, ben erg benieuwd of hier iemand bekend mee is.
Wij gebruiken (ook) Samsung KNOX Mobile Enrollement in combinatie met Microsoft Intune, company owned devices met een werk profiel.

Zo nu en dan gaat het zelfde toestel, met dezelfde gebruiker, hetzelfde profiel, zelfde netwerk etc ook wel goed. Al dan niet met een tijdelijke exclude van MFA.

Iemand ideeën, we kunnen het niet goed reproduceren.

Lekker, tegen het einde van de dag een laptop opnieuw geïnstalleerd via MDT met onze 24h2 image. Kan ik die gelijk upgraden naar 25h2 en het uitrolimage vernieuwen, want we hebben nog een handjevol gebruikers op W10.

Vond ook documentatie waarin uitgelegd staat dat er een specifieke rol bestaat om systemen aan te kunnen melden bij autopilot, zodat je geen Intune admin hoeft te zijn. Dat is wel zo fijn, gelijk geregeld en kon het eerder genoemde systeem prima aanmelden. Nog even verder kijken of het inzien van de systemen en tags toewijzen ook werkt en anders die rol/rechten toevoegen aan de custom role die ik heb gemaakt hiervoor.

Vond ook documentatie waarin uitgelegd staat dat er een specifieke rol bestaat om systemen aan te kunnen melden bij autopilot, zodat je geen Intune admin hoeft te zijn.

Interessant, welke role is dit?

Een DEM account gok ik.

@HKLM_ Interessant, hopelijk snel beschikbaar in OSDCloud, ik ben deze namelijk aan het bouwen voor ons op de zaak. Zonder Autopilot opties want die zijn niet nodig.

Ik kwam al een -v2 parameter tegen trouwens, met daarin ook support voor ARM.

Quad schreef op dinsdag 30 september 2025 @ 21:11:
Een DEM account gok ik.

Nope. Dat is voor Intune onboarding, niet voor registreren voor Autopilot.

tzzz schreef op dinsdag 30 september 2025 @ 20:26:
[...]

Interessant, welke role is dit?

Er is een wat uitgebreidere pre-defined rol: Policy and Profile Manager. Zie ook https://learn.microsoft.com/en-us/autopilot/add-devices waar het genoemd wordt. Ik heb een custom role gemaakt met alleen die benodigde rechten, want de PnP Manager heeft meer rechten dan strikt noodzakelijk.

Check.
Wij hebben hiervoor CIPP.

HKLM_ schreef op woensdag 1 oktober 2025 @ 08:46:
[...]


CIPP is wel echt cool inderdaad Mocht je CIS gebruiken ik heb laats met Kelvin en het team een project gedaan om de CIS Intune for Windows V4 beschikbaar te maken binnen CIPP (v8.4.0 - The Fence Hopper)

Nope we maken helaas geen gebruik van CIS. Is het idee van CIS dat je dan alles toepast of enkel gebruikt wat binnen je omgeving nodig is?

TheVMaster schreef op woensdag 1 oktober 2025 @ 11:46:
[...]


Als je wilt voldoen aan CIS dan zul je volgens mij hun policies allemaal moeten toepassen, maar ik zie mijn klanten vooral CIS gebruiken als startpunt en daar dan wel zaken van uitschakelen. Zo blokkeert CIS (weet even niet of het L1 of L2 is) het gebruik van OneDrive en Windows Hello, maar wil de klant dat wel toestaan.

Beetje vergelijkbaar als de ingebakken Security Baselines, daar zitten soms ook instellingen in die je als klant wilt uitschakelen. Het is ook een baseline he (net zoals CIS) waar je mee begint om een goed uitgangspunt (op het vlak van security te hebben) en daar bouw je dan op voort, door zaken toch toe te staan of met andere policies aanvullende zaken te configureren.

Wordt CIS geïnitieerd vanuit klant? Als in, weten zij dat meestal dat ze er aan moeten voldoen of bepaal ik (als MSP) dat voor klant?

Onze klanten zijn zonder uitzondering MKB en hebben werkplekken van 1 - 250 stuks.

Edit: Ergens vind ik het wel jammer dat we niet zo groot zijn dat ik volledig kan focussen op alles wat maar te maken heeft met Intune met de hele rits aan Enterprise licenties en tooling. Het blijft daardoor vaak wat oppervlakkig. Verder dan Business Premium kom je dan gewoon niet.

Dat ik bij een tweetal klanten mag inzetten op passwordless aanmelden ivm phishingresistant MFA is dan al heel wat.

HKLM_ schreef op woensdag 1 oktober 2025 @ 12:12:
[...]


Ja gaaf, viel mij gisteren echt op hoe snel 25H2 installerde vanaf een 24H2 machine was denk binnen 5 minuten na installatie en dan de reboot weer online. kan je de link naar de CSP delen>

Ben benieuwd wanneer dit in OSDCloud zit. Ik ben gisteravond druk geweest om onze image te laten verwijzen naar een github pagina, en zodoende daar de installatiescript met een mooie GUI te laten starten.

[ Voor 11% gewijzigd door Quad op 01-10-2025 12:26 ]

HKLM_ schreef op woensdag 1 oktober 2025 @ 12:12:
[...]


Ja gaaf, viel mij gisteren echt op hoe snel 25H2 installerde vanaf een 24H2 machine was denk binnen 5 minuten na installatie en dan de reboot weer online. kan je de link naar de CSP delen>

Eh..die staat letterlijk in mijn bericht -> https://learn.microsoft.c...y-based-inbox-app-removal

Probleem dat ik daar nu weer mee heb is dat we sommige apps wel per default verwijderen, maar dan wel weer beschikbaar maken in de Company Portal voor hen die er toch nood aan hebben. Dat gaat met deze CSP blijkbaar ook weer niet want die zal de app telkens opnieuw verwijderen volgens de laatste documentatie die ik gelezen heb. Of vergis ik mij daar in?

TheVMaster schreef op woensdag 1 oktober 2025 @ 11:46:
[...]


Als je wilt voldoen aan CIS dan zul je volgens mij hun policies allemaal moeten toepassen, maar ik zie mijn klanten vooral CIS gebruiken als startpunt en daar dan wel zaken van uitschakelen. Zo blokkeert CIS (weet even niet of het L1 of L2 is) het gebruik van OneDrive en Windows Hello, maar wil de klant dat wel toestaan.

Het is niet echt aan te raden om zomaar alles toe te passen wat in de CIS recommendations staat. Ik werk voor verschillende officiele (Europeze) instanties en we zijn letterlijk soms maanden bezig om een CIS mooi te laten aansluiten in de organisatie zonder dat heel de boel geblokkeerd staat.

We zijn aan het overstappen van hybrid joined naar entra joined.
Nu loop ik tegen issue aan met netwerk(wifi) connectie tijdens enrollen van een laptop.
Bij hybrid devices hadden we een gpo policy die de wifi authenticatie via het computer account liet lopen.
En daarnaast een gpo die acces tot gasten ssid blockt. (zodat mensen niet per ongeluk naar verkeerde vlan connecten)

Bij entra joined gaat authenticatie via computer account (tegen on prem nps server) niet.
En hebben we nu user based certificaten authenticatie ingeregeld via intune policies.
En een policy die zorgt dat devices verkeerde configuratie krijgen voor gasten wifi (intune bied zover ik kon vinden geen block optie zoals in gpo wel kon)

Nu gaat het alleen mis doordat certificaat en wifi connectie in meerdere stappen/policies gaat.
En tijdens enrollment is dit nog niet voltooid/werkend.
Ondertussen komt de gasten wifi config al wel door en valt de wifi connectie daarmee weg en failen de enrollment stappen. (zonder echt duidelijk foutmelding trouwens dat er geen netwerk is, je krijgt alleen retry optie)
Workarround is ethernet kabel of hotspot gebruiken tijdens de installatie maar echt handig is dit niet.

Iemand tips ?

Ja open gasten wifi werkt soort van dus, tot de policy actief wordt die dat blockt.
Voor nu ga ik die policy uitzetten, maar eigenlijk wil ik voorkomen dat mensen per ongeluk op gasten netwerk connecten.
En dan eens uitzoeken of ik iets van een filter op die policy kan zetten.

In een best case scenario wil je die steering op je netwerk / controller doen (dus je connect naar hetzelfde SSID maar op basis van je cert kom je in het juiste VLAN), maar dat bouw je niet even om

De enrollment doen op bedraad vind ik sowieso de beste optie; ook voor het downloaden van apps etc. is die extra snelheid vaak fijn.

Quad schreef op woensdag 1 oktober 2025 @ 12:22:
[...]

Wordt CIS geïnitieerd vanuit klant? Als in, weten zij dat meestal dat ze er aan moeten voldoen of bepaal ik (als MSP) dat voor klant?

Onze klanten zijn zonder uitzondering MKB en hebben werkplekken van 1 - 250 stuks.

Edit: Ergens vind ik het wel jammer dat we niet zo groot zijn dat ik volledig kan focussen op alles wat maar te maken heeft met Intune met de hele rits aan Enterprise licenties en tooling. Het blijft daardoor vaak wat oppervlakkig. Verder dan Business Premium kom je dan gewoon niet.

Dat ik bij een tweetal klanten mag inzetten op passwordless aanmelden ivm phishingresistant MFA is dan al heel wat.


[...]


Ben benieuwd wanneer dit in OSDCloud zit. Ik ben gisteravond druk geweest om onze image te laten verwijzen naar een github pagina, en zodoende daar de installatiescript met een mooie GUI te laten starten.

Het zou nu beschikbaar moeten zijn in OSDcloud.
er zijn twee versies, een nieuwe en een oude. op de oude is het met een uurtje vanaf nu beschikbaar.

Ik zit vrij dicht bij de source... dus mochten er vragen zijn of specifieke requests, laat maar weten

TheVMaster schreef op woensdag 1 oktober 2025 @ 14:02:
[...]


Ja, hier hebben ze beide....gewoon omdat het kan. Argument is dat het een eis is van de de security-afdeling. Maar moet eerlijk zeggen dat ik hieraan twijfel.

Die eis bestaat waarschijnlijk zodat je gedwongen wordt om afwijkingen formeel als accepted risk te documenteren (inclusief alle business processen die daarmee triggeren).
Daarmee moet je dus ook meteen alternatieven overwegen, nadenken over het minimaliseren van de risico's en als het uiteindelijk toch geaccepteerd is, is het meteen goed gedocumenteerd voor een eventuele audit. .

Ik heb in ieder geval nog nooit meegemaakt dat er (ten onrechte) vastgehouden wordt aan een security requirement gewoon omdat het kan.

ziecko schreef op donderdag 2 oktober 2025 @ 12:09:
[...]


Het zou nu beschikbaar moeten zijn in OSDcloud.
er zijn twee versies, een nieuwe en een oude. op de oude is het met een uurtje vanaf nu beschikbaar.

Ik zit vrij dicht bij de source... dus mochten er vragen zijn of specifieke requests, laat maar weten

Gaat nu wel offtopic, maar de oude is de gewone OSD config? Nieuwe is die je kan starten met Start-OSDCloudGui -v2 switch?
Zag al wat commits voorbij komen op de Githubpagina. Zie het vanzelf wel verschijnen.

Sniels schreef op donderdag 2 oktober 2025 @ 12:17:
[...]


Die eis bestaat waarschijnlijk zodat je gedwongen wordt om afwijkingen formeel als accepted risk te documenteren (inclusief alle business processen die daarmee triggeren).
Daarmee moet je dus ook meteen alternatieven overwegen, nadenken over het minimaliseren van de risico's en als het uiteindelijk toch geaccepteerd is, is het meteen goed gedocumenteerd voor een eventuele audit. .

Ik heb in ieder geval nog nooit meegemaakt dat er (ten onrechte) vastgehouden wordt aan een security requirement gewoon omdat het kan.

Het is een ingewikkeld verhaal, laten we het daar op houden.

Quad schreef op donderdag 2 oktober 2025 @ 12:27:
[...]

Gaat nu wel offtopic, maar de oude is de gewone OSD config? Nieuwe is die je kan starten met Start-OSDCloudGui -v2 switch?
Zag al wat commits voorbij komen op de Githubpagina. Zie het vanzelf wel verschijnen.

yes :-)

ziecko schreef op donderdag 2 oktober 2025 @ 12:44:
[...]

yes :-)

Is live inmiddels.

Heb wel een paar andere issues, maar die ga ik eerst zelf even proberen op te lossen.

Maak jij gebruik van OSD icm Autopilot?

Vraagje aan de andere Intune beheerders, hoe gaan jullie om met Windows Updates in Intune? En dan specifiek of jullie jullie update ringen op users of devices hebben staan?

Ik heb op dit moment alles op de user staan, dat leek een goed idee. Maar nu ik er over na heb gedacht is het helemaal niet zo logisch. In WSUS vroeger deed je het ook per device tenslotte. En ook hier kan het prima dat 2 users op 1 device inloggen en dat klinkt niet handig met updates die aan een user hangen.

Dus kort door de bocht, hoe is het ingericht bij jullie?

Poll: Intune Windows Update Assignment
• Users
• Devices
• Ik doe niet aan updates!
<sup>Tussenstand:

Ook een poll maken? Klik hier</sup>

We doen het niet via Intune maar via RMM.
Tenzij klant geen RMM heeft dan configureer ik een basispolicy die lijkt op onze RMM policy. En dat is dan zonder ringen enz verder. Gewoon 'YOLO'.

Drardollan schreef op vrijdag 3 oktober 2025 @ 16:15:
Vraagje aan de andere Intune beheerders, hoe gaan jullie om met Windows Updates in Intune? En dan specifiek of jullie jullie update ringen op users of devices hebben staan?

Ik heb op dit moment alles op de user staan, dat leek een goed idee. Maar nu ik er over na heb gedacht is het helemaal niet zo logisch. In WSUS vroeger deed je het ook per device tenslotte. En ook hier kan het prima dat 2 users op 1 device inloggen en dat klinkt niet handig met updates die aan een user hangen.

Dus kort door de bocht, hoe is het ingericht bij jullie?

Poll: Intune Windows Update Assignment
• Users
• Devices
• Ik doe niet aan updates!
^Tussenstand:
[Afbeelding]
^{Ook een poll maken? Klik hier}

Ik gebruik autopatch. Maar evt tip voor andere die dut gebruiken; maak meteen proactive remediation scripts aan voor zowel diagnostic data als autopatch settings, want er bleken aardig wat devices niet lekker enrolled in autopatch te zijn waardoor de reporting niet betrouwbaar bleek.

Drardollan schreef op vrijdag 3 oktober 2025 @ 17:00:
[...]

Oei, YOLO doe ik niet. En de RMM heb ik de deur uit gedaan nu ik Intune heb. Beetje dubbele kosten voor niks.

Ik gebruikte voorheen dit principe:
https://joostgelijsteen.com/deployment-rings/
Werkte ook prima

Drardollan schreef op vrijdag 3 oktober 2025 @ 17:00:
[...]

Oei, YOLO doe ik niet. En de RMM heb ik de deur uit gedaan nu ik Intune heb. Beetje dubbele kosten voor niks.

Snap ik! We leveren niet aan zulke type organisaties waarbij je met testrings en reporting moet gaan werken. Dan kan je net zo goed alles zodanig configureren dat het pas X dagen na release mag worden vrijgegeven enz.

Quad schreef op vrijdag 3 oktober 2025 @ 17:19:
[...]

Snap ik! We leveren niet aan zulke type organisaties waarbij je met testrings en reporting moet gaan werken. Dan kan je net zo goed alles zodanig configureren dat het pas X dagen na release mag worden vrijgegeven enz.

Wil het ook niet al te complex maken. Eigen laptop in de eerste ring met een paar dagen vertraging. Dan 3 of 4 in de volgende ring met mensen die representatief zijn voor een afdeling en waarbij de vertraging een paar dagen extra is ten opzichte van mij en dan de laatste ring met de rest op 14 dagen vertraging.

De meeste updates die kapot zijn worden wel met 1 a 2 dagen teruggehaald is mijn ervaring. Dat wil ik graag opvangen.

Dat klinkt als een goede strategie!

Autopatch zie ik vaak als term, maar mij is nog onduidelijk of ik dat nu wel of niet gebruik en zo niet wat dan het voordeel zou zijn. Vind dat stuk van Intune behoorlijk ondoorzichtig nog.

HKLM_ schreef op vrijdag 3 oktober 2025 @ 19:13:
[...]


Autopatch is tegenwoordig ook een verzamelnaam en inderdaad verwarrend, autopatch groups moet je onder tenant administration los activeren en entra ID groepen aanmaken. Vervolgens kan je meerdere groepen, ringen maken voor het uitrollen van updates, drivers etc welke dan staged uitrollen in je organisatie met meerdere ringen.

Je kan met autopatch groups meerdere autopatch groups aanmaken welke dan ook weer staged uitrollen met meerdere ringen.

Heb je hotpatch al geactiveerd?

Denk het niet, heb andere prioriteiten op dit moment en enkel oppervlakkig gekeken. Belangrijkste is nu in ieder geval iets met updates doen, hoop volgend jaar ruim de tijd te kunnen gaan nemen om het goed uit te zoeken en in te richten.

Drardollan schreef op vrijdag 3 oktober 2025 @ 17:00:
[...]

Helaas, geen licentie voor. Die valt schandalig genoeg buiten de BP

Zeker weten?

https://learn.microsoft.c...s-autopatch-prerequisites

HKLM_ schreef op vrijdag 10 oktober 2025 @ 07:04:
[...]


Volgens mij doelt hij op de proactive remediation scripts en die valt inderdaad buiten BP

Inderdaad.

HKLM_ schreef op vrijdag 10 oktober 2025 @ 07:04:
[...]


Volgens mij doelt hij op de proactive remediation scripts en die valt inderdaad buiten BP

Ah, my bad.

Wij zijn net begonnen met Autopatch in een lab tenant. Ben wel benieuwd naar de betreffende scripts

Linkje?