Microsoft Intune ervaringentopic

HKLM_ schreef op dinsdag 17 maart 2026 @ 12:54:
[...]


Hoezo zou dit voor een MSP niet gelden dan? Juist bij de MSP's welke ik zie wordt er te makkelijk gedaan over least-privilaged werken. #DoeMaarGlobalAdmin

Hangt misschien af qua grootte denk ik.
Support heeft bijvoorbeeld geen toegang tot global admin accounts van klanten, die kunnen enkel en alleen via CIPP /Lighthouse werken voor een klant.
Dan blijft beheer/M365 over natuurlijk. En er valt verder wat te zeggen, maar momenteel zijn we wel bezig met het instellen van beheeraccounts met fysieke FIDO keys.
K heb gemerkt dat het kan tegenwoordig met gedeelde passkeys, maar dat is juist wat ik niet wil.

HKLM_ schreef op dinsdag 17 maart 2026 @ 12:54:
[...]


Hoezo zou dit voor een MSP niet gelden dan? Juist bij de MSP's welke ik zie wordt er te makkelijk gedaan over least-privilaged werken. #DoeMaarGlobalAdmin

Herkenbaar helaas. Ik ben meer dan een jaar bezig geweest om awareness te creeeren op het gebied van least-privilege. Medewerkers van een MSP willen vooral productief zijn en dat is geen gekke gedachte. Ze hebben een service-verlenende mindset en willen het probleem van bijv. een gebruiker zsm oplossen.

Bij sommige MSP's durf ik te stellen (bij ons gelukkig niet) dat je wordt afgerekend op de hoeveelheid tickets die je oplost. Als er dan een proces zoals PIM bij komt kijken is dat niet fijn. Liever inderdaad GA en meteen overal toegang tot hebben ipv stapsgewijs de juiste rol pimmen om het probleen te pinpointen en op te lossen, wat alleen maar vertragend werkt.

Binnen een jaar tijd hebben we bij al onze klanten eligible pim-rollen op basis van het kennisniveau en ervaring van de medewerker, breakglass accounts die we periodiek testen en zijn we nu ook overal fido2 aan het uitrollen. Ons SOC werkt vrijwel alleen maar via GDAP en rollen die we gedeployed hebben met Microsoft Lighthouse. Kost even wat tijd, maar dan heb je ook wat.

Een volgende stap bij ons is wel dat we de rol Intune Administrator zoveel mogelijk willen gaan beperken. De security groepen kun je koppelen aan RBAC rollen in Microsoft Intune en weer beveiligen met PIM for Groups. Andere processen in Intune (direct of via integratie) worden steeds meer geautomatiseerd (Windows Updates via Autopatch en applicatie's worden gepatched via PatchMyPC), dus er zijn ook steeds minder redenen om gebruikers Intune Administrator te maken.

[ Voor 21% gewijzigd door FREAKJAM op 17-03-2026 13:51 ]

HKLM_ schreef op dinsdag 17 maart 2026 @ 15:41:
[...]


Dat is wel een leuke, als je de enige bent is het vaak al helemaal onmogelijk, wat je dan nog aanvullend kan doen is via conditional access met authentication context zorgen dat je als admin wel de dingen mag doen maar alleen onder bepaalde voorwaarde. Zo mag ik bijvoorbeeld alleen conditional access policies aanpassen of uitzetten vanaf onze eigen locatie i.c.m een compliant device.

Het is heel leuk om alleen te zijn. Jje hoeft namelijk geen rekening te houden met de hersenkronkels van een andere admin waar je het natuurlijk, als echte autistische IT'er die alles beter weet, toch niet mee eens bent Conditional Access is op dit moment nog een ver van mijn bed show helaas. Het staat hoog op de lijst van uit de zoeken dingen, maar het is er simpelweg nog niet van gekomen. Het is een vraagstuk waar je in mijn ogen echt voor 200% in moet duiken, bij voorkeur zonder afleiding.

Die voorwaarden is inderdaad iets wat mijn aandacht ook heeft. Ik zou echter in mijn geval eerder inzetten op phising resistant MFA afdwingen bij admin acties, simpelweg omdat ik lang niet altijd op de kantoorlocatie ben. Ik ben liever wat flexibeler, als ik op de camping met een te gare verbinding iets móet instellen dan moet dat wel werkbaar blijven.

Ongetwijfeld een vraag waar je over nagedacht hebt, maar heb je wel een escape voor als je eigen locatie niet beschikbaar is? Want een extra locatie aan de CA toevoegen in een noodsituatie wordt anders nogal een dingetje

Hey allemaal,

Ik ben zelf Intune-consultant en liep er in de praktijk tegenaan dat er weinig goede tooling is voor MSPs en IT-beheerders om meerdere tenants centraal te beheren. Daarom ben ik TenantBeheer gaan bouwen.
Het is een multi-tenant platform voor Microsoft Intune en Microsoft 365 beheer. Wat je er o.a. mee kunt:

Windows, macOS, iOS, Android en Linux devices beheren vanuit één dashboard
Intune Settings Catalog configuraties beheren
Automatische backups van je tenant configuraties
Script Library voor herbruikbare scripts
App Deployment
Microsoft 365 inzichten
Eigen RMM Agent voor real-time device monitoring, eenvoudig uit te rollen via Intune

Het platform wordt inmiddels al door een aantal klanten in productie gebruikt. Nu wil ik het breder openstellen en ben ik op zoek naar IT-beheerders en MSPs die het willen uitproberen en feedback willen geven, zodat ik het verder kan verbeteren op basis van echte input uit de praktijk.

*knip* pluggen van je eigen dienst lijkt me niet helemaal de bedoeling.

Vragen of feedback? Graag hier of via de e-mail.

[ Voor 4% gewijzigd door TheVMaster op 17-03-2026 16:12 ]

TarikG schreef op dinsdag 17 maart 2026 @ 16:07:
Hey allemaal,

Ik ben zelf Intune-consultant en liep er in de praktijk tegenaan dat er weinig goede tooling is voor MSPs en IT-beheerders om meerdere tenants centraal te beheren. Daarom ben ik TenantBeheer gaan bouwen.
Het is een multi-tenant platform voor Microsoft Intune en Microsoft 365 beheer. Wat je er o.a. mee kunt:

Windows, macOS, iOS, Android en Linux devices beheren vanuit één dashboard
Intune Settings Catalog configuraties beheren
Automatische backups van je tenant configuraties
Script Library voor herbruikbare scripts
App Deployment
Microsoft 365 inzichten
Eigen RMM Agent voor real-time device monitoring, eenvoudig uit te rollen via Intune

Het platform wordt inmiddels al door een aantal klanten in productie gebruikt. Nu wil ik het breder openstellen en ben ik op zoek naar IT-beheerders en MSPs die het willen uitproberen en feedback willen geven, zodat ik het verder kan verbeteren op basis van echte input uit de praktijk.

Te vinden op: **redacted**

Vragen of feedback? Graag hier of via de e-mail.

GoT is niet de plek om zieltjes te winnen en ik vermoed zo maar eens dat het ook nog eens tegen de regels is.

Maar het is wel interessant, hoewel de markt al behoorlijk verzadigd lijkt te zijn. Misschien met de mods overleggen over een eigen topic? Want ik zou wel meer willen weten, al is het maar omdat ik graag weet wat er in de markt beschikbaar is.

Drardollan schreef op dinsdag 17 maart 2026 @ 16:14:
[...]


GoT is niet de plek om zieltjes te winnen en ik vermoed zo maar eens dat het ook nog eens tegen de regels is.

Maar het is wel interessant, hoewel de markt al behoorlijk verzadigd lijkt te zijn. Misschien met de mods overleggen over een eigen topic? Want ik zou wel meer willen weten, al is het maar omdat ik graag weet wat er in de markt beschikbaar is.

Thanks voor de snelle (maar ik was sneller ) reactie.

Drardollan schreef op dinsdag 17 maart 2026 @ 16:14:
[...]


GoT is niet de plek om zieltjes te winnen en ik vermoed zo maar eens dat het ook nog eens tegen de regels is.

Maar het is wel interessant, hoewel de markt al behoorlijk verzadigd lijkt te zijn. Misschien met de mods overleggen over een eigen topic? Want ik zou wel meer willen weten, al is het maar omdat ik graag weet wat er in de markt beschikbaar is.

Zeker niet de bedoeling om zieltjes te winnen hoor, het is een community tool en ik dacht dat dit topic een geschikte plek was om het te delen. Maar geen enkel probleem, ik zal even met de mods overleggen wat de mogelijkheden zijn. Bedankt voor de interesse in ieder geval!

Drardollan schreef op dinsdag 17 maart 2026 @ 16:15:
[...]

Een zinloze vraag zoals ik al verwachte ;-)

Phising resistant moet ik ook nodig naar kijken, maar daarmee en met CA policies zitten we eigenlijk niet in het juist topic.

Tijd voor een Entra ID topic Spuit 11, die bestaat al.

[ Voor 8% gewijzigd door FREAKJAM op 17-03-2026 16:27 ]

FREAKJAM schreef op dinsdag 17 maart 2026 @ 16:25:
[...]


Tijd voor een Entra ID topic

Eigenlijk zouden we een topic moeten maken voor elke MS Portal, kunnen we er gelijk 179* openen

(* bron chatgpt heeft https://msportals.io/ voor mij geteld)

Drardollan schreef op dinsdag 17 maart 2026 @ 16:28:
[...]


Eigenlijk zouden we een topic moeten maken voor elke MS Portal, kunnen we er gelijk 179* openen

(* bron chatgpt heeft https://msportals.io/ voor mij geteld)

Ik gebruik heel veel cmd.ms. Ook handig voor Intune!

FREAKJAM schreef op dinsdag 17 maart 2026 @ 16:29:
[...]

Ik gebruik heel veel cmd.ms. Ook handig voor Intune!

Zelfs voor de portal overviews van MS zijn dus meerdere overview portals. Wat een genot om in 2026 te leven als beheerder

pstalman schreef op dinsdag 17 maart 2026 @ 10:56:
[...]

<v5:StartPins><![CDATA[{
"pinnedList":[

{"desktopAppLink":"%AllusersProfile%\\Microsoft\\Windows\\Start Menu\\Programs\\<browser.lnk>"},


}]]>
</v5:StartPins>

Iets dumpen zonder uitleg is niet echt zinvol en imo beledigend.

HKLM_ schreef op dinsdag 17 maart 2026 @ 11:20:
@Hero of Time Is dit wat je zoekt? https://petervanderwoude....ut-on-windows-11-devices/ samen met https://petervanderwoude....tomizable-taskbar-layout/

Beide allang gevonden. En als je m'n post fatsoenlijk had gelezen, had je ook gezien dat ik verschillende config opties heb geprobeerd en dat dit voor de lokale kiosk gebruiker niks doet. Wel m'n Entra gebruiker, maar die worden niet voor de kiosk gebruikt. Heb zelfs via een OMA-URI een XML geladen voor pinned startmenu. In de XML had het ik het GUID gebruikt dat ik als winning policy zag, maar dat geeft uiteraard direct een conflict.

Er zit dus iets dat een leeg start menu geeft, de optie voor pinning aan start en taakbalk voorkomt en je er niks mee kan. Vandaag dus nog wat verder op gezocht en kom berichten tegen van gebruikers die het perfect hadden werken met 23H2, maar op het moment dat 24H2 werd toegepast, was het stuk. Dus geweldig weer MS, meer dan een jaar later is het nog steeds naar de klote. En de enige potentiële oplossing die ik tegen kom is een OMA-URI XML te maken met je config. Lekker ruk dus weer, klinkt namelijk enorm als de enorme login scripts die je vroeger had om drive mappings en printers te configuren. Good old kixtart.

Het gaat toch alleen op kantoor staan, voor productie waar bezoekers op werken is al volledig afgeschermd en single app kiosk. Ben al te veel tijd kwijt aan dit gezeik van MS.

M'n tweede puntje heb ik met een OMA-URI item ook opgelost, skip user step oid om niet de ESP te zien als een ongelicenseerde cloud gebruiker inlogt (zoals m'n admin).

Ach, we zijn toch inmiddels allemaal toch al gewend dat Hero gewoon altijd elke dag wel een keer wil ranten op MS? 😋

HKLM_ schreef op dinsdag 17 maart 2026 @ 19:05:
[...]

Doe eens ff rustig joh, probeer gewoon wat te helpen.

Sorry, maar het is gewoon zo frustrerend als je documentatie volgt en dan gewoon niet het resultaat krijgt wat je hoort te krijgen omdat de fabrikant (MS in dit geval) de boel al lange tijd heeft gesloopt zonder oplossing.

Een vraagje over deployment profiles. Destijds bij configuratie van onze intune ('21-'22) was het algemene advies om 'autmatically configure keyboard' op "no" te zetten want dit werkte toen niet goed.
Language region bij ons is Dutch Belgium en we werken met een Azerty layout.
Op zich zo'n setting in de categorie 'set and forget', maar we zijn ondertussen dik 4 jaar verder.
Er is nog eens een grote batch toestellen onderweg en ik merk bij een eerste toestel dat de OOBE in QWERTY staat (nl-NL), nl-BE is wel aanwezig. Ik heb het gisteren gefixt met een .bat file uitgevoerd vanaf usb om het goed te zetten.

Heeft het nu te maken met de image die de leverancier erop heeft gezet of is het onze deployment profile die dit veroorzaakt? Is het ondertussen wel betrouwbaar om 'automatically configure keyboard' op "yes" te zetten en dan een nl-BE keyboard layout te krijgen?

Daar kan ik spijtig genoeg niet op antwoorden want wij, als Belgische firma, gebruiken qwerty toetsenborden vanwege ons groot internationaal personeelsbestand. Iedereen hetzelfde toetsenbord, ongeacht wat je gewoon bent. Was de eerste maanden een mindfuck, maar ondertussen wel gewoon. Wij slaan die instelling dan ook gewoon over, al heeft ook ons dat op een gegeven moment problemen opgeleverd omdat onze OEM ons een Belgische image gaf op onze laptops ondanks dat we dus met een US International toetsenbord zitten, en krijgen we dan ineens een azerty layout in de OOBE ondanks het qwerty toetsenbord in het apparaat. Hebben we bij de OEM toch ook eens op tafel moeten kloppen dat zoiets echt niet kan. Ik verwacht dat jij tegen het omgekeerde probleem aanloopt op dit moment.

Drwho1 schreef op woensdag 18 maart 2026 @ 10:13:
Een vraagje over deployment profiles. Destijds bij configuratie van onze intune ('21-'22) was het algemene advies om 'autmatically configure keyboard' op "no" te zetten want dit werkte toen niet goed.
Language region bij ons is Dutch Belgium en we werken met een Azerty layout.
Op zich zo'n setting in de categorie 'set and forget', maar we zijn ondertussen dik 4 jaar verder.
Er is nog eens een grote batch toestellen onderweg en ik merk bij een eerste toestel dat de OOBE in QWERTY staat (nl-NL), nl-BE is wel aanwezig. Ik heb het gisteren gefixt met een .bat file uitgevoerd vanaf usb om het goed te zetten.

Heeft het nu te maken met de image die de leverancier erop heeft gezet of is het onze deployment profile die dit veroorzaakt? Is het ondertussen wel betrouwbaar om 'automatically configure keyboard' op "yes" te zetten en dan een nl-BE keyboard layout te krijgen?

Kan een combinatie zijn. Wij hebben systemen van Dell besteld en toen we anderhalf jaar geleden met de uitrol van Intune begonnen, hebben we de vraag voor toetsenbord ook aangezet ipv automatisch accepteren. De regio staat bij ons al op Dutch/NL, maar het vervelende was dat als het toetsenbord automatisch gekozen zou worden, we ook echt een Nederlandse indeling kregen, ipv VS Internationaal. De speciale tekens zitten dan op andere plekken dan fysiek op het toetsenbord staan. Ook voor de self-deploy configuratie kies ik zelf de toetsenbordindeling.

TheVMaster schreef op woensdag 18 maart 2026 @ 11:44:
[...]

Je weet onderhand toch ook wel dat de documentatie niet altijd volledig is en er wordt ook wel vaak uitgegaan van eigen ervaring/kennis. Foutjes moet je natuurlijk ook altijd ff doorgeven. Feedback wordt vaak wel snel opgepakt en verwerkt.

Het is niet een probleem in de documentatie, maar het toepassen van de configuratie. Tot ik er gisteren verder naar zocht, wist ik niet dat MS dat sinds 24H2 verkloot heeft en dus wat anders doet dan je configureert. Enige puntje wat afwijkt in de documentatie met wat ik zie, is de knop 'add MS Edge' in de Kiosk multi-app configuratie screenshot. Die heb ik niet (meer). Daar heb ik niet zo'n probleem mee, er is immers enorm veel te documenteren en een plaatje kan nou eenmaal licht afwijken met de werkelijkheid door de constante veranderingen in de interface. Zolang de stappen niet compleet afwijken en het gedocumenteerde pad nog bestaat zal 't mij een worst zijn eigenlijk. Meer dan een maand verwijzen naar niet bestaande locaties is wel heel kwalijk. Moet een autofabrikant eens doen als je het volume van de radio via een touch interface moet wijzigen van maximum af en het pad dat in de handleiding staat er niet meer is.

Toch maar eens verder gekeken met AutoPatch naar aanleiding van de berichten hier dat je WU policies kan aanpassen zodat de reboots wat prettiger zijn voor de users. AutoPatch heeft, zo is mijn conclusie, 1 groot voordeel en dat is dat er een actieve agent geïnstalleerd wordt wat zou moeten zorgen voor een betere en snellere rapportage. De WUfB is leuk, maar soms duurt een rapportage dagen.

Maar dan kom ik er dus achter dat AutoPatch de HotPatch uitschakelt. Daar irriteer ik mij dan weer aan, juist HotPatch is een mooie (en zeer lang verwachte) vooruitgang. Dus zit al een beetje te kijken of ik het aan moet of kan zetten ergens. Kom ik bij toeval op het Intune Message Center, lees ik daar:

Plan for Change: Windows Autopatch is enabling hotpatch updates by default

Starting with the May 2026 Windows security update, Windows Autopatch is enabling hotpatch security updates by default because they are the quickest way to get secure. This change in default behavior will impact all eligible Intune devices. Additional controls are expected in April.

Genoeg reden om er nu vooral zelf geen tijd in te gaan stoppen, over ruim een maand gaat het vanzelf goed komen.

Wel echt Microsoft anno nu hoor dit, elke nieuwe feature in de afgelopen 3 jaar is amper af te noemen. Ze droppen het een na het ander en vervolgens moet je op je blote knieën tot de MS goden smeken of ze het ook echt bruikbaar willen maken binnen nu en een jaar.

En dan de vraag of het echt beschikbaar is of niet / pas veel later ?
Zo zit ik (niet intune gerelateerd) al maanden te wachten tot DRS2.2 eindelijk bij Azure WAF aangezet kan worden, officieel released maar wil je het aanzetten heb je een developer flag nodig die er niet is. (zelfs via supportticket gehoord....)

DDX schreef op vrijdag 20 maart 2026 @ 10:12:
En dan de vraag of het echt beschikbaar is of niet / pas veel later ?
Zo zit ik (niet intune gerelateerd) al maanden te wachten tot DRS2.2 eindelijk bij Azure WAF aangezet kan worden, officieel released maar wil je het aanzetten heb je een developer flag nodig die er niet is. (zelfs via supportticket gehoord....)

In mijn beperkte IT omgeving merk ik het bij andere leveranciers eigenlijk nooit, als daar wat gereleased wordt dan is het eigenlijk altijd wel behoorlijk af. Bij Microsoft merk ik meer en meer dat het maar een half af of een houtje touwtje feature is. Natuurlijk heb ik er begrip voor dat dingen soms moeten uit kristaliseren, maar in mijn geval hierboven is het toch bizar dat je enerzijds AutoPatch introduceert en anderzijds HotPatch (wat beiden wat mij betreft een grote en welkome verbetering is ten opzichte van de oude situatie) om dan de HotPatch niet direct mee te nemen in AutoPatch... Ik vind dat echt verbazend.

Denk wel dat ik een idee heb hoe het komt, MS is zo groot geworden dat elke feature door een ander team wordt bedacht en gemaakt. Maar overleg tussen de teams is er maar zeer sporadisch en lijkt pas op gang te komen als beide teams een feature gereleased hebben. Waarna er mensen wakker schrikken dat het één nog wel aan het ander geknoopt moet worden. Dit gecombineerd met het schrappen van de testafdeling levert ontzettend vervelende situaties op voor de klant.

Aan de andere kant, als je mij (en ik denk menig beheerder) 5 jaar geleden verteld had wat er in 2026 mogelijk zou zijn vanuit de MS cloud (in de breedste zin denkbaar) dan was die verteller keihard uitgelachen en weggezet als gekkie.

MS heeft jaren terug heel veel moeite gehad om de cloud te omarmen en fatsoenlijk in te richten (het draaide eigenlijk gewoon op publiek beschikbare AD servers aangevuld met de standaard MS tools als Exchange en SharePoint). Pas de laatste paar jaar merk je dat ze dat onder controle beginnen te krijgen en zijn ze begonnen aan het verbeteren van de onderliggende systemen. Concreet voorbeeld is dat je technisch gezien 1 Entra P1 licentie nodig hebt om in een hele tenant de aan die licentie gekoppelde opties in te schakelen. Ze hadden geen methode ingericht om hier iets tegen te doen, behalve opnemen in de licentievoorwaarden. Recent is dit gewijzigd, ze zijn begonnen om dit in kaart te brengen (en volgens mij ook notificeren richting klanten, maar daar ben ik niet zeker van) en de volgende stap zal ongetwijfeld zijn dat er maatregelen worden genomen om het te voorkomen. Een goed voorbeeld waar je ziet dat nu de tijd is gekomen om stappen te kunnen maken.

Zelf ben ik daarom vrij terughoudend met nieuwe features binnen de MS cloud stack. Laat het eerst maar eens een beetje landen en de eerste fase doorkomen. Dan is er simpelweg meer kans op een product wat goed bruikbaar is. Iets wat de meeste beheerders vroeger ook al deden, nagenoeg geen enkele beheerder ging iets upgraden op de dag dat er een nieuwe versie uitkwam. Tegenwoordig bestaan ze niet meer, maar de meeste beheerders hielden vroeger aan dat ze pas na "ServicePack 1" het product eens gingen bekijken.

We zijn bezig met te kijken of we de enkele macbooks die we hebben kunnen migreren van Jamf naar Intune, maar in de laatste rechte lijn zijn we aan het struikelen over de wifi. Voor onze wifi gebruiken we NPS als radius server en de test macbooks zijn met geen stokken op onze wifi te verbinden. Zowel user als device channel falen en het feit dat er geen goede logging is op Apple devices is ook ergerlijk, tesamen met het feit dat een aanpassing aan een policy niet onmiddelijk te syncen is.

Want dat is iets wat Jamf echt wel goed doet. Je past een policy aan, en onmiddelijk kan die naar je device gepushed worden. In Intune kan je op die sync knop klikken zoveel je wenst, je kan je device status blijven checken in de company portal zoveel je wenst, maar de policy komt erdoor wanneer Intune zin heeft.

@Drardollan, het feit dat MS vele functionaliteit beschikbaar maakt voor alle gebruikers ook al heeft maar 1 gebruiker een licentie kan je ook in een ander licht bekijken. Bedrijven gaan het uittesten, gaan zien dat het goed werkt, gaan het implementeren om er pas later achter te komen dat ze er voor moeten betalen. Op dat moment is het vaak te laat om alles ongedaan te maken en zit je dus weer met een bijkomende licentie die je moet gaan betalen. Ook dat is volgens mij onderdeel van het verdienmodel geweest.

Blokker_1999 schreef op vrijdag 20 maart 2026 @ 15:38:
@Drardollan, het feit dat MS vele functionaliteit beschikbaar maakt voor alle gebruikers ook al heeft maar 1 gebruiker een licentie kan je ook in een ander licht bekijken. Bedrijven gaan het uittesten, gaan zien dat het goed werkt, gaan het implementeren om er pas later achter te komen dat ze er voor moeten betalen. Op dat moment is het vaak te laat om alles ongedaan te maken en zit je dus weer met een bijkomende licentie die je moet gaan betalen. Ook dat is volgens mij onderdeel van het verdienmodel geweest.

Dat is een bekende methode uit de WordPerfect tijd, laat mensen het thuis gratis gebruiken en ze zorgen er vervolgens voor dat elk bedrijf waar ze gaan werken het praktisch opgedrongen krijgt.

Ben er niet van overtuigd dat het bewust een strategie van Microsoft is (geweest), het heeft wel altijd in de licentievoorwaarden gestaan. Elk serieus bedrijf zal die toch lezen zou je zeggen. Denk dat het eerder een prettige bijvangst is, door niet heel actief te acteren als MS zijnde creëer je een soort van "grijze situatie". Het zal een mix zijn uiteindelijk, gebaseerd op de afweging wat meer oplevert. Direct handhaven levert nu op, maar dwingt ook tot tijd (en dus geld) in ontwikkeling. Uitstellen levert later geld op en je kan de tijd nu inzetten op zaken die meer opleveren.

Uiteindelijk zijn het maar de relatief kleine visjes die in de situatie mee gegaan zijn. Een wat groter bedrijf gaat echt de licentievoorwaarden niet schenden voor dat soort kleine bedragen. Los van de vraag of ze dat al niet afgedekt hebben in een licentieovereenkomst. En zelfs de kleinere bedrijven zie je meer en meer richting BP vertrekken, dat is natuurlijk ook waar ze serieus op ingezet hebben de afgelopen jaren.

[ Voor 4% gewijzigd door Drardollan op 20-03-2026 15:47 ]

Licentievoorwaarden lezen is 1 ding. Maar op het moment dat je oplossingen zoekt voor iets wat gevraagd wordt, ga je niet altijd nagaan onder welke licentie die oplossing beschikbaar is natuurlijk. Het werkt in je omgeving, dus zal het wel in orde zijn, niet?

En zo klein zijn de bedragen niet bij grote bedrijven. Als je elke maand 1 euro per gebruiker extra moet uitgeven, maar je hebt 10k gebruikers, reken maar uit wat het je op jaarbasis kost.

Blokker_1999 schreef op vrijdag 20 maart 2026 @ 15:38:
We zijn bezig met te kijken of we de enkele macbooks die we hebben kunnen migreren van Jamf naar Intune, maar in de laatste rechte lijn zijn we aan het struikelen over de wifi. Voor onze wifi gebruiken we NPS als radius server en de test macbooks zijn met geen stokken op onze wifi te verbinden. Zowel user als device channel falen en het feit dat er geen goede logging is op Apple devices is ook ergerlijk, tesamen met het feit dat een aanpassing aan een policy niet onmiddelijk te syncen is.

Ik had device certificaten, maar sinds strong mapping vereist is, werkt dit niet voor Macbooks. Schier onmogelijk! Wat ik ook deed, het SID kwam er maar niet bij van het computer object, maar die van de gebruiker, want de Intune processen draaien niet onder het systeem context.

Toen ik de gebruikerscertificaten toewees en het wifi profiel hier naar verwees, werkte het eigenlijk wel direct. Zorg wel dat de strong mapping register key aanwezig is op de Intune Certificate Proxy server en dat het template voor je user certificaten ook de juiste informatie meegeeft. Het standaard template voor 'User' heeft net als die voor 'Computer' niet genoeg mogelijkheden.

Vast ten overvloede, want het is zo gevonden, maar https://learn.microsoft.c...ttings-apple?pivots=macos geeft je iig een paar punten om naar te kijken. Het gaat helaas niet in op de exacte configuratie voor het certificaat zelf.

Voordat de strong mapping op enforcing werd gezet, had ik het prima werkend met device certificaten. Het was daarna eigenlijk wel eenvoudig om het om te zetten naar user certs. Let ook op de keychain locatie, die moet logischerwijs op user ipv device staan.

Want dat is iets wat Jamf echt wel goed doet. Je past een policy aan, en onmiddelijk kan die naar je device gepushed worden. In Intune kan je op die sync knop klikken zoveel je wenst, je kan je device status blijven checken in de company portal zoveel je wenst, maar de policy komt erdoor wanneer Intune zin heeft.

Je zou wel in je CA moeten zien of er een certificaat aangevraagd is door je apparaat. Ik zag het daar bijvoorbeeld eerder dan bij het policy in Intune. Maar uiteindelijk zat er ook maar een paar minuten verschil tussen, het ging eigenlijk vrij vlot bij mij. Al is het al weer eventjes geleden dat er een verandering in de config is gemaakt.

Ik heb nog wel een side note voor je. Weet je echt zeker dat je van Jamf af wilt stappen? Want ik vind de mogelijkheden in Intune erg karig en toen MacOS met wifi privacy kwam (waarbij het MAC adres van de adapter wordt aangepast), was dit zelfs een half jaar later nog niet te configureren in Intune. Heb er sindsdien niet meer naar gekeken, maar zou mij niet verbazen als het nog steeds niet mogelijk is.
Heb je dus al bekeken of al je configuratie nog mogelijk is en minstens net zo uitgebreid kan?

Het certificaat zelf is volledig in orde, dat zien we inderdaad staan en de strong mapping is ook aanwezig. Heb het ook vergeleken met het cert op een andere macbook die met Jamf wordt gedeployed en zie daar al geen verschil.

Ook gemerkt dat de collega die het profiel had aangemaakt een cruciale fout had gemaakt die me lang niet was opgevallen. De SSID was gescreven in alleen hoofdletters, terwijl deze mixed moest zijn. Zo onnozel, maar daar verlies je verdomd veel tijd mee 😅.

Nu zie ik de requests toch al tot op de NPS server komen, alleen nog niet vertrouwd, maar daar heb ik ook een idee van wat de oorzaak is. Alleen wilde het Wifi profiel niet meer tijdig syncen voor ik gisteren naar huis vertrok.

De verhuis van Jamf naar Intune is niet eens onze keuze, we moeten vanuit management. Zij wensen 1 beheersplatform in plaats van 2. Ondanks dat ze dit al jaren vragen hebben we lang vast gezete. Wat ons altijd heeft tegengehouden is het ontbreken van bepaalde functionaliteit zoals geen LAPS alternatief, maar dat is er ondertussen wel. Onze gebruikers mogen namelijk geen beheerder zijn op hun eigen toestel.

Liefst van al zouden we zelf de macbooks wegdoen. We verliezen daar zoveel tijd mee voor iets dat slechts 1% van al onze apparaten uitmaakt. En minstens 1 keer per jaar krijgen we wel van macbook gebruikers de vraag of we hen geen virtuele machine met Windows kunnen geven want ze kunnen bepaalde software niet draaien 🤦.

Blokker_1999 schreef op zaterdag 21 maart 2026 @ 09:16:
Het certificaat zelf is volledig in orde, dat zien we inderdaad staan en de strong mapping is ook aanwezig. Heb het ook vergeleken met het cert op een andere macbook die met Jamf wordt gedeployed en zie daar al geen verschil.

Ook gemerkt dat de collega die het profiel had aangemaakt een cruciale fout had gemaakt die me lang niet was opgevallen. De SSID was gescreven in alleen hoofdletters, terwijl deze mixed moest zijn. Zo onnozel, maar daar verlies je verdomd veel tijd mee 😅.

Nu zie ik de requests toch al tot op de NPS server komen, alleen nog niet vertrouwd, maar daar heb ik ook een idee van wat de oorzaak is. Alleen wilde het Wifi profiel niet meer tijdig syncen voor ik gisteren naar huis vertrok.

De verhuis van Jamf naar Intune is niet eens onze keuze, we moeten vanuit management. Zij wensen 1 beheersplatform in plaats van 2. Ondanks dat ze dit al jaren vragen hebben we lang vast gezete. Wat ons altijd heeft tegengehouden is het ontbreken van bepaalde functionaliteit zoals geen LAPS alternatief, maar dat is er ondertussen wel. Onze gebruikers mogen namelijk geen beheerder zijn op hun eigen toestel.

Liefst van al zouden we zelf de macbooks wegdoen. We verliezen daar zoveel tijd mee voor iets dat slechts 1% van al onze apparaten uitmaakt. En minstens 1 keer per jaar krijgen we wel van macbook gebruikers de vraag of we hen geen virtuele machine met Windows kunnen geven want ze kunnen bepaalde software niet draaien 🤦.

Jamf is superieur aan Intune. Microsoft geeft meer liefde aan Windows in Intune dan macOS. Goh wat gek hé?

Kost Jamf zoveel knaken voor die paar apparaten dan? Fijn dat het management technische keuzes maakt.

Het gaat hem natuurlijk ook niet alleen om de licentiekost van Jamf, want die is uiteraard betaalbaar, maar ook dat je 2 platformen moet kennen en onderhouden wat niet altijd even handig is. Er gaat disproportioneel veel tijd zitten in de macbooks, mede omdat het er zo weinig zijn.

Bij ons hebben de ontwikkelaars een Macbook. Handje vol medewerkers effectief, en omdat ze veel zelf moeten kunnen, zijn ze ook local admin. Wel fijn om te zien dat er nu dus toch iets van lokaal account beheer aanwezig is, want nu hebben ze hetzelfde wachtwoord (is onze semi-standaard). We moeten tevens 1 Macbook opnieuw installeren want niemand weet het wachtwoord van de lokale gebruiker en die is ook de enige met een secure token van het OS en die is nodig voor FileVault encryptie. Admin rechten geeft je niet per definitie een token. Wil je die naderhand geven, dan moet dat met het account dat er wel een heeft. Oeps, dat wachtwoord is niet bekend.

Hoe dan ook, dat je requests op je NPS server ziet helpt al enorm in het uitvogelen wat er eventueel mis gaat. Schijfwijze van het SSID is idd ook zo'n dingetje. Gelukkig niet zelf meegemaakt. Maar hoewel de logs soms wat aparte omschrijving kunnen hebben, is er wel fatsoenlijke informatie mee te vinden online.

Hero of Time schreef op zaterdag 21 maart 2026 @ 12:59:
Bij ons hebben de ontwikkelaars een Macbook. Handje vol medewerkers effectief, en omdat ze veel zelf moeten kunnen, zijn ze ook local admin. Wel fijn om te zien dat er nu dus toch iets van lokaal account beheer aanwezig is, want nu hebben ze hetzelfde wachtwoord (is onze semi-standaard). We moeten tevens 1 Macbook opnieuw installeren want niemand weet het wachtwoord van de lokale gebruiker en die is ook de enige met een secure token van het OS en die is nodig voor FileVault encryptie. Admin rechten geeft je niet per definitie een token. Wil je die naderhand geven, dan moet dat met het account dat er wel een heeft. Oeps, dat wachtwoord is niet bekend.

Hoe dan ook, dat je requests op je NPS server ziet helpt al enorm in het uitvogelen wat er eventueel mis gaat. Schijfwijze van het SSID is idd ook zo'n dingetje. Gelukkig niet zelf meegemaakt. Maar hoewel de logs soms wat aparte omschrijving kunnen hebben, is er wel fatsoenlijke informatie mee te vinden online.

Uiteindelijk bleek de oorzaak te liggen bij het certificaat dat we gebruikten om de NPS server zichzelf mee te laten identificeren. Om een onbekende reden hebben we op alle NPS servers en in alle profielen daar gezet op het root cert van onze CA. En met het Jamf profiel dat we nog hebben werkt dat, maar blijkbaar zit er toch een verschil in hoe Intune het doet, want daar wordt dit niet aanvaard. Misschien forceert de ene TLS1.2 en de andere 1.3?

Nadat ik een nieuw test policy op de NPS server had gezet en hier het serverspecifieke cert aan had gehangen, en in het configuratieprofiel uiteraard de juiste namen had meegegeven, werkte alles zonder problemen.

Weer een migratie waar we een uitsplitsing gaan moeten maken op NPS profielen. Bij de Win10 naar Win11 migratie hebben we dat ook moeten doen. Al ben ik daar de reden alweer vergeten

Wat bedoel je met 'profielen' in NPS? Ik heb op onze NPS één Network Request Policy en daarna aparte Network Policies per SSID, waar het Caller-ID de netwerknaam bevat (moet je APs die ook mee sturen, dat is optioneel maar wel dus vereist als je dit op deze manier gebruikt). Eigenlijk heel basic bij m'n opzet. De authentication methods in het Network Policy doet dan alleen certificaten en geeft het server certificaat als identity mee voor clients om zeker te zijn dat ze met de juiste verbinden. Dit werkt met Windows, Linux en MacOS. Waarbij voor MacOS de certificaten van de gebruiker is, Windows en Linux (mijn eigen systeem, er is maar 1 Linux client ) zijn device certificaten.

policies inderdaad, geen profielen. Onze Windows devices hebben een eigen policy want daar vereisen we o.a. dat het device domain joined is. Bij de macbooks kan dat niet, dus daar kijken we of het een gebruiker is die een mac mag hebben. Vroeger, in een ver en duister verleden konden we niet vertrouwen op gebruikerscertificaten omdat die een exporteerbare private key hadden, maar dat is ondertussen ook al weer enkele jaren verleden tijd.

Maar we moeten stilaan beginnen kijken naar een andere oplossing dan NPS, want als we in de toekomst non-hybrid gaan, dan wordt het toch echt moeilijk om onze wifi authenticatie te laten afhangen van het domein

Ja, dat willen wij ook. Het gaat nu veel te vaak fout met de certificaten bij een hybrid-joined systeem waarbij het certificaat gewoonweg geen strong mapping bevat omdat die al wordt aangevraagd voordat het object in AD bestaat. Zelfs met m'n rename script gaat het alsnog fout.

Ik wil nog een PoC maken met FreeRadius, maar we blijven waarschijnlijk bij Aruba Clearpass voor o.a. poort authenticatie en dynamische VLANs. Het kan ook 802.1x met certificaten. Voor 802.1x user authenticatie is het nodig dat Clearpass bij AD is aangemeld en NTLM babbelt. Maar dat gaat binnenkort stuk omdat MS eindelijk NTLM uit faseert. Iets wat ze 20 jaar geleden al zeiden te gaan doen.

Error 65000. Die is weer van legendarisch Microsoft niveau. Net als de BSOD schermen die je niks ander vertellen dan dat je OS dood is gegaan en reanimatie vereist.

Blijft verbazend hoe slecht de foutmeldingen van MS zijn, over de hele linie. Je kan er nagenoeg nooit iets serieus mee qua troubleshooting.

Dat gezegd hebbende, ik heb geen oplossing voor je. Want ik heb er geen ervaring mee. Ik ben nu al blij dat ik weer 2 devices heb kunnen fixen qua AutoPatch / WUfB. Dat is van hetzelfde niveau qua melding.

Als je denkt dat de foutmeldingen van MS slecht zijn heb je duidelijk nog geen Apple hardware beheert . Maar het zou inderdaad een stuk beter mogen. Al moet ik zeggen dat als je de echte foutmelding ziet je vaak ook niet veel wijzer wordt. Dan zie je de deep dives van iemand als een Rudy Ooms en dan denk je: waar zijn we in hemelsnaam toch mee bezig?

HKLM_ schreef op donderdag 2 april 2026 @ 12:02:
Iemand ervaring met het pushen van een background of lockscreen image op Windows 11 Pro, dit was voorheen altijd een Windows Enterprise CSP maar volgens de documentatie kan het nu ook op Pro en education.

https://learn.microsoft.c...=intune&pivots=windows-11

Alleen op mijn Pro krijg ik op de policy een Intune 65000 error... pas ik de policy toe op enterprise instant werken.

Wat is je vraag. Ik heb dit een tijd terug voro een klant geconfigureerd....zij hebben wel Enterprise overigens.

HKLM_ schreef op donderdag 2 april 2026 @ 14:40:
[...]


Of iemand het op Pro of Educatie heeft werken, dat zou volgens de documentatie nu dus moeten werken maar ik krijg het niet aan de praat.Op Enterprise inderdaad wel (zelfde policy)

Die error 65000 is een melding dat het apparaat geen idee heeft wat-ie met de policy moet doen (maar dat hoef ik jou niet te vertellen ).
Zie je wel dat de registerkey wordt aangemaakt op het device ?

En: welke versie draait je client? Kan best zijn dat de client-side support voor die CSP pas in (bijvoorbeeld) 25H2 zit.

HKLM_ schreef op donderdag 2 april 2026 @ 14:40:
[...]


Of iemand het op Pro of Educatie heeft werken, dat zou volgens de documentatie nu dus moeten werken maar ik krijg het niet aan de praat.Op Enterprise inderdaad wel (zelfde policy)

Werkt hier prima op enterprise, maar recent machine die teruggevallen was naar pro licentie uit bios en spontaan was achtergrond weg.
Dus heb het idee dat info op die pagina dat het op pro werkt wel klopt.

Er zijn genoeg manieren om ook op Pro een wallpaper in te stellen, heb ik voor een paar klanten ook op die manier gedaan. Heb zelf een script in een Win32 gegoten > fixed.

Eindelijk een Windows Update doorbraak. Heb eindelijk een methode gevonden om de laptops zover te krijgen dat ze het doen, ondertussen op meerdere PC's succesvol kunnen uitvoeren. Jammer dat het handwerk is

Drardollan schreef op vrijdag 3 april 2026 @ 15:29:
Eindelijk een Windows Update doorbraak. Heb eindelijk een methode gevonden om de laptops zover te krijgen dat ze het doen, ondertussen op meerdere PC's succesvol kunnen uitvoeren. Jammer dat het handwerk is

Wat was het probleem en wat was de oplossing?

bramassendorp schreef op vrijdag 3 april 2026 @ 19:01:
[...]

Wat was het probleem en wat was de oplossing?

Laptops die hiervoor NinjaOne hadden bleven fouten geven dat de automatic update settings niet goed stonden. De fix is in de lokale GPO de automatic update aanzetten, paar uur wachten en weer uitzetten.

Had hetzelfde gedaan via regkeys, maar dat werkte niet. Blijkbaar doet gpedit nog iets extra. Ook een intune policy met deze setting werkte niet, fout: conflicting policy.

Blokker_1999 schreef op vrijdag 3 april 2026 @ 20:55:
[...]

Kan je dan niet zien waar het conflict zit? En wie heeft er prioriteit in je omgeving? GPO of Intune?

Dat weet ik ook wel zonder te zien, de nieuwe Intune policy conflicteert met de standaard aangemaakte AutoPatch policies. En daarom wordt hij niet uitgerold.

Op een werkstation heeft de GPO voorrang. Wat wel logisch is, zowel GPO's als Intune zetten registry keys. Dat is eigenlijk alles wat er gebeurd. Maar de AutoPatch registry komt al niet aan zo te zien, waarschijnlijk omdat er een oud conflict is door instellingen die NinjaOne heeft gedaan. Via de lokale GPO overschrijft die boel wel goed lijkt het.

HKLM_ schreef op zaterdag 4 april 2026 @ 10:26:
[...]


MDMWinsOverGP pushen naar je werkstation is daar mogelijk de oplossing voor.

Na de Pasen eens naar kijken