/u/30465/billgates2.PNG?f=community)
Ik ben voor een klant op zoek naar een tool (en ik weet dat ze er zijn) om applicaties vanuit ConfigMgr naar Intune te migreren. Ik weet dat er community tools zijn, maar kan ze zo snel niet vinden. Iemand hier ervaring mee?
:strip_icc():strip_exif()/u/516986/crop5f4ce22966fd3_cropped.jpeg?f=community)
Dat is inderdaad wel handig, maar mijn klant wil graag zijn 1800+ apps migreren naar Intune en wil dat graag geautomatiseerd doen.
Maar naast Winget is natuurlijk de nieuwe Enterprise Application Management feature die begin 2024 gaat komen een erg interessante. Daarnaast zitten steeds meer apps ook gewoon in de Microsoft Store, dus voor die apps heb je dan geen Winget installer meer nodig.
:strip_exif()/u/290839/crop5b757283a589c_cropped.gif?f=community)
:strip_icc():strip_exif()/u/403510/tweakers.net.jpg?f=community)
/u/97359/crop64803232ade4a_cropped.png?f=community)
'16 Peugeot 308 GTI270 By Peugeot Sport | '16 Peugeot 208 GTI By Peugeot Sport | '23 Mazda CX-60 Homura PHEV | '19 Hymer MLT 620 MB V6 | Design junkie
:strip_icc():strip_exif()/u/335968/crop57d2c94ca341d_cropped.jpeg?f=community)
Inderdaad 2024 wordt weer een mooi jaar
Ben benieuwd wat Enterprise App management echt kan gaan betekenen en Cloud PKI lijkt mij ook rete mooi!
Cloud ☁️
Cloud PKI is inderdaad van harte welkom.:
[...]
Inderdaad 2024 wordt weer een mooi jaar
Ben benieuwd wat Enterprise App management echt kan gaan betekenen en Cloud PKI lijkt mij ook rete mooi!
Ik ben wel benieuwd naar de businesscase. Vaak hebben organisaties toch nog wel een on-prem CA. Weegt dat op tegen $2 per user per maand?
Als je full naar de cloud wilt en dus je on-prem CA in de Azure wilt gaan draaien dan moet je inderdaad even een rekensommetje maken.
Eigenlijk zou je gewoon Intune Suite moeten aanschaffen natuurlijk
zit alles in
Cloud ☁️
:strip_exif()/u/834/bianchi_logo2.gif?f=community){kind=logo}
Enterprise App Management is wel iets wat ze standaard in Intune mogen aanbieden vind ik. Althans voor E3/E5 plans.:
[...]
Inderdaad 2024 wordt weer een mooi jaar
Ben benieuwd wat Enterprise App management echt kan gaan betekenen en Cloud PKI lijkt mij ook rete mooi!
Whatever.
Die tijd is wel echt voorbij dat het standaard in E3/E5 komt. Tuurlijk komt er nog wel wat in E3/E5 kijk maar naar AutoPatch maar de leukere functies komen als add-on. Minder monopolie gedoe en meer geld voor ms.:
[...]
Enterprise App Management is wel iets wat ze standaard in Intune mogen aanbieden vind ik. Althans voor E3/E5 plans.
Ik zag gisteren op Ignite dat ze nu ook SharePoint Premium gaan aanbieden
Cloud ☁️
Zijn er hier mensen die de functie 'Feature-updates voor Windows 10 en later' gebruiken? Bij het merendeel van onze Intune tenants lijkt deze niet naar behoren te werken. We hebben de Feature-update vergrendeld op 22H2, maar ondanks deze instelling worden sommige apparaten toch bijgewerkt naar Windows 11 23H2. We hebben een melding ingediend bij Microsoft, en het lijkt erop dat meer bedrijven met hetzelfde probleem te maken hebben. Microsoft heeft inmiddels erkend dat het probleem aan hun kant ligt en niet aan onze configuratie. Voor nu hebben we een specifieke beleidsregel ingesteld in de setting cataloguom dit te voorkomen, totdat de functie weer normaal functioneert: Windows Update for Business > Target Release Version> 22H2.
Moeite waard mocht je de functie gebruiken om dit even te controleren in je tenant. Voordat straks alles geüpdatet is.
Moeite waard mocht je de functie gebruiken om dit even te controleren in je tenant. Voordat straks alles geüpdatet is.
[ Voor 7% gewijzigd door xven0mxz op 17-11-2023 09:51 ]
Ben wat aan het stoeien met Entra id hybrid ad join. Devices hebben nu verbinding met onprem domain en entra id. Loop nog tegen wat issues aan. Heb op een testdevice opeens een Gast account met de naam WDagutilityaccount. (Windows Defender Application Guard).
Windows Hello for Business werkt niet meer, hiervoor zouden nog extra zaken ingesteld moeten worden.
Toch maar meer gaan sturen op enkel Entra id join, veel beter te overzien.
Windows Hello for Business werkt niet meer, hiervoor zouden nog extra zaken ingesteld moeten worden.
Toch maar meer gaan sturen op enkel Entra id join, veel beter te overzien.
Whatever.
Zo ver mogelijk weg blijven van Hybride als het kan:
Ben wat aan het stoeien met Entra id hybrid ad join. Devices hebben nu verbinding met onprem domain en entra id. Loop nog tegen wat issues aan. Heb op een testdevice opeens een Gast account met de naam WDagutilityaccount. (Windows Defender Application Guard).
Windows Hello for Business werkt niet meer, hiervoor zouden nog extra zaken ingesteld moeten worden.
Toch maar meer gaan sturen op enkel Entra id join, veel beter te overzien.
Cloud ☁️
:strip_exif()/u/91615/hann1bal.gif?f=community)
Wij gebruiken de feature en hebben dit probleem niet.:
Zijn er hier mensen die de functie 'Feature-updates voor Windows 10 en later' gebruiken? Bij het merendeel van onze Intune tenants lijkt deze niet naar behoren te werken. We hebben de Feature-update vergrendeld op 22H2, maar ondanks deze instelling worden sommige apparaten toch bijgewerkt naar Windows 11 23H2. We hebben een melding ingediend bij Microsoft, en het lijkt erop dat meer bedrijven met hetzelfde probleem te maken hebben. Microsoft heeft inmiddels erkend dat het probleem aan hun kant ligt en niet aan onze configuratie. Voor nu hebben we een specifieke beleidsregel ingesteld in de setting cataloguom dit te voorkomen, totdat de functie weer normaal functioneert: Windows Update for Business > Target Release Version> 22H2.
Moeite waard mocht je de functie gebruiken om dit even te controleren in je tenant. Voordat straks alles geüpdatet is.
Alleen de computers met een 32H2 feature update krijgen die update (die ook maar 180kB groot is voor een geupdate Win 11 22H2. Het is maar een enablement package.)
We hebben een klein aantal op 23H2, maar die zouden wel eens enrolled kunnen zijn met 23H2 of onderdeel van de testgroep. (Op 15k Windows computers)
MS logica 
Met wat moeite en uitzoekwerk een Entra id groep toegevoegd aan de lokale groep Netwerkconfiguratieoperators. Had verwacht dat een standaard user dan in staat zou moeten zijn om ip settings aan te passen. Helaas! Iemand nog een idee?
Kwam wel het volgende tegen: https://call4cloud.nl/2021/04/dude-wheres-my-admin/#changing
Met wat moeite en uitzoekwerk een Entra id groep toegevoegd aan de lokale groep Netwerkconfiguratieoperators. Had verwacht dat een standaard user dan in staat zou moeten zijn om ip settings aan te passen. Helaas! Iemand nog een idee?Kwam wel het volgende tegen: https://call4cloud.nl/2021/04/dude-wheres-my-admin/#changing
Whatever.
Waarom zo enorm omslachtig btw? Je kunt toch gewoon een user toevoegen aan een lokale group met een Endpoint Security Policy?:
MS logica
Kwam wel het volgende tegen: https://call4cloud.nl/2021/04/dude-wheres-my-admin/#changing
:fill(white):strip_exif()/f/image/jtnGoXfgAYlQgpvEwGeLXFV0.png?f=user_large)
Zou mooi zijn als ze dat lijstje verder uitbreiden inderdaad.:
[...]
Netwerkconfiguratieoperators staat niet in het lijstje helaas. Vandaar
Is het je met de beschreven manier wel gelukt om de Entra ID groep toe te voegen aan de groep?
Werk je gewenste change wel als je niet de groep maar direct de user aan de groep toevoegt?
code:
1
| net localgroup administrators AzureAD\JohnDoe /add |
[ Voor 18% gewijzigd door HKLM_ op 30-11-2023 19:59 ]
Cloud ☁️
Eh, maar je zegt dat het toevoegen van een user aan die groep niet de oplossing geeft. Vandaar mijn reactie, wat als je de user toevoegt aan Power Users?:
[...]
Netwerkconfiguratieoperators staat niet in het lijstje helaas. Vandaar
Waarom zou een gebruiker trouwens de IP instellingen moeten kunnen wijzigen? 😇
:strip_icc():strip_exif()/u/56108/STRESSED_1.jpg?f=community)
Stuur mij even het domein per DM en ik help je
Kan je daarna bepalen of je het wilt posten.
[ Voor 5% gewijzigd door HKLM_ op 31-01-2024 17:41 ]
Cloud ☁️
Ik heb hem net geadviseerd een support ticket aan te maken bij MSFT voor dit.:
[...]
Dat is precies wat ik dacht
Als jij aantoonbaar de eigenaar is van het domein dan kan MSFT hem helpen. Kan wel even duren... maar het komt goed uiteindelijk haha
Cloud ☁️
Geen gevalletje collega die aan het spelen geweest is?
Heb ik hier ook in een ver verleden eens gehad.
Collega dacht ff te gaan kijken hoe het allemaal in z'n werk ging met een random tenant
Pak dan ff één van de 300 miljoen miljard andere domeinen die we niet als prd gebruiken aub
Heb ik hier ook in een ver verleden eens gehad.
Collega dacht ff te gaan kijken hoe het allemaal in z'n werk ging met een random tenant
Pak dan ff één van de 300 miljoen miljard andere domeinen die we niet als prd gebruiken aub
'16 Peugeot 308 GTI270 By Peugeot Sport | '16 Peugeot 208 GTI By Peugeot Sport | '23 Mazda CX-60 Homura PHEV | '19 Hymer MLT 620 MB V6 | Design junkie
EINDELIJK
Dader gevonden, nu de rest regelen
Dader gevonden, nu de rest regelen
Hold. Step. Move. There will always be a way to keep on moving
/u/1387186/crop65f2f1901e7f0_cropped.png?f=community)
Iemand wel eens meegemaakt dat Autopilot op de Account Setup (laatste fase) blijft hangen, ik weet dat je dit kan omzeilen met een custom OMA-URI maar begrijp niet goed waar het mis gaat.
:fill(white):strip_exif()/f/image/es9aso6DpPgQk4W3oqnXs2zu.png?f=user_large)
Tesla Model 3 (Highland) LR AWD Ultra Red
:strip_exif()/u/301133/crop6737b754ae5aa_cropped.gif?f=community)
/u/15251/crop671f8257e93fe_cropped.png?f=community)
Kwam deze tegen op X, direct doorgevoerd:
:fill(white):strip_exif()/f/image/SFTacGsIGBjmxCg1HEiXf2w8.png?f=user_large)
https://x.com/AndreasSten.../1759650466227425468?s=20
Docs: https://learn.microsoft.c...ilot/enrollment-autopilot
https://x.com/AndreasSten.../1759650466227425468?s=20
Docs: https://learn.microsoft.c...ilot/enrollment-autopilot
Slache!
Een fresh start doe je normaal nadat het autopilot proces is voltooid en het device goed in Intune hangt.
Of doen jullie een fresh start direct na het toevoegen van de HWID in intune
Nooit over deze manier na gedacht eigenlijk
Cloud ☁️
We doen het een beetje omslachtig. We geven een TAP die 7 dagen geldig is zodat de user WHFB kan instellen en uberhaupt kan inloggen. Gebruiker meldt zodra WHFB is ingesteld en dan doen we een Fresh Start met behoud van userdata. We geven geen wachtwoorden meer aan gebruikers.:
[...]
Een fresh start doe je normaal nadat het autopilot proces is voltooid en het device goed in Intune hangt.
Of doen jullie een fresh start direct na het toevoegen van de HWID in intune
Nooit over deze manier na gedacht eigenlijk
Oke dat is wel een beetje omslachtig ook voor de gebruiker. De OTP/TAP is wel een goede optie maar de rest zou ik persoonlijk als gebruiker ook niet heel wenselijk vinden.
Waarom maak je als IT zijnde de laptop niet klaar via pre-provisioning -> geeft de laptop dan een fresh start en pre-provision / geef hem aan de user. Dan zit de user niet met een device wat die van IT krijgt welke die niet kan gebruiken.
Je kan eventueel ook een Enrollment manager instellen, dan maakt IT de laptop klaar met het enrollment manager account, geeft hem een fresh restart en geeft hem daarna uit aan de user.
Dat user laten bellen voor een fresh restart zou ik echt mee kappen
Cloud ☁️
Het probleem is dat de shipping costs uit de hand liepen. Devices worden nu direct naar eindgebruikers verzonden vanaf de leverancier. Het is dus een bewuste keuze om niet te pre-provisionen. Maar het is zelfs nog omslachtiger: Indien Surface, dan direct inzetbaar zonder Fresh Start. Indien Dell, dan moet de gebruiker ons dus contacten. Als een gebruiker ons niet contact dan wordt de device niet compliant. En naast shipping costs is pre-provisionen gewoon duur en niemand heeft er zin in.:
[...]
Oke dat is wel een beetje omslachtig ook voor de gebruiker. De OTP/TAP is wel een goede optie maar de rest zou ik persoonlijk als gebruiker ook niet heel wenselijk vinden.
Waarom maak je als IT zijnde de laptop niet klaar via pre-provisioning -> geeft de laptop dan een fresh start en pre-provision / geef hem aan de user. Dan zit de user niet met een device wat die van IT krijgt welke die niet kan gebruiken.
Je kan eventueel ook een Enrollment manager instellen, dan maakt IT de laptop klaar met het enrollment manager account, geeft hem een fresh restart en geeft hem daarna uit aan de user.
Dat user laten bellen voor een fresh restart zou ik echt mee kappen
De TAP gebruiken wij om twee redenen:
1. Als een TAP niet werkt --> security incident. De TAP is onderweg naar de gebruiker al gebruikt.
2. Wij willen absoluut niet dat gebruikers hun wachtwoord weten want dat geeft alleen maar gezeik. Willen ze hun apps installeren op een persoonlijke smartphone, dan kunnen ze een tweede TAP aanvragen.
[ Voor 14% gewijzigd door ibmpc op 23-02-2024 19:29 ]
Dat is in Europa. Ik werk in de VS. Het kan hier wel, maar we leveren daar niet genoeg Dells voor
Aangezien de Surfaces wel bloatwarevrij zijn, worden die het meeste geleverd. Dell wordt alleen geleverd op verzoek.
Gebruiker krijgt een keuze: Wel company portal, dan vrij weinig restricties. Geen company portal, dan gooit MAM ook behoorlijk veel dicht. Achteraf company portal installeren betekent ook dat veel restricties worden opgeheven. We hebben gelukkig weinig gevoelige/persoonlijke data.
[ Voor 18% gewijzigd door ibmpc op 23-02-2024 19:36 ]
A US:
[...]
Dat is in Europa. Ik werk in de VS. Het kan hier wel, maar we leveren daar niet genoeg Dells voor
Aangezien de Surfaces wel bloatwarevrij zijn, worden die het meeste geleverd. Dell wordt alleen geleverd op verzoek.
dat vertelde je er niet direct bij haha, wel gek eigenlijk dat Dell daar onderscheid in maakt in de EU/VS. Wij bestelde denk badges van 50 ofzo en het was een prima optie. Dell doet tegenwoordig zelfs de pre-provisioning als je dat wilt in de fabriek en zorgt dan dat ze binnen 14 dagen bij de user zijn.Hebben ze echt best goed voor elkaar eigenlijk
Cloud ☁️
We leveren er gewoon echt te weinig voor. En de Fresh Start optie, het is omslachtig, maar opzich werkt het wel. Met behoud van userdata blijft ook je NGC behouden en dus je WHFB. Gebruikers moeten maar accepteren dat ze hun computer niet direct kunnen gebruiken. Tot nu toe heeft er niemand over geklaagd en als ze dat wel doen, dan laten we zien wat het verschil in kosten is. Shipping is hier exorbitant duur.:
[...]
A US
Hebben ze echt best goed voor elkaar eigenlijk
Het is vooral leuk. Het is een beetje vergelijkbaar met de overstap van een F-4 Phantom naar een F-35. In Nederland gaat de overgang vrij vloeiend. Men is of Entra Joined met Intune, of Hybrid met Intune. Full blown AD komt naar mijn gevoel in Nederland helemaal niet meer voor.:
[...]
Dan staat je denk nog een hoop te wachten
Hier kom je nog geregeld SBS servers tegen en men houdt vooral van pleisters plakken om antiek spul met modern spul te combineren. Dat maakt niet alleen het technische proces naar Intune leuk (Intune is hier nog niet de standaard), maar ook het overtuigen leuk.
Een andere reden om niet te pre-provisionen is dat ik het team niet wil opschepen met saaie dingen. Ze zijn super enthousiast over Intune en ik wil de saaie dingen zo veel mogelijk bij ze weg houden.
Enrollment manager zou ik ook niet doen eigenlijk.:
[...]
Oke dat is wel een beetje omslachtig ook voor de gebruiker. De OTP/TAP is wel een goede optie maar de rest zou ik persoonlijk als gebruiker ook niet heel wenselijk vinden.
Waarom maak je als IT zijnde de laptop niet klaar via pre-provisioning -> geeft de laptop dan een fresh start en pre-provision / geef hem aan de user. Dan zit de user niet met een device wat die van IT krijgt welke die niet kan gebruiken.
Je kan eventueel ook een Enrollment manager instellen, dan maakt IT de laptop klaar met het enrollment manager account, geeft hem een fresh restart en geeft hem daarna uit aan de user.
Dat user laten bellen voor een fresh restart zou ik echt mee kappen
Geprobeerd, en dat snappen eindgebruikers niet. Het gebruik van de Authenticator is soms gewoon te veel voor ze. Veel gebruikers willen niet eens hun mail op hun telefoon, wat ook niet hoeft, dus kunnen ze met de TAP hun WHFB instellen. Er zitten er wel een paar tussen die zelf hun computer kunnen resetten en dan met de authenticator authenticeren in OOBE. Dan kunnen ze daarna WHFB instellen. Nederland is super tech-savvy, dat is hier wat minder
Tunnel voor MAM is toch een van de inbegrepen addons? En Privilege Management voor lokale applicaties? Voor dat laatste hebben we al een tool. Tunnel voor MAM is wellicht wel heel nice voor al die non-SaaS applicaties.:
[...]
Intune suite licentie kom ik in het veld helaas nog te weinig tegen
[ Voor 20% gewijzigd door ibmpc op 23-02-2024 20:32 ]
:strip_icc():strip_exif()/u/78725/train-icon3.jpg?f=community)
Voor ons is de grootste win dat de eindgebruiker z'n wachtwoord niet weet. Het kan dus niet ergens lekken en er is ook geen mogelijkheid dat ze een al gelekt wachtwoord gebruiken.
TAP werkt bij ons nog niet goed in OOBE als je de ESP hebt ingeschakeld. Om die reden hebben wij de ESP uit staan, behalve bij een aantal self-deployment devices. Maar TAP kun je ook gewoon gebruiken op het Windows Loginscherm, dus als ESP een vereiste is kun je een self deployment profiel voor AutoPilot gebruiken.:
[...]
En daar is de afgelopen maanden wel het een en ander in veranderd
Wederom is er een instructie voor gebruikers: Je Microsoft 365 Apps worden op de achtergrond geinstalleerd en zijn nog niet aanwezig direct na het inloggen. Net als de Fresh Start voor Dell devices hadden we vantevoren veel gezeur verwacht, maar in de praktijk klaagt eigenlijk niemand erover. Het is denk ik ook een cultuurverschil. In Nederland verwacht men dat alles tot in de puntjes geregeld is en direct werkt, hier heeft men voor mijn gevoel veel meer geduld mits goed gecommuniceerd. En men weet vaak niet beter. Als iets gaat zoals het gaat, dan is het blijkbaar zoals het is.
[ Voor 19% gewijzigd door ibmpc op 23-02-2024 21:24 ]
:strip_icc():strip_exif()/u/26028/penguin.jpg?f=community)