Microsoft Intune ervaringentopic

Maar hoe vindt de authenticatie dan precies plaats? Wat moet ik instellen? Want als je met WHFB inlogt op een device (bij ons verplicht) dan krijg je normaliter die error dat je je opnieuw moet authenticeren, omdat WHFB niet kan authenticeren met een legacy server?

HKLM_ schreef op donderdag 28 maart 2024 @ 18:44:
[...]


Of je gebruikt gewoon de OMI URI settings om een Share te mappen.

Persoonlijk vind ik die scripts prima werken, vooral omdat je de huidige ad omprem access groepen kunt blijven gebruiken en jouw netwerkschijf krijgt een kruis zodra je niet op het bedrijfsnetwerk zit.. dus er verandert weinig voor beheer+gebruiker.
Ik ben niet zo gek op die oma uris.

[ Voor 1% gewijzigd door ReZpie op 28-03-2024 19:04 . Reden: Typos ]

ibmpc schreef op donderdag 28 maart 2024 @ 18:49:
Maar hoe vindt de authenticatie dan precies plaats? Wat moet ik instellen? Want als je met WHFB inlogt op een device (bij ons verplicht) dan krijg je normaliter die error dat je je opnieuw moet authenticeren, omdat WHFB niet kan authenticeren met een legacy server?

Je kunt cloud kerberos trust implenteren, werkt prima.
https://learn.microsoft.c...erberos-trust?tabs=intune

Wel direct zicht op DC, RODC werkt niet.

HKLM_ schreef op donderdag 28 maart 2024 @ 19:14:
[...]


Ik vind dat powershell script te veel zooi geven eigenlijk haha 😂 Met een omi url kan je ook de juiste groepen meegegeven. Maar ieder zijn ding natuurlijk 😊

Ik heb het 2 jaar terug zo ingericht, dus eigenlijk niet meer naar omgekeken. Wellicht zou ik het nu anders doen, maar toen was het voor ons de meeste handige optie.
Heb alle gpo exports toen in die generator geupload en ik hoef er nooit meer naar te kijken.
https://intunedrivemapping.azurewebsites.net/

[ Voor 6% gewijzigd door ReZpie op 28-03-2024 19:43 ]

ibmpc schreef op donderdag 28 maart 2024 @ 18:01:
Zoals jullie weten is een NDES server een mogelijkheid om file shares op onprem fileservers beschikbaar te maken voor WHFB ingelogde Entra Joined devices. Door middel van certificaten vindt authenticatie plaats, omdat WHFB geen inlogmethode is voor authenticatie met je fileserver die in een AD hangt. We willen alle laptops Entra Joined, niet Hybrid. De afhankelijkheid van AD moet eruit, maar helaas zijn er nog wat legacy apps en fileshares.

Paar vragen:
1. Welke makkelijke oplossing is er voor Entra Joined devices die fileshares willen benaderen? Ik ben benieuwd of NDES voor WHFB certificaten nog wel de een geschikte oplossing is om fileshares te benaderen (geen Azure Files).
2. Kan Cloud PKI worden gebruikt in plaats van AD Certificate Services?

Wij gebruiken bij al onze klanten het volgende. Werkt heel gemakkelijk. Geen geneuzel met certificaten etc.
https://learn.microsoft.c...erberos-trust?tabs=intune


Voor het mappen van drives gebruiken wij: https://intunedrivemapping.azurewebsites.net/

Tip, doe 1 drive mapping per script. Later makkelijker opruimen.

(F5 had wonderen gedaan zie ik…)

Voor die mapping (shares en printers) gebruikte in het verleden nog wel eens https://github.com/tabs-n...e.Logonscript.FunctionApp.
Een kleine scheduled task op je laptop die een call doet naar een function app in je Azure omgeving. Die function app doet een Graph API call, haalt je groupmemberships op en parsed op basis daarvan een JSON file waarin alle mogelijk mappings staan. Je krijgt dus, op basis van je groupmemberships, een XML file terug met de te mappen drives / printers.

Voordeel: je hoeft maar één keer te deployen naar je endpoints en als er een mapping bij of af moet is het een kwestie van de gebruiker in de juiste groep zitten. Zonder te wachten op syncs van policies etc. krijg je dan vanzelf bij een reboot (of reconnect met het netwerk) de juiste drives. Het is dus ook maar één te deployen app in Intune, in plaats van een policy / setting per mogelijke drive-map op basis van de groups. Zeker in grotere omgevingen scheelt dat een hoop extra instellingen en kan de 1e / 2e lijns gewoon mensen in groepen stoppen om drives toe te voegen, zoals ze gewend zijn

Voor de auth: hybrid cloud trust is inderdaad wat je wil. Geen gedoe met PKI infra etc. Een line-of-sight met je DC is wel nodig, maar die VPN zul je toch nodig hebben om überhaupt je fileserver te kunnen zien

[ Voor 8% gewijzigd door ralpje op 29-03-2024 09:33 ]

ralpje schreef op vrijdag 29 maart 2024 @ 09:32:
Voor die mapping (shares en printers) gebruikte in het verleden nog wel eens https://github.com/tabs-n...e.Logonscript.FunctionApp.
Een kleine scheduled task op je laptop die een call doet naar een function app in je Azure omgeving. Die function app doet een Graph API call, haalt je groupmemberships op en parsed op basis daarvan een JSON file waarin alle mogelijk mappings staan. Je krijgt dus, op basis van je groupmemberships, een XML file terug met de te mappen drives / printers.

Voordeel: je hoeft maar één keer te deployen naar je endpoints en als er een mapping bij of af moet is het een kwestie van de gebruiker in de juiste groep zitten. Zonder te wachten op syncs van policies etc. krijg je dan vanzelf bij een reboot (of reconnect met het netwerk) de juiste drives. Het is dus ook maar één te deployen app in Intune, in plaats van een policy / setting per mogelijke drive-map op basis van de groups. Zeker in grotere omgevingen scheelt dat een hoop extra instellingen en kan de 1e / 2e lijns gewoon mensen in groepen stoppen om drives toe te voegen, zoals ze gewend zijn

Voor de auth: hybrid cloud trust is inderdaad wat je wil. Geen gedoe met PKI infra etc. Een line-of-sight met je DC is wel nodig, maar die VPN zul je toch nodig hebben om überhaupt je fileserver te kunnen zien

Klinkt goed, en hoe regel je dan de drivers voor de betreffende printers? Of worden die automatisch naar de client toegehaald dmv de printserver?

ReZpie schreef op donderdag 28 maart 2024 @ 19:41:
[...]


Ik heb het 2 jaar terug zo ingericht, dus eigenlijk niet meer naar omgekeken. Wellicht zou ik het nu anders doen, maar toen was het voor ons de meeste handige optie.
Heb alle gpo exports toen in die generator geupload en ik hoef er nooit meer naar te kijken.
https://intunedrivemapping.azurewebsites.net/

Ik heb dit laatst bij een klant toegepast, en na het aflopen van het project kon de mapping eruit. Helaas is dit script niet voorbereid om drivemaps te verwijderen.

Davidas schreef op vrijdag 29 maart 2024 @ 10:22:
[...]

Klinkt goed, en hoe regel je dan de drivers voor de betreffende printers? Of worden die automatisch naar de client toegehaald dmv de printserver?

In de meeste gevallen maak ik daar een installer voor de ik als intunewin package deploy. Negen van de tien klanten hebben toch hoofdzakelijk dezelfde printers binnen één organisatie, dus één package maken / deployen en vervolgens op basis van groupmembership de juiste printer (locatie dus eigenlijk) pushen.

HKLM_ schreef op vrijdag 29 maart 2024 @ 12:00:
[...]


Ik ken meerdere van dit soort scripts en ik blijf echt moeite houden hiermee, blijft beunhazen vindt ik haha
Heb nu een canon printer en ook zo'n script en dan loopt die weer te zeuren dat die de pnputil.exe niet kan openen ofzo.

Geef mij maar gewoon Universal Print werkt een stuk makkelijker.. Dat je een script met 201 lines nodig hebt voor een "f*ng"Pinter zegt al genoeg toch

Persoonlijk snap ik uberhaupt niet waarom mensen anno 2024 nog zouden willen printen. Al zijn er natuurlijk altijd branches waar printen nog redelijk normaal is.

Hallo,

Hopelijk kan iemand me op weg helpen. Voorheen gebruikte we Autopilot user-driven mode zonder pre-provisioning. In het deployment profile geef ik een Autopilot branding script als win32app mee waardoor taal en regio (en-nl) wordt ingesteld voor current user / default user etc.

Nu zijn we over aan het stappen naar pre-provisioning zodat alle apps en dergelijke al op het systeem staan voordat de eindgebruiker zijn device ontvangt. Echter na het resealen worden de taal en regio instellingen weer aangepast naar en-us, wat in het default deployment profile staat ingesteld.

Heeft iemand ervaring hoe je deze instellingen alsnog afdwingt via Intune? Kan dit bijvoorbeeld via een remediation script?

[ Voor 4% gewijzigd door Davidas op 11-04-2024 16:50 ]

Davidas schreef op donderdag 11 april 2024 @ 16:47:
Hallo,

Hopelijk kan iemand me op weg helpen. Voorheen gebruikte we Autopilot user-driven mode zonder pre-provisioning. In het deployment profile geef ik een Autopilot branding script als win32app mee waardoor taal en regio (en-nl) wordt ingesteld voor current user / default user etc.

Nu zijn we over aan het stappen naar pre-provisioning zodat alle apps en dergelijke al op het systeem staan voordat de eindgebruiker zijn device ontvangt. Echter na het resealen worden de taal en regio instellingen weer aangepast naar en-us, wat in het default deployment profile staat ingesteld.

Heeft iemand ervaring hoe je deze instellingen alsnog afdwingt via Intune? Kan dit bijvoorbeeld via een remediation script?

Deploy je dit branding script naar een devicegroep en heb je dit als app staan in je enrollment status page?

@Davidas Je kan in de deployment profile bepalen welke regional settings worden toegepast, daar hoef je geen apart script voor te gebruiken.

/edit: sorry ik las over je zinnetje heen dat je dit al in je deployment profile hebt ingesteld.

[ Voor 26% gewijzigd door tiguan op 11-04-2024 19:03 ]

Kan je het script eens posten? Het kan ook zijn dat taalinstellingen niet voor alle users geldt.

Hoe gaan jullie om met beheren of bouwen van nieuwe klantomgevingen met Intune waarbij sommige zaken repetief zijn qua policies of apps.
Heb je een tool of template die je hiervoor inzet of is het handmatig policies maken en dan gaan?

Ik doe nu telkens het laatste, maar ik denk dat er wel slimmere oplossingen zijn tegenwoordig.

Quad schreef op woensdag 24 april 2024 @ 18:54:
Hoe gaan jullie om met beheren of bouwen van nieuwe klantomgevingen met Intune waarbij sommige zaken repetief zijn qua policies of apps.
Heb je een tool of template die je hiervoor inzet of is het handmatig policies maken en dan gaan?

Ik doe nu telkens het laatste, maar ik denk dat er wel slimmere oplossingen zijn tegenwoordig.

Je kan kijken naar desired state configuration.

Ik weet er het fijne niet van want ik heb maar 1 werkgever.
Er zijn ook mvps die ps modules malen om je intune omgeving te exporten en te importen

Quad schreef op woensdag 24 april 2024 @ 18:54:
Hoe gaan jullie om met beheren of bouwen van nieuwe klantomgevingen met Intune waarbij sommige zaken repetief zijn qua policies of apps.
Heb je een tool of template die je hiervoor inzet of is het handmatig policies maken en dan gaan?

Ik doe nu telkens het laatste, maar ik denk dat er wel slimmere oplossingen zijn tegenwoordig.

Ben ooit eens begonnen aan een PowerShell module op basis van de Graph API. Snelle Google leert mij dat Microsoft ook mooie voorbeelden online heeft staan.

Aha bedankt voor de info, hier kan ik wel wat mee!

Wij gebruiken CIPP voor de intune policy's. Handige tool en is ook gratis! Naja als je hem zelf host moet je wel de kosten in Azure betalen.

Zie: https://cipp.app/.
Echt een aanrader dit heeft mij zoveel tijd gescheeld inmiddels!

Niet echt een Intune vraag, maar een Entra vraag. Wat is het risico in de praktijk om attestation niet te forceren op phishing resistant logins? Om passkeys mogelijk te maken op iOS/Android moet FIDO2 attestation worden uitgeschakeld. Daarmee wordt het toch mogelijk om hardwaresleutels te clonen? Komt er wel attestation voor de Authenticator app als dit GA wordt?

HKLM_ schreef op woensdag 24 april 2024 @ 21:35:
[...]


Volgens mij kan die gewoon aanblijven staan dacht ik. Deze MVP laat hem zo te zien ook aanstaan (https://janbakker.tech/prepare-for-passkeys-in-entra-id/)

Werkt bij ons niet. Attestation kan niet worden geforceerd om de MS Authenticator als passkey te registeren. Dit brengt een enorm beveiligingsrisico met zich mee. Is er een mogelijkheid om dit te mitigeren?

jdj1996 schreef op woensdag 24 april 2024 @ 21:08:
Wij gebruiken CIPP voor de intune policy's. Handige tool en is ook gratis! Naja als je hem zelf host moet je wel de kosten in Azure betalen.

Zie: https://cipp.app/.
Echt een aanrader dit heeft mij zoveel tijd gescheeld inmiddels!

Ziet er goed uit. Heb je enig idee hoeveel kosten in Azure dit zijn? Als MSP hebben we wel credits en dergelijke bij MS in onze portaal.

Blijkbaar heeft onze tenant de update gehad zodat Microsoft complient is met de DMA

https://techcommunity.mic...ngle-sign-on/ba-p/4008151

maar nu hebben wij dus het issue dat op shared devices de SSO niet even lekker meer werkt. Men moet toch vaak eerst inloggen.

Hoe gaan jullie hier mee om? Tips om toch direct SSO te krijgen zonder de tussenstap? Websignin?

HKLM_ schreef op vrijdag 26 april 2024 @ 18:15:
[...]


De melding is niet te bypassen, en ook niet uit te zetten door een beheerder via een “policy” dit is een bewuste keuze van Microsoft om de EU niet op de tenen te trappen en aan de DMA te voldoen.

Helaas maar toch 1 malig inloggen en het is niet ideaal nee.

ja precies dat had ik ook al gelezen en het bericht geeft aan dat MS geen officiele bypass maakt/heeft maar soms zijn mensen zo slim om een oplossing te vinden

Nadeel hier is nu dat niet nog alle apps hier dus lekker mee werken. zeker op windows 10 met Universal print levert dit nu bij ons best wat gezeur op...

jdj1996 schreef op woensdag 24 april 2024 @ 23:14:
Zie hier de setup guide: https://docs.cipp.app/setup/installation/index

@Quad
En @TeGek voor meer info, maar zo te zien is die hier al een tijdje niet meer geweest.

Quad schreef op woensdag 24 april 2024 @ 22:24:
[...]

Ziet er goed uit. Heb je enig idee hoeveel kosten in Azure dit zijn? Als MSP hebben we wel credits en dergelijke bij MS in onze portaal.

20 dollar per maand gemiddeld, of hosted voor 99 dollar. 99 dollar bevat ook e-mail support etc.

jdj1996 schreef op woensdag 24 april 2024 @ 23:13:
Wij zitten wel op de EP1 sku van Functions

huuggeeee mistake. CIPP gaat ervan uit op consumption te draaien door gebruik van durable functions, waarmee extreem geschaalt wordt. Door op EP1 of andere modellen te draaien jaag je jezelf alleen maar meer op kosten, en maak je de applicatie stukken trager. In onze laatste metingen zelfs tot 400% verschil in performance.

ralpje schreef op vrijdag 26 april 2024 @ 19:54:
[...]


@Quad
En @TeGek voor meer info, maar zo te zien is die hier al een tijdje niet meer geweest.

Tags reageer ik nog op

[ Voor 12% gewijzigd door TeGek op 28-04-2024 21:14 ]

@TeGek Ik heb het zelf nooit opgezet bij ons dat was een andere collega. Wat zou jij aanraden?

@TeGek Jij bent ontwikkelaar aan CIPP? 20 dollar is peanuts om te hebben als de applicatie doet wat ik zou willen.

---

Ik ben een beetje aan het stoeien geweest met Powershell en Autopilot registratie..

Ik heb een script gemaakt die ik gebruik om dmv RMM tooling uit te rollen naar apparaten die in AP ingeschreven moeten worden. Het maakt gebruik van een appregistratie in Entra. Het is ook handig om OOBE apparaten naar de betreffende tenant in te schrijven als je het script op USB zet, zodat je medewerkers of collega's geen accountgegevens van een admin account hoeft te geven.

Permissie van de Entra registered app is schrijven en lezen van Intune devices.

Alleen dat kon ook automatisch dacht ik, dus ben ik daar mee gaan stoeien. En nu heb ik een script gebouwd die je eenmalig hoeft te runnen om een 2e script te krijgen die je in RMM of handmatig kan aftrappen op een device om deze in Autopilot te schrijven.

Door gebruik te maken van 'least privilege' principe is het in mijn ogen veililg genoeg om app secret mee te geven, als je misbruik vermoed kan je eenvoudig een nieuw script genereren waarbij de bestaande app vervalt. Of je verwijderd de secret waarbij deze onbruikbaar is.

Indien belangstelling, wil ik wel kijken of ik het script kan uploaden op Github, kan ik feedback krijgen of er verbeteringen nodig zijn en scheelt het jullie tijd met importeren van bestaande / nieuwe AP devices.

jdj1996 schreef op zondag 28 april 2024 @ 21:17:
@TeGek Ik heb het zelf nooit opgezet bij ons dat was een andere collega. Wat zou jij aanraden?

Terug gaan naar Consumption

Quad schreef op zondag 28 april 2024 @ 22:12:
@TeGek Jij bent ontwikkelaar aan CIPP? 20 dollar is peanuts om te hebben als de applicatie doet wat ik zou willen.

---

Eigenaar en founder, CIPP is Open Source en heeft een groep van ongeveer 30 devs, waarvan 4 medewerkers

Meer een Entra vraag dan Intune.
Ik ben van plan een organisatie naar gefedereerde Entra accounts te migreren in ABM. Dit had allang gebeurd moeten zijn, maar beter laat dan nooit. Op de domeinnaam zijn naar schatting ongeveer 500 persoonlijke Apple IDs.

De beslissing is al genomen dat alle data in de persoonlijke Apple IDs verloren mag gaan. Kan ik federatie gewoon aanzetten? Wat gebeurt er met Apple IDs die niet door de eindgebruiker binnen de grace period worden omgezet naar een iCloud adres? Ik had dit graag getest, maar ik heb alleen de beschikking over live ABM omgevingen, geen testomgevingen.

HKLM_ schreef op dinsdag 30 april 2024 @ 20:40:
[...]


Wie heeft bepaalt dat data in persoonlijke Apple ID’s verloren mogen gaan? Managers in hun ivoren toren? Of de mensen met hun persoonlijke apple id met extra icloud storage? Foto’s van de geboorte van hun kind?

Contractueel is vastgelegd dat personal data in je iCloud met organisatiedomeinnaam is subject to loss. Daarvoor tekent men bij het ontvangen van de telefoon. Op hun nieuwe telefoon worden nieuwe gebruiksvoorwaarden van toepassing, men mag een eigen persoonlijke iCloud account toevoegen voor persoonlijke data maar persoonlijke data gecachet op de telefoon is nog steeds subject to loss. Dit is zo gekomen omdat we bij deze organisatie hebben gemerkt dat het hebben van twee telefoons, wat in deze lijn van werk gebruikelijk is, toch niet altijd even praktisch is.

HKLM_ schreef op dinsdag 30 april 2024 @ 20:50:
[...]


Leuk op papier maar in de praktijk ga je toch persoonlijke data tegen komen en hoe ga je om met aangekochte apps?


[...]


Geloof me ik snap je probleem Maar als jij zomaar personal data gaat verwijderen dat breekt de hell los in je organisatie getekend papiertje of niet wees je daar van bewust.

Daarom de vraag over wat er gebeurt met persoonlijke Apple IDs die niet binnen de grace period worden gewijzigd. Worden die verwijderd? Als de accounts blijven bestaan, maar je kunt bijv. niet meer inloggen totdat je je Apple ID wijzigt, dan is er sowieso geen probleem. Maar ik begrijp dus dat je na het starten van de federatie precies kunt zien welke accounts nog conflicteren. Dan wordt het een paar uitzendkrachten inhuren en die op locatie sturen (de telefoons zijn verspreid over bijna alle 50 staten).

Am I right in thinking that if I federate, it's going to trash all the users existing Apple ID profiles?

Correct. From then on, any apps they need will come from ABM sync to Intune, assuming these are corporate owned devices.

Duidelijk, thanks

Het zit toch iets anders in elkaar:

If you don’t update your Apple ID email address
If you don't choose a new email address for your Apple ID within the requested time period of the first notification from Apple, services associated with your Apple ID like iMessage and FaceTime are inactive until you change your Apple ID email address.

Update your Apple ID email address
If you don't update your Apple ID within the requested time period of the first notification from Apple, your Apple ID will be changed to a temporary username that includes "@temporary.appleid.com". For example, john@example.edu will be changed to john-example.edu@temporary.appleid.com.

To update your Apple ID after the requested time period, sign in with your temporary Apple ID username when you change your Apple ID email address.

https://support.apple.com/en-gb/102159

[ Voor 38% gewijzigd door ibmpc op 30-04-2024 21:49 ]

ibmpc schreef op dinsdag 30 april 2024 @ 20:56:
[...]

Daarom de vraag over wat er gebeurt met persoonlijke Apple IDs die niet binnen de grace period worden gewijzigd. Worden die verwijderd? Als de accounts blijven bestaan, maar je kunt bijv. niet meer inloggen totdat je je Apple ID wijzigt, dan is er sowieso geen probleem. Maar ik begrijp dus dat je na het starten van de federatie precies kunt zien welke accounts nog conflicteren. Dan wordt het een paar uitzendkrachten inhuren en die op locatie sturen (de telefoons zijn verspreid over bijna alle 50 staten).

Je krijgt gewoon een temp-apple.com oid als login/mailadres.
Daarmee kan je gewoon inloggen (en eventueel alsnog aanpassen)

Irritanter is trouwens dat je met apple business id's (gekoppeld aan entra dus zegmaar) geen apps kan installeren/aankopen.
Tenminste niet in Europa, in de US schijn je wel weer een plan te hebben.

DDX schreef op dinsdag 30 april 2024 @ 23:00:
[...]


Je krijgt gewoon een temp-apple.com oid als login/mailadres.
Daarmee kan je gewoon inloggen (en eventueel alsnog aanpassen)

Irritanter is trouwens dat je met apple business id's (gekoppeld aan entra dus zegmaar) geen apps kan installeren/aankopen.
Tenminste niet in Europa, in de US schijn je wel weer een plan te hebben.

Dat kan toch wel? Ik weet niet anders dan dat ik in ABM de juiste apps laat neerzetten en dat Intune die uitrolt. Of bedoel je toegang tot non-LOB apps, bijv. Facebook? We gaan het inloggen met een persoonlijke Apple ID toestaan zodat je ook persoonlijke apps kunt installeren.

Ik bedoel het laatste idd, dat mensen zelf iets via de appstore kunnen installeren.
Inloggen via persoonlijke apple-id werkt ja, maar dan gaan mensen niet meer terug naar bedrijfs account.
En gaan icloud shares ook weer via personal account...

DDX schreef op woensdag 1 mei 2024 @ 10:06:
Ik bedoel het laatste idd, dat mensen zelf iets via de appstore kunnen installeren.
Inloggen via persoonlijke apple-id werkt ja, maar dan gaan mensen niet meer terug naar bedrijfs account.
En gaan icloud shares ook weer via personal account...

Maar waarom zou je apps (via Intune) niet gewoon willen deployen via VPP/ABM dan? Je kunt via Intune ook 'gewone' Apple Store Apps deployen? Of heb je applicaties aangekocht (via VPP) die je wilt verspreiden?

Omdat het soms gewoon makkelijker is als een gebruiker iets van bijvoorbeeld Whatsapp wilt installeren dat je kan zeggen installeer maar via appstore zoals je altijd al deed toen het nog niet aan abm gekoppeld zat.
Weet je dat het ook geupdate wordt via de appstore.

DDX schreef op woensdag 1 mei 2024 @ 11:59:
Omdat het soms gewoon makkelijker is als een gebruiker iets van bijvoorbeeld Whatsapp wilt installeren dat je kan zeggen installeer maar via appstore zoals je altijd al deed toen het nog niet aan abm gekoppeld zat.
Weet je dat het ook geupdate wordt via de appstore.

Wij hebben dit nog niet doorgevoerd maar staat nog wel op de planning. Meen mij alleen te herinneren dat er geen configuratie profiel (is dat de vertaling ?) is om een ABM Apple profiel te forceren. Wij zouden namelijk graag het ABM profiel willen forceren maar wel met de mogelijkheid dat gebruikers in de App Store een privé account kunnen gebruiken.

DDX schreef op woensdag 1 mei 2024 @ 11:59:
Omdat het soms gewoon makkelijker is als een gebruiker iets van bijvoorbeeld Whatsapp wilt installeren dat je kan zeggen installeer maar via appstore zoals je altijd al deed toen het nog niet aan abm gekoppeld zat.
Weet je dat het ook geupdate wordt via de appstore.

Ik bedoelde dus precies het tegenovergestelde. Waarom zou je apps via VPP/ABM willen deployen? Of zijn er apps die in bulk (zakelijk) zijn aangekocht, want dan zou ik dat kunnen begrijpen.

Approved Client Apps zijn inmiddels deprecated en gaan er volgens mij volgend jaar uit. Bijna altijd is dat prima te vervangen door App Protection Policies. Approved Client Apps bieden namelijk geen bescherming, App Protection Policies wel, maar wat als je met een volledige BYOD org werkt, iedereen werkt parttime en er is geen persoonlijke data aanwezig. Dan hebben ze doorgaans twee accounts op hun telefoon. Je kunt op je telefoon geen App Protection Policies van twee orgs hebben. Hoe hebben jullie dit opgelost?

Klanten adviseer ik in zo'n geval medewerkers telefoon van de zaak te geven en data enkel vanaf compliant devices benaderbaar te hebben.
Het is eenmaal lastig, maar het is in zulke gevallen het een of het ander.

Quad schreef op donderdag 2 mei 2024 @ 22:51:
Klanten adviseer ik in zo'n geval medewerkers telefoon van de zaak te geven en data enkel vanaf compliant devices benaderbaar te hebben.
Het is eenmaal lastig, maar het is in zulke gevallen het een of het ander.

Sommige gebruikers zitten er op te wachten om met twee telefoons rond te lopen, sommigen niet. Van een vrijwilligersorganisatie met alleen parttimers, kun je niet verwachten dat de vrijwilligers met een extra zakelijke telefoon willen rondlopen. Maar ik begrijp het en meestal geef ik dit advies ook gewoon.

HKLM_ schreef op donderdag 2 mei 2024 @ 23:04:
[...]


Multi MAM staat op de roadmap voor GA deze zomer

https://www.microsoft.com.../roadmap?featureid=109560

Meer kan ik er op dit moment niet over zeggen helaas want NDA.

https://www.microsoft.com...lters=&searchterms=109560 Dit? Excuses, ik zag je link over het hoofd. Ik zag trouwens nog een enorm leuke staan, nummer 383952

[ Voor 34% gewijzigd door ibmpc op 02-05-2024 23:22 ]

HKLM_ schreef op donderdag 2 mei 2024 @ 23:04:
[...]


Multi MAM staat op de roadmap voor GA deze zomer

https://www.microsoft.com.../roadmap?featureid=109560

Meer kan ik er op dit moment niet over zeggen helaas want NDA.

Volgens mij zeg jij dan al teveel. 😎

TheVMaster schreef op vrijdag 3 mei 2024 @ 00:48:
[...]


Volgens mij zeg jij dan al teveel. 😎

Opzich staat het er al. Het is dus al duidelijk wat er gaat gebeuren. Net als macOS platform SSO. Heeft iemand dat al getest?

ibmpc schreef op donderdag 2 mei 2024 @ 23:17:
[...]

Sommige gebruikers zitten er op te wachten om met twee telefoons rond te lopen, sommigen niet. Van een vrijwilligersorganisatie met alleen parttimers, kun je niet verwachten dat de vrijwilligers met een extra zakelijke telefoon willen rondlopen. Maar ik begrijp het en meestal geef ik dit advies ook gewoon.

Helemaal mee eens hoor. Het multitenant verhaal is altijd een lastig ding.. Op Android kan je een werkprofiel configureren, maar dat is dan beperkt tot één.

Op iOS kan je ook BYOD principe regelen maar dat heeft dan ook direct invloed op je persoonlijke email. Simpel als je copy paste op Outlook blokkeert in iOS, geldt het ook voor je privé emailadres als je deze hierin hebt staan.

Quad schreef op vrijdag 3 mei 2024 @ 08:34:
[...]

Helemaal mee eens hoor. Het multitenant verhaal is altijd een lastig ding.. Op Android kan je een werkprofiel configureren, maar dat is dan beperkt tot één.

Op iOS kan je ook BYOD principe regelen maar dat heeft dan ook direct invloed op je persoonlijke email. Simpel als je copy paste op Outlook blokkeert in iOS, geldt het ook voor je privé emailadres als je deze hierin hebt staan.

Eh…dat laatste lijkt me niet, toch?

ibmpc schreef op vrijdag 3 mei 2024 @ 01:17:
[...]

Opzich staat het er al. Het is dus al duidelijk wat er gaat gebeuren. Net als macOS platform SSO. Heeft iemand dat al getest?

Wij zijn dat nu intern aan het testen en tot zo ver werkt het goed. Het is ook fijn dat je nu gebruikersnamen vooraf kan laten invullen tijdens enrollment die door de gebruiker niet aangepast kan worden (is niet Platform SSO specifiek).

TheVMaster schreef op vrijdag 3 mei 2024 @ 10:18:
[...]


Eh…dat laatste lijkt me niet, toch?

Toch wel, het is 1 app, met 1 en dezelfde policy. Heb zelf een hele tijd een zeer restrictieve app protection policy op mijn Outlook gezet op de iPhone, zoals het vereisen van een PIN code, en dan moet je daar dus ook door voor de private mail. De copy functionaliteit vanuit de private mailbox heb ik toen niet getest, maar vermoed dat die hetzelfde zal zijn.

Hoop dat Apple op een dag het work profile principe van Android overneemt.

Maar even een andere vraag. Sinds de laatste release van Intune is het mogelijk om win32 apps met behulp van supersedence automatisch te laten updaten. Of dat zegt de documentatie toch. Maar ik krijg het niet werkende. Supersedence gezet op een app die op mijn systemen staat, auto update aangezet en ... niets. Iemand het al wel werkende gekregen of al ergens troubleshootingstappen zien voorbijkomen?

Blokker_1999 schreef op woensdag 8 mei 2024 @ 14:28:
[...]

Toch wel, het is 1 app, met 1 en dezelfde policy. Heb zelf een hele tijd een zeer restrictieve app protection policy op mijn Outlook gezet op de iPhone, zoals het vereisen van een PIN code, en dan moet je daar dus ook door voor de private mail. De copy functionaliteit vanuit de private mailbox heb ik toen niet getest, maar vermoed dat die hetzelfde zal zijn.

Hoop dat Apple op een dag het work profile principe van Android overneemt.

[..]

Nou, bij Word (en ook anders apps) werkt het dus 'anders'. Alleen kun je daar natuurlijk maar in '1 document tegelijk werken' en switch je minder makkelijk tussen werk/prive documenten. Ik zou het met Outlook toch eens moeten uittesten. Zit midden in een paar hele grote Intune trajecten waarbij dit zeker ter sprake gaat komen.

Ik mag oprecht hopen dat Apple dit niet gaat overnemen van Android. Al heeft het ook wel 'voordelen' denk ik, zo'n gescheiden werk profiel maar zie het niet zo snel gebeuren.

Heb voor mezelf recent op mijn Android een werk profiel opgezet. Het idee gaat hier al jaren rond omdat we externe mensen hebben die geen iPhones van ons krijgen maar wel mail willen kunnen lezen op hun Android. Als eerste test dus gewoon voor mezelf opgezet, en dan op vakantie vertrokken. Wat zalig, werk profiel op off en geen notificaties meer van je mailbox, van je Teams, ... . Had al van verschillende mensen in de onderneming gehoord, die bij vorige werkgevers een Android met werk profiel hadden, dat ze dat toch wel missen op iOS. Alleen al vanwege de mogelijkheid tot disconnect.

Blokker_1999 schreef op woensdag 8 mei 2024 @ 16:24:
Heb voor mezelf recent op mijn Android een werk profiel opgezet. Het idee gaat hier al jaren rond omdat we externe mensen hebben die geen iPhones van ons krijgen maar wel mail willen kunnen lezen op hun Android. Als eerste test dus gewoon voor mezelf opgezet, en dan op vakantie vertrokken. Wat zalig, werk profiel op off en geen notificaties meer van je mailbox, van je Teams, ... . Had al van verschillende mensen in de onderneming gehoord, die bij vorige werkgevers een Android met werk profiel hadden, dat ze dat toch wel missen op iOS. Alleen al vanwege de mogelijkheid tot disconnect.

Ja, dat kan dus op iOS ook allemaal alleen werkt dat dus anders :-) Ik krijg als ik mijn 'prive' profiel aanzet op iOS ook geen werk notificaties. Of als ik mijn 'Gaming' profiel aanzet, dan krijg ik alleen notificaties van discord, of mijn Autorij-profiel. Alleen werkt het bij iOS allemaal net iets anders dan op Android.

[ Voor 9% gewijzigd door TheVMaster op 08-05-2024 17:24 ]

Niet alleen notificaties, op Android wordt je werkprofiel gewoon uitgeschakeld en doet dus niets op de achtergrond. In iOS zal je notificaties wel uit kunnen zetten maar als jij Outlook opent dan zie je gewoon je werkmail.

Ik ga het bij mijn huidige werk wel eens verder doortesten, maar Android is echt super tof hierin qua gemak.

---

Vandaag een laptopje met selfdeployment proberen te installeren, maar faalt bij registeren bij bedrijfsservices.
Moet hier nog maar even verder in duiken. De gegeven foutmelding is error 6, 80180005. Er ging voor de installatie wel iets mis, wellicht dat dit ermee te maken heeft.

Vrijdag tijd over dus mooi om naar te kijken.

HKLM_ schreef op woensdag 8 mei 2024 @ 22:26:
[...]


Heb je hybride join?

Nope full EID. Is een test tenant van ons die puur voor lering en de vermaeck van ons is opgezet tbv Intune, Autopilot. Vrij nieuw overigens omdat ik dat graag wilde. Dus vrij basic ingericht vooralsnog.

Ook aan de hand van eerdere feedback hier om intunebackup en import te gebruiken. Dus deze tenant is ook direct een template straks.

Quad schreef op woensdag 8 mei 2024 @ 22:22:
Niet alleen notificaties, op Android wordt je werkprofiel gewoon uitgeschakeld en doet dus niets op de achtergrond. In iOS zal je notificaties wel uit kunnen zetten maar als jij Outlook opent dan zie je gewoon je werkmail.

Ik ga het bij mijn huidige werk wel eens verder doortesten, maar Android is echt super tof hierin qua gemak.

---

Vandaag een laptopje met selfdeployment proberen te installeren, maar faalt bij registeren bij bedrijfsservices.
Moet hier nog maar even verder in duiken. De gegeven foutmelding is error 6, 80180005. Er ging voor de installatie wel iets mis, wellicht dat dit ermee te maken heeft.

Vrijdag tijd over dus mooi om naar te kijken.

Eh...nee, als je Outlook goed instelt dan zie je je werkmail niet in Outlook. Dat is dan ook gewoon verborgen.

Quad schreef op woensdag 8 mei 2024 @ 22:22:
Vandaag een laptopje met selfdeployment proberen te installeren, maar faalt bij registeren bij bedrijfsservices.
Moet hier nog maar even verder in duiken. De gegeven foutmelding is error 6, 80180005. Er ging voor de installatie wel iets mis, wellicht dat dit ermee te maken heeft.

Wat zijn de specificaties van de testlaptop? Iedere moderne laptop voldoet, maar aangezien je het over een teststraat hebt kan het zijn dat je laptop misschien iets ouder is.

Niet alle TPM 2.0s supporten attestation. En daar gaat het vaak mis bij self deployment. Ook moet je TPM niet op de CRL staan van Autopilot. Een firmware update lost dat vaak op.

TheVMaster schreef op donderdag 9 mei 2024 @ 02:10:
[...]


Eh...nee, als je Outlook goed instelt dan zie je je werkmail niet in Outlook. Dat is dan ook gewoon verborgen.

Hoe is het mogelijk om in Outlook het werk account niet zichtbaar te hebben buiten de tijden dat iemand aan het werk is. Wist namelijk niet dat dit mogelijk was in Outlook.

Nogne schreef op donderdag 9 mei 2024 @ 09:08:
[...]


Hoe is het mogelijk om in Outlook het werk account niet zichtbaar te hebben buiten de tijden dat iemand aan het werk is. Wist namelijk niet dat dit mogelijk was in Outlook.

Het is een combinatie van Focus Profielen in iOS en die dus koppelen aan je ‘werk’ of ‘Persoonlijke’ profiel in Outlook. En op het moment dat je dan een Focus Profiel in Outlook inschakelt, dan zie je dus alleen de profielen die gekoppeld zijn.

[ Voor 3% gewijzigd door TheVMaster op 09-05-2024 14:12 ]

ibmpc schreef op donderdag 9 mei 2024 @ 03:32:
[...]

Wat zijn de specificaties van de testlaptop? Iedere moderne laptop voldoet, maar aangezien je het over een teststraat hebt kan het zijn dat je laptop misschien iets ouder is.

Niet alle TPM 2.0s supporten attestation. En daar gaat het vaak mis bij self deployment. Ook moet je TPM niet op de CRL staan van Autopilot. Een firmware update lost dat vaak op.

HP ProBook met 11th gen i5 met 8GB RAM en 256GB NVMe SSD.
Dik voldoende.

Maar is opgelost, de TPM even leegemaakt, nu knalt het perfect door.

Quad schreef op vrijdag 10 mei 2024 @ 09:11:
[...]

HP ProBook met 11th gen i5 met 8GB RAM en 256GB NVMe SSD.
Dik voldoende.

Maar is opgelost, de TPM even leegemaakt, nu knalt het perfect door.

Moet je daar bij HP eigenlijk ook de F12 voor indrukken bij de reboot zoals bij Dell?

ibmpc schreef op vrijdag 10 mei 2024 @ 15:09:
[...]

Moet je daar bij HP eigenlijk ook de F12 voor indrukken bij de reboot zoals bij Dell?

Vanuit UEFI gedaan, daarna moet je het bevestigen met F1.

Er moet echt een Entra topic komen, want wederom een Entra vraag:
Iemand enig idee of Micosoft Phishing Resistant Authenticator Push ook naar OOBE gaat brengen in de volgende feature build?

HKLM_ schreef op maandag 13 mei 2024 @ 18:28:
[...]


Wat bedoel je precies? Je wilt met phishing resistant inloggen in je oobe voor autopilot?

Je kan al een fidokey gebruiken


Maar ik zou zeggen start een Entra topic ik wil je wel helpen

Met fidokey inloggen in OOBE werkt prima, ook voor Windows 10. Ik bedoel precies de nieuwe preview Phishing Resistant Authenticator push, die nu in preview is. Of ook de passkey genoemd in je MS Authenticator. Momenteel werkt dat voor veel, behalve in OOBE.

[ Voor 4% gewijzigd door ibmpc op 13-05-2024 19:10 ]

HKLM_ schreef op maandag 13 mei 2024 @ 18:28:
[...]


Wat bedoel je precies? Je wilt met phishing resistant inloggen in je oobe voor autopilot?

Je kan al een fidokey gebruiken


Maar ik zou zeggen start een Entra topic ik wil je wel helpen

Je kunt toch ook gewoon Phone Registration configureren. Geen FIDO2 key nodig hoor.

HKLM_ schreef op maandag 13 mei 2024 @ 19:12:
[...]


Ow zo haha, interessant 🧐 ik ga daar deze week even voor je induiken!

Wordt gewaardeerd

TheVMaster schreef op maandag 13 mei 2024 @ 19:16:
[...]


Je kunt toch ook gewoon Phone Registration configureren. Geen FIDO2 key nodig hoor.

Klopt, maar dat wordt niet als phishing resistant gezien. Momenteel staan wij authenticator push wel toe voor OOBE, waarna je phishing resistant Windows Hello for Business kunt (moet) instellen. Maar dit is wel een security dingetje, omdat je hiermee dus zonder phishing resistant methode een phishing resistant login kunt instellen.

ibmpc schreef op maandag 13 mei 2024 @ 19:22:
[...]

Wordt gewaardeerd


[...]

Klopt, maar dat wordt niet als phishing resistant gezien. Momenteel staan wij authenticator push wel toe voor OOBE, waarna je phishing resistant Windows Hello for Business kunt (moet) instellen. Maar dit is wel een security dingetje, omdat je hiermee dus zonder phishing resistant methode een phishing resistant login kunt instellen.

Verrek, inderdaad die valt er niet onder. Maar is dat security wise dan echt een dingetje? Ik denk dat het meer een theoretisch issue is, want hoe groot is de kans dat er misbruik van gemaakt (kan) worden?

En welke use-case heb je precies waarbij dit een issue is? Ik weet dat ik veel klanten TAP gebruiken als ze een pc opnieuw moeten installeren (en je dus geen Passwordless met Phone Sign-in wilt gebruiken).

Ik zit op dit moment in een groot project waarbij we zeker (de mannen uit de Identity/Security track) wel voor de beste oplossing gaan.

[ Voor 5% gewijzigd door TheVMaster op 13-05-2024 19:45 ]

Volgens mij is MS Authenticator Push met numbermatching niet bestand tegen Evilginx2.

HKLM_ schreef op maandag 13 mei 2024 @ 18:28:
[...]

Maar ik zou zeggen start een Entra topic ik wil je wel helpen

Tijd om een Entra topic te openen, want technisch gezien is dit Entra gepraat is echt offtopic

[ Voor 37% gewijzigd door ibmpc op 13-05-2024 20:06 ]

HKLM_ schreef op maandag 13 mei 2024 @ 20:12:
[...]


Evilginx2 zou kunnen maar verwacht het niet het is iig niet bestand tegen https://zolder.io/aitm-attacks-using-cloudflare-workers/ weet ik en laat ik soms aan klanten zien hoe makkelijk de authenticator app met number marching is te phishen.

Kijk het filmpje maar eens hoe makkelijk het is.

Maar het is (voor zover ik het lees) ook heel eenvoudig te ondervangen : ’Only allow compliant devices to access Microsoft 365 using a conditional access policy‘.

HKLM_ schreef op maandag 13 mei 2024 @ 20:18:
[...]


Klopt! Alleen ik kom heeeeeel veel bedrijven tegen die dat niet op orde hebben of überhaupt geen CA op orde hebben…

Niet alleen foutief, er zijn ook organisaties waar de keuze is gemaakt om bijv. wel toegang via een browser toe te staan, dus dat de compliant device policy alleen geldt voor Modern Auth apps. Omdat het bijvoorbeeld wordt toegestaan om op een thuiscomputer wel via de Office Web Apps te werken.