Microsoft Intune ervaringentopic

die moet ik even nakijken.
Heb de Security Graph wel uit staan omdat ik idd geen apps wil als notepad++ die wel veilig zijn.
Maar niet via bedrijfsportal worden geïnstalleerd.

nu lijkt mijn test device wat issue te hebben
Dus eerst even een nieuwe fixen. Zal dan even dieper kijken

Ik hoor graag je oplossing, want ik heb ook zitten kijken naar App Control/AppLocker om te voorkomen dat men zomaar .exe en .msi uitvoeren. Na wat testjes die geen klap leken te doen (alles werd toch toegestaan en niks in voor de hand liggende logs te vinden) heb ik 't in de ijskast gezet. Documentatie vond ik niet heel duidelijk en de mogelijkheden enorm beperkt met AC, want als het digitaal ondertekend is, was dat voldoende om het hoe dan ook te kunnen/mogen uitvoeren en dat is juist niet wat we willen. Leuk als je alleen malware wilt tegenhouden, maar niet om bijvoorbeeld Teamviewer te blokkeren.

Hero of Time schreef op vrijdag 5 december 2025 @ 19:35:
Ik hoor graag je oplossing, want ik heb ook zitten kijken naar App Control/AppLocker om te voorkomen dat men zomaar .exe en .msi uitvoeren. Na wat testjes die geen klap leken te doen (alles werd toch toegestaan en niks in voor de hand liggende logs te vinden) heb ik 't in de ijskast gezet. Documentatie vond ik niet heel duidelijk en de mogelijkheden enorm beperkt met AC, want als het digitaal ondertekend is, was dat voldoende om het hoe dan ook te kunnen/mogen uitvoeren en dat is juist niet wat we willen. Leuk als je alleen malware wilt tegenhouden, maar niet om bijvoorbeeld Teamviewer te blokkeren.

Ik ben met een klant ook bezig om dit soort zaken in te regelen. Initieel wilden ze naar Applocker kijken, maar na wat overtuiging toch voor Apcontrol for Business gegaan en daar wordt alles gewoon tegengehouden.

Het is wel 'complex' om goed in te regelen, dus ik denk dat je nog even naar je configuratie moet kijken.

TheVMaster schreef op vrijdag 5 december 2025 @ 19:47:
[...]

Ik ben met een klant ook bezig om dit soort zaken in te regelen. Initieel wilden ze naar Applocker kijken, maar na wat overtuiging toch voor Apcontrol for Business gegaan en daar wordt alles gewoon tegengehouden.

Het is wel 'complex' om goed in te regelen, dus ik denk dat je nog even naar je configuratie moet kijken.

Goh, dat had ik al door. Gaat er meer om dat de documentatie niet echt duidelijk is tov wat je met een paar relatief simpele klikken met AppLocker in een on-prem omgeving kan maken. Want het heeft o.a. over een installer die je toestaat (zoals Company Portal), maar we hebben een aantal one-offs die ik niet daar heb staan en we handmatig installeren voor de gebruiker. Dat moet nog kunnen. Maar men moet niet zelf zomaar wat kunnen installeren. Of even een portable zip downloaden en ergens zetten om te draaien.

Zaken die met AppLocker relatief simpel is gedaan. Maar tov App Control is erwtensoep waar de lepel in blijft staan nog helderder.

TheVMaster schreef op zaterdag 6 december 2025 @ 00:36:
[...]

Tja, maar je krijgt het niet werkend en geeft dan het product maar de schuld. 😬 ben wel met je eens dat de documentatie soms wat summier is, maar dat is eigenlijk het gros van alle documentatie.

Enige wat ik de schuld geef aan het product is het gebrek aan duidelijk documentatie en (fatsoenlijk leesbare) logs. Maar dat is eerder aan de ontwikkelaar (MS in dit geval) dan het product zelf.

Ik gaf zelf al aan dat mijn pogingen tot niks leidde en m'n tijd beter kon besteden op dat moment.

Hero of Time schreef op zaterdag 6 december 2025 @ 13:41:
[...]

Enige wat ik de schuld geef aan het product is het gebrek aan duidelijk documentatie en (fatsoenlijk leesbare) logs. Maar dat is eerder aan de ontwikkelaar (MS in dit geval) dan het product zelf.

Ik gaf zelf al aan dat mijn pogingen tot niks leidde en m'n tijd beter kon besteden op dat moment.

Maar je weet dat er een hele Microsoft community is waar je dit soort dingen vaak beter gedocumenteerd kunt vinden, maar daar heb je natuurlijk ook al gekeken..?

TheVMaster schreef op zaterdag 6 december 2025 @ 13:48:
[...]

Maar je weet dat er een hele Microsoft community is waar je dit soort dingen vaak beter gedocumenteerd kunt vinden, maar daar heb je natuurlijk ook al gekeken..?

Uiteraard, maar de paar voorbeelden deden niet wat ik wilde. Dus project -> ijskast. Anders ben ik 3 maanden full-time daar mee bezig en komen andere zaken die belangrijker zijn niet af.

Heeft er iemand een eenvoudige manier om te zien vanuit welke policy een setting uit de settings catalog gezet wordt?

Blokker_1999 schreef op woensdag 10 december 2025 @ 15:46:
Heeft er iemand een eenvoudige manier om te zien vanuit welke policy een setting uit de settings catalog gezet wordt?

Eh...Security Copilot? Ik moet eerlijk zeggen dat ik me altijd rot loop te zoeken, zelfde bij (sommige) conflicten....

Ja, de grootste winst daarin haal je door je policies goed te scheiden en duidelijke naamgeving te hanteren

Tsjah, als MS ook nog eens zelf voor een mooie scheiding zou zorgen in al zijn portalen, dan zou dat mijn leven ook weer een stuk eenvoudiger maken

Nu is het dus letterelijk een conflicterende policy maken en kijken of ik enkele uren later kan zien waar deze mee conflicteert.

ralpje schreef op woensdag 10 december 2025 @ 16:18:
Ja, de grootste winst daarin haal je door je policies goed te scheiden en duidelijke naamgeving te hanteren

True, maar vertel dat de klanten :-)

TheVMaster schreef op woensdag 10 december 2025 @ 16:33:
[...]


True, maar vertel dat de klanten :-)

Doe ik regelmatig.
Maar ja, ze luisteren zelden

Zijn er trouwens nog mensen uit dit topic morgen bij MS op Schiphol voor het 'virtualization' event? Of wordt het toch eens tijd om een Windows 365 topic te gaan starten?

ralpje schreef op woensdag 10 december 2025 @ 16:42:
[...]


Doe ik regelmatig.
Maar ja, ze luisteren zelden

Zijn er trouwens nog mensen uit dit topic morgen bij MS op Schiphol voor het 'virtualization' event? Of wordt het toch eens tijd om een Windows 365 topic te gaan starten?

Ik ben er morgen niet bij. Wist niet dat het event was, anders was ik wel ff gegaan

[ Voor 3% gewijzigd door TheVMaster op 11-12-2025 00:52 ]

Bij mijn opdrachtgever publiceren we sinds kort drive mappings via Intune door middel van ADMX. Echter na verloop van tijd verdwijnt de monitoring op de policy's waardoor ik geen idee heb wat de status is. Iemand hier ook al tegenaan gelopen? Zie onderstaand als voorbeeld.

Davidas schreef op vrijdag 12 december 2025 @ 08:45:
Bij mijn opdrachtgever publiceren we sinds kort drive mappings via Intune door middel van ADMX. Echter na verloop van tijd verdwijnt de monitoring op de policy's waardoor ik geen idee heb wat de status is. Iemand hier ook al tegenaan gelopen? Zie onderstaand als voorbeeld.

[Afbeelding]

Ik doe hetzelfde en ervaar dit niet, dus ik kan je niet helpen behalve dat dit niet een globaal ding lijkt te zijn.

Drardollan schreef op vrijdag 12 december 2025 @ 09:39:
[...]

Ik doe hetzelfde en ervaar dit niet, dus ik kan je niet helpen behalve dat dit niet een globaal ding lijkt te zijn.

Vreemd, waar heb je de ADMX files vandaan gehaald?

Davidas schreef op vrijdag 12 december 2025 @ 10:39:
[...]

Vreemd, waar heb je de ADMX files vandaan gehaald?

Pfff, ik denk Call4Cloud punt nl. Maar dat is al even geleden.

Drardollan schreef op vrijdag 12 december 2025 @ 10:47:
[...]

Pfff, ik denk Call4Cloud punt nl. Maar dat is al even geleden.

Die heb ik ook gebruikt. Je hebt de policy's ook assigned aan user groups?

[ Voor 10% gewijzigd door Davidas op 12-12-2025 10:52 ]

Davidas schreef op vrijdag 12 december 2025 @ 08:45:
Bij mijn opdrachtgever publiceren we sinds kort drive mappings via Intune door middel van ADMX. Echter na verloop van tijd verdwijnt de monitoring op de policy's waardoor ik geen idee heb wat de status is. Iemand hier ook al tegenaan gelopen? Zie onderstaand als voorbeeld.

[Afbeelding]

Dit ondervind ik ook.. Maar de ene dag wordt het overzicht wel getoond en de andere dag zie ik ook geen informatie. Maar als ik dan "Per Setting Status" kijk, dan zie ik wel informatie staan.

ADMX komt in ons geval ook van call4cloud[.]nl af.

Davidas schreef op vrijdag 12 december 2025 @ 10:51:
[...]

Die heb ik ook gebruikt. Je hebt de policy's ook assigned aan user groups?

Bij ons gekoppeld aan gebruikersgroepen.

[ Voor 12% gewijzigd door nextware op 12-12-2025 10:58 ]

Davidas schreef op vrijdag 12 december 2025 @ 10:51:
[...]

Die heb ik ook gebruikt. Je hebt de policy's ook assigned aan user groups?

Yep, ik assign sowieso enkel aan groepen. Ook als het maar 1 user is.

Drardollan schreef op vrijdag 12 december 2025 @ 11:20:
[...]

Yep, ik assign sowieso enkel aan groepen. Ook als het maar 1 user is.

Onder de per setting status zie ik in ieder geval nog op hoe veel devices de policy succesvol is gepusht. Is tenminste iets.

Lijkt erop dat steeds vaker updates niet geïnstalleerd worden door verschillende foutcodes, de welbekende trucjes:

Hernoemen distribution folders
DISM.exe /Online /Cleanup-image /Restorehealth
sfc /scannow

Werken niet.

Enige wat nu lijkt te werken is via de gui naar System -> Recovery -> Fix problems using Windows Update (Reinstall your current version of Windows (your apps, files, and settings will be preserved)

Iemand enig idee om dit remote (powershell?) op te lossen?

HKLM_ schreef op maandag 15 december 2025 @ 09:35:
[...]


Dat is al eeuwen in Windows, is je Windows update stuk dan staat het internet vol met scriptjes, etc maar onderaan de streep ik een her-installatie eigenlijk de enige oplossing..

ja, nogal ruk met tientallen devices die maandelijks geen updates meer krijgen

bramassendorp schreef op maandag 15 december 2025 @ 09:59:
[...]


ja, nogal ruk met tientallen devices die maandelijks geen updates meer krijgen

Dan zou ik denk ik eerder een support ticket aanmaken bij MS? Misschien hebben jullie een specifieke config die ervoor zorgt dat het daar vast loopt? Ik herken dit iig niet bij mijn klanten, dat er tientallen devices zijn die geen maandelijkse updates krijgen.

bramassendorp schreef op maandag 15 december 2025 @ 09:07:
Lijkt erop dat steeds vaker updates niet geïnstalleerd worden door verschillende foutcodes, de welbekende trucjes:

Hernoemen distribution folders
DISM.exe /Online /Cleanup-image /Restorehealth
sfc /scannow

Werken niet.

Enige wat nu lijkt te werken is via de gui naar System -> Recovery -> Fix problems using Windows Update (Reinstall your current version of Windows (your apps, files, and settings will be preserved)

Iemand enig idee om dit remote (powershell?) op te lossen?

Heb vorige maand 2 2025 servers gehad die updates met geen mogelijkheid wilden installeren, uiteindelijk inplace upgrade gedaan (als in weer 2025 installeren, maar dan vanaf nieuwe iso) waarna alles weer ok was.
Ging mis op iets met language files als ik de logs doornam.

Maargoed niet echt voor dit topic verder volgens mij.

[ Voor 3% gewijzigd door DDX op 15-12-2025 10:10 ]

Wellicht kunnen jullie mij hier van advies voorzien:

Wij maken gebruik van DUO Security bij het aanmelden in Windows op de laptops. Nu gebeurd het soms wel eens dat mensen bij het aanmelden de melding krijgen

Aanmeldingsfout: de gebruiker heeft geen toestemming gekregen het aangevraagde aanmeldingstype te gebruiken op deze computer.

Onze collega's van support laten dan de gebruiker een tijdje wachten, voeren een sync uit met DUO en Intune en dan een paar uur later werkt het aanmelden wel ineens.
Nu heb ik hiervoor een call ingelegd bij DUO Support en die komen met het advies om een Intune CSP te maken die "Allow log on locally" inregelt.

Nu heb ik hierover echter wel grote twijfels. Want de laptops zijn Entra-ID joined (AutoPilot) met een user-driven deployment mode. In mijn optiek laat deze deployment toe dat eigenlijk iedereen in kan loggen op de laptop, ongeacht of er nu een primary user op het device is gekoppeld..

Iemand hier toevallig ervaring mee (deze CSP of met DUO Security) ?