Microsoft Intune ervaringentopic

Heb geen definitieve uitsluitsel gekregen, maar men was iig blij met 1 verandering: niet meer constant vragen om hun wachtwoord. Geen idee in welke context, mogelijk voor updaten. Die heb ik met een DDM config gezet op dat men tot 31 oktober heeft om 15.7 te installeren. Hopelijk houd dat 26 tegen.

HKLM_ schreef op vrijdag 26 september 2025 @ 17:39:
Windows 11 24H2 is eindelijk beschikbaar als recommended OS in de Windows App selectie.

Bijna een jaar geduurd hahah

Net nu we 25h2 bijna nodig hebben.

Hebben we het nodig? Ik draai preview 25H2 maar geen benul wat wezenlijk anders is.

Hoe denken jullie dat Microsoft gaat handelen komende oktober? Onze vloot is zo goed als over Windows 11 op ongeveer 60 devices na. Maar ik heb het idee dat wereldwijd nog steeds 40% op 10 zit. Als ze de support echt gaan stoppen zo dat een behoorlijk wereldwijd probleem kunnen worden.

Nouja, er is niet direct een probleem. En je kan support kopen.

Het is pas een issue als er een vulnerability is die niet op jouw systeem gepatcht gaat worden.

Quad schreef op vrijdag 26 september 2025 @ 20:49:
Nouja, er is niet direct een probleem. En je kan support kopen.

Het is pas een issue als er een vulnerability is die niet op jouw systeem gepatcht gaat worden.

Dat is wat ik bedoel. Er zijn miljoenen windows 10 ps die echt geen extended support hebben gekocht. En er komen elke maand genoeg zero days bij
Zowel zakelijk als consumers.
Je kunt makkelijk als microsoft zijnde kunnen wijzen naar de verantwoordelijkheid van de business/gebruiker/consument, maar je hebt ook zelf nog een goede naam te houden.

Tja dat was bij Windows XP en Windows 7/8 toch ook het geval ?
Denk dat er ook genoeg systemen zijn trouwens die unsupported windows 11 draaien, vaak kan (of kon) je prima de updaten installeren zonder tpm check maar daarna kan je niet meer updaten naar de volgende 'editie van windows 11'
Is mij ook overkomen dat ik windows 11 update gewoon kon draaien op pc met niet supported cpu en tpm1.1.
En dan na jaar merken dat je niet meer kan updaten... (of beter gezegd waarom krijg ik die update niet te zien?)

[ Voor 7% gewijzigd door DDX op 26-09-2025 21:00 ]

Ik denk zelf dat er nog behoorlijk lang gratis (2jaar?) cu security updates worden uitgegeven. Beetje zelfde als toen met windows 7.

Het grootste ding zal wel zijn dat er partijen zijn die bugs hebben ontdekt en het pas na het verlopen van de support gaan misbruiken.

ReZpie schreef op vrijdag 26 september 2025 @ 21:00:
Ik denk zelf dat er nog behoorlijk lang gratis (2jaar?) cu security updates worden uitgegeven. Beetje zelfde als toen met windows 7.

Dat ligt al vast en betreft 3 jaar met een prijsverdubbeling per device elk jaar.
Daarna is het exit en daar gaat Microsoft niets aan doen.

Nog los van het feit dat dat niets met Intune te maken heeft dan…

ReZpie schreef op vrijdag 26 september 2025 @ 20:36:
Hoe denken jullie dat Microsoft gaat handelen komende oktober? Onze vloot is zo goed als over Windows 11 op ongeveer 60 devices na. Maar ik heb het idee dat wereldwijd nog steeds 40% op 10 zit. Als ze de support echt gaan stoppen zo dat een behoorlijk wereldwijd probleem kunnen worden.

De support is gratis verlengd met een jaar toch?

Drardollan schreef op vrijdag 26 september 2025 @ 22:08:
[...]

De support is gratis verlengd met een jaar toch?

niet voor zakelijk... alleen voor thuis gebruikers.

Dirtyrockers schreef op vrijdag 26 september 2025 @ 22:19:
[...]


niet voor zakelijk... alleen voor thuis gebruikers.

Rot. Gelukkig heb ik jaren geleden al afscheid genomen van Win10. Geen enkele zakelijke gebruiker zou dit nog moeten draaien, los van eventuele specialistische machines. Maar die hangen sowieso niet aan het internet als het goed is.

En zo wel, dan mag je blijkbaar betalen voor een paar jaar extra. Dan kan je je vervolgens afvragen of het de besparing op een nieuwere machine waard was.

Hoianddoei schreef op woensdag 19 februari 2025 @ 15:19:
Wij hebben sinds vandaag een probleem bij het inspoelen van Android Knox devices dat deze bij het inloggen een foutmelding geeft:

"Er is iets fout gegaan

Er zijn problemen met verbinding maken met Microsoft Intune. Dit wordt mogelijk veroorzaakt door een probleem met uw netwerkverbinding. Neem contact op met de helpdesk van uw bedrijf als dit probleem zich voordoen blijft."

Ik heb overal in Intune en Knox gekeken, maar kan niet zien waarom we ineens deze melding krijgen bij het inspoelen van die telefoons. Geen certificaten verlopen, geen policies ineens aangepast.. iemand enig idee wat dit kan veroorzaken?

Wij lopen hier ook met regelmaat tegenaan, ben erg benieuwd of hier iemand bekend mee is.
Wij gebruiken (ook) Samsung KNOX Mobile Enrollement in combinatie met Microsoft Intune, company owned devices met een werk profiel.

Zo nu en dan gaat het zelfde toestel, met dezelfde gebruiker, hetzelfde profiel, zelfde netwerk etc ook wel goed. Al dan niet met een tijdelijke exclude van MFA.

Iemand ideeën, we kunnen het niet goed reproduceren.

Lekker, tegen het einde van de dag een laptop opnieuw geïnstalleerd via MDT met onze 24h2 image. Kan ik die gelijk upgraden naar 25h2 en het uitrolimage vernieuwen, want we hebben nog een handjevol gebruikers op W10.

Vond ook documentatie waarin uitgelegd staat dat er een specifieke rol bestaat om systemen aan te kunnen melden bij autopilot, zodat je geen Intune admin hoeft te zijn. Dat is wel zo fijn, gelijk geregeld en kon het eerder genoemde systeem prima aanmelden. Nog even verder kijken of het inzien van de systemen en tags toewijzen ook werkt en anders die rol/rechten toevoegen aan de custom role die ik heb gemaakt hiervoor.

Vond ook documentatie waarin uitgelegd staat dat er een specifieke rol bestaat om systemen aan te kunnen melden bij autopilot, zodat je geen Intune admin hoeft te zijn.

Interessant, welke role is dit?

Een DEM account gok ik.

@HKLM_ Interessant, hopelijk snel beschikbaar in OSDCloud, ik ben deze namelijk aan het bouwen voor ons op de zaak. Zonder Autopilot opties want die zijn niet nodig.

Ik kwam al een -v2 parameter tegen trouwens, met daarin ook support voor ARM.

Quad schreef op dinsdag 30 september 2025 @ 21:11:
Een DEM account gok ik.

Nope. Dat is voor Intune onboarding, niet voor registreren voor Autopilot.

tzzz schreef op dinsdag 30 september 2025 @ 20:26:
[...]

Interessant, welke role is dit?

Er is een wat uitgebreidere pre-defined rol: Policy and Profile Manager. Zie ook https://learn.microsoft.com/en-us/autopilot/add-devices waar het genoemd wordt. Ik heb een custom role gemaakt met alleen die benodigde rechten, want de PnP Manager heeft meer rechten dan strikt noodzakelijk.

Check.
Wij hebben hiervoor CIPP.

HKLM_ schreef op woensdag 1 oktober 2025 @ 08:46:
[...]


CIPP is wel echt cool inderdaad Mocht je CIS gebruiken ik heb laats met Kelvin en het team een project gedaan om de CIS Intune for Windows V4 beschikbaar te maken binnen CIPP (v8.4.0 - The Fence Hopper)

Nope we maken helaas geen gebruik van CIS. Is het idee van CIS dat je dan alles toepast of enkel gebruikt wat binnen je omgeving nodig is?

TheVMaster schreef op woensdag 1 oktober 2025 @ 11:46:
[...]


Als je wilt voldoen aan CIS dan zul je volgens mij hun policies allemaal moeten toepassen, maar ik zie mijn klanten vooral CIS gebruiken als startpunt en daar dan wel zaken van uitschakelen. Zo blokkeert CIS (weet even niet of het L1 of L2 is) het gebruik van OneDrive en Windows Hello, maar wil de klant dat wel toestaan.

Beetje vergelijkbaar als de ingebakken Security Baselines, daar zitten soms ook instellingen in die je als klant wilt uitschakelen. Het is ook een baseline he (net zoals CIS) waar je mee begint om een goed uitgangspunt (op het vlak van security te hebben) en daar bouw je dan op voort, door zaken toch toe te staan of met andere policies aanvullende zaken te configureren.

Wordt CIS geïnitieerd vanuit klant? Als in, weten zij dat meestal dat ze er aan moeten voldoen of bepaal ik (als MSP) dat voor klant?

Onze klanten zijn zonder uitzondering MKB en hebben werkplekken van 1 - 250 stuks.

Edit: Ergens vind ik het wel jammer dat we niet zo groot zijn dat ik volledig kan focussen op alles wat maar te maken heeft met Intune met de hele rits aan Enterprise licenties en tooling. Het blijft daardoor vaak wat oppervlakkig. Verder dan Business Premium kom je dan gewoon niet.

Dat ik bij een tweetal klanten mag inzetten op passwordless aanmelden ivm phishingresistant MFA is dan al heel wat.

HKLM_ schreef op woensdag 1 oktober 2025 @ 12:12:
[...]


Ja gaaf, viel mij gisteren echt op hoe snel 25H2 installerde vanaf een 24H2 machine was denk binnen 5 minuten na installatie en dan de reboot weer online. kan je de link naar de CSP delen>

Ben benieuwd wanneer dit in OSDCloud zit. Ik ben gisteravond druk geweest om onze image te laten verwijzen naar een github pagina, en zodoende daar de installatiescript met een mooie GUI te laten starten.

[ Voor 11% gewijzigd door Quad op 01-10-2025 12:26 ]

HKLM_ schreef op woensdag 1 oktober 2025 @ 12:12:
[...]


Ja gaaf, viel mij gisteren echt op hoe snel 25H2 installerde vanaf een 24H2 machine was denk binnen 5 minuten na installatie en dan de reboot weer online. kan je de link naar de CSP delen>

Eh..die staat letterlijk in mijn bericht -> https://learn.microsoft.c...y-based-inbox-app-removal

Probleem dat ik daar nu weer mee heb is dat we sommige apps wel per default verwijderen, maar dan wel weer beschikbaar maken in de Company Portal voor hen die er toch nood aan hebben. Dat gaat met deze CSP blijkbaar ook weer niet want die zal de app telkens opnieuw verwijderen volgens de laatste documentatie die ik gelezen heb. Of vergis ik mij daar in?

TheVMaster schreef op woensdag 1 oktober 2025 @ 11:46:
[...]


Als je wilt voldoen aan CIS dan zul je volgens mij hun policies allemaal moeten toepassen, maar ik zie mijn klanten vooral CIS gebruiken als startpunt en daar dan wel zaken van uitschakelen. Zo blokkeert CIS (weet even niet of het L1 of L2 is) het gebruik van OneDrive en Windows Hello, maar wil de klant dat wel toestaan.

Het is niet echt aan te raden om zomaar alles toe te passen wat in de CIS recommendations staat. Ik werk voor verschillende officiele (Europeze) instanties en we zijn letterlijk soms maanden bezig om een CIS mooi te laten aansluiten in de organisatie zonder dat heel de boel geblokkeerd staat.

We zijn aan het overstappen van hybrid joined naar entra joined.
Nu loop ik tegen issue aan met netwerk(wifi) connectie tijdens enrollen van een laptop.
Bij hybrid devices hadden we een gpo policy die de wifi authenticatie via het computer account liet lopen.
En daarnaast een gpo die acces tot gasten ssid blockt. (zodat mensen niet per ongeluk naar verkeerde vlan connecten)

Bij entra joined gaat authenticatie via computer account (tegen on prem nps server) niet.
En hebben we nu user based certificaten authenticatie ingeregeld via intune policies.
En een policy die zorgt dat devices verkeerde configuratie krijgen voor gasten wifi (intune bied zover ik kon vinden geen block optie zoals in gpo wel kon)

Nu gaat het alleen mis doordat certificaat en wifi connectie in meerdere stappen/policies gaat.
En tijdens enrollment is dit nog niet voltooid/werkend.
Ondertussen komt de gasten wifi config al wel door en valt de wifi connectie daarmee weg en failen de enrollment stappen. (zonder echt duidelijk foutmelding trouwens dat er geen netwerk is, je krijgt alleen retry optie)
Workarround is ethernet kabel of hotspot gebruiken tijdens de installatie maar echt handig is dit niet.

Iemand tips ?

Ja open gasten wifi werkt soort van dus, tot de policy actief wordt die dat blockt.
Voor nu ga ik die policy uitzetten, maar eigenlijk wil ik voorkomen dat mensen per ongeluk op gasten netwerk connecten.
En dan eens uitzoeken of ik iets van een filter op die policy kan zetten.

In een best case scenario wil je die steering op je netwerk / controller doen (dus je connect naar hetzelfde SSID maar op basis van je cert kom je in het juiste VLAN), maar dat bouw je niet even om

De enrollment doen op bedraad vind ik sowieso de beste optie; ook voor het downloaden van apps etc. is die extra snelheid vaak fijn.

Quad schreef op woensdag 1 oktober 2025 @ 12:22:
[...]

Wordt CIS geïnitieerd vanuit klant? Als in, weten zij dat meestal dat ze er aan moeten voldoen of bepaal ik (als MSP) dat voor klant?

Onze klanten zijn zonder uitzondering MKB en hebben werkplekken van 1 - 250 stuks.

Edit: Ergens vind ik het wel jammer dat we niet zo groot zijn dat ik volledig kan focussen op alles wat maar te maken heeft met Intune met de hele rits aan Enterprise licenties en tooling. Het blijft daardoor vaak wat oppervlakkig. Verder dan Business Premium kom je dan gewoon niet.

Dat ik bij een tweetal klanten mag inzetten op passwordless aanmelden ivm phishingresistant MFA is dan al heel wat.


[...]


Ben benieuwd wanneer dit in OSDCloud zit. Ik ben gisteravond druk geweest om onze image te laten verwijzen naar een github pagina, en zodoende daar de installatiescript met een mooie GUI te laten starten.

Het zou nu beschikbaar moeten zijn in OSDcloud.
er zijn twee versies, een nieuwe en een oude. op de oude is het met een uurtje vanaf nu beschikbaar.

Ik zit vrij dicht bij de source... dus mochten er vragen zijn of specifieke requests, laat maar weten

TheVMaster schreef op woensdag 1 oktober 2025 @ 14:02:
[...]


Ja, hier hebben ze beide....gewoon omdat het kan. Argument is dat het een eis is van de de security-afdeling. Maar moet eerlijk zeggen dat ik hieraan twijfel.

Die eis bestaat waarschijnlijk zodat je gedwongen wordt om afwijkingen formeel als accepted risk te documenteren (inclusief alle business processen die daarmee triggeren).
Daarmee moet je dus ook meteen alternatieven overwegen, nadenken over het minimaliseren van de risico's en als het uiteindelijk toch geaccepteerd is, is het meteen goed gedocumenteerd voor een eventuele audit. .

Ik heb in ieder geval nog nooit meegemaakt dat er (ten onrechte) vastgehouden wordt aan een security requirement gewoon omdat het kan.

ziecko schreef op donderdag 2 oktober 2025 @ 12:09:
[...]


Het zou nu beschikbaar moeten zijn in OSDcloud.
er zijn twee versies, een nieuwe en een oude. op de oude is het met een uurtje vanaf nu beschikbaar.

Ik zit vrij dicht bij de source... dus mochten er vragen zijn of specifieke requests, laat maar weten

Gaat nu wel offtopic, maar de oude is de gewone OSD config? Nieuwe is die je kan starten met Start-OSDCloudGui -v2 switch?
Zag al wat commits voorbij komen op de Githubpagina. Zie het vanzelf wel verschijnen.

Sniels schreef op donderdag 2 oktober 2025 @ 12:17:
[...]


Die eis bestaat waarschijnlijk zodat je gedwongen wordt om afwijkingen formeel als accepted risk te documenteren (inclusief alle business processen die daarmee triggeren).
Daarmee moet je dus ook meteen alternatieven overwegen, nadenken over het minimaliseren van de risico's en als het uiteindelijk toch geaccepteerd is, is het meteen goed gedocumenteerd voor een eventuele audit. .

Ik heb in ieder geval nog nooit meegemaakt dat er (ten onrechte) vastgehouden wordt aan een security requirement gewoon omdat het kan.

Het is een ingewikkeld verhaal, laten we het daar op houden.

Quad schreef op donderdag 2 oktober 2025 @ 12:27:
[...]

Gaat nu wel offtopic, maar de oude is de gewone OSD config? Nieuwe is die je kan starten met Start-OSDCloudGui -v2 switch?
Zag al wat commits voorbij komen op de Githubpagina. Zie het vanzelf wel verschijnen.

yes :-)

ziecko schreef op donderdag 2 oktober 2025 @ 12:44:
[...]

yes :-)

Is live inmiddels.

Heb wel een paar andere issues, maar die ga ik eerst zelf even proberen op te lossen.

Maak jij gebruik van OSD icm Autopilot?

Vraagje aan de andere Intune beheerders, hoe gaan jullie om met Windows Updates in Intune? En dan specifiek of jullie jullie update ringen op users of devices hebben staan?

Ik heb op dit moment alles op de user staan, dat leek een goed idee. Maar nu ik er over na heb gedacht is het helemaal niet zo logisch. In WSUS vroeger deed je het ook per device tenslotte. En ook hier kan het prima dat 2 users op 1 device inloggen en dat klinkt niet handig met updates die aan een user hangen.

Dus kort door de bocht, hoe is het ingericht bij jullie?

Poll: Intune Windows Update Assignment
• Users
• Devices
• Ik doe niet aan updates!
<sup>Tussenstand:

Ook een poll maken? Klik hier</sup>

We doen het niet via Intune maar via RMM.
Tenzij klant geen RMM heeft dan configureer ik een basispolicy die lijkt op onze RMM policy. En dat is dan zonder ringen enz verder. Gewoon 'YOLO'.

Drardollan schreef op vrijdag 3 oktober 2025 @ 16:15:
Vraagje aan de andere Intune beheerders, hoe gaan jullie om met Windows Updates in Intune? En dan specifiek of jullie jullie update ringen op users of devices hebben staan?

Ik heb op dit moment alles op de user staan, dat leek een goed idee. Maar nu ik er over na heb gedacht is het helemaal niet zo logisch. In WSUS vroeger deed je het ook per device tenslotte. En ook hier kan het prima dat 2 users op 1 device inloggen en dat klinkt niet handig met updates die aan een user hangen.

Dus kort door de bocht, hoe is het ingericht bij jullie?

Poll: Intune Windows Update Assignment
• Users
• Devices
• Ik doe niet aan updates!
^Tussenstand:
[Afbeelding]
^{Ook een poll maken? Klik hier}

Ik gebruik autopatch. Maar evt tip voor andere die dut gebruiken; maak meteen proactive remediation scripts aan voor zowel diagnostic data als autopatch settings, want er bleken aardig wat devices niet lekker enrolled in autopatch te zijn waardoor de reporting niet betrouwbaar bleek.

Drardollan schreef op vrijdag 3 oktober 2025 @ 17:00:
[...]

Oei, YOLO doe ik niet. En de RMM heb ik de deur uit gedaan nu ik Intune heb. Beetje dubbele kosten voor niks.

Ik gebruikte voorheen dit principe:
https://joostgelijsteen.com/deployment-rings/
Werkte ook prima

Drardollan schreef op vrijdag 3 oktober 2025 @ 17:00:
[...]

Oei, YOLO doe ik niet. En de RMM heb ik de deur uit gedaan nu ik Intune heb. Beetje dubbele kosten voor niks.

Snap ik! We leveren niet aan zulke type organisaties waarbij je met testrings en reporting moet gaan werken. Dan kan je net zo goed alles zodanig configureren dat het pas X dagen na release mag worden vrijgegeven enz.

Quad schreef op vrijdag 3 oktober 2025 @ 17:19:
[...]

Snap ik! We leveren niet aan zulke type organisaties waarbij je met testrings en reporting moet gaan werken. Dan kan je net zo goed alles zodanig configureren dat het pas X dagen na release mag worden vrijgegeven enz.

Wil het ook niet al te complex maken. Eigen laptop in de eerste ring met een paar dagen vertraging. Dan 3 of 4 in de volgende ring met mensen die representatief zijn voor een afdeling en waarbij de vertraging een paar dagen extra is ten opzichte van mij en dan de laatste ring met de rest op 14 dagen vertraging.

De meeste updates die kapot zijn worden wel met 1 a 2 dagen teruggehaald is mijn ervaring. Dat wil ik graag opvangen.

Dat klinkt als een goede strategie!

Autopatch zie ik vaak als term, maar mij is nog onduidelijk of ik dat nu wel of niet gebruik en zo niet wat dan het voordeel zou zijn. Vind dat stuk van Intune behoorlijk ondoorzichtig nog.

HKLM_ schreef op vrijdag 3 oktober 2025 @ 19:13:
[...]


Autopatch is tegenwoordig ook een verzamelnaam en inderdaad verwarrend, autopatch groups moet je onder tenant administration los activeren en entra ID groepen aanmaken. Vervolgens kan je meerdere groepen, ringen maken voor het uitrollen van updates, drivers etc welke dan staged uitrollen in je organisatie met meerdere ringen.

Je kan met autopatch groups meerdere autopatch groups aanmaken welke dan ook weer staged uitrollen met meerdere ringen.

Heb je hotpatch al geactiveerd?

Denk het niet, heb andere prioriteiten op dit moment en enkel oppervlakkig gekeken. Belangrijkste is nu in ieder geval iets met updates doen, hoop volgend jaar ruim de tijd te kunnen gaan nemen om het goed uit te zoeken en in te richten.

Drardollan schreef op vrijdag 3 oktober 2025 @ 17:00:
[...]

Helaas, geen licentie voor. Die valt schandalig genoeg buiten de BP

Zeker weten?

https://learn.microsoft.c...s-autopatch-prerequisites

HKLM_ schreef op vrijdag 10 oktober 2025 @ 07:04:
[...]


Volgens mij doelt hij op de proactive remediation scripts en die valt inderdaad buiten BP

Inderdaad.

HKLM_ schreef op vrijdag 10 oktober 2025 @ 07:04:
[...]


Volgens mij doelt hij op de proactive remediation scripts en die valt inderdaad buiten BP

Ah, my bad.

Wij zijn net begonnen met Autopatch in een lab tenant. Ben wel benieuwd naar de betreffende scripts

Linkje?

HKLM_ schreef op woensdag 22 oktober 2025 @ 16:18:
Iemand MC1150662 Action Required – Configure Browser Policy to Preserve OneDrive and SharePoint Web Performance and Offline Capability al opgemerkt en doorgevoerd binnen de organisatie?

Chrome 142 is nog niet uitgekomen, dus denk niet dat veel organisaties het al opgemerkt hebben.

HKLM_ schreef op woensdag 22 oktober 2025 @ 16:18:
Iemand MC1150662 Action Required – Configure Browser Policy to Preserve OneDrive and SharePoint Web Performance and Offline Capability al opgemerkt en doorgevoerd binnen de organisatie?

Link: https://admin.microsoft.com/#/homepage/:/messages/MC1150662

"Upcoming privacy-related changes in Chromium-based browsers (Google Chrome and Microsoft Edge) will increase restrictions on local network access. When enforcement begins, users accessing OneDrive for Web (and some integrated Microsoft 365 experiences such as Microsoft Lists and SharePoint Document Libraries) will encounter a browser permission prompt for local network access unless the required policy is in place. If the permission is not allowed, performance optimizations and offline capabilities powered by OneDrive and Share Point will not be available. This communication provides required administrator actions to prevent loss of functionality"

Hier gelijk maar even een Intune policy aangemaakt en deployed

Is dat de volledige tekst van het bericht? Weer lekker op m'n MS', veel tekst en niks dat verteld wát je moet doen ter voorbereiding.

We zitten nog niet met alles in Sharepoint/Onedrive, maar willen hier wel meer mee doen. Morgen even kijken wat dit nou precies betekent. Ik zou dit soort berichten ook in m'n mail moeten krijgen, maar wellicht niet goed begrepen en gelijk gearchiveerd, zoals veel berichten van MS. Meeste is niet relevant of bij ons van toepassing.

Prima en logisch. Vroeg het mij gewoon af, want in de mail berichten zie ik soms een klein stukje staan met wat er gaat veranderen en soms een hele lap tekst dat uiteindelijk geen zak duidelijk maakt wat nou precies het punt is.

Zei immers al dat ik morgen verder ging kijken. Nu inloggen vereist dat ik m'n laptop aan zet. De groeten, ik wil ook gewoon een avond kunnen relaxen.

HKLM_ schreef op woensdag 22 oktober 2025 @ 20:24:
[...]

Je mag ook mijn blog lezen (zie profile) daar leg ik het ook uit plus intune plaatjes

* Blokker_1999 wist niet dat@HKLM_ een blog had

Haal meer info van hier of Reddit dan van MS zelf. Toch mooi zo'n community. Blog doornemen en wellicht config aanpassen. Mooi klusje voor vandaag.

Blokker_1999 schreef op donderdag 23 oktober 2025 @ 07:30:
[...]

* Blokker_1999 wist niet dat@HKLM_ een blog had

Staat bij mij sinds gisteravond in de favorieten

Blokker_1999 schreef op donderdag 23 oktober 2025 @ 07:30:
[...]

* Blokker_1999 wist niet dat@HKLM_ een blog had

WTF heeft @HKLM_ een blog dan? Ik weet dat hij LinkedIn heeft, maar een blog....dat wist ik niet. Verrek, de link staat gewoon in z'n profiel.

[ Voor 7% gewijzigd door TheVMaster op 23-10-2025 10:43 ]

HKLM_ schreef op donderdag 23 oktober 2025 @ 11:33:
haha ja zo zie je maar eens hé ik blog nu twee jaar ongeveer over Microsoft Intune en Endpoint security

Naast mijn blog doe ik o.a ook nog een Intune / Endpoint security baseline op GitHub https://github.com/IntuneAdmin/IntuneBaselines

Interessant. Ik ga daar eens tussen snuffelen, ben toevallig net met een nieuwe omgeving voor een klant bezig en eens kijken of ik daar wat bruikbaars tussen zie staan.

@HKLM_, vandaag naar die instelling gekeken. Directe copy/paste in de Settings Catalog en daar kwam de Edge setting naar voren. Dat toon je ook in je blogpost. Prachtig.

Maar! Het artikel in de admin portal heeft het over Chromium 142 (heb de mail opgezocht, is van 6 oktober en daar staat doodleuk 141 ), dus Google Chrome moet ook. Maar ik kan die niet in de standaard Intune config vinden. MS bied policies aan voor Chrome, maar nou net deze niet. Of het heeft een compleet andere, obscure naam.

Moet ik nu de Chrome Enterprise admx gaan importeren en constant bijhouden?

Lekker kut dus. Waar hebben we Intune dan voor als we nog steeds zitten te kloten met admx bestanden. Kan ik het net zo goed gelijk in AD zelf regelen, zijn de policies iig met 2 minuten beschikbaar ipv 2 dagen.
Alles de cloud in, niks meer lokaal!!11!

Tijdens het opbouwen van Intune heeft de MSP engineer die ons hielp met het opzetten een admx geïmporteerd. Ik zie welke. En als ik die wil bijwerken.... error, admx already exists. Enige optie daar: verwijderen. Het zou tegenwoordig allemaal makkelijker moeten worden, niet omslachtiger. Met AD overschrijf je de bestanden en de DFS-R van sysvol zorgt er netjes voor dat het ook op de andere AD servers komt.

Ik heb er niet zo'n moeite mee als werk verplaatst. Ik heb er wél moeite mee als het onnodig meer en ingewikkelder wordt.

De settings catalog om Windows built-in apps te verwijderen is wel heel fijn. Volgens mij vrij nieuw.

Geen aparte apps maken om bijv Xbox te verwijderen. Nu is het één vinkje.

Quad schreef op zaterdag 25 oktober 2025 @ 13:16:
De settings catalog om Windows built-in apps te verwijderen is wel heel fijn. Volgens mij vrij nieuw.

Geen aparte apps maken om bijv Xbox te verwijderen. Nu is het één vinkje.

Die zit er volgens mij (in de UI) sinds deze week in idd.

HKLM_ schreef op zaterdag 25 oktober 2025 @ 13:26:
[...]


Let wel het verwijderen van die apps is alleen voor enterprise os en niet voor pro

Oh meen je? Zover heb ik helemaal niet gekeken.
Dan moet het voor mij nog steeds op de klassieke manier.

Lekker, dacht ik dus net te zien van jullie dat ik geen script nodig heb voor het verwijderen van de bloat, is dat ook weer zo'n lekkere upsale shit waar alleen miljarden-omzet multinationals gebruik van kunnen maken, MKB wordt weer lekker genaaid zoals altijd.

Hero of Time schreef op zaterdag 25 oktober 2025 @ 14:10:
Lekker, dacht ik dus net te zien van jullie dat ik geen script nodig heb voor het verwijderen van de bloat, is dat ook weer zo'n lekkere upsale shit waar alleen miljarden-omzet multinationals gebruik van kunnen maken, MKB wordt weer lekker genaaid zoals altijd.

Mwah, ik denk niet dat het MKB daar nu speciaal overstapt op de Enterprise versie van Windows. Er zijn toch voldoende scripts die built-in apps kunnen verwijderen? Maar moet het MKB dan ook echt al die built-in apps verwijderen. Is het echt zo erg als medewerkers bijvoorbeeld de Xbox App op hun laptop hebben staan? Ligt er denk ik ook een beetje aan of de machine prive gebruikt zou mogen worden, of dat het echt helemaal dichtgetimmerd is en je dus geen prive-dingen (zoals browser, je eigen OneDrive, iCloud of Google Drive koppelen) mag doen...

Dat soort strakke configuratie zie je toch vaker in omgevingen waar ze wel Enterprise hebben en volgens mij toch wat minder in het MKB (a.k.a. de Windows Pro versies)? En los daarvan, tja dan zul je dus scripts moeten gebruiken (die je volgens mij toch al hebt liggen)?

Wat voegt die catalog setting nu echt toe? Niet alle apps die wij in de organisatie eruit willen slopen staan er tussen, zit je dus alsnog aan een script vast. Heb echter wel vernomen dat MS extra supported apps gaat toevoegen in de nabije toekomst.

Alle klanten waar ik rondloop zitten op M365 E3 of E5, en daarmee ook automatisch op Win11 Ent. Geen enkel probleem dus

ralpje schreef op zaterdag 25 oktober 2025 @ 19:32:
Alle klanten waar ik rondloop zitten op M365 E3 of E5, en daarmee ook automatisch op Win11 Ent. Geen enkel probleem dus

Hier hetzelfde, maar er blijven natuurlijk genoeg 'kleine' klanten over die wel op de Pro versie zitten.

Zijn er issues bekend in het aanpassen van policy assignments? Ik probeer een extra group te assignen, Intune zegt dat hij is opgeslagen, maar dat is hij dus niet. Zie bijgaande video.