Microsoft Intune ervaringentopic

Quad schreef op vrijdag 6 februari 2026 @ 13:39:
[...]

Ik vandaag 1x zonder issue, een 2e tablet ging met veel 'retry's'...

Kansloos. Ik had een sev A aangemeld bij MS maar ze kwamen niet verder dan wat logs bekijken, het was volgens hun in ieder geval geen wijdverspreid probleem.

HKLM_ schreef op vrijdag 6 februari 2026 @ 19:08:
[...]


En sev A hiervoor? Ligt je organisatie plat door dit issue?

Hier kunnen we inmiddels al een volle week geen android telefoons uitgeven, heb alles meerdere malen nagelopen. Begint nu wel problematisch te worden.

Alle unsupported drivers al vervangen 🤓?

Starting in January 2026, Windows will no longer support V3 and V4 printer drivers. These older driver models were announced as deprecated in September 2023. Most customers use newer printer drivers or modern printing solutions, which continue to work and are recommended. If your printer depends on a V3 or V4 driver it may stop installing or working after support ends. To avoid interruptions, contact your printer manufacturer and update to a supported printer driver or another current printing solution.

Maar dit artikel lijkt weer niets hierover te zeggen, een harde unsupported melding zoals bovenstaand. Ik lees wel op Reddit meldingen met betrekking tot legacy drivers na installatie jaja de januari cu update.

Conclusie: lijkt mij tijd om als de wiedeweerga legacy drivers te vervangen. Zoals technisch (spontaan stuk na maandelijkse cu) als compliance (out of support) een rede dus.

Tevens ‘most customers’ … al gekeken bij de meeste smb bedrijfjes zonder knap IT beheer? 😇

[ Voor 34% gewijzigd door grimson op 07-02-2026 08:28 ]

HKLM_ schreef op vrijdag 6 februari 2026 @ 19:08:
[...]


En sev A hiervoor? Ligt je organisatie plat door dit issue?

Zeker, wij serveren 50k collega's, je wil niet weten hoeveel telefoons er doorheen gaan per dag en hoe hoog het wordt gespeeld als een telefoon niet kan worden geínstalleerd. We zijn ook met Lifecycle bezig momenteel, dus er gaan er echt een stuk of 500 doorheen per dag

HKLM_ schreef op vrijdag 6 februari 2026 @ 20:26:
[...]


Wat je kan doen is Intunesupport op X een berichtje sturen DM en gewoon taggen. Die reageren daar echt super goed en proactief op om intune issues te verhelpen.

Mwa, niet erg professioneel. Je wil je case kunnen tracken, dat doe je niet via X.

Nopheros schreef op vrijdag 6 februari 2026 @ 20:07:
[...]


Hier kunnen we inmiddels al een volle week geen android telefoons uitgeven, heb alles meerdere malen nagelopen. Begint nu wel problematisch te worden.

Same, onze case loopt ook gewoon nog. Bizar dat een oplossing zo lang moet duren.

[ Voor 54% gewijzigd door YaYo86 op 07-02-2026 13:11 ]

YaYo86 schreef op zaterdag 7 februari 2026 @ 13:07:
[...]

Zeker, wij serveren 50k collega's, je wil niet weten hoeveel telefoons er doorheen gaan per dag en hoe hoog het wordt gespeeld als een telefoon niet kan worden geínstalleerd.


[...]

Mwa, niet erg professioneel. Je wil je case kunnen tracken, dat doe je niet via X.


[...]

Same, onze case loopt ook gewoon nog. Bizar dat een oplossing zo lang moet duren.

Laat graag even weten als je meer info hebt vanuit je support ticket

YaYo86 schreef op zaterdag 7 februari 2026 @ 13:07:
[...]

Zeker, wij serveren 50k collega's, je wil niet weten hoeveel telefoons er doorheen gaan per dag en hoe hoog het wordt gespeeld als een telefoon niet kan worden geínstalleerd. We zijn ook met Lifecycle bezig momenteel, dus er gaan er echt een stuk of 500 doorheen per dag


[...]

Mwa, niet erg professioneel. Je wil je case kunnen tracken, dat doe je niet via X.


[...]

Same, onze case loopt ook gewoon nog. Bizar dat een oplossing zo lang moet duren.

Maar hebben jullie geen partner of account manager bij MS dan die voor jullie kan uitvogelen hoe het staat met jullie ticket?

TheVMaster schreef op zaterdag 7 februari 2026 @ 20:27:
[...]

Maar hebben jullie geen partner of account manager bij MS dan die voor jullie kan uitvogelen hoe het staat met jullie ticket?

Jawel, meerdere, maar ook die kunnen niks, ze doen hetzelfde als wat ik zelf kan doen: mailen met de status of de druk proberen op te voeren.

HKLM_ schreef op maandag 9 februari 2026 @ 13:24:
Aaaaaannnndddd its gone!

[Afbeelding]

Denk dat Microsoft het gewoon zelf nog niet goed weet hoe ze dit op moeten lossen

Wel grappig, in het berichtencentrum staat er nu ook een bericht over, vermoedelijk ook datgene wat de redactie getipt heeft, en als je de links daarin volgt, dan kom je weer bij documentatie uit die onder andere verwijst naar het nu verdwenen Intune rapport.

Al vind ik deze ook wel interessant, want daarin wordt de 65000 fout besproken: Microsoft Intune method of Secure Boot for Windows devices with IT-managed up...
al lijkt dat niet van toepassing bij ons want onze E3/E5 geeft onze Windows een enterprise licentie.

Iemand die eens kan testen of hij wel een .msi package in Intune kan schieten om uit te rollen?

Ik blijf maar de volgende error krijgen. Maakt niet uit wat voor .msi ik ook pak.... :
The RPC call 'IntuneApp.getLobAppContentFile' returned an error. No error message could be found. Check whether the error was signaled with an Error object. Try adding this app again.

Csotranme schreef op donderdag 19 februari 2026 @ 10:03:
Iemand die eens kan testen of hij wel een .msi package in Intune kan schieten om uit te rollen?

Ik blijf maar de volgende error krijgen. Maakt niet uit wat voor .msi ik ook pak.... :
The RPC call 'IntuneApp.getLobAppContentFile' returned an error. No error message could be found. Check whether the error was signaled with an Error object. Try adding this app again.

Wij zijn toevallig deze ochtend bezig om het twee packages via MSI uit te rollen maar die worden zonder problemen uitgerold.

nextware schreef op donderdag 19 februari 2026 @ 11:19:
[...]


Wij zijn toevallig deze ochtend bezig om het twee packages via MSI uit te rollen maar die worden zonder problemen uitgerold.

Ook in West EU of andere region?

Csotranme schreef op donderdag 19 februari 2026 @ 10:03:
Iemand die eens kan testen of hij wel een .msi package in Intune kan schieten om uit te rollen?

Ik blijf maar de volgende error krijgen. Maakt niet uit wat voor .msi ik ook pak.... :
The RPC call 'IntuneApp.getLobAppContentFile' returned an error. No error message could be found. Check whether the error was signaled with an Error object. Try adding this app again.

Waarom wil je 'm als LOB uitvoeren en niet simpelweg in een .intunewin gieten dat ook gewoon direct herkend wordt als .msi? Bij een LOB kan je geen detectie doen en ik weet ook niet of supersedence werkt.

Wij hadden 1 programma dat als LOB was toegevoegd, maar die heb ik ondertussen vervangen voor .intunewin omdat het niet altijd lekker werkte.

Csotranme schreef op donderdag 19 februari 2026 @ 15:26:
[...]


Ook in West EU of andere region?

Tenant draair inderdaad in W-EU.
En ik repackage bijna alle apps naar een intunewin file. Dat werkt vaak toch het beste.

Al gaan we binnenkort ook PDQ bekijken om apps te deployen na een Autopilot deployment. Iemand hier toevallig ervaring mee ?

[ Voor 35% gewijzigd door nextware op 19-02-2026 20:40 ]

Al een paar dagen bezig met AutoPatch. Een mooi systeem hoor, maar wel lastig om 1-2-3 te doorgronden dankzij de groepen en vertragingen bij uitrol.

Had ik gistermorgen alles, zo nu blijkt, goed geconfigureerd. Maar geen device registration niks. Had gelezen dat de discovery elk uur loopt en het soms tot 24 uur kan duren voor een device zichtbaar is. Laptop dus bewust aan laten staan voor 24 uur, maar vanmorgen nog niks te zien. Grrrrr.

Uiteindelijk bij Autopatch group membership maar eens op Discover Devices geramd een uurtje terug en tot mijn verbazing staan de devices er enkele minuten later al in en zitten ze ook ineens netjes in de Windows Autopatch - Devices All groep.

Ik snap er geen barst van en hoop dat nieuwe devices wel vanzelf gevonden worden, want als ik elke keer op de knop moet drukken wordt je daar ook een beetje beroerd van natuurlijk.

Nu sowieso wachten op de eerste updates om te zien wat er gebeurd

Nieuwe devices komen hier zonder problemen in 1 van de groepen terecht. Enkel de test en last groep zijn handmatige groepen. First, fast en broad vullen automagisch. Mocht je zekerheid wensen kan je natuurlijk ook altijd een eigen, dynamische device groep toevoegen aan heel de configuratie. Ga hiervoor naar Devices > Windows > Windows Updates > Update rings en klik op de enige entry die er zou moeten staan genaamd "Windows Autopatch". Daar heb je een sectie genaamd "Deployment rings and distribution" waarin je de groepen kunt opgeven. Ga ze niet zelf over de ringen verdelen, tenzij dat dat noodzakelijk is, maar voeg ze erboven toe.

Zo te zien kan het allemaal alweer over boord. Mijn test machine deed net zonder enige notificatie een reboot

Dat is natuurlijk niet werkbaar en ik kan zover ik het kan vinden ook niet uitzetten of beïnvloeden. Kan het niet hebben dat computers van gebruikers maar gewoon willekeurig herstarten zonder melding, zit je net uren te werken op iets en dan gaat ie even rebooten

@HKLM_ , kan me niet herinneren van dat ooit gezien te hebben . Dit is de view die ik zie als ik ga naar Devices > Windows > Windows updates > Update rings > Windows Autopatch > Update Policy - Default - Ring 3



Laat het maar weer aan MS om eenzelfde setting op verschillende plaatsen te configureren op verschillende manieren. Want hier is het "Automatic update behavior" dat bepaald wat er gebeurt:



Ring 3 komt met onze instellingen ten vroegste 9 dagen na patch tuesday binnen bij de gebruikers. Ik voorkom dat gebruikers zelf updates kunnen pauseren, laat de notificaties op hun standaard staan. Gebruikers kunnen de update tot 5 dagen uitstellen en na die 5 dagen zal de installatie automatisch gebeuren en krijgen ze nog 2 dagen uitstel tot reboot. Daarna volgt ook een automatische reboot.

En om eerlijk te zijn, geen klachten van gebruikers met deze instellingen. Toch niet over de Windows updates. Drivers daarentegen, dat is een heel ander probleem.

Blokker_1999 schreef op vrijdag 20 februari 2026 @ 14:53:
@HKLM_ , kan me niet herinneren van dat ooit gezien te hebben . Dit is de view die ik zie als ik ga naar Devices > Windows > Windows updates > Update rings > Windows Autopatch > Update Policy - Default - Ring 3

[Afbeelding]

Laat het maar weer aan MS om eenzelfde setting op verschillende plaatsen te configureren op verschillende manieren. Want hier is het "Automatic update behavior" dat bepaald wat er gebeurt:

[Afbeelding]

Ring 3 komt met onze instellingen ten vroegste 9 dagen na patch tuesday binnen bij de gebruikers. Ik voorkom dat gebruikers zelf updates kunnen pauseren, laat de notificaties op hun standaard staan. Gebruikers kunnen de update tot 5 dagen uitstellen en na die 5 dagen zal de installatie automatisch gebeuren en krijgen ze nog 2 dagen uitstel tot reboot. Daarna volgt ook een automatische reboot.

En om eerlijk te zijn, geen klachten van gebruikers met deze instellingen. Toch niet over de Windows updates. Drivers daarentegen, dat is een heel ander probleem.

Dit is de Windows update for business policy, geen Autopatch.

Had ik niet ergens gelezen dat WufB opging in AutoPatch? Sowieso blijf ik bij mijn statement dat MS te veel overlap op te veel verschillende plaatsen heeft

Heb de instellingen die je toont voor mijn tenant gevonden. En bij mij staat die ook op "Automatically install and restart". Ik vermoed dat het gedrag van @Drardollan's update dan ook komt uit het ontbreken van een deadline en grace period.

En bij notifications is geen van de 3 bolletjes gekleurd bij mij, maar onze gebruikers krijgen gewoon de standaard notificaties van Windows.

HKLM_ schreef op vrijdag 20 februari 2026 @ 15:17:
[...]


Voor 50 devices kan je inderdaad ook Windows Client policies handmatig configureren, Voor je 24/7 issue is WIndows Hotpatch mogelijk wel een mooie toevoeging dan hoef je niet te rebooten met updates (3x per jaar wel) maar dat kan je met een policy denk wel fixen of regkey o.i.d

Dat hoeft niet eens, dat zit standaard in de WU (Quality Updates) policies in Intune tegenwoordig:

Ik zet Windows Autopatch groups in binnen grotere oranisaties waar we soms profielen aanmaken voor afdelingen met hun eigen ringen enzo en dan is het wel echt heel ideaal en overzichtelijk hoor. Maar ik snap je punt en ervaring goed.

Klinkt heel logisch, dat is ook wat ik zou doen. Het is duidelijk een onderdeel wat beter past bij grotere bedrijven met andere eisen. Maar doe je dan ook nog los de policy aanpassen om die spontane reboot voor aflopen van de deadline te voorkomen?

nextware schreef op donderdag 19 februari 2026 @ 20:37:
[...]


Tenant draair inderdaad in W-EU.
En ik repackage bijna alle apps naar een intunewin file. Dat werkt vaak toch het beste.

Al gaan we binnenkort ook PDQ bekijken om apps te deployen na een Autopilot deployment. Iemand hier toevallig ervaring mee ?

Hier werkte het paar uur later weer
In dit geval was het een agent die zichzelf update dus vond het niet zo boeiend om hem te repackagen.

PDQ ken ik en jaren mee gewerkt.
Ik vond het echt een fantastische tool en al helemaal voor het geld destijds.
Ik gebruikte ook PDQ Inventory erbij voor rapportages op outdated software etc.

Is wel al paar jaar geleden. Probleem wat ze destijds hadden is dat de server on-prem moest draaien. PDQ zag je devices dus niet als ze niet op kantoor waren of niet met VPN verbonden.
Resultaat: altijd devices die outdated waren...
Toen waren ze wel met een agent aan het klooien voor de standaard packages die ze zelf aanboden maar dat project is toen gecanceld omdat het niet werkte.

Geen idee hoe dat nu werkt bij hun.
De controle, flexibiliteit, mogelijkheden en uitgebreide rapportages waren wat mij betreft de beste in de markt paar jaar geleden.

Gebruik nu hier voornamelijk scappman (PatchMyPC) via de MSP. Daar klik je de package gewoon aan en importeert hij hem in Intune.
Werkt prima voor de standaard meuk maar lang niet zo flexibel als PDQ.

Autopatch vs Cloud Update: Who Is Actually Driving the Microsoft 365 Apps Update Engine
Ik lees wisselende ervaringen over Windows Autopatch voor Microsoft 365 Apps updates. Klopt het dat Autopatch minder geschikt is voor Office‑updates? Ik hoor dat je weinig controle hebt over rings, uitrol en versie‑pinnen. Wat is in de praktijk de beste aanpak: Autopatch gebruiken of toch Intune‑updatebeleid voor M365 Apps?

grimson schreef op zondag 1 maart 2026 @ 10:32:
Autopatch vs Cloud Update: Who Is Actually Driving the Microsoft 365 Apps Update Engine
Ik lees wisselende ervaringen over Windows Autopatch voor Microsoft 365 Apps updates. Klopt het dat Autopatch minder geschikt is voor Office‑updates? Ik hoor dat je weinig controle hebt over rings, uitrol en versie‑pinnen. Wat is in de praktijk de beste aanpak: Autopatch gebruiken of toch Intune‑updatebeleid voor M365 Apps?

Autopatch gebruik ik voor de OS updates. De M365 apps doen wij via twee aparte groepen:
- voor ICT en key-users: zitten op Current Channel
- rest van de organisatie: zitten op Monthly Enterprise Channel

Kwam vandaag achter een 'bug' met Intune/auto-pilot waar ik het eigenlijk van de pot gerukt vind hoe incompetent MS is. Vrijdag had ik m'n configuratie voor een kiosk zo dat het werkt zoals we zouden willen, browser in kiosk modus, cookies blijven bewaard voor een instelling op de site die nodig is zodat de locatie onthouden blijft en het on-screen toetsenbord heeft geen onnodige opties of geeft de mogelijkheid om uit de kiosk te raken.

Omdat er al wat test zaken waren uitgevoerd en extra applicaties die niet nodig zijn, gaf ik bij Intune de opdracht 'Fresh Start'. Doet blijkbaar hetzelfde als Wipe, dus wat het verschil dan precies is weet ik niet. Maar dat is het issue niet. Het probleem was dat het daarna netjes naar de OOBE ging en alleen de vraag voor de toetsenbordindeling beantwoord hoefde te worden, zoals ook ingesteld. Om vervolgens te falen bij het MDM registratie oid, foutcode 0x800180014. Genoeg te vinden hierover online en het enige dat dit oplost, is het apparaat uit auto-pilot te gooien en opnieuw te registreren. Het is minder een issue als je een Dell, HP, Lenovo of MS Surface hebt en deze via de OEM in je tenant wordt geregistreerd.

Mis ik nou echt iets, of is MS echt zo idioot dat je niet eens een systeem dat een self-deploying profiel heeft toegewezen kan resetten zonder het opnieuw in AP te moeten registreren? Het is al erg genoeg dat een wipe/fresh start meer dan een half uur tot zelfs een uur duurt, maar daar is verders geen handmatige acties voor nodig.

Mogelijke deze bug waar je tegenaan liep?

@Hero of Time : dat had ik in het verleden ook eens bij de hand gehad.
Wellicht hoef je hem niet uit Autopilot te gooien maar enkel uit EntraID.
Nadeel is dat je (tenminste via de portal) een device niet uit EntraID kunt verwijderen zonder hem ook (eerst) uit Autopilot te verwijderen

Maar via Graph kan dat wel!
Ik gebruik daarvoor DeviceOffboardingManager sowieso een handige tool om in bulk devices uit Intune/EntraID/Autopilot te verwijderen

[ Voor 8% gewijzigd door akimosan op 02-03-2026 20:55 ]

FREAKJAM schreef op maandag 2 maart 2026 @ 20:50:
Mogelijke deze bug waar je tegenaan liep?

Niet echt. Bovendien:

This update only works for certain OEMs

Dat zijn de OEMs die ik noemde. Denk ik, want MS is weer kraakhelder hiermee natuurlijk.

Je moet bij de 'Known Issues' sectie kijken, daar staat het namelijk beschreven:

quote: https://learn.microsoft.c...-or-pre-provisioning-mode

Devices are enrolled using Windows Autopilot self-deployment mode or pre-provisioning mode. If a device is redeployed so that it reruns the Windows Autopilot deployment again, it fails with a 0x80180014 error code.

En dan staat er dat je het apparaat moet 'deregistreren'. Oftewel, uit je AP flikkeren en opnieuw toevoegen door op het apparaat weer 'get-autopilotinfo -online' uit te voeren. Of je moet toevallig de hash eerder naar CSV hebben opgeslagen, dan kan je die importeren (dat heb ik uiteindelijk maar gedaan).

akimosan schreef op maandag 2 maart 2026 @ 20:54:
@Hero of Time : dat had ik in het verleden ook eens bij de hand gehad.
Wellicht hoef je hem niet uit Autopilot te gooien maar enkel uit EntraID.
Nadeel is dat je (tenminste via de portal) een device niet uit EntraID kunt verwijderen zonder hem ook (eerst) uit Autopilot te verwijderen

Maar via Graph kan dat wel!
Ik gebruik daarvoor DeviceOffboardingManager sowieso een handige tool om in bulk devices uit Intune/EntraID/Autopilot te verwijderen

Ook dus weer zo'n houtje-touwtje oplossing dat nodig is om het falen van MS op te lossen. Zag eerder ook al dat apparaten die in AP geregistreerd waren en daarna in Intune aangemeld waren, dubbel in Entra staan. Voor AP met het serienummer en dan een tweede keer met de hostnaam van Intune. Je kan er verders praktisch niks mee, hooguit 'disablen'.

Ik zal eens naar die tool kijken morgen.

Hero of Time schreef op maandag 2 maart 2026 @ 20:45:


Omdat er al wat test zaken waren uitgevoerd en extra applicaties die niet nodig zijn, gaf ik bij Intune de opdracht 'Fresh Start'. Doet blijkbaar hetzelfde als Wipe, dus wat het verschil dan precies is weet ik niet. Maar dat is het issue niet. Het probleem was dat het daarna netjes naar de OOBE ging en alleen de vraag voor de toetsenbordindeling beantwoord hoefde te worden, zoals ook ingesteld. Om vervolgens te falen bij het MDM registratie oid, foutcode 0x800180014. Genoeg te vinden hierover online en het enige dat dit oplost, is het apparaat uit auto-pilot te gooien en opnieuw te registreren. Het is minder een issue als je een Dell, HP, Lenovo of MS Surface hebt en deze via de OEM in je tenant wordt geregistreerd.

• Wipe: Terug naar fabrieksinstellingen (image van de OEM).
• Fresh Start: Alle bloat en apps eraf (weg met die troep van de OEM).
• Autopilot Reset: Gebruikersdata foetsie, maar wel behoud van taal, toetsenbord en eventuele packages.

En dan voor de eerste twee nog afhankelijk van het vinkje om gebruikersprofielen te behouden zodat het apparaat ook in Intune blijft staan.

To resolve this error, use one of the following work around methods:

.....Remove the device enrollment restriction for Windows (MDM) personally owned devices. For more information, see Set enrollment restrictions in Microsoft Intune ......

Yeah, I don't think so, Bob!
Een beetje toestaan dat gebruikers hun personal device in Windows kunnen enrollen. Dat is het eerste wat ik uitschakel..

Gr4mpyC3t schreef op maandag 2 maart 2026 @ 21:34:
[...]

• Wipe: Terug naar fabrieksinstellingen (image van de OEM).
• Fresh Start: Alle bloat en apps eraf (weg met die troep van de OEM).
• Autopilot Reset: Gebruikersdata foetsie, maar wel behoud van taal, toetsenbord en eventuele packages.

En dan voor de eerste twee nog afhankelijk van het vinkje om gebruikersprofielen te behouden zodat het apparaat ook in Intune blijft staan.

Ik zag met de 'fresh start' zonder behoud van gebruiker e.d. eigenlijk hetzelfde riedeltje als met 'wipe', praktisch herinstallatie van het OS. Vanuit het OS zelf kan je ook een reset uitvoeren, waardoor het effectief ook in Intune als apparaat wordt verwijdert. Maar voorkomt het eerder genoemde euvel met self-deploy niet.

akimosan schreef op maandag 2 maart 2026 @ 21:46:
[...]

Yeah, I don't think so, Bob!
Een beetje toestaan dat gebruikers hun personal device in Windows kunnen enrollen. Dat is het eerste wat ik uitschakel..

Dat is een beetje de grap bij ons. Ik zie die configuratie wel staan bij ons, die was aangemaakt door de MSP die we hadden ingeschakeld om te helpen met de inrichting, maar is niet actief. Er is in onze omgeving dus geen beperking. Het is dus geen oplossing.

Hero of Time schreef op maandag 2 maart 2026 @ 21:55:
[...]

Dat is een beetje de grap bij ons. Ik zie die configuratie wel staan bij ons, die was aangemaakt door de MSP die we hadden ingeschakeld om te helpen met de inrichting, maar is niet actief. Er is in onze omgeving dus geen beperking. Het is dus geen oplossing.

Je moet hem toch juist actief maken? En daardoor de beperking instellen?

[ Voor 4% gewijzigd door pjlgt op 03-03-2026 07:51 ]

Hero of Time schreef op maandag 2 maart 2026 @ 20:45:
Kwam vandaag achter een 'bug' met Intune/auto-pilot waar ik het eigenlijk van de pot gerukt vind hoe incompetent MS is. Vrijdag had ik m'n configuratie voor een kiosk zo dat het werkt zoals we zouden willen, browser in kiosk modus, cookies blijven bewaard voor een instelling op de site die nodig is zodat de locatie onthouden blijft en het on-screen toetsenbord heeft geen onnodige opties of geeft de mogelijkheid om uit de kiosk te raken.

Omdat er al wat test zaken waren uitgevoerd en extra applicaties die niet nodig zijn, gaf ik bij Intune de opdracht 'Fresh Start'. Doet blijkbaar hetzelfde als Wipe, dus wat het verschil dan precies is weet ik niet. Maar dat is het issue niet. Het probleem was dat het daarna netjes naar de OOBE ging en alleen de vraag voor de toetsenbordindeling beantwoord hoefde te worden, zoals ook ingesteld. Om vervolgens te falen bij het MDM registratie oid, foutcode 0x800180014.

Mis ik nou echt iets, of is MS echt zo idioot dat je niet eens een systeem dat een self-deploying profiel heeft toegewezen kan resetten zonder het opnieuw in AP te moeten registreren? Het is al erg genoeg dat een wipe/fresh start meer dan een half uur tot zelfs een uur duurt, maar daar is verders geen handmatige acties voor nodig.

Self deploying - Requirements

A device can't automatically re-enroll through Windows Autopilot after an initial deployment with self-deploying mode. Instead, delete the device record in the Microsoft Intune admin center. From the Microsoft Intune admin center, select Devices > All devices > select the devices to delete > Delete.

Updates to the Windows Autopilot sign-in and deployment experience

Why did the Windows Autopilot team make these changes?

This was the biggest question we’ve received so far from customers. You liked, for example, giving a teacher a set of computers and using the welcome screen so the teacher could know which student to assign each device to. It’s a cool user experience when you assign a device, ship the device, and then the user opens that PC, and it welcomes them.

We loved the experience too! However, we made the changes because the reuse of hardware components, such as motherboards, or the refurbishment of devices without deregistration could potentially cause an issue if the device identifier can still be linked to a previous company. Hardware is being reused at record levels, partly due to the pandemic’s effect on global supply chains. While this reuse helps meet corporate sustainability goals, we had to remove the could and ensure no issues were caused. To date, we have found no evidence that anyone has used this to their advantage.

Alhoewel helaas MS inderdaad met foutcodes komt waar je soms jeuk aan je r##t krijgt is het toch misschien te verklaren waarom. (Ja het kan zeker mooier zo'n 'foutmelding').

Zover ik begrijp is het met auto provisioning en kiosk devices dat de potentie is dat het apparaat onbewust hergebruikt wordt na verkoop. Als je dan een apparaat hebt wat nog steeds automatisch in je tenant aanmeldt dan is het opeens een minder leuke eigenschap. User driven registratie is altijd dat een user dus na een reset moet aanmelden maar een autoprovisioning doet dat al zelf en is dus onbewust meteen een onderdeel van je tenant, ook als je dus deze computer weggeeft.
Dat is denk ik de verklaring waarom dit zo 'werkt'.

Voor wat betreft die dubbele apparaten: mijn ervaring is anders.
Op het moment dat je een device in AP importeert (op basis van de hash) komt hij in Entra terecht (dus nog voor je hem daadwerkelijk enrolled). Dat is dan een device met als naam het serienummer, en als disabled object.

Bij de daadwerkelijke autopilot enrollment wordt het disabled object enabled, wordt de naam aangepast op basis van wat je in je enrollment profile hebt gespecificeerd en wordt het device daadwerkelijk enrolled in Intune.

Je hebt dan dus één object in Entra (met een GUID, laten we voor het gemak zeggen dat dat EN01 is) en één object in Intune (met een device management GUID, IN01).
Stel dat we nu dat object in Intune gaan wipen. Het object EN01 blijft gewoon bestaan, maar wordt opnieuw enrolled als IN02. IN01 bestaat nog, maar wordt uiteindelijk verwijderd op basis van de clean up policy in Intune (of als je hem handmatig verwijderd).

Hoewel een device dus meerdere keren in Intune kan voorkomen (met elk z'n eigen unieke device management object ID), is dat in Entra steeds hetzelfde device - met maar 1 object ID.

Laat me raden, non-hybrid joins . Bij mijn non-hybrid test apparaten zie ik inderdaad ook slechts 1 enkel device in Intune en Entra. Maar van zodra ik zoek achter een apparaat dat hybrid joined is heb ik er 2. En 1 van de twee update nooit, maar ze zijn wel alle twee gemarkeerd als autopilot device.

Oh ja, ik vergeet steeds dat er ook nog mensen zijn die hybrid doen. Mijn advies is altijd om er alles aan doen om dat te voorkomen, maar ik snap dat er situaties zijn waarin je daar niet aan ontkomt.
Anyway, bij een hybrid join is dat by design.

A device object is pre-created in Microsoft Entra ID once a device is registered in Windows Autopilot. If a device goes through a hybrid Microsoft Entra deployment, by design, another device object is created resulting in duplicate entries.

https://learn.microsoft.c...-entra-hybrid-deployments

ralpje schreef op dinsdag 3 maart 2026 @ 10:06:
Voor wat betreft die dubbele apparaten: mijn ervaring is anders.
Op het moment dat je een device in AP importeert (op basis van de hash) komt hij in Entra terecht (dus nog voor je hem daadwerkelijk enrolled). Dat is dan een device met als naam het serienummer, en als disabled object.

Bij de daadwerkelijke autopilot enrollment wordt het disabled object enabled, wordt de naam aangepast op basis van wat je in je enrollment profile hebt gespecificeerd en wordt het device daadwerkelijk enrolled in Intune.

Je hebt dan dus één object in Entra (met een GUID, laten we voor het gemak zeggen dat dat EN01 is) en één object in Intune (met een device management GUID, IN01).
Stel dat we nu dat object in Intune gaan wipen. Het object EN01 blijft gewoon bestaan, maar wordt opnieuw enrolled als IN02. IN01 bestaat nog, maar wordt uiteindelijk verwijderd op basis van de clean up policy in Intune (of als je hem handmatig verwijderd).

Hoewel een device dus meerdere keren in Intune kan voorkomen (met elk z'n eigen unieke device management object ID), is dat in Entra steeds hetzelfde device - met maar 1 object ID.

Interessant . dus als ik het uitschrijf is dit wat je bedoelt?

0. Voor enrollment (AP hash imported)

• AP → nieuw
• Entra → nieuw (disabled)
• Intune → geen

1. Eerste enrollment

• AP → hetzelfde
• Entra → enabled
• Intune → IN01

2. Wipe

• AP → hetzelfde
• Entra → hetzelfde
• Intune → IN02

3. Wipe

• AP → hetzelfde
• Entra → hetzelfde
• Intune → IN03

ralpje schreef op dinsdag 3 maart 2026 @ 12:00:
Oh ja, ik vergeet steeds dat er ook nog mensen zijn die hybrid doen. Mijn advies is altijd om er alles aan doen om dat te voorkomen, maar ik snap dat er situaties zijn waarin je daar niet aan ontkomt.
Anyway, bij een hybrid join is dat by design.

[...]

https://learn.microsoft.c...-entra-hybrid-deployments

Ik zat al te vergelijken bij 'mijn' eigen omgeving (full cloud). Ik zie alleen maar dat het Intune device steeds wordt hergebruikt (dus gelijk blijft). Dank voor de verduidelijking. (Ik lees en leer graag mee).

Dat is correct Of het Intune device ID gelijk blijft hangt af van welke 'manier' van wipe je doet. Een autopilot reset, wipe of simpelweg herinstallatie hebben verschillende resultaten

pjlgt schreef op dinsdag 3 maart 2026 @ 07:50:
[...]

Je moet hem toch juist actief maken? En daardoor de beperking instellen?

Zoals ik het MS artikel lees als 'oplossing' om de fout niet te krijgen, is juist de optie toestaan.

To resolve this error, use one of the following work around methods:
- Remove the device enrollment restriction for Windows (MDM) personally owned devices.

We hebben nu dus geen beperking. Toch die foutmelding bij self-deployment na wipe. Maar ja, eigenlijk moet ik 'm inschakelen zodat men niet per ongeluk hun thuiscomputer in onze tenant hangt. En ondertussen zijn alle systemen die nog niet in Intune stonden ook via de GPO en scheduled task daarvan aangemeld. Moet ze alleen nog wel in AP registreren.

grimson schreef op dinsdag 3 maart 2026 @ 09:00:
[...]

Self deploying - Requirements

[...]

Updates to the Windows Autopilot sign-in and deployment experience

[...]

Alhoewel helaas MS inderdaad met foutcodes komt waar je soms jeuk aan je r##t krijgt is het toch misschien te verklaren waarom. (Ja het kan zeker mooier zo'n 'foutmelding').

Zover ik begrijp is het met auto provisioning en kiosk devices dat de potentie is dat het apparaat onbewust hergebruikt wordt na verkoop. Als je dan een apparaat hebt wat nog steeds automatisch in je tenant aanmeldt dan is het opeens een minder leuke eigenschap. User driven registratie is altijd dat een user dus na een reset moet aanmelden maar een autoprovisioning doet dat al zelf en is dus onbewust meteen een onderdeel van je tenant, ook als je dus deze computer weggeeft.
Dat is denk ik de verklaring waarom dit zo 'werkt'.

Ja, aardig. Maar in dit geval zou je met een bricked apparaat zitten. Want het systeem staat nog in je tenant, wil weer de deployment gaan uitvoeren, krijgt deze foutmelding en dat is 't. Je kan hierna geen zak meer. Herstart? Komt 'ie gewoon weer terug op dit punt. Reset? Zodra het internet ruikt gaat 'ie weer de self-deployment uitvoeren en hoppa, staat weer op deze foutmelding. Zolang je Windows gebruikt, is het apparaat niks meer dan een boekensteun. Totdat je 'm idd uit AP verwijdert. Maar dat zou je sowieso moeten doen met apparaten die je weggeeft/verkoopt.


Heb wel een klein dingetje die ik nog niet heb kunnen oplossen. Deze self-deploy betreft een kiosk. Ik kan veel instellen, maar bij de MS Edge configuratie staat er alleen onder 'Kiosk Mode' de optie om navigatiebewegingen uit te schakelen. Dat zou de navigatie van terug/vooruit met een veeg beweging moeten uitzetten. Maar ondanks dat ik de Kiosk configuratie gebruik om Edge te starten, is dit geen werkelijke kiosk modus, want de bewegingen werken nog gewoon (en ik kan ctrl+w en ctrl+n doen). Nu is dit niet echt een groot probleem. Wat wel een issue is, is het kunnen inzoomen met touch gebaren pinch to zoom. Want wanneer er een foto groter wordt getoond via de image viewer van de site, is het niet meer mogelijk om uit te zoomen en het sluit knopje aan te tikken.

Hoe kan ik pinch to zoom uitschakelen? Het is niet direct een Edge instelling, maar iets wat met het touch screen gaat. Ik kan echter geen configuratie vinden hiervoor in Intune, iig niet in de Settings Catalog.

Kennelijk wordt er nog gebruik gemaakt van RDP via VPN naar sommige PC's in het netwerk, maar zodra deze Intune managed (cloud only) zijn werkt dit niet meer omdat de computernaam dan niet meer via DNS resolved kan worden. Iemand hier een oplossing of alternatieve tool voor?

Hero of Time schreef op dinsdag 3 maart 2026 @ 19:26:
Ja, aardig. Maar in dit geval zou je met een bricked apparaat zitten. Want het systeem staat nog in je tenant, wil weer de deployment gaan uitvoeren, krijgt deze foutmelding en dat is 't. Je kan hierna geen zak meer. Herstart? Komt 'ie gewoon weer terug op dit punt. Reset? Zodra het internet ruikt gaat 'ie weer de self-deployment uitvoeren en hoppa, staat weer op deze foutmelding. Zolang je Windows gebruikt, is het apparaat niks meer dan een boekensteun. Totdat je 'm idd uit AP verwijdert. Maar dat zou je sowieso moeten doen met apparaten die je weggeeft/verkoopt.

Hmm .. nouja meteen bricked toch niet? De OOBE fase is de enige fase die tracht AP aan te roepen, daar kan je eenvoudig aan voorbijkomen dus bricked valt wel mee als ik eerlijk mag zijn. Verder met deze kennis weet je dan dat je een self-deploying device op een speciale manier moet herinrichten en inderdaad bij uitfasering netjes uit het systeem halen. Ik zie er niet zoveel problemen mee toch? geen kritiek hoor, maar ik zie het niet zo desastreus. Het is wel op zijn 'Microsoft's'

@grimson, voor de wat meer bekwame gebruiker is het niet een heel grote horde om de OOBE offline door te komen, maar MS zit meer en meer te pushen op het gebruik van een online account. Dit is nog altijd tijdens de OOBE en zodra die ook maar iets van internet ruikt, gaat AP al af. Voor de random gebruiker is het dus wel degelijk een bricked apparaat, want die heeft geen flauw benul hoe de OOBE te omzeilen is.

Het is zoals je al zegt, op z'n 'Microsoft's' en die tonen gewoon weer aan dat ze aan dit soort situaties, die verre van zeldzaam zijn, niet eens denken.

Net zoals ik de hele dag bezig ben geweest om uit te zoeken hoe ik de pinch to zoom uit kan schakelen. Kan gewoon niet. Het touchscreen bied geen enkele optie voor multi-touch. Op laptops zie ik bij 'touchpad' de mogelijkheid om 3- en 4-vingergebaren uit te schakelen. Ook zoomen met twee vingers kan je bij touchpads uitschakelen. Maar dit touchscreen? Nope, geen optie voor. En in de instellingen van Edge is er wel edge-swipe uit te zetten voor terug/vooruit, maar is niet via een beleidsoptie uit te schakelen. Alleen in kiosk modus, maar dat is het niet 100% en wordt daarom niet toegepast (terwijl het opstartargument wel degelijk '--kiosk' bevat!).

Een post op het MS forum van 4 jaar geleden heeft het er al over dat dit te configureren moet zijn. Men wil het om geldige redenen uit kunnen zetten, maar dat is niet mogelijk.

Davidas schreef op donderdag 5 maart 2026 @ 10:18:
Kennelijk wordt er nog gebruik gemaakt van RDP via VPN naar sommige PC's in het netwerk, maar zodra deze Intune managed (cloud only) zijn werkt dit niet meer omdat de computernaam dan niet meer via DNS resolved kan worden. Iemand hier een oplossing of alternatieve tool voor?

Ook niet op fqdn?

Davidas schreef op donderdag 5 maart 2026 @ 10:18:
Kennelijk wordt er nog gebruik gemaakt van RDP via VPN naar sommige PC's in het netwerk, maar zodra deze Intune managed (cloud only) zijn werkt dit niet meer omdat de computernaam dan niet meer via DNS resolved kan worden. Iemand hier een oplossing of alternatieve tool voor?

Ik neem aan dat deze via DHCP een adres krijgen? Zorgen dat je DHCP server de DNS entry kan aanmaken en dan ook dat je scavenging in orde is.

Leuk zo'n Secure Boot Report. Je hebt er alleen niks aan als het niet gevuld wordt....

Voor de tenant van mijn werkgever weet ik van een aantal machines dat ze 100% zeker de nieuwe certificaten hebben én de (een beetje verborgen) scheduled task meermaals uitgevoerd hebben. 0 informatie in het report. In mijn eigen tenant is de informatie om een of andere reden wél gevuld, ondanks dat die tenant qua configuratie / inrichting vrijwel gelijk is.

Gistermorgen een ticket geopend bij Microsoft met de vraag hoe ik de info erin zou moeten kunnen krijgen, verwachte oplostijd 8 uur. Maar nu meer dan 24 uur verder nog steeds niks gehoord. Nu weet ik dat het Secure Boot report sowieso een zorgenkindje was (en mogelijk dus: is), maar ik had toch op zijn minst wel een reactie verwacht eigenlijk.

Weet iemand hier hoe de info er zou moeten komen?

HKLM_ schreef op vrijdag 6 maart 2026 @ 11:25:
[...]


De info komt er in via de telemetry data vanuit Windows Client Update policies. (WUFB)

De info lijkt mij dan aanwezig, anders weet WUFB ook niet welke updates er wel en niet geïnstalleerd zijn lijkt mij. En die informatie is behoorlijk goed up-to-date, vanmorgen de laatste machines van 24H2 naar 25H2 gezet en die info is gewoon netjes aangekomen en al verwerkt in de portal en reports.

Zal wel wachten op MS Support worden, het zou mij niets verbazen als er onder water ergens aan een boom geschud moet worden in de tenant.

Vakantie zit in de weg.

Nee, ze wilden m'n sessie niet hebben

Ik heb nu al een paar keer een Win32 app actief gemaakt en ipv de Command Line optie een Script geselecteerd om de installatie te starten. Nu is bij elke van deze apps al minimaal 1x de optie in het dropdown menu zo maar gewijzigd (van script terug naar commandline), hier mensen die hetzelfde mee maken?

pstalman schreef op dinsdag 10 maart 2026 @ 08:40:
Ik heb nu al een paar keer een Win32 app actief gemaakt en ipv de Command Line optie een Script geselecteerd om de installatie te starten. Nu is bij elke van deze apps al minimaal 1x de optie in het dropdown menu zo maar gewijzigd (van script terug naar commandline), hier mensen die hetzelfde mee maken?

Dat niet, maar wel dat ik helemaal geen optie had voor script, alleen command line. Om dan na het doorlopen van alle stappen opeens wel script kan kiezen wanneer ik 'm bewerk.

---

Heb een vraag over het eenmalig uitvoeren van een script op toegewezen systemen. Ik heb al Platform Scripts gevonden en daar m'n script toegevoegd. Echter wil ik een argument mee kunnen geven, maar dat lijkt niet mogelijk te zijn. Mis ik iets?

Als het niet kan, maak ik maar aparte win32 intunewin apps. Beetje overkill voor iets dat 1x hoeft te draaien en niet op het systeem hoeft te blijven. Het is namelijk om het scherm te draaien. Alternatief is het argument hard in het script te zetten en daar 4 van toe te voegen in Platform Scripts.

Ondertussen weet ik waarom mijn SecureBoot niet gevuld wordt. Dit komt omdat de Diagnostic Data blijkbaar niet in mijn Intune aankomt.

Zover ik weet en kan zien staat alles goed, of op zijn minst gelijk aan een andere tenant waar het wel werkt. Dus nu maar eens zien hoe we dit fatsoenlijk kunnen troubleshooten. Dat wordt niet makkelijk ben ik bang.

HKLM_ schreef op dinsdag 10 maart 2026 @ 20:40:
[...]


Doe je iets op firewall niveau met je verkeer (en dan richting MSFT) Vorig jaar hebben ze aan het netwerk zitten klussen aan die kant: https://techcommunity.mic...e-network-changes/4452738

Je zou de Azure Front Door Connectivity Diagnostics Tool for Intune eens kunnen runnen.

Nope. Niks bijzonders qua firewall. De devices van de tenant die de info wel heeft gebruiken dezelfde verbinding.

Heb al wel wat met Fiddler gekeken van de week en zover ik kon zien werd de data netjes verstuurd en ook met een goede HTTP Status ontvangen.

HKLM_ schreef op woensdag 11 maart 2026 @ 09:13:
[...]


Waar staat je Diagnostic data settings op bij een device welke niet rapporteerd? Deze moet minimaal op Required of meer staan.

[Afbeelding]

Yep, staat allemaal op Required / Basic. En alle registry keys op zowel werkende tenant devices als de niet werkende devices zijn gelijk. Ik weet ook zeker dat de data naar MS gestuurd wordt, dat heb ik nu meermaals zien gebeuren.

Maar ergens is een wonder aan het gebeuren. Ik heb in mijn Devices - Autopatch overzicht nu 1 machine die gestopt is met de alert "Device diagnostic data not received" en die is overgegaan naar "Automatic update settings misconfigured" (wat vast een nieuw probleem is, maar dat is voor later). Een ander device heeft zelfs de status "No alerts" gekregen.

Om het dan nog even wat complexer te maken, het Secure Boot report geeft nu óók data voor 2 devices. En voor wie verwacht dat het dan de devices zijn die hierboven van status veranderd zijn... Nee, dat dan weer niet. 2 totaal andere devices

Het enige wat ik kan bedenken is het feit dat ik pas vrijdag of maandagochtend (weet het niet meer exact) in deze tenant de setting "Enable features that require Windows diagnostic data in processor configuration" heb aangezet. Misschien dat die dagen nodig heeft om de boel bij MS op de achtergrond te verwerken? Stond geen melding of notificatie bij verder dat het langer zou duren dan een paar minuten.

We gaan het zien, het lijkt er wel op dat een en ander zich nu gaat vullen. Eens zien hoe dit gaat aflopen de komende dagen.

Hero of Time schreef op dinsdag 10 maart 2026 @ 19:32:
[...]

Dat niet, maar wel dat ik helemaal geen optie had voor script, alleen command line. Om dan na het doorlopen van alle stappen opeens wel script kan kiezen wanneer ik 'm bewerk.

ah zou je het eens in de gaten kunnen houden dat het niet zomaar overspringt.
En ik kan ook pas het dropdown menu selecteren als er 1 teken in de command line geplaatst is.

@HKLM_ Dank voor het meedenken nog!

Langzaam druppelt er van alles binnen nu. Ineens 40% van de machines in het Secure Boot Report en in het Device overview ook steeds meer meldingen. Wel andere errors, maar dat is precies het idee van het overzicht. Laat het de komende dagen nog maar lekker binnendruppelen, kijken wat eruit komt.

Wel leuk om te zien dat mijn fixes voor de Secure Boot installatie op de devices goed werkt. Heb recent de Dell Command Update software uitgerold en er Intune policies achteraan gegooid om devices up to date te brengen. Dat lijkt goed te werken met de 40% die ik nu zie, op 1 na hebben alle devices recente versies van de BIOS en Secure Boot bijgewerkt. De ene die het niet gedaan heeft komt door missende Windows updates.

En dan te bedenken dat ik tot begin dit jaar 0 kennis en ervaring had met Intune. Nu kan ik er al behoorlijk mijn weg in vinden en voelt het elke dag comfortabeler om mee om te gaan.

Ivm certificering en wensen/eisen op het gebied van beveiliging zijn we aan het kijken wat te doen met toegang via unmanaged devices tot onze omgeving. Men begon al gelijk over het aanschaffen van een lading laptops voor die personen, maar denk dat we zeker gezien het werk wat men gaat doen het ook prima afkunnen met een Azure Virtual Desktop of Windows 365 oplossing. Gaat om het werken met een aantal SAAS oplossingen, dus eigenlijk enkel wat browser werk. Toegang hiervan gaat met een smartcard, dus dat moet wel ondersteund worden. Hier mensen ervaring met AVD of Windows 365? Laatste is kwa licenties en beheer eigenlijk prima betaalbaar. Zeker de Frontline optie. 1 licentie voor 3 gebruikers (niet concurrend uiteraard)

pjlgt schreef op woensdag 11 maart 2026 @ 14:39:
Ivm certificering en wensen/eisen op het gebied van beveiliging zijn we aan het kijken wat te doen met toegang via unmanaged toegang tot onze omgeving. Men begon al gelijk over het aanschaffen van een lading laptops voor die personen, maar denk dat we zeker gezien het werk wat men gaat doen het ook prima afkunnen met een Azure Virtual Desktop of Windows 365 oplossing. Gaat om het werken met een aantal SAAS oplossingen, dus eigenlijk enkel wat browser werk. Toegang hiervan gaat met een smartcard, dus dat moet wel ondersteund worden. Hier mensen ervaring met AVD of Windows 365? Laatste is kwa licenties en beheer eigenlijk prima betaalbaar. Zeker de Frontline optie. 1 licentie voor 3 gebruikers (niet concurrend uiteraard)

Unmanaged toegang ? Moet ik dan denken aan leveranciers die toegang moet krijgen tot jullie omgeving ?
Kijk anders naar een jump server die je met een goede Remote Access toegang beheert toegang geeft. Mooie tool die ik daarvoor ken is BeyondTrust PRA.

Wat wil je weten over Win365? Hier zitten we midden in een grote uitrol van Win365 - onder andere voor de scenario's die jij omschrijft (externen die toegang nodig hebben tot welk deel van onze infra dan ook een managed workplace geven zonder een fysiek device).
We gebruiken hier een mix van Enterprise, Frontline en Frontline Shared / Cloud Apps - ook in combinatie met FIDO2 (in de vorm van card en USB-keys).

@HKLM_, nee, maar dat is dus iets waar ik wel naar ga kijken in de toekomst. Ben nog een beetje van de oude stempel, met GPO bedoelde ik dus Intune config dinges.

BIOS is ook iets wat ik voor onze kiosk naar moet kijken. Geen idee of er een standaard voor is dat Elo ook snapt. Want het kan wel eens gebeuren dat onze servicedesker vergeet de RTC wake alarm in te stellen. En in de aparte situatie dat de CMOS batterij leeg is, is het ook wel handig. Daar hebben een paar oudere kiosken last van en het gebeurt wel eens dat die stroom verliezen met daarbij dus die instelling.

HKLM_ schreef op woensdag 11 maart 2026 @ 19:39:
[...]


Maak je al gebruik van Dell Command | DCECMI (Endpoint Configure for Microsoft Intune) vanuit Microsoft Intune? Via de setting catalog kan je als profile kiezen voor templates en dan Bios Configurations and other settings en dan kom je uit op een setting catalog pagina om een configuration profile van de dell command te uploaden welke op je devices wordt toegepast.

Ik heb ooit toen dit net nieuw was de bios wachtwoorden ingesteld voor de devices en deze worden netjes in het Entra ID object van het device opgeslagen

Als BIOS wachtwoorden niet nodig zijn is er een simpelere manier. In de “oude” Dell Command Update (dus niet de Universal variant) zitten ADMX files. Deze kan je in Intune importeren. Uit de Universal variant kan je een MSI plukken.

En dan is de combinatie wel duidelijk

Voor mij is dat voldoende, heb mij nog nooit druk gemaakt over BIOS wachtwoorden om eerlijk te zijn. Als je die goed wil beveiligen moet je ook de reset optie uitschakelen (de vroegere jumper), maar dan kan je de boel compleet bricken. Heb de laatste 20 jaar geen gebruiker ooit betrapt op de BIOS openen. Maar kan mij goed voorstellen dat andere omgevingen andere eisen hebben

Na gisteren weinig veranderingen helaas. Geen extra machines waarvan de Diagnostic Data ontvangen is en ook het Secure Boot rapport staat stil. Nu was het wel woensdag en traditioneel is dat hier een dag waarop er weinig gewerkt wordt, maar toch wel jammer.

Hero of Time schreef op woensdag 11 maart 2026 @ 19:50:
@HKLM_, nee, maar dat is dus iets waar ik wel naar ga kijken in de toekomst. Ben nog een beetje van de oude stempel, met GPO bedoelde ik dus Intune config dinges.

BIOS is ook iets wat ik voor onze kiosk naar moet kijken. Geen idee of er een standaard voor is dat Elo ook snapt. Want het kan wel eens gebeuren dat onze servicedesker vergeet de RTC wake alarm in te stellen. En in de aparte situatie dat de CMOS batterij leeg is, is het ook wel handig. Daar hebben een paar oudere kiosken last van en het gebeurt wel eens dat die stroom verliezen met daarbij dus die instelling.

Misschien handig om dat te automatiseren, want dan vergeet een ander het ook niet.
Wij laten zo alle Kiosk en andere machines het weekend aangaan voor de default onderhoudstaken.
Het werkt best goed ipv WoL vroeger.

pstalman schreef op donderdag 12 maart 2026 @ 13:20:
[...]

Misschien handig om dat te automatiseren, want dan vergeet een ander het ook niet.
Wij laten zo alle Kiosk en andere machines het weekend aangaan voor de default onderhoudstaken.
Het werkt best goed ipv WoL vroeger.

Helaas geen tool of interface kunnen vinden voor Elo Touch all-in-one systemen. De UEFI firmware settings ding van Intune doet geen RTC alarm optie, dus dat is ook geen oplossing helaas. Dus dat stukje automatiseren gaat helaas niet. Nou scheelt het wel dat bij deze dingen het BIOS zonder toetsenbord is te bereiken. We hebben al vaker mensen hier doorheen begeleid.

En het draaien van het scherm heb ik maar opgegeven. Platform Script, app, zelfs een scheduled task maken gaf niet het gewenste effect. Bij het laatste zie ik de taak wel, staat op een tijd in het verleden met de optie om het alsnog direct uit te voeren als 't gemist is, maar zelfs met herstarten wordt het niet getriggered. Er is geen 'once at logon', alleen 'once at x uur'.

Maar ik kwam erachter dat via VNC winkey+i sturen het instellingen scherm opent waardoor je alsnog naar de scherm instellingen kan. Via een fysiek toetsenbord eraan werkt dit niet en het onscreen keyboard dat verschijnt heeft geen windows toets. Dus dat is afgevangen. Enige kleine nadeel is dat het instellingen scherm niet te sluiten is, het kruisje ontbreekt en alt+F4 doet het ook niet. Dan maar herstarten of ctrl+alt+del er heen sturen en opnieuw inloggen. Wat trouwens ook grappig is, want c-a-d via VNC geeft het scherm met opties, terwijl dat met een fysiek toetsenbord zorgt dat het scherm vergrendeld wordt.

Ik ben zo wel tevreden over de config. De pinch zoom is dan maar aan de devs van de site die getoond wordt om te fixen.

Heb een nieuw issue. Of eigenlijk twee maar eentje is niet zo heel boeiend uiteindelijk. Zit nog steeds met de kiosken te klooien, heb nu een 'staging' config gemaakt voor onze devs zodat ze een zo goed lijkende omgeving hebben, maar wel de dev tools kunnen openen. Dit kan blijkbaar alleen als ik kiosk multi-app gebruik. En dan heb ik gelijk een probleem.

In de Kiosk configuratie kan je optioneel een aangepaste startmenu configuratie laden. Kies ik niks, dan is start helemaal leeg. Dat zou geen issue moeten zijn, ware het niet dat de browser is te sluiten en dan niet meer te openen tenzij er opnieuw ingelogd wordt. Heb dus liever dat Edge er gewoon te kiezen is. Maar de config vereist een xml terwijl tegenwoordig de layout voor het start menu een json is. Kan niet echt goed vinden hoe dit op te lossen is.

Alternatief pinnen we het op de taakbalk. Dat kan wel met een xml en heb ik ook opgegeven. Echter wordt deze niet toegepast. Aparte config via Settings Catalog met pinned startmenu items en daar de json invullen geeft ook geen soelaas. Hoewel, niet voor de lokale kiosk gebruiker, wél als ik met m'n eigen account inlog.

Kijk ik in het register onder hklm/software/microsoft/windows/policymanager, dan zie ik de configs uit verschillende policies. De effectieve config zie ik ook met verwijzing naar de winningpolicy GUID. Het startmenu van de kiosk gebruiker wijst echter naar een policy GUID die ik niet thuis kan brengen in Intune. Het staat wel bij de policies die ergens opgegeven zijn, maar geen idee dus welke. En hier staat een xml in met replace pinned start en geen applicatie opgegeven.
Hoe krijg ik toch nog iets gepinned op start of taakbalk?


Het tweede, wat minder boeiende dingetje is dat wanneer ik inlog met m'n 365 admin voor lokale admin rechten, ik de OOBE/ESP krijg voor het afronden van de user config. Deze blijft echter hangen en uiteindelijk na de timeout van een uur staat die op 'failed'. Ik zou helemaal geen OOBE verwachten nadat de kiosk operationeel is. Dit was eerder ook niet zo, maar heb sinds ik een aparte ESP heb gemaakt voor de kiosken niet verder getest. De ESP heb ik relatief simpel ingesteld dat het info moet tonen zodat de paar apps die zijn toegewezen eerst geïnstalleerd moeten zijn voordat het verder gaat. Misschien dat dit de reden is dat de OOBE/ESP naar voren komt. Maar ik weet geen andere manier om te wachten totdat de verplichte applicaties zijn geïnstalleerd. Het werkte eerder prima, maar kwamen de apps later. Is an sich ook een optie als het dit oplost. Zo'n ramp is het niet, het zou alleen leuk zijn.

Ik weet niet of deze al gedeeld is hier, maar Microsoft is sinds vandaag begonnen met het actief promoten van Multi-Admin Approval in Microsoft Intune. Aanleiding is een grote cyberaanval op Stryker, een Amerikaans bedrijf die medische apparatuur maakt. De aanvalsgroep heeft hier destructief gehandeld en o.a 200.000 apparaten uit Intune gewist.

Nieuwe richtlijnen in een notendop:

• Gebruik least-privilege en privileged identity management (idealiter op basis van rbac-rollen in Microsoft Intune, beperk Intune Administrator)
• Vereis phishing-resistant MFA
• Gebruik multi-admin approval

Zie ook de volgende artikelen:
Best practices for securing Microsoft Intune | Microsoft Community Hub
Waarom is het Amerikaanse bedrijf Stryker gehackt door een Iraanse hackersgroep? | NPO Radio 1
Fabrikant van medische apparatuur Stryker platgelegd door cyberaanval - Security.NL

Hero of Time schreef op maandag 16 maart 2026 @ 19:45:

Hoe krijg ik toch nog iets gepinned op start of taakbalk?

<v5:StartPins><![CDATA[{
"pinnedList":[

{"desktopAppLink":"%AllusersProfile%\\Microsoft\\Windows\\Start Menu\\Programs\\<browser.lnk>"},


}]]>
</v5:StartPins>

Ik zie de mensen hier al reageren als ik ga pushen voor multi admin approval. Het is in de basis een quick-win, maar er gaat zo hard op gevloekt worden. Ga al blij zijn als ik deze week de goedkeuring erdoor krijg voor verder te gaan met phishing resistant MFA en we in Q2 eindelijk met PIM kunnen beginnen. Want ook daar gaat volgens mij al op gevloekt worden. Te veel mensen zien security continue als een manier waarop men werken moeilijk maakt en alles maar vertraagd 😟

Over moeilijker werken gesproken. Er lijkt vandaag een enorme vertraging te zitten tussen het uploaden van een app in Intune en het moment dat deze eindelijk in de Company Portal beschikbaar komt. Geen idee wat daar aan de hand is.

Blokker_1999 schreef op dinsdag 17 maart 2026 @ 11:51:
Over moeilijker werken gesproken. Er lijkt vandaag een enorme vertraging te zitten tussen het uploaden van een app in Intune en het moment dat deze eindelijk in de Company Portal beschikbaar komt. Geen idee wat daar aan de hand is.

Is iedere dag bijna anders, wen er maar aan. Ene dag zie je de app bijna instant verschijnen en andere dag kan het ineens 2 uur duren ofzo.

Het kost natuurlijk ook "human resources".
In onze teams zijn admins met verschillende zaken bezig en hebben we geen tot zeer weinig dedicated admins of teams per expertise of dat nu Intune is of M365/Teams/Sharepoint.
Ik doe veel werk in Intune qua onderhoud van apps of configuration. De servicedesk medewerkers doen werk wat betreft device management, zowel Windows devices als Android en ioS devices. En onze security specialisten doen weer veel in Intune op gebied van CA policies, vulnerability management, wellicht een remediation script om sommige vulnerabilities te counteren, etc.
We maken al gebruik van PIM en zijn bezig met phishing resistant MFA voor de admin accounts.
Maar als ik requests van mijn collega's de hele dag moet gaan zitten beoordelen en goedkeuren, of vice versa, dan komen we niet aan ander werk toe. Dus ja, ik zie zeker de "noodzaak of wens" maar ook direct een gebrek aan capaciteit wat ik niet verwacht dat snel ingevuld zal worden.

Het ligt ook een beetje aan of je qua MSP er beheer voor doet of inhouse zit. 99% van onze klanten zit zelf niet in M365 rond te hangen namelijk.
Die paar klanten die wel een eigen IT hebben, daar zou dit wel mooi voor kunnen zijn.

Blokker_1999 schreef op dinsdag 17 maart 2026 @ 11:51:
Ik zie de mensen hier al reageren als ik ga pushen voor multi admin approval. Het is in de basis een quick-win, maar er gaat zo hard op gevloekt worden. Ga al blij zijn als ik deze week de goedkeuring erdoor krijg voor verder te gaan met phishing resistant MFA en we in Q2 eindelijk met PIM kunnen beginnen. Want ook daar gaat volgens mij al op gevloekt worden. Te veel mensen zien security continue als een manier waarop men werken moeilijk maakt en alles maar vertraagd 😟

Over moeilijker werken gesproken. Er lijkt vandaag een enorme vertraging te zitten tussen het uploaden van een app in Intune en het moment dat deze eindelijk in de Company Portal beschikbaar komt. Geen idee wat daar aan de hand is.

In de praktijk is least privilege en phishing-resistant MFA inloggen veel belangrijker dan multi-admin approval. Bij deze specifieke aanval had multi-admin approval sowieso weinig toegevoegde waarde gehad. Blijkbaar was de global admin gephished. Als multi-admin approval aangestaan zou hebben kon hij gewoon een 2de gebruiker aanmaken, die de juiste rechten geven en alsnog approven.