Microsoft Intune ervaringentopic

HKLM_ schreef op maandag 13 mei 2024 @ 20:18:
[...]


Klopt! Alleen ik kom heeeeeel veel bedrijven tegen die dat niet op orde hebben of überhaupt geen CA op orde hebben…

Ik kom niet bij dat soort bedrijven

HKLM_ schreef op maandag 13 mei 2024 @ 20:48:
[...]


Haha wees blij

Dat ben ik ook. Keerzijde is wel weer is dat er heel goed over dat soort zaken moet worden nagedacht, maar goed dat doen we graag.

Ha eindelijk, weer eens een IT forum op GOT die ik in mijn bookmarks wil hebben.

Heeft er al iemand ervaring met file shares beschikbaar maken via global acces?

Is het aan te raden om dit via een file server te doen of met Azure file storage.

Sjod schreef op dinsdag 14 mei 2024 @ 01:23:
Ha eindelijk, weer eens een IT forum op GOT die ik in mijn bookmarks wil hebben.

Heeft er al iemand ervaring met file shares beschikbaar maken via global acces?

Is het aan te raden om dit via een file server te doen of met Azure file storage.

Beiden alleen los van elkaar getest. Ik ben redelijk biased, want ik vind fileservers echt ouderwets en legacy, dus ik zou by default al voor Azure Files gaan los van wat nou eigenlijk de beste keuze is

Sjod schreef op dinsdag 14 mei 2024 @ 01:23:
Ha eindelijk, weer eens een IT forum op GOT die ik in mijn bookmarks wil hebben.

Heeft er al iemand ervaring met file shares beschikbaar maken via global acces?

Is het aan te raden om dit via een file server te doen of met Azure file storage.

Eh…file shares? Ken eigenlijk geen klant die richting Intune gaat en niet gelijk naar OneDrive/Teams/Sharepoint gaat en daarbij verdwijnen vaak de netwerk shares en filmservers.

ibmpc schreef op dinsdag 14 mei 2024 @ 18:19:
[...]


Beiden alleen los van elkaar getest. Ik ben redelijk biased, want ik vind fileservers echt ouderwets en legacy, dus ik zou by default al voor Azure Files gaan los van wat nou eigenlijk de beste keuze is

Ik ben het met je eens. Daarom heb ik me nog nooit in azure files shares verdiept. Uiteindelijk gaat die fileshare namelijk weg. En azure file shares dus ook (in het segment waar wij opereren)

Vaak is het dan goedkoper om een lift en shift te doen van de fileserver.

Sjod schreef op dinsdag 14 mei 2024 @ 21:55:
[...]


Ik ben het met je eens. Daarom heb ik me nog nooit in azure files shares verdiept. Uiteindelijk gaat die fileshare namelijk weg. En azure file shares dus ook (in het segment waar wij opereren)

Vaak is het dan goedkoper om een lift en shift te doen van de fileserver.

In het verleden heb ik weleens migraties naar Azure Files gedaan. Toen was er een beperking dat de sync latency Azure-->OnPrem iets van 8 uur was. Maar OnPrem-->Azure een paar minuten. Is dat nog steeds een beperking? Het is in ieder geval nooit een probleem geweest, want migraties van Azure naar OnPrem komen niet zo vaak voor.

M'n gevoel is wederom biased, maar lift en shift is voor m'n gevoel wel duurder. Je wil die server niet beheren. De built-in tools van Microsoft maken een migratie naar Azure Files makkelijk.

Ik ben juist bezig om een klant van Azure Files naar Sharepoint om te zetten. Kosten voor 100GB opslag lopen op tot over de 200 euro per maand.

Quad schreef op dinsdag 14 mei 2024 @ 22:10:
Ik ben juist bezig om een klant van Azure Files naar Sharepoint om te zetten. Kosten voor 100GB opslag lopen op tot over de 200 euro per maand.

Interessant. SharePoint storage is voor mijn gevoel juist duur. Daarnaast is SharePoint geen fileserver, of is het 100 GB aan Office documenten in Azure Files? Is de reden puur de kosten? Of speelt collaberatie ook mee, wat in SharePoint fenomenaal, maar in Azure Files subpar is?

ibmpc schreef op dinsdag 14 mei 2024 @ 22:19:
[...]

Interessant. SharePoint storage is voor mijn gevoel juist duur. Daarnaast is SharePoint geen fileserver, of is het 100 GB aan Office documenten in Azure Files? Is de reden puur de kosten? Of speelt collaberatie ook mee, wat in SharePoint fenomenaal, maar in Azure Files subpar is?

Kosten, passend maken in huidige licentievorm (Business Premium), eenvoudiger werken met documenten.
Zover ik het kan beoordelen zijn er weinig technische bestanden.
Maar het overzetten naar SharePoint bevindt zicjh ergens achteraan in de totale optimalistatie en omzetting. Eerst Intune MDM inrichten, uitvoeren zodat CA policies, BitLocker, AV enz vast staat.

TheVMaster schreef op dinsdag 14 mei 2024 @ 20:31:
[...]


Eh…file shares? Ken eigenlijk geen klant die richting Intune gaat en niet gelijk naar OneDrive/Teams/Sharepoint gaat en daarbij verdwijnen vaak de netwerk shares en filmservers.

Hoe doen jullie dat dan bij klanten die bijvoorbeeld met CAD data werken of andere latency gevoelige datastructiren?
In mijn ervaring is Sharepoint verre van geschikt voor dat soort dynamische data.

Sjod schreef op dinsdag 14 mei 2024 @ 21:55:
[...]


Ik ben het met je eens. Daarom heb ik me nog nooit in azure files shares verdiept. Uiteindelijk gaat die fileshare namelijk weg. En azure file shares dus ook (in het segment waar wij opereren)

Vaak is het dan goedkoper om een lift en shift te doen van de fileserver.

Het meest gebruikelijke is een verplaatsing van je profiles en home dir naar OneDrive en de fileserver naar Sharepoint. Je machines gaan tegelijk naar Intune en je mail gaat ergens naar EXO.

In dit geval Sharepoint omdat het integreert met zo ongeveer alles. Even een documentje delen met iemand of een groepje. Samenwerken. Het wordt allemaal zo makkelijk mogelijk gemaakt en het integreert ook met alles.

Waar je Sharepoint niet voor moet gebruiken is het opslaan van iets anders dan Office documenten, filmpjes etc. Ik weet een geval waarin iemand een OneDrive van 1TB over de gier wist te krijgen met een paar 100MB aan GIS bestanden. Dat moet je anders regelen.

Maar als je uise case word, excel, powerpoint en wat multimedia is, Sharepoint.

Het was niet mijn bedoeling om een fileshare VS sharepoint/teams discussie te starten. 😀

Alles draait daar al jaren in Teams/Onedrive . Er is nog een specifieke fileshare nodig. Deze draait nu nog in een datacenter samen met een aantal domain controllers en nps servers. Dit wordt nu ook uitgefaseerd, naar een managed domain en dus een fileshare die in azure moet gaan draaien.

En ik was benieuwd of iemand al ervaring had met deze te publiceren via global acces ipv een vpn

HKLM_ schreef op dinsdag 14 mei 2024 @ 21:48:
[...]


Jij zit niet in het MKB of MKB+ daar komt dat echt voor. Intune is een ander project dan de fileserver migreren naar OneDrive/SharePoint/Teams etc vaak door capaciteit in het MKB bij de beheerder die soms ook nog eens alleen is.


En dan krijg je de situatie dat de on-prem fileshare gekoppeld moet worden in het proces

Maar dan begin je toch andersom? EERST de fileshares migreren naar OneDrive en daarna Autopilot en Intun uitrollen. 😎

We hebben een aantal devices die niet usergebonden zijn. Met een AutoPilot Self Deploy rollen die goed uit en alle device policies doen het.

Ik probeer iets heel simpels te doen in Azure, maar volgens mij probeer ik het te ingewikkeld op te lossen of ik zie alleen het bos, maar niet de bomen: Ik probeer een Windows 11 VM in Azure te enrollen in Intune, zonder user affinity. Bij een AVD hostpool selecteer je gewoon Enroll to Intune. Hoe kan ik een normale VM enrollen in Intune? Dit gaat om userless devices of een userless VM. Er draait gewoon een simpel service account op.

ibmpc schreef op woensdag 15 mei 2024 @ 01:29:
We hebben een aantal devices die niet usergebonden zijn. Met een AutoPilot Self Deploy rollen die goed uit en alle device policies doen het.

Ik probeer iets heel simpels te doen in Azure, maar volgens mij probeer ik het te ingewikkeld op te lossen of ik zie alleen het bos, maar niet de bomen: Ik probeer een Windows 11 VM in Azure te enrollen in Intune, zonder user affinity. Bij een AVD hostpool selecteer je gewoon Enroll to Intune. Hoe kan ik een normale VM enrollen in Intune? Dit gaat om userless devices of een userless VM. Er draait gewoon een simpel service account op.

Een hyper-v vm kun je ook niet gebruiken voor self-deployment. Dus ik verwacht een azure vm ook niet…

ZeRoC00L schreef op zondag 19 mei 2024 @ 20:00:
[...]


Een hyper-v vm kun je ook niet gebruiken voor self-deployment. Dus ik verwacht een azure vm ook niet…

HKLM_ schreef op zondag 19 mei 2024 @ 20:15:
[...]


Naar mijn weten kan je een Azure VM alleen via het Windows instellingen menu enrollen in Intune maar inderdaad geen autopilot of pre-provision proces.

Het is mij inmiddels wel gelukt met een omweg. Ik voeg de VM gewoon toe via een AVD hostpool en daarna verwijder ik hem weer uit de hostpool. De Azure VM is daarmee gewoon Intune enrolled en Entra joined.

AVD Intune enrollment is een ander soort enrollment dan via AutoPilot Self Deploy. Als je namelijk een AutoPilot Self Deploy verplaatst naar nieuwe hardware, dan is de Intune enrollment niet meer geldig (want je TPM 2.0 verplaatst niet mee). Als je een Azure VM uitgerold via een AVD hostpool downloadt en in Hyper-V uitvoert, dan blijft de Intune enrollment gewoon actief. Azure kan dus wel degelijk een self deployment doen zonder TPM 2.0 op een virtuele machine.

HKLM_ schreef op zondag 19 mei 2024 @ 20:15:
[...]


Naar mijn weten kan je een Azure VM alleen via het Windows instellingen menu enrollen in Intune maar inderdaad geen autopilot of pre-provision proces.

Klopt dat kan inderdaad niet. Heb dat ooit wel eens geprobeerd.

HKLM_ schreef op woensdag 22 mei 2024 @ 20:04:
Voor wie het nog niet gezien heeft:

Windows deployment with the next generation of Windows Autopilot
https://techcommunity.mic...ws-autopilot/ba-p/4148169

De grootste vraag: wanneer?

Quad schreef op woensdag 22 mei 2024 @ 20:10:
[...]

De grootste vraag: wanneer?

Met de 2405 release, die nu aan het uitrollen is (of de komende dagen gaat beginnen).

Each monthly update can take up to three days to rollout and will be in the following order:

Day 1: Asia Pacific (APAC)
Day 2: Europe, Middle East, Africa (EMEA)
Day 3: North America
Day 4+: Intune for Government

Bron: https://learn.microsoft.c...ne/fundamentals/whats-new en nog wat meer info over de update release https://techcommunity.mic...rvice-updates/ba-p/358728

[ Voor 52% gewijzigd door TheVMaster op 22-05-2024 22:14 ]

Ben benieuwd, ik ben alleen bang dat deze features alleen voor w365 en avd zijn. En je nog steeds hashes moet gaan harvesten voor fysieke devices. Is dit iemand bekend?

[ Voor 5% gewijzigd door ReZpie op 22-05-2024 22:28 ]

ReZpie schreef op woensdag 22 mei 2024 @ 22:27:
Ben benieuwd, ik ben alleen bang dat deze features alleen voor w365 en avd zijn. En je nog steeds hashes moet gaan harvesten voor fysieke devices. Is dit iemand bekend?

Omdat Windows 365 en AVD vanuit portal worden gestart normaliter en nu geen Autopilot hebben, lees ik het als dat ze het Autopilot proces breder gaan trekken. Dus de nieuwe versie zal voor devices en W365/AVD beschikbaar zijn.

Wb de hashes, het is natuurlijk het idee dat de distributeur of fabrikant deze voor je in je portaal plaatst of levert.

[ Voor 10% gewijzigd door Quad op 22-05-2024 22:33 ]

Quad schreef op woensdag 22 mei 2024 @ 22:31:
[...]

Omdat Windows 365 en AVD vanuit portal worden gestart normaliter en nu geen Autopilot hebben, lees ik het als dat ze het Autopilot proces breder gaan trekken. Dus de nieuwe versie zal voor devices en W365/AVD beschikbaar zijn.

Wb de hashes, het is natuurlijk het idee dat de distributeur of fabrikant deze voor je in je portaal plaatst of levert.

Dat snap ik, en dat doen we meestal ook wel. Alleen is dit niet altijd zo handig als je in 45 landen zit, en veel hiervan geen aparte it afdeling heeft, die even bij een dell/hp/microsoft accountant een laptopje kunnen aanschaffen en te laten bezorgen.
Kleine kantoortjes in indonesie bijvoorbeeld.

Het verkrijgen van een id/hash mag wat mij betreft wel makkelijker.


Ze zeggen dat de hashes niet meer nodig zijn in die nieuwe autopilot versie. Vandaar mijn vraag en hoop of dit voor fysieke devices ook geldt. Ik ben benieuwd hoe dit dan zou werken

HKLM_ schreef op donderdag 23 mei 2024 @ 03:44:
[...]


Waar zie jij dat de hashes niet meer nodig zijn? Ik lees alleen een verandering in dynamic groep gebruik?

Post van Rudy Ooms op linkedin.

ReZpie schreef op woensdag 22 mei 2024 @ 22:51:
[...]


Dat snap ik, en dat doen we meestal ook wel. Alleen is dit niet altijd zo handig als je in 45 landen zit, en veel hiervan geen aparte it afdeling heeft, die even bij een dell/hp/microsoft accountant een laptopje kunnen aanschaffen en te laten bezorgen.
Kleine kantoortjes in indonesie bijvoorbeeld.

Het verkrijgen van een id/hash mag wat mij betreft wel makkelijker.


Ze zeggen dat de hashes niet meer nodig zijn in die nieuwe autopilot versie. Vandaar mijn vraag en hoop of dit voor fysieke devices ook geldt. Ik ben benieuwd hoe dit dan zou werken

Ben er wel erg benieuwd naar. Helaas doe ik niet zo veel meer met endpoints, maar die hashes zijn altijd een uitdaging..

Ook erg nieuwsgierig naar de gebruikerservaring. Die was tot nu toe traag en onbetrouwbaar. Hopelijk wordt dat beter.

Wederom een Entra vraag.
We krijgen regelmatig verzoeken van externe consultants voor Global Admin omdat er iets moet worden geimplementeerd (heel diverse zaken) in een Entra P1 tenant (dus geen PIM). Men MOET GA hebben want anders gaat men als een klein kind huilend rollen over de grond. Soms hebben ze ook wel gelijk, dan heeft men net te weinig rechten en moeten we weer extra rollen toekennen. Daar gaan we mee stoppen en als ze blijven springen om Global Admin dan tekenenen ze een extra waiver en krijgen ze van ons een account met alle rollen behalve:
• Global Admin
• Privileged Auth
• Privileged Role
• Partner Tier1
• Partner Tier2
• Guest User
• Restricted Guest User
• User
• Device Users
• Device Join
• Workplace Device Join
• Directory Synchronization Accounts
• Device Managers
• Dynamics 365 Business Central Administrator

Het doel is om alsnog een account aan te leveren wat alle rechten heeft behalve:
• Rechten om de tenant te kapen
• Rechten om de tenant te verwijderen
• Rechten om andere adminaccounts te resetten, van een TAP te voorzien, of om uberhaupt te kapen
• Rechten om iets te doen wat niet vanuit een backup kan worden teruggezet

Ze kunnen alsnog alles kapotmaken, maar dan is er een audit trail en ze kunnen niet de tenant wissen (en dus de audit trail verwijderen). Doet bovenstaande wat ik wil?

ibmpc schreef op vrijdag 24 mei 2024 @ 00:23:
Wederom een Entra vraag.
We krijgen regelmatig verzoeken van externe consultants voor Global Admin omdat er iets moet worden geimplementeerd (heel diverse zaken) in een Entra P1 tenant (dus geen PIM). Men MOET GA hebben want anders gaat men als een klein kind huilend rollen over de grond. Soms hebben ze ook wel gelijk, dan heeft men net te weinig rechten en moeten we weer extra rollen toekennen. Daar gaan we mee stoppen en als ze blijven springen om Global Admin dan tekenenen ze een extra waiver en krijgen ze van ons een account met alle rollen behalve:
• Global Admin
• Privileged Auth
• Privileged Role
• Partner Tier1
• Partner Tier2
• Guest User
• Restricted Guest User
• User
• Device Users
• Device Join
• Workplace Device Join
• Directory Synchronization Accounts
• Device Managers
• Dynamics 365 Business Central Administrator

Het doel is om alsnog een account aan te leveren wat alle rechten heeft behalve:
• Rechten om de tenant te kapen
• Rechten om de tenant te verwijderen
• Rechten om andere adminaccounts te resetten, van een TAP te voorzien, of om uberhaupt te kapen
• Rechten om iets te doen wat niet vanuit een backup kan worden teruggezet

Ze kunnen alsnog alles kapotmaken, maar dan is er een audit trail en ze kunnen niet de tenant wissen (en dus de audit trail verwijderen). Doet bovenstaande wat ik wil?

Om eerlijk te zijn zou ik dat zo 123 niet weten. Maar ik heb Copilot even om z'n inzichten gevraagd en hij zegt dit :

Het lijkt erop dat u een goed doordachte strategie heeft om de beveiliging van uw Entra P1 tenant te beheren. Door de genoemde rollen uit te sluiten, vermindert u inderdaad het risico dat externe consultants ongeautoriseerde acties kunnen uitvoeren die de tenant kunnen schaden of kapen.

bron: Copilot

TheVMaster schreef op vrijdag 24 mei 2024 @ 10:07:
[...]


Om eerlijk te zijn zou ik dat zo 123 niet weten. Maar ik heb Copilot even om z'n inzichten gevraagd en hij zegt dit :

Thanks, ik heb er nu zelfs een PowerShell scriptje voor gemaakt. Binnenkort krijgt geen enkele externe meer Global Admin en gaan we bestaande Global Admins volledig intrekken.

Alweer een Entra vraag, niet Intune gerelateerd.
Copilot geeft mij gelijk, maar toch een dubbelcheck.
Ik wil toegang vanaf priveapparaten toestaan (staat nu helemaal dicht) en daarvoor heb ik de volgende Conditional Access policy getest:

• Users: All users, break glass excluded
• Target resources: All cloud apps
• Network: Any network or location and all trusted locations excluded
• Conditions: Browser
• Grant one of these controls:
• Require phishing resistant MFA en One Time TAP
• Require device to be marked as compliant
• Persistent browser session: Never persistent

Dus is een device compliant, dan krijg je toegang.
Is een device niet compliant, bijvoorbeeld een prive Windows, dan moet je een van de onderstaande doen:
• De device bekend maken als Entra Registered en met Windows Hello inloggen (Settings - Accounts - Email & accounts - Add a work or school account)
• Een Yubikey gebruiken
• Een TAP aanvragen
• Je prive apparaat naar een trusted IP adres meenemen (kantoor IP adressen zijn niet als trusted gemarkeerd)

Verder is er natuurlijk een MFA for all en een Compliance for all, waarvan de laatste wordt omgezet van Modern Auth+Browser naar Modern Auth only. Ook is er een Enrollment restriction zodat je niet een eigen apparaat aan Entra kunt joinen.

Voor guest users zal ik in B2B moeten instellen dat niet alleen externe MFA maar ook externe compliance wordt geaccepteerd. Het is een acceptabel risico om de externe partijen te laten bepalen wat wel/niet compliant is, als ze maar compliant zijn aan hun eigen organisatie.

Het doel is toegang vanaf een prive apparaat toestaan via de browser als je prive apparaat maar bekend is in de tenant en inlogt met een methode die niet vatbaar is voor bijv. AITM.

Gaat dit bereiken wat ik wil bereiken en zet ik niet iets onbedoeld meer open dan het open moet?

HKLM_ schreef op vrijdag 24 mei 2024 @ 20:54:
[...]


Waarom zou je prive apparaten willen toestaan? En waarom op deze manier?

Omdat men vanwege beleid al toegang moet hebben vanaf prive apparaten, bijvoorbeeld om vanaf een privecomputer Teams Web te benaderen. Wij hebben het alleen een hele tijd geleden dichtgezet, wat net een stap te ver was

Als je al iets gaat doen met prive apparaten gebruik dan gewoon MAM

MAM voorkomt niet AITM. Ik heb de policy gebouwd met AITM in het achterhoofd.

HKLM_ schreef op woensdag 22 mei 2024 @ 20:04:
Voor wie het nog niet gezien heeft:

Windows deployment with the next generation of Windows Autopilot
https://techcommunity.mic...ws-autopilot/ba-p/4148169

Kan het zijn dat het niet in de 2405 release is gekomen?
Ik zit op m'n eigen tenant op 2405, maar windows autopilot device preparation is niet aanwezig.

HKLM_ schreef op vrijdag 24 mei 2024 @ 21:00:
[...]


Hoe ga je dan je data beschermen op pc devices? Ga je die dan ook uitrollen met MDE? en beleid volgens de organisatie? Hoe zorg je ervoor dat ze

Leuk dan mensen met prive computers teams web moeten hebben maar daar kan je gewoon MAM for Edge inzetten of zorg dat mensen een Windows 365 pc krijgen.

Privé apparatuur enrollen in je zakelijke omgeving is vragen om problemen wat mij betreft.

MAM voor Edge is uit zichzelf niet bestand tegen AITM en heeft dus additionele policies nodig.
Prive apparaten worden niet Entra joined maar Entra registered.

HKLM_ schreef op vrijdag 24 mei 2024 @ 21:07:
[...]


Oke, maar nogmaals de vraag hoe ga je je data op dit soort devices beveiligen?

Niet
Org heeft geaccepteerd dat MAM voldoende is, ik heb er zelf doorheen getrapt dat er minimaal AITM bescherming nodig is voordat ik het implementeer.

HKLM_ schreef op vrijdag 24 mei 2024 @ 21:06:
[...]


Klopt! Ze communiceren eind mei momenteel en 2405 is wat vroeger deze maand.

Thanks! Waar kijk je voor dergelijke updates als ik vragen mag? Mss valt er ergens te abonneren dmv rss oid.

HKLM_ schreef op vrijdag 24 mei 2024 @ 21:06:
[...]


Klopt! Ze communiceren eind mei momenteel en 2405 is wat vroeger deze maand.

Vind dat wel raar. Ze zeiden dat het onderdeel was van de 2405 volgens mij. Hmm....dus kan ik mijn Autopilot workshop met de klant toch beter een week uitstellen, want die nieuwe features wil ik wel graag ff meenemen.

TheVMaster schreef op vrijdag 24 mei 2024 @ 21:16:
[...]


https://aka.ms/intunewhatsnew

Mja eigenlijk wil je wat ze op korte termijn gaan implementeren, dat zijn de leuke dingen. Die what's new ken ik al en is dezelfde pagina als uit het Intune portaal.
Desalniettemin bedankt!

HKLM_ schreef op vrijdag 24 mei 2024 @ 21:17:
[...]


Jij zou de memo toch wel moeten hebben Ik heb Lior eind mei zien communiceren in hun berichten.

eh...ik quote :

The next generation of Windows Autopilot is now official! Thrilled to share that 'Windows Autopilot Device Preparation' will be available in this month's Intune update, with more features to follow.

Bron: https://www.linkedin.com/...ivity:7199090442670387200

Dus nee, ik had daar niet gelezen dat het eind mei zou zijn. Maar goed, ik zit ook op de 2405 en heb die features ook nog niet.

[ Voor 28% gewijzigd door TheVMaster op 24-05-2024 21:21 ]

HKLM_ schreef op vrijdag 24 mei 2024 @ 21:20:
[...]


Check je DM

Waarom niet gewoon hier plaatsen?

HKLM_ schreef op vrijdag 24 mei 2024 @ 21:10:
[...]


Oké bijzonder, goed dat je iets doet maar wel een kansloos beleid wat mij betreft

Wat achtergrondinfo: Men heeft veel last van kwijtgeraakte laptops. We opereren over 50 staten en men reist enorm veel. Het is niet altijd mogelijk om snel genoeg een apparaat bij iemand te krijgen. Het komt best vaak (wekelijks) voor dat men zelf even een laptop haalt bij de Best Buy en dan is er nu eenmaal toegang nodig. Die toegang moet met AITM worden beschermd. Yubikeys zijn ook niet altijd een oplossing want zelfs die raken kwijt.

HKLM_ schreef op vrijdag 24 mei 2024 @ 21:27:
[...]


Normaal wel maar ze hebben Cloud PKI ook buiten de normale release in de ux van Intune gezet en geactiveerd bijvoorbeeld.

Ja, dat is ook weer waar. Maar goed, ik heb APv2 nodig, want zit in een druk project waarbij we AP gaan doen en ik dus wel de nieuwe features wil kunnen inzetten.

TheVMaster schreef op vrijdag 24 mei 2024 @ 21:24:
[...]


Wel slordig btw, maar los daarvan? Ze kunnen dan toch (als een laptop bij de Best Buy kopen) ook gewoon Autopilot doen (helemaal met de v2 die er aankomt)?

En Bitlocker is vrij makkelijk te hacken als je een beetje handig kunt solderen. Dus ja, slordig.
We hebben een tijdje laptops die men ter plekke aanschaft gewoon toegevoegd aan AutoPilot. Mijn wens is om Windows 365 in te zetten voor dit soort situaties, maar zo ver ben ik over een tijdje pas

HKLM_ schreef op vrijdag 24 mei 2024 @ 21:34:
[...]


Die bitlocker soldeer hack kan je inderdaad uitvoeren maar sjors die de laptop in de bus vindt kan dat echt niet doen nee. Een state hacker met meer faciliteiten kan dag makkelijk maar dan heb je al andere zorgen denk ik.

Zo is dat. Maar als je idd een state hacker achter je aan hebt, dan heb je wel andere zorgen. Verwacht ook wel dat er voor de laptops van dat soort 'targets' ook wel andere maatregelen genomen zijn.

TheVMaster schreef op vrijdag 24 mei 2024 @ 21:32:
[...]


Wacht even bitlocker is vrij makkelijk te haken en [i[als je een beetje handig kunt solderen[/i] in een zin? Ik weet niet, maar je slaat denk ik ff een paar stappen over.

Je beschrijft nu overigens ook iets wat theoretisch een mogelijkheid zou kunnen zijn, al vraag ik me wel af of moderne laptops echt zo makkelijk te 'hacken' zijn door een 'leek'.

99.9% van de gestolen laptops wordt gewoon opnieuw geinstalleerd en verkocht. Op 0.1% zou een poging kunnen worden gedaan om alsnog bij de data te komen.

Ik weet dat Secureboot een koude aanval een beetje kan beperken, maar is het niet zo dat als je een laptop opstart, dat de decryption keys gewoon in het RAM geheugen staan? We hebben geen pre-boot PIN dus missen we die bescherming.

TheVMaster schreef op vrijdag 24 mei 2024 @ 21:32:
[...]


hehe ik ben nu net begonnen met een project met 40.000 devices . Ach, we hoeven de MVP pas eind augustis klaar te hebben, dus dat moet wel lukken.

Oef, ik vind het wel interessant hoe daarmee om te gaan.. Mijn projecten zijn stuk kleiner, van 5 tot 100 werkplekken op dit moment.

Quad schreef op vrijdag 24 mei 2024 @ 21:51:
[...]

Oef, ik vind het wel interessant hoe daarmee om te gaan.. Mijn projecten zijn stuk kleiner, van 5 tot 100 werkplekken op dit moment.

Ik doe eigenlijk alleen maar projecten van deze omvang Soms verlang ik wel eens terug naar de tijd van de projecten met < 500 devices Komt zoveel meer bij kijken bij projecten van die omvang. Voordeel is wel dat ik dan alleen het Intune deel doe en een groep andere collega's de hele security en/of identity stack.

Maar is dat qua Intune dan zoveel anders dan kleinere omgevingen? Je target natuurlijk heel veel policies op heel veel groepen. De basis zal wel hetzelfde zijn.

Quad schreef op vrijdag 24 mei 2024 @ 21:53:
Maar is dat qua Intune dan zoveel anders dan kleinere omgevingen? Je target natuurlijk heel veel policies op heel veel groepen. De basis zal wel hetzelfde zijn.

Nou, in de basis is het natuurlijk hetzelfde. Maar vaak heb je te maken met verschillende groepen die dan weer delen kunnen beheren. Daarnaast is er vaak veel meer oog voor security. Dus je wilt niet dat een 'gewone' Intune beheerder ook de management werkstations (die in een SOC gebruikt worden etc) kan beheren/wipen.

Veel Scope tags en veel RBAC rollen dus.

Voor mij inmiddels al weer 3-4jaar geleden dat ik Intune/AutoPilot heb uitgerold voor een organisatie van 400-500man.

Ik ben nu aan het voorsorteren op implementatie bij een organisatie van 80-100man...

Het is een puinhoop, zie sysadmin topic.

Ik heb alleen vrij weinig gedaan met Intune de laatste jaren.
Iemand die een tip heeft voor een basic set policies enzo die voldoen aan ISO27001 of iets van CIS ofzo waar ik mee kan beginnen?

Csotranme schreef op vrijdag 24 mei 2024 @ 22:00:
Voor mij inmiddels al weer 3-4jaar geleden dat ik Intune/AutoPilot heb uitgerold voor een organisatie van 400-500man.

Ik ben nu aan het voorsorteren op implementatie bij een organisatie van 80-100man...

Het is een puinhoop, zie sysadmin topic.

Ik heb alleen vrij weinig gedaan met Intune de laatste jaren.
Iemand die een tip heeft voor een basic set policies enzo die voldoen aan ISO27001 of iets van CIS ofzo waar ik mee kan beginnen?

CIS kun je hier vinden : https://www.cisecurity.org/benchmark/intune

@Csotranme kijk vanuit toegang voor wie, toegang tot en toegang vanaf. Dat is allemaal conditional access gerelateerd.

Qua Intune ligt die focus op basissets als bitlocker, E/X DR denk ik, veel meer niet.

@Csotranme Gelaagd aanpakken is mijn advies.
Eerst een fundament bouwen (laag 1), zodat de medewerkers van de klant niet teveel in de weerstand modus zitten.

MFA hoeft trouwens niet altijd in laag 1 in te zitten, maar zonder MFA is je cyber verzekering exit

Verder kan je de Microsoft Security Score ook als prima uitgangspunt gebruiken

Qua iso, zorg dat gebruikers geen localadmin zijn. En voor de rest is het ISO verhaal vooral interne procedure voor die partij op gebied van risicomanagement.

Conditional Access heb ik aardig op de korrel. Daar ben ik toevallig vorig jaar nog wel mee bezig geweest.

Het gaat me echt om het Intune deel en het deployen en de app protection policies eigenlijk.

Is het nog steeds zo'n gelazer met apps bouwen? Ik ben namelijk sterk geneigd om Liquit of PatchMyPC te adviseren ongeacht er schijnbaar een oplossing vanuit MS komt dit jaar.

@Quad uiteraard ze zijn nu allemaal local admin en dat wil ik eigenlijk volgende week er al uit slopen maar meneer de hobby bob heeft die rechten met het handje op de laptop zelf ingesteld dus ikke kan weer gaan scripten...

Csotranme schreef op vrijdag 24 mei 2024 @ 22:11:
Conditional Access heb ik aardig op de korrel. Daar ben ik toevallig vorig jaar nog wel mee bezig geweest.

Het gaat me echt om het Intune deel en het deployen en de app protection policies eigenlijk.

Is het nog steeds zo'n gelazer met apps bouwen? Ik ben namelijk sterk geneigd om Liquit of PatchMyPC te adviseren ongeacht er schijnbaar een oplossing vanuit MS komt dit jaar.

@Quad uiteraard ze zijn nu allemaal local admin en dat wil ik eigenlijk volgende week er al uit slopen maar meneer de hobby bob heeft die rechten met het handje op de laptop zelf ingesteld dus ikke kan weer gaan scripten...

Wat voor gelazer met app bouwen bedoel je? Je doelt op updates voor apps zoals 7-Zip, Adobe Reader enzo?

Qua monitoring werkplek leveren wij RMM oplossingen ernaast, zoiets vind ik wel een pre.

App protection werk in zelden mee, zijn toch meer enterprise opties helaas. Wel qua protection binnen Android /iOS, werkt wel weer goed.

@TheVMaster exact en het twijfelachtige karakter van Intune waar je maar moet afwachten wanneer hij eens wat gaat doen.
iets zoals Liquit is vrijwel instant als je er een update uit trapt en 10x makkelijk te bouwen.
Ik heb vaak zat destijds met Intune gehad dat ik aan mezelf begon te twijfelen en dat ik een fout gemaakt had. Was gewoon de delay van Intune.

@HKLM_ hmm moet ik toch eens bekijken dan. Wellicht dat dat een hoop kopzorgen scheelt.

Hoe zit het nu met AutoPilot? v2 komt eraan wat een verbetering lijkt maar is een mix van verschillende soorten apps nog steeds gezeik? Ik had destijds de meest random timeouts en errors tijdens OBE en software install.

@Csotranme je kan wel users weg mikken via Intune uit de local admin groep. 👍 Check account protection onder security in intune.

Anders even scripten dat elke user uit de local admin groep wordt gegooid muv van wat je wilt uitsluiten.

Kan chatgpt wel mee helpen. 👍

Csotranme schreef op vrijdag 24 mei 2024 @ 22:18:
@TheVMaster exact en het twijfelachtige karakter van Intune waar je maar moet afwachten wanneer hij eens wat gaat doen.
iets zoals Liquit is vrijwel instant als je er een update uit trapt en 10x makkelijk te bouwen.
Ik heb vaak zat destijds met Intune gehad dat ik aan mezelf begon te twijfelen en dat ik een fout gemaakt had. Was gewoon de delay van Intune.

@HKLM_ hmm moet ik toch eens bekijken dan. Wellicht dat dat een hoop kopzorgen scheelt.

Hoe zit het nu met AutoPilot? v2 komt eraan wat een verbetering lijkt maar is een mix van verschillende soorten apps nog steeds gezeik? Ik had destijds de meest random timeouts en errors tijdens OBE en software install.

Ik moet zeggen dat Intune eigenlijk altijd wel responsive is, qua policies en apps. Enige wat ik soms mis is 'realtime' reporting. Sommige zaken zijn gewoon niet realtime, al worden daar wel enorme slagen gemaakt.

Enterprise App management is idd wel iets wat je kan helpen idd. De vernieuwde Autopilot gaat wel verbeteringen brengen, maar ik weet zo ff (nog) niet wat dat precies gaat betekenen m.b.t. mixen van apps.

TheVMaster schreef op vrijdag 24 mei 2024 @ 22:21:
[...]


Ik moet zeggen dat Intune eigenlijk altijd wel responsive is, qua policies en apps. Enige wat ik soms mis is 'realtime' reporting. Sommige zaken zijn gewoon niet realtime, al worden daar wel enorme slagen gemaakt.

Enterprise App management is idd wel iets wat je kan helpen idd. De vernieuwde Autopilot gaat wel verbeteringen brengen, maar ik weet zo ff (nog) niet wat dat precies gaat betekenen m.b.t. mixen van apps.

hmm mijn ervaring is anders
Ik heb destijds menig pc bijna het raam uit gegooid omdat Intune gewoon een policy of app niet wilde deployen...
Of in het geval van AutoPilot een laptop enrollen: 1ste keer gaat prima, 2de keer timeout of error. En Intune gaf je natuurlijk de random typische MS errorcode waar je geen reet me kon.

Csotranme schreef op vrijdag 24 mei 2024 @ 22:25:
[...]


hmm mijn ervaring is anders
Ik heb destijds menig pc bijna het raam uit gegooid omdat Intune gewoon een policy of app niet wilde deployen...
Of in het geval van AutoPilot een laptop enrollen: 1ste keer gaat prima, 2de keer timeout of error. En Intune gaf je natuurlijk de random typische MS errorcode waar je geen reet me kon.

Tja, dat is volgens mij ook de reden dat ze Autopilot hebben aangepakt. Maar ik ben het wel met je eens, er zijn genoeg zaken die nog beter kunnen.

TheVMaster schreef op vrijdag 24 mei 2024 @ 22:28:
[...]


Tja, dat is volgens mij ook de reden dat ze Autopilot hebben aangepakt. Maar ik ben het wel met je eens, er zijn genoeg zaken die nog beter kunnen.

Inderdaad. Anders zijn er ook geen 3rd party oplossingen die in dat gat springen.
Als er geen gat is...

Nu we hier toch zijn: gevalletje klok/klepel hier en heb het nog niet uitgezocht maar is er een meerwaarde om Samsung Knox erbij te pakken ofzo voor Android?
Wat is de meerwaarde t.o.v. gewoon een Enterprise corporate owned workprofile enrollment te doen?

Csotranme schreef op vrijdag 24 mei 2024 @ 22:34:
[...]


Inderdaad. Anders zijn er ook geen 3th party oplossingen die in dat gat springen.
Als er geen gat is...

Nu we hier toch zijn: gevalletje klok/klepel hier en heb het nog niet uitgezocht maar is er een meerwaarde om Samsung Knox erbij te pakken ofzo voor Android?
Wat is de meerwaarde t.o.v. gewoon een Enterprise corporate owned workprofile enrollment te doen?

Ik zie de meerwaarde zo direct niet, vooral omdat lang niet alle Android telefoons Knox ondersteunen. Voor Apple doen we wel vaak ABM, maar voor Android volstaat Enterprise Corporate Owned with Work Profile idd vaak.

TheVMaster schreef op vrijdag 24 mei 2024 @ 22:38:
[...]


Ik zie de meerwaarde zo direct niet, vooral omdat lang niet alle Android telefoons Knox ondersteunen. Voor Apple doen we wel vaak ABM, maar voor Android volstaat Enterprise Corporate Owned with Work Profile idd vaak.

Dank, bevestigd mijn idee

Klant had al een quote van een toko die MDM kon doen als uitbesteding maar moest er grof geld bij voor (verplicht) Knox.

ABM snap ik maar hier hebben ze maar 2 iphones in omloop. de rest, 40-50, is Samsung. die iphones gaan er dus gewoon uit.

Naja ik vind het inderdaad wel bijzonder dat Microsoft geen realtime communicatie tussen endpoint en Intune heeft. Het zou zoveel schelen en bepaalde tooling (shadow it?) overbodig maken.

Quad schreef op vrijdag 24 mei 2024 @ 22:55:
Naja ik vind het inderdaad wel bijzonder dat Microsoft geen realtime communicatie tussen endpoint en Intune heeft. Het zou zoveel schelen en bepaalde tooling (shadow it?) overbodig maken.

Ik ben eigenlijk ook wel benieuwd wat ze van SCCM hergebruikt hebben aan de achterkant.

SCCM was ook altijd zo log en traag (nogsteeds) en maar gokken wanneer hij een keer wakker werd en ging applyen met 0 info.

Quad schreef op vrijdag 24 mei 2024 @ 22:55:
Naja ik vind het inderdaad wel bijzonder dat Microsoft geen realtime communicatie tussen endpoint en Intune heeft. Het zou zoveel schelen en bepaalde tooling (shadow it?) overbodig maken.

Vergeet niet dat we het hebben over een cloud platform wat miljoenen endpoints bediend. Realtime communicatie is volgens mij best lastig op die schaal. Daarnaast moet ik zeggen dat zaken toch best vaak goed gaan, heb (behalve de reporting op sommige vlakken) maar weinig het gevoel dat het traag en SCCM-like reageert.