:strip_icc():strip_exif()/u/78725/train-icon3.jpg?f=community)
No keyboard detected. Press F1 to continue.
:strip_exif()/u/290839/crop5b757283a589c_cropped.gif?f=community)
:strip_icc():strip_exif()/u/56108/STRESSED_1.jpg?f=community)
Toont vooral aan dat er iemand nog wat opkuiswerk heeft
. Komen enkele apparaten naar boven, maar die zijn het laatst gezien vorig jaar. Zie ook 1 device dat voor het laatst in Januari gezien is en een cert heeft dat tot November goed blijft.
No keyboard detected. Press F1 to continue.
:strip_icc():strip_exif()/u/26028/penguin.jpg?f=community)
/u/125506/link-8bit.png?f=community)
/u/97359/crop64803232ade4a_cropped.png?f=community)
:strip_exif()/u/301133/crop6737b754ae5aa_cropped.gif?f=community)
/u/10108/FatPie2.JPG?f=community)
Ik probeer BitLocker via Intune af te dwingen met XTS‑AES 256 + full disk encryptie, maar tijdens OOBE start Windows automatisch met BitLocker op de standaard 128‑bit used‑space‑only instellingen. Zodra de schijf encrypted is, kun je de encryptiemethode niet meer wijzigen zonder volledig te decrypten en opnieuw te encrypten. Intune meldt wel dat BitLocker actief is, maar niet met de gewenste parameters.
Dit gedrag is bekend: Encryptie start al tijdens start OOBE, maar BitLocker wordt pas volledig actief zodra de recovery key is opgeslagen. (bijv. een Entra‑ID login om Microsoft Account). Op dat moment zijn Intune‑policies nog niet binnen, waardoor Windows altijd de defaults gebruikt. Intune kan de encryptiemethode niet aanpassen op een al‑geëncrypteerde schijf.
De enige manier om dit te voorkomen lijkt te zijn dat de BitLocker‑policy vóór OOBE wordt toegepast, zodat de automatische BitLocker‑start direct de juiste waarden gebruikt. Voor zover ik kan vinden lukt dat alleen via ESP blocking mode, zodat Device Configuration policies eerst worden verwerkt. Ik ben benieuwd of iemand dit stabiel werkend heeft gekregen of andere manieren heeft om BitLocker tijdens OOBE te vertragen.
Daarnaast zoek ik argumenten om niet naar 256‑bit/full‑disk encryptie te gaan “omdat het kan”. Het levert praktisch geen extra security op, kost performance, en maakt het beheer onnodig complex. Zeker bestaande devices die al netjes met de standaard 128‑bit encrypted zijn, vereisen een decrypt‑reencrypt‑actie om compliant te worden, misschien te doen maar onnodige gezever omdat er op andere gebieden meer te halen valt dan hierover te vallen. Maargoed dat is mijn korte rant
zelfs als engineer die voor het beste zou willen gaan zou ik hier pragmatisch te werk gaan. goed is goedgenoeg.
Maar met name vraag ik om ervaring, of iemand dus dit heeft toegepast en structureel dit goed zien gaan. Het blijft tenslotte Intune
Dit gedrag is bekend: Encryptie start al tijdens start OOBE, maar BitLocker wordt pas volledig actief zodra de recovery key is opgeslagen. (bijv. een Entra‑ID login om Microsoft Account). Op dat moment zijn Intune‑policies nog niet binnen, waardoor Windows altijd de defaults gebruikt. Intune kan de encryptiemethode niet aanpassen op een al‑geëncrypteerde schijf.
De enige manier om dit te voorkomen lijkt te zijn dat de BitLocker‑policy vóór OOBE wordt toegepast, zodat de automatische BitLocker‑start direct de juiste waarden gebruikt. Voor zover ik kan vinden lukt dat alleen via ESP blocking mode, zodat Device Configuration policies eerst worden verwerkt. Ik ben benieuwd of iemand dit stabiel werkend heeft gekregen of andere manieren heeft om BitLocker tijdens OOBE te vertragen.
Daarnaast zoek ik argumenten om niet naar 256‑bit/full‑disk encryptie te gaan “omdat het kan”. Het levert praktisch geen extra security op, kost performance, en maakt het beheer onnodig complex. Zeker bestaande devices die al netjes met de standaard 128‑bit encrypted zijn, vereisen een decrypt‑reencrypt‑actie om compliant te worden, misschien te doen maar onnodige gezever omdat er op andere gebieden meer te halen valt dan hierover te vallen. Maargoed dat is mijn korte rant
zelfs als engineer die voor het beste zou willen gaan zou ik hier pragmatisch te werk gaan. goed is goedgenoeg.Maar met name vraag ik om ervaring, of iemand dus dit heeft toegepast en structureel dit goed zien gaan. Het blijft tenslotte Intune
[ Voor 15% gewijzigd door grimson op 23-05-2026 08:19 ]
Precies dit. Ik werk sinds kort bij een MSP waar 256‑bit/full‑disk nu de standaard is, maar ik zie vooral hoe hard je jezelf daarmee in de voet schiet als je een vaste onboarding fee hanteert (of onboarding zelfs “gratis” aanbiedt bij een securitydienst).
Zodra BitLocker tijdens/na OOBE al met de Windows‑defaults begint, zit je bij 256/full‑disk meteen vast aan decrypt/reencrypt‑trajecten om compliant te worden. Dat kost bakken met tijd. Verspilde tijd is bij een MSP gewoon geld, zeker als het bij een dienst in zit.
Daarom zou ik standaard gewoon 128‑bit XTS + used‑space‑only doen, tenzij een klant expliciet 256‑bit eist en dat vooraf is meegenomen in de offerte. Eens kijken of ik dat voorzichtig kan aankaarten zonder meteen al kritisch over te komen.
Tot op heden alleen maar mijn eigen ervaring. En ik dacht dat ik er destijds ook vragen over had gesteld aan Copilot, maar kan dat gesprek niet onmiddelijk terugvinden. Iemand zou Copilot eens een betere zoekfunctie moeten geven .
Maar waar in 24H2 de afbeelding regelmatig ververst werd vanuit de opgegeven URL, en dat weten we omdat ik het bestand simpelweg overschreef en na een reboot of een logoff de nieuwe afbeelding verscheen, is dat gedrag verdwenen in 25H2. Als ik het bestand overschrijf, dan blijft de gecachte afbeelding gewoon staan. De URL in de policy vandaag verwijst simpelweg naar een file://C:/... URL omdat we die afbeelding dus lokaal hadden staan in het verleden.
Met dit huidige gedrag denk ik er dus over na om rechtstreeks naar een storage account te gaan verwijzen.
.Maar waar in 24H2 de afbeelding regelmatig ververst werd vanuit de opgegeven URL, en dat weten we omdat ik het bestand simpelweg overschreef en na een reboot of een logoff de nieuwe afbeelding verscheen, is dat gedrag verdwenen in 25H2. Als ik het bestand overschrijf, dan blijft de gecachte afbeelding gewoon staan. De URL in de policy vandaag verwijst simpelweg naar een file://C:/... URL omdat we die afbeelding dus lokaal hadden staan in het verleden.
Met dit huidige gedrag denk ik er dus over na om rechtstreeks naar een storage account te gaan verwijzen.
No keyboard detected. Press F1 to continue.
Ik ga het ook eens uitzoeken, ik host mijn plaatje trouwens in een private github repo maar een storage blob gebruik ik ook wel eens:
Tot op heden alleen maar mijn eigen ervaring. En ik dacht dat ik er destijds ook vragen over had gesteld aan Copilot, maar kan dat gesprek niet onmiddelijk terugvinden. Iemand zou Copilot eens een betere zoekfunctie moeten geven
Maar waar in 24H2 de afbeelding regelmatig ververst werd vanuit de opgegeven URL, en dat weten we omdat ik het bestand simpelweg overschreef en na een reboot of een logoff de nieuwe afbeelding verscheen, is dat gedrag verdwenen in 25H2. Als ik het bestand overschrijf, dan blijft de gecachte afbeelding gewoon staan. De URL in de policy vandaag verwijst simpelweg naar een file://C:/... URL omdat we die afbeelding dus lokaal hadden staan in het verleden.
Met dit huidige gedrag denk ik er dus over na om rechtstreeks naar een storage account te gaan verwijzen.
Cloud ☁️
:strip_icc():strip_exif()/u/396522/crop5e3ca07895e68_cropped.jpeg?f=community)
Wie niet waagt, wie niet wint. Gewoon proberen, bij 'nee' verandert er toch niks in principe, dus je kan er alleen maar op voorruit gaan. En anders gooi je er Linux op, gaat de hardware ook langer mee (want wie weet dat de eisen nog voldoen over een paar maanden
).
Commandline FTW
:strip_icc():strip_exif()/u/782695/crop671b96fb75045_cropped.jpg?f=community)
Toevallig hier 'thuis' mee te maken gehad en inderdaad ook daarbij 'what if'.
Voorbeeld:
Ik heb enkele MS Business Premium trial (30 dagen) tenants opgezet voor homelab. Daarin enkele machines geregistreerd in Autopilot. Daarbij is één van die tenants verlopen en dus ook de licentie / toegang tot Intune. EntraID free blijft over dus verloopt volgens mij je tenant nooit op dat gebied.
Nu wilde ik een device opnieuw registereren in mijn gekoesterde per 90 dagende verlengde developers tenant
maar uiteraard nog geregistreerd in de verlopen tenant. Maar na aanmelden op de tenant kon ik Intune niet openen via het Admin center en dus op deze manier niet het device verwijderen. Ik dacht wel via een directe Intune link maar uiteindelijk 'geen machtigingen').
Het lukte wel om het device uit EntraID te verwijderen via MgGraph (niet via de gui) maar dit verwijdert niet het Autopilot device. Uiteindelijk heb ik nog een Intune trial kunnen afsluiten op deze tenant om zo alsnog Intune te benaderen en het device uit Autopilot te verwijderen. Copilot gaf ook nog aan misschien in Admin center dit te kunnen of via MgGraph maar beide niet geprobeerd.
Onderzoek:
Tot nu toe wat ik heb kunnen onderzoeken is:
Autopilot is een aparte service/database binnen het MS ecosysteem waar je je apparaat in registreerd. Vandaar ook dat je niet bij het alleen verwijderen (als je dit al kan via de GUI) uit EntraID de Autopilot registratie blijft bestaan.
Bestaande tenant zonder Intune licentie:
Bij het verlopen van mijn trial is dus de Autopiliot registratie blijven bestaan in Autopilot terwijl ik het niet meer kon managen. Ik 'moest' dus een omweg vinden om alsnog deze te verwijderen uit Autopilot. Ik weet niet wat er na 30 dagen gebeurt als je grace period over is en dan alles echt gewist wordt en dus ook het Autopilot record. Ik vermoed van niet.
Compleet verwijderde tenant:
Zover ik theoretisch heb kunnen onderzoeken lijkt het erop dat ook bij het verwijderen van een tenant de Autopilot registratie blijft bestaan. Dus SOL hier helemaal.
CSP:
Zover ik heb begrepen kunnen sommigen namens een tenant een device registreren. Deze kunnen dus ook weer het device weghalen, ook als de tenant gewist is. Maar dit geldt alleen voor devices die zij hebben geregistreerd.
Microsoft:
Ook in theorie zou je kunnen aankloppen bij MS om een registratie te laten verwijderen maar dan moet je aankoopbewijzen etc kunnen aantonen. Maar welke 2e hands verkrijger zou dit lukken
.Conclusie:
Zover ik kan achterhalen:
Je bent SOL als een voorgaande eigenaar de Autopilot registratie niet heeft verwijderd. Het Autopilot record lijkt voor altijd te bestaan ondanks wel of niet bestaande tenants. Er is geen automatische cleanup in deze aparte database.
De enige mogelijkheid lijkt een support case aan te maken bij MS (als je dit al lukt) met dan argumenten die misschien ontoereikend zijn, de vorige eigenaar te benaderen en of de CSP.
Let dus goed op dat je (je eigen lab) devices op tijd de-registreert uit Autopilot!
Dank voor je reactie.
Zover mogelijk probeer ik de hele keten te simuleren in een homelab en eigenlijk ook dus Autopilot. Zie ook mijn eerdere post over Bitlocker en het verkrijgen van 256/full disk encryptie in ADE (automatic drive encryption) 'moet' ik dit via Autopilot testen om remote voor OOBE een setting in te stellen. Doorgaans heb ik (nog steeds) het geluk een 'perpetual' E5 25 licentie developerstenant te mogen behouden en gebruik ik deze eigenlijk altijd. Enige verschil is dat deze bijv. geen Defender for Endpoint heeft om te testen. Daarbij af en toe dus een echte trial te gebruiken. Maar ik moet gewoon zorgvuldig zijn met waar ik de apparaten registreer
.
We hebben de afgelopen jaren grote vorderingen gemaakt in asset management. Toen ik zelf bij de firma kwam was het een echte puinhoop waar niemand echt naar omkeek. Maar zelfs vandaag blijft het mislopen. Er is geen echte eindverantwoordelijke en daarnaast heb je te veel mensen met te veel toegang. Recent nog iemand die dacht dat die gewoon laptops mocht verwijderen uit onze asset management tool, iets wat je nooit mag doen omdat je dan de geschiedenis van dat asset verliest, maar omdat we dan ook niet meer weten dat dat asset bestaat waardoor we het ook niet meenemen op onze lijsten voor o.a. de verzekering en dergelijke.
Ik hoop dat we volgend jaar eindelijk de laatste puzzelstukjes kunnen leggen om heel dat process te automatiseren. Verdwijnt een laptop uit ons systeem, dan geef je dat op 1 locatie in, en de automatisatie gaat dan overal alles weghalen. Het apparaat uit AD als het er in staat, de AP registratie als die bestaat, uit Intune als het er in staat en uit Entra als het er in staat. En als we dat dan ook nog eens voor onze iPhones kunnen doen, dan kunnen we weer een hoop rechten afnemen bij mensen en alles toevertrouwen aan automatisatie. Minder kans op fouten.
Want ook bij iPhones loopt het spijtig genoeg wel eens mis. En daar heb je dan weer geen auditing. Een jaar of twee terug hadden we een gebruiker die na enkele weken alweer vertrok bij ons in de firma. Zijn splinternieuwe, zo goed als niet gebruikte iPhone ging de stock in als reserve apparaat (iedereen die start bij ons krijgt splinternieuw materiaal) en enkele maanden later hadden we een gebruiker die zijn nieuwe iPhone beschadigd had en niet meer te redden was. Geen enkel probleem, we hebben 1 spare. Dat dachten we. Het toestel had namelijk pootjes gekregen. Niemand wist waar het toestel naartoe was. Het stond ook niet meer in Apple Business Manager. Nooit kunnen hard maken wie het toestel ontvreemd heeft spijtig genoeg.
Maar ondanks dat gebruikers dus hun oude toestellen, wanneer wij deze mogen vervangen, terugkrijgen nadat wij deze gewist hebben, zien we dus regelmatig dat ze toch nog in AP of ABM staan en zie je een ticket voorbijkomen van "Ik heb dit toestel aan mijn vrouw/kind gegeven en nu zitten zij vast, kan je dit toestel vrijgeven?" Zoiets simpels, maar onze first line blijft er maar in slagen om dat te vergeten.
Al heb je natuurlijk ook mensen die de andere kant opgaan
recent iemand gehad die bij het vernieuwen van zijn company iPhone ervoor koos om te upgraden (daar betaal je zelf voor) naar een Ultra en dan kregen we ineens een ticketje omdat deze persoon er niet beter op gevonden had dan de telefoon, nieuw in de doos, cadeau te geven aan zijn vrouw/vriendin. Natuurlijk helemaal niet stilgestaan bij het feit dat dat apparaat in essentie eigendom is van onze firma en dus MDM enrolled is. Of we dat even konden verwijderen. Daar hebben we toch wel even gezegd dat hij toch echt 3 jaar zal moeten wachten voordat we deze uit MDM halen. Dus die had dan weer geld weggegooid, want zelf had hij geen Ultra nodig. 
No keyboard detected. Press F1 to continue.
:strip_icc():strip_exif()/u/90717/crop55df23e5b61e8_cropped.jpeg?f=community)
/u/1095941/crop6a031212dfa51_cropped.png?f=community)
Ik heb toevallig zijn andere blogs in deze serie gelezen en gevolgd, meeste zit er dus ook in zoals daar verteld.
Het is inderdaad dat ik nieuw ben, heb enkel ervaring met Sophos en Bitdefender tot nu toe in een gemanaged omgeving (laat ik mijn McAfee ePolicy Orchistrator uit 2002 maar niet meer als parate kennis opvoeren
). Ik worstel er nu vooral mee dat ik het lastig vind om te zien dat alles goed geconfigureerd is, bij Sophos en Bitdefender doe je dat logischerwijs in de agent die geinstalleerd is, nu moet ik op Windows Security gebruiken. Zoals velen heb ik die altijd genegeerd verder omdat het niet ter zake deed, maar dat moet nu veranderen. En daar moet ik even mijn weg in vinden.
All your base are belong to us!
Als je via Devices -> Configuration kijkt, heb je dan ook geen Export?
Kan wel goed dat het voor een bepaalde policy niet kan, niet alles is exporteerbaar helaas
All your base are belong to us!
Gebruik: Micke-K/IntuneManagement: Copy, export, import, delete, document and compare policies and profiles in Intune and Azure with PowerShell script and WPF UI. Import ADMX files and registry settings with ADMX ingestion. View and edit PowerShell script.:
[...]
Als je via Devices -> Configuration kijkt, heb je dan ook geen Export?
Kan wel goed dat het voor een bepaalde policy niet kan, niet alles is exporteerbaar helaas
Cloud ☁️
Aah ja, daar zie ik wel een export, maar ook daar zitten allerlei privacy gevoelige policy namen, IDs en GUIDs die ik niet wil en mag delen. Ik kan een screenshot maken van de settings maar die pagina is scrolbaar..:
[...]
Als je via Devices -> Configuration kijkt, heb je dan ook geen Export?
Kan wel goed dat het voor een bepaalde policy niet kan, niet alles is exporteerbaar helaas
Die heb ik geprobeerd, ook daar zie ik in de JSON allerlei IDs en GUIDs die ik niet wil en mag delen.
Zo lang het een XML is kun je met een klein beetje moeite de GUID's en ID's vervangen door generieke namen , al dan niet met zoek en vervang functies. Bijvoorbeeld bedrijfsnaam vervangen met Contoso of zoiets.
Met iets als Copilot of een andere AI LLM is zou je det wel generiek moeten kunnen maken
Maar snap het wel dat je daar voorzichtig mee bent.
Met iets als Copilot of een andere AI LLM is zou je det wel generiek moeten kunnen maken
Maar snap het wel dat je daar voorzichtig mee bent.
HP Connect en Intune Remediations: zie ik hier een mogelijk licentieprobleem?
Tijdens het testen van HP Connect ben ik iets tegengekomen waar ik nog geen duidelijk antwoord op heb kunnen vinden.
Wanneer je HP Connect koppelt aan een Intune-tenant, worden BIOS-updates en BIOS-configuraties vanuit HP centraal uitgerold naar beheerde devices. Tijdens het bekijken van wat er precies in de tenant gebeurt, viel mij op dat HP Connect hiervoor onder water gebruikmaakt van Intune Remediations.
De configuraties verschijnen daadwerkelijk als Remediations in Intune en worden vervolgens uitgevoerd door de Intune Management Extension op de endpoints.
Wat mij vervolgens opviel is dat dit ook lijkt te werken in tenants waar Remediations in de Intune-portal nog achter een licentiemelding zitten. Normaal gesproken moet je bij het eerste gebruik van Remediations bevestigen dat je over de juiste licenties beschikt. Omdat HP Connect de configuratie rechtstreeks via Microsoft Graph aanmaakt, lijkt deze controle in de GUI volledig te worden omzeild.
Mijn gedachtegang is daarom als volgt.
Voor zover ik begrijp gelden voor het gebruik van Intune Remediations aanvullende licentievereisten. In de Microsoft-documentatie worden onder andere Windows Enterprise E3/E5 en Microsoft 365 E3/E5/F3 genoemd als licenties waarmee deze functionaliteit gebruikt mag worden.
Als een organisatie bijvoorbeeld uitsluitend Microsoft 365 Business Premium gebruikt, dan lijkt HP Connect technisch gezien nog steeds probleemloos te werken. Onder water wordt echter nog steeds gebruikgemaakt van dezelfde Remediations-functionaliteit van Microsoft.
Daardoor vraag ik mij af of dit niet simpelweg een geval is van:
"Technisch werkt het, maar licentietechnisch heb je nog steeds recht op Remediations nodig."
Mijn vragen:
Tijdens het testen van HP Connect ben ik iets tegengekomen waar ik nog geen duidelijk antwoord op heb kunnen vinden.
Wanneer je HP Connect koppelt aan een Intune-tenant, worden BIOS-updates en BIOS-configuraties vanuit HP centraal uitgerold naar beheerde devices. Tijdens het bekijken van wat er precies in de tenant gebeurt, viel mij op dat HP Connect hiervoor onder water gebruikmaakt van Intune Remediations.
De configuraties verschijnen daadwerkelijk als Remediations in Intune en worden vervolgens uitgevoerd door de Intune Management Extension op de endpoints.
Wat mij vervolgens opviel is dat dit ook lijkt te werken in tenants waar Remediations in de Intune-portal nog achter een licentiemelding zitten. Normaal gesproken moet je bij het eerste gebruik van Remediations bevestigen dat je over de juiste licenties beschikt. Omdat HP Connect de configuratie rechtstreeks via Microsoft Graph aanmaakt, lijkt deze controle in de GUI volledig te worden omzeild.
Mijn gedachtegang is daarom als volgt.
Voor zover ik begrijp gelden voor het gebruik van Intune Remediations aanvullende licentievereisten. In de Microsoft-documentatie worden onder andere Windows Enterprise E3/E5 en Microsoft 365 E3/E5/F3 genoemd als licenties waarmee deze functionaliteit gebruikt mag worden.
Als een organisatie bijvoorbeeld uitsluitend Microsoft 365 Business Premium gebruikt, dan lijkt HP Connect technisch gezien nog steeds probleemloos te werken. Onder water wordt echter nog steeds gebruikgemaakt van dezelfde Remediations-functionaliteit van Microsoft.
Daardoor vraag ik mij af of dit niet simpelweg een geval is van:
"Technisch werkt het, maar licentietechnisch heb je nog steeds recht op Remediations nodig."
Mijn vragen:
- Zie ik dit correct, of mis ik iets in de licentievoorwaarden?
- Heeft iemand dit specifieke scenario al eens besproken met Microsoft of een accountteam?
- Is dit ooit tijdens een audit ter sprake gekomen?
- Zijn er beheerders die om deze reden HP BIOS-beheer liever via HPCMSL en Win32-applicaties uitvoeren?
- Of bestaat er documentatie van Microsoft of HP waaruit blijkt dat HP Connect hier een uitzondering vormt?
The following is necessary to use HP Connect for Microsoft Endpoint Manager (HP Connect):
• Administrative access to a Microsoft Azure tenant
• An appropriate Microsoft Endpoint Manager (MEM) subscription
o Including support for Proactive Remediations
HP Connect requires an appropriate subscription level to Microsoft Azure (example, E3/A3 and E5/A5, Virtual Desktop/user). The license must allow the use of Proactive Remediations.
[ Voor 14% gewijzigd door grimson op 04-06-2026 19:39 ]
Misschien geen vernieuwde IE gebruiken dan.
Bij Firefox kan je met rechts klikken en dan 'Take Screenshot' kiezen. Begin dan bij het web element waar de boel begint en pak het bolletje in het midden onderin de selectie en scroll omlaag. Voila, screenshot van meer dan op je scherm zichtbaar is.
Commandline FTW
/u/1387186/crop65f2f1901e7f0_cropped.png?f=community)
:strip_icc():strip_exif()/u/430260/viskip1.jpg?f=community)
Het is ook gewoon gemaakt met AI die zal het wel fout hebben
, bijna al zijn tools hebben een hoog AI gehalte, zijn wel cool maar ik vindt persoonlijk als die AI tools voor o.a Intune die als paddestoelen uit de grond schieten een ding en zou mijn business 1,2,3 mee afhankelijk maken. Winget voor applicaties is nog zo iets, er zijn legio beheerders die gewoon winget gebruiken zonder te veriferen wat de source is waarvanaf de downloaden
[ Voor 27% gewijzigd door HKLM_ op 06-06-2026 16:11 ]
Cloud ☁️
Toch mooi dat InTune, kan nog eens wat worden .
Klant van ons had de vraag hoe we ervoor konden zorgen dat een aantal formulieren offline beschikbaar zijn op een set Windows-tablets. Via PowerShell en een beetje GitHub magie een "app" gemaakt. Gekoppeld aan de groep tablets. En het doet het ook nog.
Jammer alleen dat de uitrol van de "app" onmogelijk te beheren is als je de installation deadline op ASAP zet.
Ja ik weet dat iedere device bij check-in gaat installeren maar daar kan dus 8 uur in zitten
.Klant van ons had de vraag hoe we ervoor konden zorgen dat een aantal formulieren offline beschikbaar zijn op een set Windows-tablets. Via PowerShell en een beetje GitHub magie een "app" gemaakt. Gekoppeld aan de groep tablets. En het doet het ook nog.
Jammer alleen dat de uitrol van de "app" onmogelijk te beheren is als je de installation deadline op ASAP zet.
Ja ik weet dat iedere device bij check-in gaat installeren maar daar kan dus 8 uur in zitten
:strip_icc():strip_exif()/u/206451/crop5e887756440a2_cropped.jpeg?f=community)
Die 8 uurs periode is ook via een Device configuration profile aan te passen, met 30 minuten als ondergrens::
Toch mooi dat InTune, kan nog eens wat worden
Klant van ons had de vraag hoe we ervoor konden zorgen dat een aantal formulieren offline beschikbaar zijn op een set Windows-tablets. Via PowerShell en een beetje GitHub magie een "app" gemaakt. Gekoppeld aan de groep tablets. En het doet het ook nog.
Jammer alleen dat de uitrol van de "app" onmogelijk te beheren is als je de installation deadline op ASAP zet.
Ja ik weet dat iedere device bij check-in gaat installeren maar daar kan dus 8 uur in zitten
:strip_exif()/f/image/2ml93BBpiu0OqavDzj1GlaEs.png?f=user_large)
Autopilot, Locale settings, Timezone, en-us installatie media ('ISO') met autounattended.xml en Nederland 
.
Situatie:
Als voorstander van een kale windows installatie pak ik altijd de laatste maandelijkse (nl-nl) ISO en plaats deze op een USB stick en gebruik daarbij een autounattend.xml om de gehele installatie geautomatiseerd door te lopen. Incl. drivers en partitioneringen tot OOBE waarna Autopilot de rest oppakt maar nu de en-us ISO.
Daarbij staat in deze autounattend.xml o.a. bij OOBE (nu voor en-us):Dit geeft bij een installatie buiten autopilot om een mooie vernederlandste en-us installatie met de juiste locale settings als datumnotatie etc. en de juiste timezone én alleen maar één keyboardlayout; US Internationaal.
Maar ik heb gemerkt dat een deployment profile deze OOBE keuze overschrijft met de daarin gestelde instellingen met als standaard 'operating system default'. Dit betekend dat de locale settings dus eigenlijk terugvallen naar en-us en je moet klooijen om dit weer goed te zetten inclusief de timezone.
Nu kan je in een deployment profile ook 'Dutch' opgeven maar zover ik heb getest krijg je dan wel de NL locale settings maar weer het dubbele keyboard. 'US en US Internationaal oid.'
Tevens dacht ik alsnog de verkeerde timezone. Tevens zet je dan de locale 'vast' wat minder flexibel is lijkt mij.
Maar als je in het deployment profile bij OOBE opgeeft 'user select' dan betekend dit dat de vraag bij de gebruiker komt tijdens de OOBE fase. Alleen het mooie is dat deze vraag dus al is afgevangen door die autounattended.xml met de opgegeven locale settings. Nog steeds volledig silent dus. Omdat je dus dit bij de installatie neerlegt dus ook weer een pré dan het vast in te stellen in de deployment profile.
De locale settings in de autounattended niet overruled maar gehonoreerd! profit!
Resteert alleen nog de juiste timezone;
Mijn oplossing is om dit ook toe te voegen in de autounattend bij OOBE stap:Alhoewel dit ook mogelijk is met een CSP instelling is deze optie een voorkeursoptie, je zet het dus niet hard vast als een gebruiker alsnog de timezone wilt aanpassen. Ook het freubelen met de privacy en locatiesensor is dan niet nodig wat standaard uit staat.
Concreet om een beetje netjes zonder al te veel te hobbyen met regkeys en correctie scripts lijkt mij dit een prima oplossing?!?!
Copilot TL-DR:
TL;DR voor techneuten — Autopilot + Autounattend + Locale/Timezone gedrag
- Autopilot Deployment Profile OVERRULET Autounattend OOBE‑taalinstellingen, behalve wanneer je User Select kiest.
- User Select + Autounattend werkt wél samen → Autounattend bepaalt locale/keyboard, Autopilot stelt geen taal meer in.
- Autopilot “Dutch (Netherlands)” injecteert altijd NL‑keyboard → dubbele layouts (US + NL) maar past niet de juiste timezone toe.
- Autounattend + <TimeZone>W. Europe Standard Time</TimeZone> fixeert timezone zonder CSP, zonder privacy‑sensor gedoe.
- Resultaat:
- UI = en‑US
- Locale = nl‑NL
- Keyboard = US‑International
- Timezone = NL
- Geen dubbele layouts, geen scripts, geen reg‑hacks.
- Conclusie: User Select in Autopilot + correcte Autounattend.xml + TimeZone in OOBE = de cleanste, stabielste enterprise‑oplossing?
.Situatie:
Als voorstander van een kale windows installatie pak ik altijd de laatste maandelijkse (nl-nl) ISO en plaats deze op een USB stick en gebruik daarbij een autounattend.xml om de gehele installatie geautomatiseerd door te lopen. Incl. drivers en partitioneringen tot OOBE waarna Autopilot de rest oppakt maar nu de en-us ISO.
Daarbij staat in deze autounattend.xml o.a. bij OOBE (nu voor en-us):
<InputLocale>0409:00020409</InputLocale> <SystemLocale>nl-NL</SystemLocale> <UserLocale>nl-NL</UserLocale> <UILanguage>en-US</UILanguage>
Maar ik heb gemerkt dat een deployment profile deze OOBE keuze overschrijft met de daarin gestelde instellingen met als standaard 'operating system default'. Dit betekend dat de locale settings dus eigenlijk terugvallen naar en-us en je moet klooijen om dit weer goed te zetten inclusief de timezone.
Nu kan je in een deployment profile ook 'Dutch' opgeven maar zover ik heb getest krijg je dan wel de NL locale settings maar weer het dubbele keyboard. 'US en US Internationaal oid.'
Tevens dacht ik alsnog de verkeerde timezone. Tevens zet je dan de locale 'vast' wat minder flexibel is lijkt mij.
Maar als je in het deployment profile bij OOBE opgeeft 'user select' dan betekend dit dat de vraag bij de gebruiker komt tijdens de OOBE fase. Alleen het mooie is dat deze vraag dus al is afgevangen door die autounattended.xml met de opgegeven locale settings. Nog steeds volledig silent dus
. Omdat je dus dit bij de installatie neerlegt dus ook weer een pré dan het vast in te stellen in de deployment profile.De locale settings in de autounattended niet overruled maar gehonoreerd! profit!
Resteert alleen nog de juiste timezone;
Mijn oplossing is om dit ook toe te voegen in de autounattend bij OOBE stap:
<TimeZone>W. Europe Standard Time</TimeZone>
Concreet om een beetje netjes zonder al te veel te hobbyen met regkeys en correctie scripts lijkt mij dit een prima oplossing?!?!
Copilot TL-DR:
TL;DR voor techneuten — Autopilot + Autounattend + Locale/Timezone gedrag
- Autopilot Deployment Profile OVERRULET Autounattend OOBE‑taalinstellingen, behalve wanneer je User Select kiest.
- User Select + Autounattend werkt wél samen → Autounattend bepaalt locale/keyboard, Autopilot stelt geen taal meer in.
- Autopilot “Dutch (Netherlands)” injecteert altijd NL‑keyboard → dubbele layouts (US + NL) maar past niet de juiste timezone toe.
- Autounattend + <TimeZone>W. Europe Standard Time</TimeZone> fixeert timezone zonder CSP, zonder privacy‑sensor gedoe.
- Resultaat:
- UI = en‑US
- Locale = nl‑NL
- Keyboard = US‑International
- Timezone = NL
- Geen dubbele layouts, geen scripts, geen reg‑hacks.
- Conclusie: User Select in Autopilot + correcte Autounattend.xml + TimeZone in OOBE = de cleanste, stabielste enterprise‑oplossing?
[ Voor 3% gewijzigd door grimson op 20-06-2026 08:21 ]
Remediation is helaas een extra betaalde optie als je het netjes wilt doen (en MS Business Prem vind men al duur, MSP hier hè
). En die andere opties lijken dus de scripts post installatie hacks die met deze 'officiele/native' manier niet nodig lijkt te zijn. Ik prefereer het liefst zo min mogelijk 'hacks' of 'corrigerende scripts'. Maar dank voor de suggestie hoor!
[ Voor 5% gewijzigd door grimson op 20-06-2026 08:38 ]
Ik heb deze week ipv remediation, Intunewin met powershellscripts gebruikt. Doet hetzelfde als een remediationscripts.:
[...]
Remediation is helaas een extra betaalde optie als je het netjes wilt doen (en MS Business Prem vind men al duur, MSP hier hè
Maar goed, dat doet in OOBE nog niets. En dan zou ik OSDCloud gebruiken. Bij ons gebruiken we het nu een jaartje, gaat perfect. Nieuwe installaties zijn in elk geval in de OOBE al bij met de laatste W11 versie en CU. Zonder elke keer nieuwe USB sticks te maken.
[ Voor 18% gewijzigd door Quad op 20-06-2026 08:41 ]
Alles went behalve een Twent.
nggyu nglyd