Microsoft Intune ervaringentopic

HKLM_ schreef op woensdag 5 november 2025 @ 09:40:
[...]


Is een Intune device license dan niet een betere optie als de user niks hoeft te doen op dat device?

HKLM_ schreef op woensdag 5 november 2025 @ 09:49:
[...]


Maak je voor de updates gebruik van Declarative Device Management?

• DDM is device-driven: Intune sends the declarative policy to Apple’s MDM framework, and then the iOS device evaluates and enforces it locally. Intune only receives a status report (e.g., Compliant or Noncompliant). If the device rejects or partially applies the policy, Intune cannot provide detailed error codes because Apple does not return granular failure reasons.
• Noncompliant without error code: This is typical for DDM because Apple does not expose detailed failure diagnostics via the MDM protocol. The “Noncompliant” state means the device did not apply the setting, but the cause (e.g., OS version, conflicting settings, timing constraints) is only visible in device-side by collecting console logs. (You need to raise case with Apple for collection and analyzing the console logs from Device side)
• Common Apple-side causes:
o Device is not on a supported iOS version for that specific setting.
o Conflicting update deferral settings from another profile.
o Device is not supervised or was restored from iCloud incorrectly.
• Local user actions (e.g., manually installing updates) override declarative policy timing.
What Intune can do:
• Confirm the policy was successfully delivered to the device.
• Show the compliance state (but not the reason for failure).
What Apple controls: (Apple support case needed)
• How the device interprets and applies the declarative payload.
• Can help in collecting and analyzing the console logs from Device end to know why DDM is failed.

Vlassie1980 schreef op woensdag 5 november 2025 @ 13:05:
Sinds enige weken hebben we problemen met intunen van laptops. Windows Autopilot blijft hangen bij stap 2 - Device Setup, hangt dan urenlang bij Apps (11 of 16 installed) om vervolgens na een paar uur een error te geven.

We gebruiken hier op de zaak Dell laptops. Meestal Inspiron 7450 en 5550 en de nieuwere Pro lijn. Als ik de eerste keer via de BIOS een OS Recovery eerst doe dan gaat het wel goed en blijft hij niet hangen. Dus out of the box intunen werkt niet. Irritant want op deze manier ben ik 3 keer zo veel tijd kwijt. Zijn er hier ook mensen die de laatste tijd problemen hiermee heeft i.c.m. Dell laptops?

Ik heb het idee dat Intune struikelt over de vooraf geinstalleerde Dell troep en dat dit wel werkt na een OS Recovery....

[ Voor 32% gewijzigd door Quad op 11-11-2025 19:36 ]

Blokker_1999 schreef op zondag 16 november 2025 @ 14:49:
Neen, als beheerder kunnen wij niet meekijken wat je op je toestel doet. We kunnen wel zien welke applicaties er geinstalleerd zijn, maar meer details dan dat krijgen we simpelweg niet te zien met de functionaliteit die Apple via MDM aanbiedt. De belangrijkste tools voor een bedrijf zijn vooral de mogelijkheid om vanop afstand het apparaat te kunnen wissen alsook is het een bijkomende blokkering om de toestellen te stelen en zo te hergebruiken daar men bij het opzetten van het apparaat altijd een account van het bedrijf dat eigenaar is nodig zal hebben.

[ Voor 6% gewijzigd door cptbuttlick op 16-11-2025 14:56 ]

Quad schreef op zondag 16 november 2025 @ 14:58:
Nee, we kunnen niet zien welke data en inhoud je verstuurd of hebt.

cptbuttlick schreef op zondag 16 november 2025 @ 15:02:
[...]


Goed om te horen want ik moet er ook gewoon bankzaken mee kunnen doen welk natuurlijk uiterst prive zijn.

Quad schreef op zondag 16 november 2025 @ 15:11:
[...]

Belangrijker is dat je geen verbinding maakt met publieke Wi-Fi netwerken en dergelijke.

HKLM_ schreef op zondag 16 november 2025 @ 15:55:
Het hangt wel heel erg van de configuratie af of ze kunnen zien welke apps er geïnstalleerd zijn op het toestel. En dan bedoel ik je prive apps. De inhoud daarvan niet uiteraard.

[ Voor 5% gewijzigd door cptbuttlick op 16-11-2025 16:01 ]

Quad schreef op zondag 16 november 2025 @ 15:11:
[...]

Belangrijker is dat je geen verbinding maakt met publieke Wi-Fi netwerken en dergelijke.

Blokker_1999 schreef op zondag 16 november 2025 @ 17:17:
[...]


Ik snap niet waarom mensen dit soort dingen blijven zeggen. Zowat alles gaat over https vandaag de dag en zeker belangrijke dingen zoals een bank app gebruiken dan ook nog eens certificate pinning waardoor het bijna onmogelijk is om ook maar iets met dat verkeer te doen.

Blokker_1999 schreef op zondag 16 november 2025 @ 17:17:
[...]


Ik snap niet waarom mensen dit soort dingen blijven zeggen. Zowat alles gaat over https vandaag de dag en zeker belangrijke dingen zoals een bank app gebruiken dan ook nog eens certificate pinning waardoor het bijna onmogelijk is om ook maar iets met dat verkeer te doen.

[ Voor 6% gewijzigd door DDX op 16-11-2025 17:41 ]

Blokker_1999 schreef op zondag 16 november 2025 @ 17:17:
[...]


Ik snap niet waarom mensen dit soort dingen blijven zeggen. Zowat alles gaat over https vandaag de dag en zeker belangrijke dingen zoals een bank app gebruiken dan ook nog eens certificate pinning waardoor het bijna onmogelijk is om ook maar iets met dat verkeer te doen.

HKLM_ schreef op zondag 16 november 2025 @ 19:10:
[...]


Jazeker! GSA met M365 traffic forwarding en MDE op iOS of Android zit in de Business Premium licentie.
Voor internet traffic is wel een aanvullende nodig, maar je zakelijke verkeer is inbegrepen, tevens voorzie je dan direct in token protectie.

cptbuttlick schreef op zondag 16 november 2025 @ 20:05:
Zijn er hier mensen die hun beheerde toestel van werk ook privé gebruiken?

pjlgt schreef op zondag 16 november 2025 @ 20:24:
[...]

Ja, maar meer omdat ik (nog) geen zin heb om op een werkdag met 2 toestellen te lopen.

cptbuttlick schreef op zondag 16 november 2025 @ 20:56:
Opzich kan ik wel gewoon veel met het toestel maar er zijn zeker beperkingen. Denk aan Ali expres telegram etc.

64-bit PowerShell: Calling PowerShell.exe will result in a 32-bit PowerShell instance. You had to force 64-bit execution with a specific command.

Hero of Time schreef op maandag 17 november 2025 @ 20:05:
Nice! Vooral dit blijf ik echt bizar vinden:

[...]

Je draait een 64 bit OS en de standaard is nog steeds de architectuur van 30! jaar geleden, 32 bit. Dat is vandaag de dag toch wel bizar te noemen. Wij gebruiken voor veel installaties ook een simpele wrapper en roepen dan %windir%/sysnative/powershell.exe (oid) aan, mede om fatsoenlijk het register beschikbaar te hebben ipv beperkt te zijn tot de syswo64 hive voor alleen 32 bit zut.

Grvy schreef op maandag 17 november 2025 @ 20:16:
[...]

OK? dit was je dagelijkse MS rant?

Ze geven zelf ook aan dat het default behavior is en je het zelf kan wisselen. En nu met de nieuwe optie is het gewoon een slider.

Ook Linux heeft vage defaults van vroeger.. rustig maar.

HKLM_ schreef op maandag 17 november 2025 @ 20:23:
Conditional Access heeft nu ook de mogelijkheid om de user sessie in te trekken als een user at risk is.
Via de Require risk Remediation optie, dit is wel echt een zeer welkome aanvulling zeker nu we steeds meer passwordless gaan zien en het wachtwoord resetten steeds minder nut heeft.

HKLM_ schreef op dinsdag 18 november 2025 @ 18:05:
Microsoft Ignite is aan de gang en hier zijn de Intune updates: https://techcommunity.mic...-intune-at-ignite/4468114

Veel AI en Agents en ik vind het wel gaaf, zeker nu security copilot includes is in de E5 licentie 😬

HKLM_ schreef op donderdag 20 november 2025 @ 20:16:
Vanavond Security Copilot eens aangezet op de nieuwe agents in Intune te bekijken en de Policy configurator is wel een leuk iets hoor! Je geeft hem een beetje kennis met wat je wilt en hij zoekt het vervolgens in de setting catalog voor je op en gaan!

[Afbeelding]

+ Intune speed up news vanuit Ignite

[Afbeelding]

busfronken schreef op vrijdag 28 november 2025 @ 14:28:
Heeft er hier iemand ervaring met het migreren van Active Directory local domain joined naar Intune Autopilot Entra joined? (Windows 11)

Zijn er betere opties dan een complete herinstallatie? Dit voelt wel als de veiligste optie, ben bang dat er allerlei problemen ontstaan als ik de devices gewoon uit het lokale AD haal en vervolgens in Entra ga joinen zonder herinstallatie.

HKLM_ schreef op donderdag 4 december 2025 @ 15:19:
Nieuwe van MSFT: https://www.microsoft.com...preview=1&_ppp=fe9a7fa161

Microsoft Intune suite wordt included in de E5 licentie in 2026

[Afbeelding]

@Quad @Blokker_1999 @TheVMaster

HKLM_ schreef op donderdag 4 december 2025 @ 15:39:
[...]


Hu Copilot Business die was toch 21 euro als licentie?

ralpje schreef op donderdag 4 december 2025 @ 16:44:
Oké, praktisch vraagje: hoe om te gaan met app updates in combinatie met required apps vanuit de ESP?
We hebben aantal apps die we in de ESP als 'required' hebben staan bij autopilot deployments. Het device komt dus pas op de desktop als deze apps geïnstalleerd zijn. Denk bijvoorbeeld aan Office, maar ook onze 3rd party VPN oplossing.
Die VPN client komt (net als een hoop andere apps) vanuit Patch My PC, zodat we ons niet druk hoeven maken om het updaten van de app in onze Intune repo, maar dat gewoon door PMPC wordt afgehandeld.

PMPC plaatst de geupdate versie van die app als nieuwe app in Intune, met een supersedence link naar de 'oude' versie. De requirement in de ESP wijst echter hard naar een specifieke app, die nu dus niet meer gekoppeld is aan de gebruiker (PMPC neemt automatisch de assignments over naar de nieuwe versie en verwijderd de oude). We moeten dus in de ESP config een koppeling maken naar de nieuwe app. Geen probleem, maar we weten natuurlijk wanneer er een nieuwe versie van die app beschikbaar (en automatisch gepushed) is.
Ditzelfde scenario geldt overigens voor apps die in een device preparation policy staan, wat ik weer gebruik in combinatie met (frontline shared) cloud PC's.

Hoe lossen anderen dit op?

HKLM_ schreef op donderdag 4 december 2025 @ 21:17:
[...]


Yes me! (Vanaf de private preview betrokken) Wat wil je weten?

[ Voor 14% gewijzigd door nextware op 05-12-2025 07:49 ]

DarkSide schreef op donderdag 4 december 2025 @ 20:47:
Ik wou wat spelen met app control for business.
Dacht simpel: Een managed installer app maken en op test device targeten.
En een simpele policy. Waarbij alleen trusted installer wordt toegestaan (company portal dus).
Geen audit mode of meer settings.

Doel is toch dat alleen apps geïnstalleerd kunnen worden via company portal.
Werkplek staat verder dicht.(dus geen LA rechten, apps geven een UAC scherm).Maar zaken als browers kun je alsnog als user installeren.

Policies komen binnen volgens intune.
Maar kan gewoon nog chrome, firefox en bv greenshot installeren.
Zie ik iets over het hoofd?