Microsoft Intune ervaringentopic

Zeker. Dat had ik ook vannochtend, heb een nieuwe policy gemaakt en die ging wel goed.

YaYo86 schreef op maandag 27 oktober 2025 @ 14:17:
Zeker. Dat had ik ook vannochtend, heb een nieuwe policy gemaakt en die ging wel goed.

Yeah, probleem is dat ik geennieuwe policy kan maken in productie. Ik heb policies waarbij ik assignments moet aanpassen, wat dus niet werkt. Ik schiet maar ff een bug in dan....

HKLM_ schreef op maandag 27 oktober 2025 @ 15:30:
[...]


Intune Support geeft aan dat ze er naar aan het kijken zijn.
[Afbeelding]

Frustrerend dat ze dit dus alleen via Twitter lijken te communiceren. wordt tijd dat ze ook andere social media platformen gaan gebruiken.

HKLM_ schreef op maandag 27 oktober 2025 @ 15:57:
[...]


Op X zijn ze echt super actief en reageren ze ook snel. Heb het afgelopen jaar al een aantal x contact gehad met ze via X

Je kan ze ook benaderen via reddit: https://www.reddit.com/u/intunesuppteam/s/CM4be6Ve5v

(Eigenlijk het enige waarvoor ik het nog heb haha)

Ik begrijp trouwens dat het een breder issue is en dat ze er mee bezig zijn (had een support ticket aangemaakt).

HKLM_ schreef op maandag 27 oktober 2025 @ 19:32:
[...]


2510 heeft meer UI issues momenteel, bij mij worden de Device names afgekapt.

[Afbeelding]

Er zijn ook mensen die momenteel duizenden devices missen in hun omgeving las ik. Gelukkig is het maar een glitch.

Dat probleem hebben wij ook, dat namen afgebroken worden. Bij jou staat er tenminste nog volledig 'DESKTOP-GA...', bij ons zien we net aan 3 tekens. En ik gebruik de donkere weergave, het bovenste stukje waar knoppen in staan voor als je een apparaat hebt geselecteerd heeft een witte achtergrond.

Is weer lekker goed getest. Vast door AI gemaakt en nagekeken.

Hero of Time schreef op maandag 27 oktober 2025 @ 19:36:
Dat probleem hebben wij ook, dat namen afgebroken worden. Bij jou staat er tenminste nog volledig 'DESKTOP-GA...', bij ons zien we net aan 3 tekens. En ik gebruik de donkere weergave, het bovenste stukje waar knoppen in staan voor als je een apparaat hebt geselecteerd heeft een witte achtergrond.

Is weer lekker goed getest. Vast door AI gemaakt en nagekeken.

Mwoah, dit is wel een echte eerste merkbare bug in lange tijd die ik heb gezien. Meestal zie je niet eens een bug. Maar deze release heeft er dus wel een paar.

Ik vind vooral de nieuwe manier van pingen tussen Intune <> endpoint interessanter. Ik heb de blog niet zo gauw paraat, maar het gaat erom dat MS de backend voor het leveren van configuratieprofielen gaat aanpassen naar het door de client 1x per zoveel uur losse configs ophalen naar actief pushen van alle settings in 1x. De client moet daarna zijn ding doen, fixen of rapporteren wat er fout gaat. Nieuwe wijziging? Hier heb je het document succes ermee.

Als het zo snel gaat als het nu met Endpoint Privilege Management gaat (waar volgens mij dit al in verwerkt is), dan wordt het gebruik van Intune leuker. De response kan dan ipv uren naar seconden toe.

Dat zou wel veel fijner zijn. Want on-prem heb je nieuwe policies praktisch direct als je een gpupdate uitvoert of opnieuw inlogt/herstart. Bij Intune kan dat gerust een uur of langer duren. En dan als het de config heeft opgehaald en er is wat mis mee, kan het ook nog een half uur duren voordat je dat terugziet in Intune zelf.

HKLM_ schreef op maandag 27 oktober 2025 @ 21:44:
[...]


Je bedoelt deze met het mmp-c platform

https://call4cloud.nl/mdm-to-mmp-c-resource-access-policies/

Klopt ja! Gaat nog wel een lange tijd duren, maar zoiets als met EPM is veelbelovend.

TheVMaster schreef op maandag 27 oktober 2025 @ 14:10:
Zijn er issues bekend in het aanpassen van policy assignments? Ik probeer een extra group te assignen, Intune zegt dat hij is opgeslagen, maar dat is hij dus niet. Zie bijgaande video.

[YouTube: Unable to assign policies]

Er zijn vele bugs gemeld na de nieuwe release van intune. Ik kon vanochtend mijn w10/11 baseline niet meer vinden en dacht dat ik die per ongeluk verwijderd had ofzo.maar vanmiddag was deze weer zichtbaarm. Godzijdank. Ook zie ik veel devices in de gui maar voor de helft.

ReZpie schreef op dinsdag 28 oktober 2025 @ 18:42:
[...]

Er zijn vele bugs gemeld na de nieuwe release van intune. Ik kon vanochtend mijn w10/11 baseline niet meer vinden en dacht dat ik die per ongeluk verwijderd had ofzo.maar vanmiddag was deze weer zichtbaarm. Godzijdank. Ook zie ik veel devices in de gui maar voor de helft.

Het issue waar ik tegenaan liep is ook opgelost.

Vraag mij af wanneer je de lijst met auto-pilot apparaten eens kan sorteren. De enige weergave die er is, sorteert op serienummer (en dan op meest linker teken eerst, ongeacht of het serienummer 8 of 18 tekens lang is). Ik maak gebruik van tags en daarmee geef ik de hostnaam weer (want stel je voor dat er een kolom 'device name' zou bestaan...). Met nieuwe apparaten in de lijst zou ik op die manier makkelijker door kunnen nummeren. Want filteren op tag geeft ook zo'n fijne random volgorde door de serienummers.

Hero of Time schreef op dinsdag 28 oktober 2025 @ 20:00:
Vraag mij af wanneer je de lijst met auto-pilot apparaten eens kan sorteren. De enige weergave die er is, sorteert op serienummer (en dan op meest linker teken eerst, ongeacht of het serienummer 8 of 18 tekens lang is). Ik maak gebruik van tags en daarmee geef ik de hostnaam weer (want stel je voor dat er een kolom 'device name' zou bestaan...). Met nieuwe apparaten in de lijst zou ik op die manier makkelijker door kunnen nummeren. Want filteren op tag geeft ook zo'n fijne random volgorde door de serienummers.

Maar de lijst met AP Devices kunnen ook devices bevatten die nog niet enrolled zijn en dus geen device naam hebben. Wat is het scenario precies? Of delen jullie nog handmatig devicenamen uit?

Dat is natuurlijk te doen als je een relatief kleine omgeving hebt, maar als je 10000+ devices hebt en er elke week 100+ toevoegd, dan is het handmatig wijzigen van device namen toch best een klus.

Je zou dit volgens mij ook met scripts kunnen doen of de devices gewoon automatisch laten voorzien van een naam d.m.v. een prefix en bv serienummer. Mijn huidige klant (30.000+ devices) wilde ook handmatig de devicenamen bepalen met een heel scale aan prefixes. Na wat overleg en discussie zijn ze daar vanaf gestapt en gebruiken we nu 1 enkele prefix met het serienummer.

Hun servicedesk kan gewoon op basis van de username zien welke devices een persoon heeft en op die manier troubleshooten.

Je zou dit trouwens kunnen aangeven he bij MS, dat je dit soort features graag zou willen zien en wie weet gaan ze het wel inbouwen.

[ Voor 4% gewijzigd door TheVMaster op 28-10-2025 20:22 ]

We hebben niet zo'n grote omgeving, dus idd, handmatig naam opgeven. Ik doe vervolgens via een script het systeem corrigeren qua naam, want we doen hybrid join, niet puur Entra. Ik heb tevens 802.1x voor het wifi met device certificaten en dankzij de updates van vorige maand is strong mapping hard afgedwongen. Wanneer een systeem direct vanuit doos met AP wordt uitgerold, krijgt het een naam, maakt Intune het apparaat aan in AD en wordt deze door de hybrid join hernoemd. Hier komt gelijk een probleem bij: het oorspronkelijk aangemaakte computer object mist alles voor de strong mapping in het certificaat en AD object, dus die combinatie is onbruikbaar. De nieuwe naam zou mogelijk wel werken, met voor die naam een nieuw certificaat, maar door de hybrid join heb ik 0 invloed over de exacte naam. Zelfs serienummer gebruiken heeft geen zin, er komt een random string achter.

Dus omdat de eerste naam een disfunctionerende combinatie levert voor wifi en de willekeur aan device naam met hybrid join het voor ons niet mogelijk maakt om een label onderop de laptop te plakken met de hostnaam, heb ik dus een script om wel te krijgen wat we willen mét werkende strong mapping bij het certificaat. Hiervoor haal ik uit het register de AP toegewezen hostnaam en plak er m'n prefix aan. We moeten hiervoor dus ook de naam in Intune bij AP invullen. Je wilt niet dat je een nieuw apparaat per ongeluk een conflicterende naam geeft, dus in het overzicht wil je dan snel kunnen zien welk de eerstvolgende is. Het wordt nogal onoverzichtelijk als je 001, 003. 020, 005, 034,012, etc hebt.

Hero of Time schreef op dinsdag 28 oktober 2025 @ 20:30:
We hebben niet zo'n grote omgeving, dus idd, handmatig naam opgeven. Ik doe vervolgens via een script het systeem corrigeren qua naam, want we doen hybrid join, niet puur Entra. Ik heb tevens 802.1x voor het wifi met device certificaten en dankzij de updates van vorige maand is strong mapping hard afgedwongen. Wanneer een systeem direct vanuit doos met AP wordt uitgerold, krijgt het een naam, maakt Intune het apparaat aan in AD en wordt deze door de hybrid join hernoemd. Hier komt gelijk een probleem bij: het oorspronkelijk aangemaakte computer object mist alles voor de strong mapping in het certificaat en AD object, dus die combinatie is onbruikbaar. De nieuwe naam zou mogelijk wel werken, met voor die naam een nieuw certificaat, maar door de hybrid join heb ik 0 invloed over de exacte naam. Zelfs serienummer gebruiken heeft geen zin, er komt een random string achter.

Dus omdat de eerste naam een disfunctionerende combinatie levert voor wifi en de willekeur aan device naam met hybrid join het voor ons niet mogelijk maakt om een label onderop de laptop te plakken met de hostnaam, heb ik dus een script om wel te krijgen wat we willen mét werkende strong mapping bij het certificaat. Hiervoor haal ik uit het register de AP toegewezen hostnaam en plak er m'n prefix aan. We moeten hiervoor dus ook de naam in Intune bij AP invullen. Je wilt niet dat je een nieuw apparaat per ongeluk een conflicterende naam geeft, dus in het overzicht wil je dan snel kunnen zien welk de eerstvolgende is. Het wordt nogal onoverzichtelijk als je 001, 003. 020, 005, 034,012, etc hebt.

Al wel aan het testen met puur Entra ID join dan..?

Ja, als je idd de hostname als CMDB identifier gebruikt dan haal je jezelf ook wel extra werk op je hals. Wat is er mis met de automatisch toegewezen naam via de Hybrid join dan, eventueel met een nette prefix?

Die naam kun je natuurlijk perfect op een CMDB sticker fixen. Ik krijg zo’n jeuk van opvolgende nummers he, ik weet het veel bedrijven doen het. Maar kom op zeg, dat was de manier om je devices een naam te geven in het Windows XP tijdperk….in een moderne werkplekomgeving zou je volgens mij hier toch het liefst vanaf willen stappen. Ik weet dat jij dat niet kunt doorvoeren, maar pff…wat een gedoe man. Je hebt toch wel wat leukers te doen dan elke keer dit soort handelingen te moeten uitvoeren om een machine te deployen?

Uberhaupt stickers op het device met een asset id…..
Serienummer is prima als identifier. En als ik van een gebruiker wil weten op welk device ze werken, laat ik ze wel de naam vanuit de Company Portal oplepelen

ralpje schreef op dinsdag 28 oktober 2025 @ 21:26:
Uberhaupt stickers op het device met een asset id…..
Serienummer is prima als identifier. En als ik van een gebruiker wil weten op welk device ze werken, laat ik ze wel de naam vanuit de Company Portal oplepelen

mwah, ik kan dat eerste nog wel begrijpen. Maar om het asset id dan ook nog als hostname te gebruiken voelt voor mij een beetje als werkverschaffing. Maar ik ben het verder wel met je eens hoor, S/N als identifier is meer dan voldoende.
Wij hebben zelf wel een asset sticker, maar mijn klanten gebruiken eigenljk allemaal het s/n (met een prefix) als hostname en dus ook als identifier.

TheVMaster schreef op dinsdag 28 oktober 2025 @ 20:55:
[...]

Al wel aan het testen met puur Entra ID join dan..?

Ivm wifi + device certificaten kan dat niet. Zou ik de strong mapping en NPS zut icm met onze APs via Entra kunnen laten lopen hoor ik dat graag. Dan kan ik dat meenemen in m'n nieuwe Server 2025 AD volgend jaar, want ik wil van onze .local tld af.

M'n manager klaagt wel eens dat het met certificaten zo veel gedoe geeft, omdat er altijd wel weer iets mee is (heb een paar machines die om een of andere reden geen strong mapping hebben, terwijl systemen die ervoor en er na zijn gedaan dat wel hebben). Maar als ik de gebruikers hoor, zijn ze er heel blij mee. En ik ook, want op het inlogscherm is er direct verbinding, wat wel zo fijn is als ze naast je staan en je moet met je eigen naam inloggen en niet eerder hebt gedaan op het systeem. Want het werkt echt super en als wifi op het inlogscherm niet werkt.... Zit je weer een usb-c dongle en netwerkkabel te zoeken.

Hero of Time schreef op dinsdag 28 oktober 2025 @ 22:16:
[...]

Ivm wifi + device certificaten kan dat niet. Zou ik de strong mapping en NPS zut icm met onze APs via Entra kunnen laten lopen hoor ik dat graag. Dan kan ik dat meenemen in m'n nieuwe Server 2025 AD volgend jaar, want ik wil van onze .local tld af.

M'n manager klaagt wel eens dat het met certificaten zo veel gedoe geeft, omdat er altijd wel weer iets mee is (heb een paar machines die om een of andere reden geen strong mapping hebben, terwijl systemen die ervoor en er na zijn gedaan dat wel hebben). Maar als ik de gebruikers hoor, zijn ze er heel blij mee. En ik ook, want op het inlogscherm is er direct verbinding, wat wel zo fijn is als ze naast je staan en je moet met je eigen naam inloggen en niet eerder hebt gedaan op het systeem. Want het werkt echt super en als wifi op het inlogscherm niet werkt.... Zit je weer een usb-c dongle en netwerkkabel te zoeken.

Ohw, hmm….wifi met device certificaten altijd leuk. Vraag me dan toch af hoe wij dat doen, want wij hebben ook Corp wifi en vast ook certificaten, maar die hangen niet vast aan de hostnamen. Want het eerste wat ik namelijk doe als ik mijn machine opnieuw enroll is zelf de naam aanpassen naar iets wat beter past in m’n eigen netwerk (gelukkig kan ik dat).

Het is natuurlijk altijd fijn dat je wifi altijd werkt. Moet je wel eens inloggen op de machine van een gebruiker dan? Geen LAPS of EPM actief?

Misschien dat je ipv je .local tld uifaseren beter kunt migreren naar native Entra ID machines

[ Voor 3% gewijzigd door TheVMaster op 28-10-2025 22:22 ]

Wij gebruiken nog altijd standaard assettags. Is ook een beetje commercie ivm ons logo wat erop staat.

TheVMaster schreef op dinsdag 28 oktober 2025 @ 22:21:
[...]

Ohw, hmm….wifi met device certificaten altijd leuk. Vraag me dan toch af hoe wij dat doen, want wij hebben ook Corp wifi en vast ook certificaten, maar die hangen niet vast aan de hostnamen. Want het eerste wat ik namelijk doe als ik mijn machine opnieuw enroll is zelf de naam aanpassen naar iets wat beter past in m’n eigen netwerk (gelukkig kan ik dat).

Dat is dus waarom mijn script voor het hernoemen van 't systeem niet de oorspronkelijk ingestelde Auto-Pilot naam weer geeft, want de certificate connector gaat doodleuk het foute certificaat geven want 'he, zelfde naam, hier heb je 'm terug'.
Wijzigt de naam van het systeem, dan wordt er ook een nieuw certificaat aangevraagd en geïnstalleerd zodat het weer overeenkomt. Dat werkt bij jullie wellicht ook.

Het is natuurlijk altijd fijn dat je wifi altijd werkt. Moet je wel eens inloggen op de machine van een gebruiker dan? Geen LAPS of EPM actief?

Succes om met een lokale gebruiker op netwerkbronnen te komen. Je bent ingelogd, en nu? Moet ik alsnog het netwerk op om pakket X te installeren dat niet in de portal staat maar op een netwerkschijf of nog van internet worden opgehaald. Downloaden? Als je kan downloaden, kan je ook met eigen naam inloggen.

Misschien dat je ipv je .local tld uifaseren beter kunt migreren naar native Entra ID machines

Te veel on-prem servers zoals ons ERP dat er nog een lokaal AD nodig is. Dus puur Entra gaat niet. Maar clients zouden misschien wel Entra only kunnen worden. Dat ligt er ook even aan hoe het ERP er mee overweg gaat, want die kijkt nu naar de lokale gebruikersnaam, Samaccountname, en als die overeenkomt met de gebruikersnaam in het pakket dan logt 'ie gelijk in (zonder wachtwoord, heeft geeneens koppeling met AD). Anders krijg je een login scherm.

Hero of Time schreef op dinsdag 28 oktober 2025 @ 22:46:
[...]

Dat is dus waarom mijn script voor het hernoemen van 't systeem niet de oorspronkelijk ingestelde Auto-Pilot naam weer geeft, want de certificate connector gaat doodleuk het foute certificaat geven want 'he, zelfde naam, hier heb je 'm terug'.
Wijzigt de naam van het systeem, dan wordt er ook een nieuw certificaat aangevraagd en geïnstalleerd zodat het weer overeenkomt. Dat werkt bij jullie wellicht ook.

Dat verwacht ik ook wel overigens.

[...]

Succes om met een lokale gebruiker op netwerkbronnen te komen. Je bent ingelogd, en nu? Moet ik alsnog het netwerk op om pakket X te installeren dat niet in de portal staat maar op een netwerkschijf of nog van internet worden opgehaald. Downloaden? Als je kan downloaden, kan je ook met eigen naam inloggen.

Eh….onder welke steen heb jij gelegen? Je kunt al jaren zonder problemen met een Entra ID joined machine lokale share benaderen en ook printen. Sorry, maar dat is echt geen issue meer en dat is al ongeveer 3-4 jaar mogeljk als ik het me goed herinner zelfs.

[...]

Te veel on-prem servers zoals ons ERP dat er nog een lokaal AD nodig is. Dus puur Entra gaat niet. Maar clients zouden misschien wel Entra only kunnen worden. Dat ligt er ook even aan hoe het ERP er mee overweg gaat, want die kijkt nu naar de lokale gebruikersnaam, Samaccountname, en als die overeenkomt met de gebruikersnaam in het pakket dan logt 'ie gelijk in (zonder wachtwoord, heeft geeneens koppeling met AD). Anders krijg je een login scherm.

Er is niets mis met het hebben van een lokaal AD natuurlijk, maar dat dan ook je clients niet native Entra ID joined kunnen zijn is een misvatting. Er zijn technisch gezien maar weinig redenen (die zijn er nog wel) om niet native Entra ID joined te gaan.

Ik heb voor een klant een testje opgezet voor hybride. Alleen maar gekut met Windows Hello ondanks een opgezette kerberos authenticatieflow conform de documentatie.

Daarna die machines uit het domein gehaald, in intune gezet en alle gezeik verdween als sneeuw voor de zon.

Printers en drivemappings gaan prima met een aanmeldscript, deze checkt obv je Entra groepen waar je lid van bent en voegt ze toe, of verwijderd ze. Veel effectiever dan via een configuration in Intune.

Quad schreef op dinsdag 28 oktober 2025 @ 23:17:
Ik heb voor een klant een testje opgezet voor hybride. Alleen maar gekut met Windows Hello ondanks een opgezette kerberos authenticatieflow conform de documentatie.

Daarna die machines uit het domein gehaald, in intune gezet en alle gezeik verdween als sneeuw voor de zon.

Printers en drivemappings gaan prima met een aanmeldscript, deze checkt obv je Entra groepen waar je lid van bent en voegt ze toe, of verwijderd ze. Veel effectiever dan via een configuration in Intune.

Ja, Windows Hello in een Hybrid omgeving is volgens mij ook niet iets wat MS aanraadt. Dit is ook een van de redenen dat ik niet zo heel goed begrijp waarom mensen nog zo vasthouden aan Hybrid Join, want tenzij je echt heel specifieke eisen hebt (applicaties die nog d.m.v. device authentication authentiseren) is een Entra ID joined device echt zoveel fijner.

TheVMaster schreef op dinsdag 28 oktober 2025 @ 23:19:
[...]


Ja, Windows Hello in een Hybrid omgeving is volgens mij ook niet iets wat MS aanraadt. D

Fixed that for you
Het is dat ik al genoeg Win 365 sessies te presenteren heb binnenkort, anders had ik m'n 'Stop doing Hybrid join already!' sessie weer eens uit de mottenballen gehaald

ralpje schreef op woensdag 29 oktober 2025 @ 08:19:
[...]


Fixed that for you
Het is dat ik al genoeg Win 365 sessies te presenteren heb binnenkort, anders had ik m'n 'Stop doing Hybrid join already!' sessie weer eens uit de mottenballen gehaald

Thanks! Dat dekt de lading nog beter. Ik moet eerlijk zeggen dat ik maar weinig geen klanten zie die echt vast willen houden aan Hybrid, gelukkig maar zou ik zeggen.

ralpje schreef op woensdag 29 oktober 2025 @ 08:19:
[...]


Fixed that for you
Het is dat ik al genoeg Win 365 sessies te presenteren heb binnenkort, anders had ik m'n 'Stop doing Hybrid join already!' sessie weer eens uit de mottenballen gehaald

Als je een videopname hiervan heb ontvang ik die graag!

HKLM_ schreef op woensdag 29 oktober 2025 @ 04:39:
[...]


Ik heb WHFB vorige week nog opgeleverd bij een klant welke ook hybride is en dit werkt echt als een zonnetje. Cloudkerbros gecontroleerd op de DC’s en in intune het configuratie profiel aangemaakt wat nodig is en iedereen was er met een paar dagen doorheen.

Authenticatie op de shares, sso apps, printers etc allemaal super soepel.

Ben wel benieuwd waar je tegenaan liep?

Na de hybrid join /MDM enrollment kwam keurig de WHfB flow op gang, na instellen kreeg je bij de aanmeldpogingen fouten over dat pin /WHfB niet beschikbaar was voor organisatie.

kerberos met cloud 100% goed ingesteld. Intune beleid ingesteld dat lokale AD ook kerberos mag afhandelen. En nog altijd dat gedoe. Maar goed, ik wilde eigenlijk niet iets doen wat MS zelf al niet aanraadt, dus toen ik de MS Learn had opgestuurd was het snel akkoord om full Intune te gaan.

Waarom niet gewoon serienummer van dell/apple etc gebruiken ?

DDX schreef op woensdag 29 oktober 2025 @ 13:37:
Waarom niet gewoon serienummer van dell/apple etc gebruiken ?

Ja die snap ik ook niet. Eventueel met een prefix...maar niets mis met de s/n van de leveranciers lijkt me.

Bij ons is de assettag sinds we over zijn gegaan op Intune puur nog ter administratie, wij geven vanuit Autopilot een prefix mee + het serienummer. Ik druk stakeholders/klanten ook altijd op de borst dat je de computernaam moet loslaten en moet focussen op de eindgebruiker, bijvoorbeeld bij het opzoeken van een apparaat, eerst naar de user gaan vanuit Troubleshooting + support in het Intune Admin Center en daar het betreffende device raadplegen.

Davidas schreef op woensdag 29 oktober 2025 @ 16:01:
Bij ons is de assettag sinds we over zijn gegaan op Intune puur nog ter administratie, wij geven vanuit Autopilot een prefix mee + het serienummer. Ik druk stakeholders/klanten ook altijd op de borst dat je de computernaam moet loslaten en moet focussen op de eindgebruiker, bijvoorbeeld bij het opzoeken van een apparaat, eerst naar de user gaan vanuit Troubleshooting + support in het Intune Admin Center en daar het betreffende device raadplegen.

Zolang je mij maar niet als gebruiker moet zoeken, dan val je achterover van de hoeveel devices je gaat tegenkomen. . Leuk, zo een TOP omgeving.

TheVMaster schreef op dinsdag 28 oktober 2025 @ 23:10:
[...]


Eh….onder welke steen heb jij gelegen? Je kunt al jaren zonder problemen met een Entra ID joined machine lokale share benaderen en ook printen. Sorry, maar dat is echt geen issue meer en dat is al ongeveer 3-4 jaar mogeljk als ik het me goed herinner zelfs.

Haal even je doppen uit je ogen. Bij MS moet je nog wel eens gekke dingen doen die op voodoo magie lijken, maar je moet met echte magie aan de slag om voor het eerst in te loggen met je entra ID op een systeem dat compleet offline is. Jij komt zelf aan met 'heb je geen LAPS?'. Ja, dat hebben we wel, maar heb je dus geen kloot aan om met een lokaal account in te loggen als je alsnog geen netwerk hebt en wat moet installeren dat op een netwerklocatie (al dan niet nog te downloaden van een site) staat.

[...]

Er is niets mis met het hebben van een lokaal AD natuurlijk, maar dat dan ook je clients niet native Entra ID joined kunnen zijn is een misvatting. Er zijn technisch gezien maar weinig redenen (die zijn er nog wel) om niet native Entra ID joined te gaan.

Waar beweer ik dat het niet kan? Geef mij eens m'n letterlijke woorden die ik heb geschreven. Want ik zeg alleen dat ik geen idee heb hoe ons ERP applicatie om gaat met de gebruikersnaam als deze in Entra formaat staat, ipv klassiek AD met Samaccountname.

Hero of Time schreef op woensdag 29 oktober 2025 @ 19:22:
[...]


Waar beweer ik dat het niet kan? Geef mij eens m'n letterlijke woorden die ik heb geschreven. Want ik zeg alleen dat ik geen idee heb hoe ons ERP applicatie om gaat met de gebruikersnaam als deze in Entra formaat staat, ipv klassiek AD met Samaccountname.

Lijkt mee mooie case voor de beheerders van jullie ERP. Zorg dat we met UPN kunnen inloggen (dus naam@bedrijf)

Quad schreef op dinsdag 28 oktober 2025 @ 23:17:
Ik heb voor een klant een testje opgezet voor hybride. Alleen maar gekut met Windows Hello ondanks een opgezette kerberos authenticatieflow conform de documentatie.

Daarna die machines uit het domein gehaald, in intune gezet en alle gezeik verdween als sneeuw voor de zon.

Printers en drivemappings gaan prima met een aanmeldscript, deze checkt obv je Entra groepen waar je lid van bent en voegt ze toe, of verwijderd ze. Veel effectiever dan via een configuration in Intune.

Ik heb het bewust uitgezet in mijn hybride omgeving. Het kan wel en het werkt wel bij juiste configuratie, maar het vereist allerlei extra configuratie hier en in mijn geval is het doel om eind dit jaar geen hybride omgeving meer te hebben (al ga ik dat niet halen als ik het zo zie, maar dat terzijde).

Dus ik heb hier de keuze gemaakt om het even uit te stellen tot de hybride omgeving weg is, dan gaat alles vast als een zonnetje lopen met alles Entra Joined

Drardollan schreef op vrijdag 31 oktober 2025 @ 15:35:
[...]

Ik heb het bewust uitgezet in mijn hybride omgeving. Het kan wel en het werkt wel bij juiste configuratie, maar het vereist allerlei extra configuratie hier en in mijn geval is het doel om eind dit jaar geen hybride omgeving meer te hebben (al ga ik dat niet halen als ik het zo zie, maar dat terzijde).

Dus ik heb hier de keuze gemaakt om het even uit te stellen tot de hybride omgeving weg is, dan gaat alles vast als een zonnetje lopen met alles Entra Joined

Nouja in mijn optiek had ik een juiste minimale configuratie conform de Microsoft documentatie. (en praktische copy/paste van bestaande werkende klant)
Maar toch functioneerde het niet.

Nouja, die devices die het betrof zijn nu full Intune MDM en het gaat als de brandweer.

nextware schreef op vrijdag 31 oktober 2025 @ 15:27:
[...]

Lijkt mee mooie case voor de beheerders van jullie ERP. Zorg dat we met UPN kunnen inloggen (dus naam@bedrijf)

Daar heeft het niet direct mee te maken. Het ERP heeft geen enkele relatie met AD. Het kijkt alleen naar je gebruikersnaam, als die overeenkomt met die in het systeem, start het gewoon door. Dus puur het feit dat je op Windows 'nextware' heet en in het ERP een gebruiker bestaat met de naam 'nextware' is voldoende.

Maar ik weet dus niet hoe de gebruikersnaam met Entra only precies is opgebouwd, of dat ook de korte weergave bevat of alleen de volledige UPN/emailadres.

Hero of Time schreef op vrijdag 31 oktober 2025 @ 20:10:
[...]

Daar heeft het niet direct mee te maken. Het ERP heeft geen enkele relatie met AD. Het kijkt alleen naar je gebruikersnaam, als die overeenkomt met die in het systeem, start het gewoon door. Dus puur het feit dat je op Windows 'nextware' heet en in het ERP een gebruiker bestaat met de naam 'nextware' is voldoende.

Maar ik weet dus niet hoe de gebruikersnaam met Entra only precies is opgebouwd, of dat ook de korte weergave bevat of alleen de volledige UPN/emailadres.

Vraag me dan wel af of jullie ERP niet gewoon een heel antiek systeem is. Moderne systemen zouden toch wel overweg moeten kunnen met een moderne manier van authenticatie lijkt me? Is dat overigens de enige reden dat jullie nog op hybrid zitten dan?
Ik zou daar dan toch eens mee gaan testen, misschien snapt ERP wel perongeluk hoe een Entra ID user wordt herkend en anders hernoem je die user in het ERP pakket :-) Alles om van die hybrid ellende af te komen lijkt me?

Komt volgend jaar wel met een nieuw Server 2025 domein zonder .local tld.

Hero of Time schreef op vrijdag 31 oktober 2025 @ 22:12:
Komt volgend jaar wel met een nieuw Server 2025 domein zonder .local tld.

Maar ga je een nieuwe greenfield omgeving optuigen dan? En dan gelijk ook alle werkplekken naar Intune native omzetten, aangezien je dan toch alles opnieuw moet doen?

Compleet nieuw AD idd, wel de gebruikers migreren en de enkele server dat niet opnieuw opgetuigd kan worden. Nieuwe Intune niet, maar ga wel kijken hoe ik clients kan 'ombouwen'. Ga het tegen die tijd wel allemaal zien.

Hero of Time schreef op zaterdag 1 november 2025 @ 13:39:
Compleet nieuw AD idd, wel de gebruikers migreren en de enkele server dat niet opnieuw opgetuigd kan worden. Nieuwe Intune niet, maar ga wel kijken hoe ik clients kan 'ombouwen'. Ga het tegen die tijd wel allemaal zien.

Niet, je zult clients opnieuw moeten enrollen (althans dat is het allermakkelijkste volgens mij) en dan gelijk native Entra ID gaan (en zorgen dat je in die nieuwe omgeving de boel goed inricht zodat dat ook gewoon goed gaat werken incl Windows Hello en certificaten, eventueel met CloudPKI).

Hoe het ook gaat, wifi moet gewoon blijven werken en geen gezeik opleveren wat nu soms nog gebeurt om wat voor vage MS reden er weer aan de hand is.