Microsoft Intune ervaringentopic

HKLM_ schreef op dinsdag 17 maart 2026 @ 12:54:
[...]


Hoezo zou dit voor een MSP niet gelden dan? Juist bij de MSP's welke ik zie wordt er te makkelijk gedaan over least-privilaged werken. #DoeMaarGlobalAdmin

Hangt misschien af qua grootte denk ik.
Support heeft bijvoorbeeld geen toegang tot global admin accounts van klanten, die kunnen enkel en alleen via CIPP /Lighthouse werken voor een klant.
Dan blijft beheer/M365 over natuurlijk. En er valt verder wat te zeggen, maar momenteel zijn we wel bezig met het instellen van beheeraccounts met fysieke FIDO keys.
K heb gemerkt dat het kan tegenwoordig met gedeelde passkeys, maar dat is juist wat ik niet wil.

HKLM_ schreef op dinsdag 17 maart 2026 @ 12:54:
[...]


Hoezo zou dit voor een MSP niet gelden dan? Juist bij de MSP's welke ik zie wordt er te makkelijk gedaan over least-privilaged werken. #DoeMaarGlobalAdmin

Herkenbaar helaas. Ik ben meer dan een jaar bezig geweest om awareness te creeeren op het gebied van least-privilege. Medewerkers van een MSP willen vooral productief zijn en dat is geen gekke gedachte. Ze hebben een service-verlenende mindset en willen het probleem van bijv. een gebruiker zsm oplossen.

Bij sommige MSP's durf ik te stellen (bij ons gelukkig niet) dat je wordt afgerekend op de hoeveelheid tickets die je oplost. Als er dan een proces zoals PIM bij komt kijken is dat niet fijn. Liever inderdaad GA en meteen overal toegang tot hebben ipv stapsgewijs de juiste rol pimmen om het probleen te pinpointen en op te lossen, wat alleen maar vertragend werkt.

Binnen een jaar tijd hebben we bij al onze klanten eligible pim-rollen op basis van het kennisniveau en ervaring van de medewerker, breakglass accounts die we periodiek testen en zijn we nu ook overal fido2 aan het uitrollen. Ons SOC werkt vrijwel alleen maar via GDAP en rollen die we gedeployed hebben met Microsoft Lighthouse. Kost even wat tijd, maar dan heb je ook wat.

Een volgende stap bij ons is wel dat we de rol Intune Administrator zoveel mogelijk willen gaan beperken. De security groepen kun je koppelen aan RBAC rollen in Microsoft Intune en weer beveiligen met PIM for Groups. Andere processen in Intune (direct of via integratie) worden steeds meer geautomatiseerd (Windows Updates via Autopatch en applicatie's worden gepatched via PatchMyPC), dus er zijn ook steeds minder redenen om gebruikers Intune Administrator te maken.

[ Voor 21% gewijzigd door FREAKJAM op 17-03-2026 13:51 ]

HKLM_ schreef op dinsdag 17 maart 2026 @ 15:41:
[...]


Dat is wel een leuke, als je de enige bent is het vaak al helemaal onmogelijk, wat je dan nog aanvullend kan doen is via conditional access met authentication context zorgen dat je als admin wel de dingen mag doen maar alleen onder bepaalde voorwaarde. Zo mag ik bijvoorbeeld alleen conditional access policies aanpassen of uitzetten vanaf onze eigen locatie i.c.m een compliant device.

Het is heel leuk om alleen te zijn. Jje hoeft namelijk geen rekening te houden met de hersenkronkels van een andere admin waar je het natuurlijk, als echte autistische IT'er die alles beter weet, toch niet mee eens bent Conditional Access is op dit moment nog een ver van mijn bed show helaas. Het staat hoog op de lijst van uit de zoeken dingen, maar het is er simpelweg nog niet van gekomen. Het is een vraagstuk waar je in mijn ogen echt voor 200% in moet duiken, bij voorkeur zonder afleiding.

Die voorwaarden is inderdaad iets wat mijn aandacht ook heeft. Ik zou echter in mijn geval eerder inzetten op phising resistant MFA afdwingen bij admin acties, simpelweg omdat ik lang niet altijd op de kantoorlocatie ben. Ik ben liever wat flexibeler, als ik op de camping met een te gare verbinding iets móet instellen dan moet dat wel werkbaar blijven.

Ongetwijfeld een vraag waar je over nagedacht hebt, maar heb je wel een escape voor als je eigen locatie niet beschikbaar is? Want een extra locatie aan de CA toevoegen in een noodsituatie wordt anders nogal een dingetje

Hey allemaal,

Ik ben zelf Intune-consultant en liep er in de praktijk tegenaan dat er weinig goede tooling is voor MSPs en IT-beheerders om meerdere tenants centraal te beheren. Daarom ben ik TenantBeheer gaan bouwen.
Het is een multi-tenant platform voor Microsoft Intune en Microsoft 365 beheer. Wat je er o.a. mee kunt:

Windows, macOS, iOS, Android en Linux devices beheren vanuit één dashboard
Intune Settings Catalog configuraties beheren
Automatische backups van je tenant configuraties
Script Library voor herbruikbare scripts
App Deployment
Microsoft 365 inzichten
Eigen RMM Agent voor real-time device monitoring, eenvoudig uit te rollen via Intune

Het platform wordt inmiddels al door een aantal klanten in productie gebruikt. Nu wil ik het breder openstellen en ben ik op zoek naar IT-beheerders en MSPs die het willen uitproberen en feedback willen geven, zodat ik het verder kan verbeteren op basis van echte input uit de praktijk.

*knip* pluggen van je eigen dienst lijkt me niet helemaal de bedoeling.

Vragen of feedback? Graag hier of via de e-mail.

[ Voor 4% gewijzigd door TheVMaster op 17-03-2026 16:12 ]

TarikG schreef op dinsdag 17 maart 2026 @ 16:07:
Hey allemaal,

Ik ben zelf Intune-consultant en liep er in de praktijk tegenaan dat er weinig goede tooling is voor MSPs en IT-beheerders om meerdere tenants centraal te beheren. Daarom ben ik TenantBeheer gaan bouwen.
Het is een multi-tenant platform voor Microsoft Intune en Microsoft 365 beheer. Wat je er o.a. mee kunt:

Windows, macOS, iOS, Android en Linux devices beheren vanuit één dashboard
Intune Settings Catalog configuraties beheren
Automatische backups van je tenant configuraties
Script Library voor herbruikbare scripts
App Deployment
Microsoft 365 inzichten
Eigen RMM Agent voor real-time device monitoring, eenvoudig uit te rollen via Intune

Het platform wordt inmiddels al door een aantal klanten in productie gebruikt. Nu wil ik het breder openstellen en ben ik op zoek naar IT-beheerders en MSPs die het willen uitproberen en feedback willen geven, zodat ik het verder kan verbeteren op basis van echte input uit de praktijk.

Te vinden op: **redacted**

Vragen of feedback? Graag hier of via de e-mail.

GoT is niet de plek om zieltjes te winnen en ik vermoed zo maar eens dat het ook nog eens tegen de regels is.

Maar het is wel interessant, hoewel de markt al behoorlijk verzadigd lijkt te zijn. Misschien met de mods overleggen over een eigen topic? Want ik zou wel meer willen weten, al is het maar omdat ik graag weet wat er in de markt beschikbaar is.

Drardollan schreef op dinsdag 17 maart 2026 @ 16:14:
[...]


GoT is niet de plek om zieltjes te winnen en ik vermoed zo maar eens dat het ook nog eens tegen de regels is.

Maar het is wel interessant, hoewel de markt al behoorlijk verzadigd lijkt te zijn. Misschien met de mods overleggen over een eigen topic? Want ik zou wel meer willen weten, al is het maar omdat ik graag weet wat er in de markt beschikbaar is.

Thanks voor de snelle (maar ik was sneller ) reactie.

Drardollan schreef op dinsdag 17 maart 2026 @ 16:14:
[...]


GoT is niet de plek om zieltjes te winnen en ik vermoed zo maar eens dat het ook nog eens tegen de regels is.

Maar het is wel interessant, hoewel de markt al behoorlijk verzadigd lijkt te zijn. Misschien met de mods overleggen over een eigen topic? Want ik zou wel meer willen weten, al is het maar omdat ik graag weet wat er in de markt beschikbaar is.

Zeker niet de bedoeling om zieltjes te winnen hoor, het is een community tool en ik dacht dat dit topic een geschikte plek was om het te delen. Maar geen enkel probleem, ik zal even met de mods overleggen wat de mogelijkheden zijn. Bedankt voor de interesse in ieder geval!

Drardollan schreef op dinsdag 17 maart 2026 @ 16:15:
[...]

Een zinloze vraag zoals ik al verwachte ;-)

Phising resistant moet ik ook nodig naar kijken, maar daarmee en met CA policies zitten we eigenlijk niet in het juist topic.

Tijd voor een Entra ID topic Spuit 11, die bestaat al.

[ Voor 8% gewijzigd door FREAKJAM op 17-03-2026 16:27 ]

FREAKJAM schreef op dinsdag 17 maart 2026 @ 16:25:
[...]


Tijd voor een Entra ID topic

Eigenlijk zouden we een topic moeten maken voor elke MS Portal, kunnen we er gelijk 179* openen

(* bron chatgpt heeft https://msportals.io/ voor mij geteld)

Drardollan schreef op dinsdag 17 maart 2026 @ 16:28:
[...]


Eigenlijk zouden we een topic moeten maken voor elke MS Portal, kunnen we er gelijk 179* openen

(* bron chatgpt heeft https://msportals.io/ voor mij geteld)

Ik gebruik heel veel cmd.ms. Ook handig voor Intune!

FREAKJAM schreef op dinsdag 17 maart 2026 @ 16:29:
[...]

Ik gebruik heel veel cmd.ms. Ook handig voor Intune!

Zelfs voor de portal overviews van MS zijn dus meerdere overview portals. Wat een genot om in 2026 te leven als beheerder

pstalman schreef op dinsdag 17 maart 2026 @ 10:56:
[...]

<v5:StartPins><![CDATA[{
"pinnedList":[

{"desktopAppLink":"%AllusersProfile%\\Microsoft\\Windows\\Start Menu\\Programs\\<browser.lnk>"},


}]]>
</v5:StartPins>

Iets dumpen zonder uitleg is niet echt zinvol en imo beledigend.

HKLM_ schreef op dinsdag 17 maart 2026 @ 11:20:
@Hero of Time Is dit wat je zoekt? https://petervanderwoude....ut-on-windows-11-devices/ samen met https://petervanderwoude....tomizable-taskbar-layout/

Beide allang gevonden. En als je m'n post fatsoenlijk had gelezen, had je ook gezien dat ik verschillende config opties heb geprobeerd en dat dit voor de lokale kiosk gebruiker niks doet. Wel m'n Entra gebruiker, maar die worden niet voor de kiosk gebruikt. Heb zelfs via een OMA-URI een XML geladen voor pinned startmenu. In de XML had het ik het GUID gebruikt dat ik als winning policy zag, maar dat geeft uiteraard direct een conflict.

Er zit dus iets dat een leeg start menu geeft, de optie voor pinning aan start en taakbalk voorkomt en je er niks mee kan. Vandaag dus nog wat verder op gezocht en kom berichten tegen van gebruikers die het perfect hadden werken met 23H2, maar op het moment dat 24H2 werd toegepast, was het stuk. Dus geweldig weer MS, meer dan een jaar later is het nog steeds naar de klote. En de enige potentiële oplossing die ik tegen kom is een OMA-URI XML te maken met je config. Lekker ruk dus weer, klinkt namelijk enorm als de enorme login scripts die je vroeger had om drive mappings en printers te configuren. Good old kixtart.

Het gaat toch alleen op kantoor staan, voor productie waar bezoekers op werken is al volledig afgeschermd en single app kiosk. Ben al te veel tijd kwijt aan dit gezeik van MS.

M'n tweede puntje heb ik met een OMA-URI item ook opgelost, skip user step oid om niet de ESP te zien als een ongelicenseerde cloud gebruiker inlogt (zoals m'n admin).

Ach, we zijn toch inmiddels allemaal toch al gewend dat Hero gewoon altijd elke dag wel een keer wil ranten op MS? 😋

HKLM_ schreef op dinsdag 17 maart 2026 @ 19:05:
[...]

Doe eens ff rustig joh, probeer gewoon wat te helpen.

Sorry, maar het is gewoon zo frustrerend als je documentatie volgt en dan gewoon niet het resultaat krijgt wat je hoort te krijgen omdat de fabrikant (MS in dit geval) de boel al lange tijd heeft gesloopt zonder oplossing.