Microsoft Intune ervaringentopic

ibmpc schreef op woensdag 5 juni 2024 @ 07:00:
[...]

Dan blijft het probleem met mensen in het veld die zelf laptops bij de Best Buy halen. Waarvan ik vind dat het moet kunnen trouwens, mits Windows Pro.

Ik gebruik dit script, werkt als een trein.
https://andrewstaylor.com...windows-10-11-via-script/

Hoef je ook geen fresh start te doen.

[ Voor 4% gewijzigd door ReZpie op 05-06-2024 08:42 ]

Yeah! Eindelijk!

Hmm....interessant proces wel: https://learn.microsoft.c...oup#create-a-device-group

[ Voor 18% gewijzigd door TheVMaster op 05-06-2024 09:10 ]

TheVMaster schreef op woensdag 5 juni 2024 @ 09:04:
[Afbeelding]

Yeah! Eindelijk!

Hmm....interessant proces wel: https://learn.microsoft.c...oup#create-a-device-group

Stap 7 is wel een beetje laat in het proces, vind ik..

HKLM_ schreef op woensdag 5 juni 2024 @ 10:56:
[...]


Komt omdat het "optional" is denk ik

Ik denk het ook.

ibmpc schreef op woensdag 5 juni 2024 @ 03:50:
Nou, ik heb dus een Intune Remediation script geschreven om de McAfee bloatware te verwijderen, omdat de gangbare Google hits uit gaan van een oudere versie van McAfee. De McAfee removal tool werkt niet meer silent.

Het script is een beetje hit or miss. De Fresh Start met behoud van userdata heeft een slaagrate van 100%, dit script maar 50%. McAfee doet er echt alles aan om zichzelf vast te lijmen aan systemen, waaronder ownership van registersleutels toeeigenen zodat je niet zomaar silent kunt uninstallen. Ik denk dat we bij de Fresh Start blijven voor bloatware devices, want dit werkt eigenlijk het beste. Bovendien werkt dit ook voor customer procured devices waar vaak nog meer bloatware op staat.

Ik voorzie McAfee als volgende stap nemen dat ze zich gaan nestelen in WinSxS, zodat zelfs na een Fresh Start McAfee blijft hangen.

Een vriendin van mij heeft een AR-10 (helaas geen Hollandse van Artillerie Inrichtingen) en ik heb wat McAfee promotiemateriaal. Van het weekend ga ik wat lol hebben en ik gooi het script weg. Ik heb het zo gehad met die McAfee troep en ik begrijp echt niet hoe het voor Dell of Microsoft goed kan zijn om deze troep mee te leveren. Het zou mij niet verbazen als Fresh Start met behoud van userdata bestaat door McAfee.

Moet je eens een HP laptop zien met zijn Wolf Security. Bijna onmogelijk om die tool van laptops af te halen. Heb er een remediation voor, maar die triggert danweer tijdens de autopilot fase wat er weer voor zorgt dat de provisioning faalt want 2 installers willen gelijktijdig het systeem aanpassen

En als package ertussen gooien is ook geen optie omdat die rommel gewoon terugkeert bij de eerstevolgende driver updates.

Doar goat ie.

---

@Blokker_1999 Als dependency opvoeren is ook geen optie? Dan wacht het namelijk met het uitvoeren van de installatie tot app X is gedetecteerd.

[ Voor 17% gewijzigd door Quad op 05-06-2024 13:48 ]

@quad, zo uninstallen is een optie, maar de software komt dus altijd terug omdat HP deze verstopt in driver updates . Daarom heb je dus ook een remediation nodig. Of ik zou voor de app detectie eventueel een custom script kunnen schrijven dat de HP tools gaat zoeken en als ze gevonden worden het uninstall script draait.

Blokker_1999 schreef op woensdag 5 juni 2024 @ 13:28:
[...]


Moet je eens een HP laptop zien met zijn Wolf Security. Bijna onmogelijk om die tool van laptops af te halen. Heb er een remediation voor, maar die triggert danweer tijdens de autopilot fase wat er weer voor zorgt dat de provisioning faalt want 2 installers willen gelijktijdig het systeem aanpassen

En als package ertussen gooien is ook geen optie omdat die rommel gewoon terugkeert bij de eerstevolgende driver updates.

Je kan een check in je script bouwen dat hij niet gerund wordt in de esp

https://oofhours.com/2023...ing-when-you-are-in-oobe/

Via een Win32 app rollen wij de netwerkprinters uit (Follow-Me) naar de Intune managed devices. Ik loop alleen tegen het issue aan dat zodra een client wordt ingespoeld met Autopilot vanaf een externe locatie de app logischerwijs faalt omdat de share op dat moment niet bereikbaar is, en de printers dus niet gemapped kunnen worden. Heeft iemand een script waarmee ik bijvoorbeeld kan aangeven dat er eerst gekeken wordt of de DNS / IP range bereikbaar is voordat de connectie daadwerkelijk wordt opgebouwd.

Hoor graag.

Ik zou je vraag bijna letterlijk in chatgpt zetten met 't script die je nu hebt. Vraag om wat condities en dan krijg je het wel.

HKLM_ schreef op vrijdag 7 juni 2024 @ 09:19:
ik kwam gisteravond deze blog tegen: https://oofhours.com/2024...prises-including-updates/ en daar staat wel iets interessants in m.bt. 24H2

[Afbeelding]

Die kwam ik ook al tegen op m'n test machine. Vaag dat ik btw (ik had een 23H2 ISO, maar die had niet de laatste KB geinstalleerd blijkbaar) niet direct de nieuwe AP interface kreeg. Maar na een eerste test is het ook hier gelukt



Ik zie hem wel direct terug in de Monitoring btw.

[ Voor 15% gewijzigd door TheVMaster op 07-06-2024 10:12 ]

Beetje illegale software posten, jij durft

D_Jeff schreef op vrijdag 7 juni 2024 @ 10:16:
Beetje illegale software posten, jij durft

Zeker niet, is cloud activated. Is nog in trial mode he, zodra ik ben ingelogd is dit gefixt.

HKLM_ schreef op vrijdag 7 juni 2024 @ 10:49:
Ik krijg met Windows Autopilot device preparation nog wel deze schermen Heb wel een Corporate device indentifier van mijn VM) maar ik zou toch verwachten dat deze schermen niet komen?

[Afbeelding]

Ik heb die verwachting ook wel, maar 'het systeem' weet op dat moment alleen dat het een corporate device is en dat is het dan ook wel.

HKLM_ schreef op vrijdag 7 juni 2024 @ 10:59:
[...]


Oke, ik vindt dit wel echt een soort achteruitgang m.b.t Autopilot en de opties.
Snap dat het nieuw is en microsoft dit nog verder wilt ontwikkelen maar met al die "handmatige" acties die er nu in zitten ga ik het niet inzetten bij klanten zelfs niet voor een MKB, op deze manier is het meer device preparation dan autopilot device preparation.

Het is op dit moment ook geen vervanger van de traditionele Autopilot experience voor wat ik heb begrepen, maar een extra optie.

[ Voor 3% gewijzigd door TheVMaster op 07-06-2024 11:02 ]

HKLM_ schreef op vrijdag 7 juni 2024 @ 11:02:
[...]


Nee het zal voor nu naast elkaar blijven bestaan maar wat is nu dan echt de meerwaarde van Windows Autopilot device preparation?

Geen idee, ik heb er nog niet genoeg naar gekeken. Voordeel is vooral dat je geen hardware hash hoeft te importeren Dus mogelijk betere 'onboarding experience' voor mensen die hun pc bij de MediaMarkt?

Ik zie het ook nog niet zo gauw, sterker, heb het nu 2x geprobeerd en ben er al wel weer ff klaar mee.

Wederom een Entra vraag en geen Intune vraag

Hoe krijg je MFA ingeschakeld op een Entra Free tenant? Bijvoorbeeld een tenant waar alleen een Microsoft 365 Business Basic in zit? Ik ben bekend met Security Defaults, maar Security Defaults zet niet MFA aan. Conditional Access is pas mogelijk bij Entra P1.

[ Voor 18% gewijzigd door ibmpc op 10-06-2024 19:21 ]

@ibmpc gaat per user om af te dwingen: https://account.activedir....aspx?BrandContextID=O365

Is dat niet deprecated?

ibmpc schreef op maandag 10 juni 2024 @ 19:23:
Is dat niet deprecated?

Vooralsnog gewoon mogelijk.
Wat jij bedoeld met MFA defaults vindt je hier: https://learn.microsoft.c...mentals/security-defaults

Aanzetten dwing je het af bij alle accounts.

Als je Entra id premium per gebruiker afneemt, kan je in principe alles doen wat je wilt.

[ Voor 12% gewijzigd door Quad op 10-06-2024 19:28 ]

Quad schreef op maandag 10 juni 2024 @ 19:27:
[...]

Vooralsnog gewoon mogelijk.
Wat jij bedoeld met MFA defaults vindt je hier: https://learn.microsoft.c...mentals/security-defaults

Aanzetten dwing je het af bij alle accounts.

Als je Entra id premium per gebruiker afneemt, kan je in principe alles doen wat je wilt.

Nog 6 maanden geloof ik, dan gaat de per user MFA eruit. Security Defaults zet niet MFA by default aan voor users, maar Microsoft decides when a user is prompted for multifactor authentication, based on factors such as location, device, role, and task. This functionality protects all registered applications, including SaaS applications. Ik heb in de praktijk al gezien dat gebruikers soms niet om MFA wordt gevraagd omdat ze bijvoorbeeld op een locatie zijn waar andere gebruikers ook vaak komen. Nu snap ik dat je prima naar Entra P1 kunt, maar ik geef een eenmalig advies aan een lokaal winkeltje waar ze mijn favoriete Europese snacks verkopen Vorige week is Security Defaults aangezet, maar eigenlijk zouden ze naar MFA moeten. Of is het Microsoft algoritme "goed genoeg?"

Ik zie toevallig net in Entra dat je onder FIDO2 niet meer handmatig de AAGUIDs van de Microsoft Authenticator hoeft toe te voegen en blijkbaar is het mogelijk om zowel attestation te forceren als Microsoft Authenticator aan te zetten. Betekent dat dat Microsoft Authenticator nu attesteerbaar is?

@ibmpc Probeer eens met een account van hen in te loggen op een andere locatie, eens zien of het dan nog steeds wordt gevraagd.
Je hebt MFA per gebruiker al wel in laten stellen via https://aka.ms/mfasetup?

Quad schreef op maandag 10 juni 2024 @ 19:47:
@ibmpc Probeer eens met een account van hen in te loggen op een andere locatie, eens zien of het dan nog steeds wordt gevraagd.
Je hebt MFA per gebruiker al wel in laten stellen via https://aka.ms/mfasetup?

Jazeker. Ik heb in een eerdere tenant al gezien dat een nieuwe gebruiker niet eens wordt gevraagd naar MFA bij een bepaalde koffietent. Microsoft herkent alle grote ketens prima, maar dit was een lokaal koffietentje waar vrijwel alle medewerkers van de organisatie ook weleens online kwamen.

Ik had al een tijdje een vermoeden dat Security Defaults soms geen MFA doet. Ik heb het getest. Nieuwe gebruiker aangemaakt, MFA ingesteld, nieuwe device gepakt, naar de koffietent gegaan, inprivate ingelogd in office.com en er is niet naar MFA gevraagd. Dat komt ook overeen met het artikel van Microsoft. Microsoft vindt in dit geval de koffietent een veilige locatie omdat vrijwel alle medewerkers er komen. Ik vind dat Microsoft daarin iets te makkelijk denkt.

Is niet echt “zero trust” inderdaad

Wie heeft er weleens een Windows 11 upgrade uitgerold op alle machines tegelijk met een enkele configuration policy in Intune?

Voorheen maakte ik altijd batches met "Upgrade Windows 10 devices to Latest Windows 11 release" enabled, maar uit data van onze helpdesk blijkt dat er nog nooit iemand contact heeft opgenomen omdat ze ineens Windows 11 hadden, omdat hun machine niet meer werkt, hun Start menu is verplaatst of wat dan ook. Ook nooit gehad dat een legacy app ineens niet meer werkte.

Dit voorbereiden met batches kost veel tijd. Ik ben nu aangekomen bij een organisatie waar zo'n 500 machines eligible zijn voor Windows 11, maar nog Windows 10 hebben. Heeft iemand weleens heel dom het flipje omgezet op alle devices tegelijk? Gezien eerdere ervaringen verwacht ik eigenlijk geen enkele issue, zelfs niet met korte deadlines en korte grace periods. Ik ben lui en de helpdesk staat achter mij. Als ik domweg het flipje omzet, hoef ik alleen een mailing de deur uit te gooien.

ibmpc schreef op maandag 17 juni 2024 @ 19:55:
Wie heeft er weleens een Windows 11 upgrade uitgerold op alle machines tegelijk met een enkele configuration policy in Intune?

Voorheen maakte ik altijd batches met "Upgrade Windows 10 devices to Latest Windows 11 release" enabled, maar uit data van onze helpdesk blijkt dat er nog nooit iemand contact heeft opgenomen omdat ze ineens Windows 11 hadden, omdat hun machine niet meer werkt, hun Start menu is verplaatst of wat dan ook. Ook nooit gehad dat een legacy app ineens niet meer werkte.

Dit voorbereiden met batches kost veel tijd. Ik ben nu aangekomen bij een organisatie waar zo'n 500 machines eligible zijn voor Windows 11, maar nog Windows 10 hebben. Heeft iemand weleens heel dom het flipje omgezet op alle devices tegelijk? Gezien eerdere ervaringen verwacht ik eigenlijk geen enkele issue, zelfs niet met korte deadlines en korte grace periods. Ik ben lui en de helpdesk staat achter mij. Als ik domweg het flipje omzet, hoef ik alleen een mailing de deur uit te gooien.

Ja zeker. Nooit problemen mee gehad. En toch zou ik er ringen voor maken. Zo veel moeite en tijd kost het niet om 3/4 groepen te maken, met wat verschillende devices van verschillende afdelingen.

Her bespaart een hoop gezeik, mocht er toevallig wel iets stuk gaan. (Drivertje of app ofzo).

ReZpie schreef op maandag 17 juni 2024 @ 20:16:
[...]


Ja zeker. Nooit problemen mee gehad. En toch zou ik er ringen voor maken. Zo veel moeite en tijd kost het niet om 3/4 groepen te maken, met wat verschillende devices van verschillende afdelingen.

Her bespaart een hoop gezeik, mocht er toevallig wel iets stuk gaan. (Drivertje of app ofzo).

Geen zin meer in
Ik vertrouw op de 60 dagen rollback functionaliteit. In alle tests die we voorheen hebben gedaan bij klanten met extreem veel legacy apps, lijkt dat in 100% van de gevallen goed te gaan.

Bovendien, Windows 10 ondersteunt toch alleen geverifieerde drivers en geen unsigned zooi meer zoals in Windows 98?

En Intune admincenter heeft weer een update in het verschiet. links nieuw, rechts huidig.

Hier gelukkig nog op de oude layout, hopelijk is in de nieuwe layout niet standaard alles ingeklapt zoals in Entra het geval is.

In deze tenant is alles open geklapt.
Ik zie het nut er niet van in in elk geval.

Nogne schreef op dinsdag 18 juni 2024 @ 13:09:
Hier gelukkig nog op de oude layout, hopelijk is in de nieuwe layout niet standaard alles ingeklapt zoals in Entra het geval is.

Je kunt de menu's standaard laten uitklappen. Rechts bovenin bij het tandwieltje en dan bij 'Appearance + startup views'.

jdj1996 schreef op woensdag 29 mei 2024 @ 20:29:
Hallo Allemaal,

Ik denk dat ik het niet helemaal duidelijk heb uitgelegd. Uiteraard upload ik eerst de hardware hash naar intune. Daarna doorloop ik het OOBE scherm en kies ik toetsenbord en taalinstellingen. Daarna zou ik verwachten dat de laptop automatisch herstart om het autopilot profiel op te halen. Dit gebeurd dus niet waardoor ik dit handmatig moet doen.

Voorbeeld hiervan is: https://oofhours.com/2024...ps-kb5033055-is-to-blame/

Niet handig omdat de user dan dus nog steeds de keuze heeft om hem local in te stellen of zelf te joinen in Entra ID.

Staat de laptop al aan voor de hardware hash is geüpload en het juiste Autopilot profiel heeft toegekend?
Ik heb hier nog nooit last van gehad en ik heb er in de afgelopen jaren al honderden uitgerold.

RPHN schreef op zaterdag 22 juni 2024 @ 11:58:
[...]

Staat de laptop al aan voor de hardware hash is geüpload en het juiste Autopilot profiel heeft toegekend?
Ik heb hier nog nooit last van gehad en ik heb er in de afgelopen jaren al honderden uitgerold.

Ja, hier drie dagen besteed aan uitzoeken waarom een device van zeker tweehonderd devices geen AutoPilot profiel kreeg. Windows 10 Home Edition en Windows 10 Starter Edition bestaan blijkbaar nog en zijn niet compatible met AutoPilot. Beiden kunnen ook niet Entra Joinen.

ibmpc schreef op zondag 23 juni 2024 @ 08:32:
[...]

Ja, hier drie dagen besteed aan uitzoeken waarom een device van zeker tweehonderd devices geen AutoPilot profiel kreeg. Windows 10 Home Edition en Windows 10 Starter Edition bestaan blijkbaar nog en zijn niet compatible met AutoPilot. Beiden kunnen ook niet Entra Joinen.

Mooi dat het is opgelost. Hier was ik uiteraard niet vanuit gegaan

Ik heb toevallig mijn nieuwe Surface Laptop 7 met Copilot ook geleverd gekregen met Home. Uiteraard meteen geüpgrade naar de Pro versie.

Ik heb een Intune Configuration Setting in een tenant die bij ongeveer de helft van de machines faalt. Ik kan alleen helemaal geen verband terugvinden. Alle machines zijn compliant (Secureboot, TPM, etc.). Het zijn ook machines van verschillende merken, waaronder Dells, Lenovos en nog wat merken.
• Configure System Guard Launch - Altijd succeeded
• Credential Guard - Soms not applicable, soms succeeded
• Enable Virtualization Based Security - soms error 65000, soms succeeded
• Hypervisor Enforced Code Integrity - soms error 65000, soms succeeded
• Require Platform Security Features - soms not applicable, soms succeeded
• Require UEFI Memory Attributes Table - soms error 65000, soms succeeded
Heeft iemand ook deze ervaring en misschien enig idee waar ik moet beginnen met zoeken?

HKLM_ schreef op vrijdag 28 juni 2024 @ 19:55:
[...]


Zijn de devices waar dit mis op gaat wel Windows Enterprise devices? (Upgrade vanuit de E licentie?)

Potjandorie. Daar zit inderdaad een verband. Die Windows edities weer. Zojuist geconstateerd:

Windows 11 Pro - Geen errors, gewoon twee settings not applicable
Windows 11 Enterprise - Geen errors
Windows 11 Business - Veel errors

Dus verstandig is om de app 45a330b1-b1ec-4cc1-9161-9f03992aa49f te blokkeren en rollen de Business edities dan vanzelf terug naar Pro na 30 dagen? De Enterprise machines zullen dan vermoedelijk ook terugvallen? Enterprise heeft voor ons geen voordelen t.o.v. Pro, maar als Business erdoorheen loopt te klieren dan rol ik die liever niet meer uit.

HKLM_ schreef op vrijdag 28 juni 2024 @ 20:13:
[...]


Volgens mij zijn sommige van die functies die je benoemt “enterprise only)….

Klopt. Pro ziet het gewoon als not applicable, Business errort. Dit is een tenant waarbij de eerste 300 gebruikers Business Premium zijn en alles daarboven is E3. Ik had niet verwacht dat Windows 11 Business juist minder functionaliteit had dan Windows 11 Pro.

HKLM_ schreef op vrijdag 28 juni 2024 @ 20:27:
[...]


Ik eigenlijk ook niet , ik ga daar ook eens induiken komende tijd. Al heb ik nu iets te veel projectjes haha

Ach, Microsoft 365 Apps for Business heeft t.o.v. Apps for Enterprise ook beperkingen. Zoals het niet ondersteunen van policies. Wat vreemd is, want ik ben van mening dat je organisaties tussen 2 en 300 users ook wil voorzien van in ieder geval een paar configuration policies.

https://techcommunity.mic...-mdm-feature/ba-p/4176921
Nieuwe feature uit bèta, config refresh.
Je kan nu client side configuraties laten ophalen vanaf elke 30 minuten, ipv ca 8 uur.

Staat alvast klaar in onze template tenant en heb het al bij een paar klanten ingeschakeld. Kan altijd van pas komen.

Vandaag via Endpoint een LAPS configuratie gemaakt en op een specifieke groep laptops (Win 11 22H3) laten landen.
In de config geplaatst dat de gegevens in Entra ID geplaatst moeten worden

Endpoint vermeld later vandaag dat de configuratie is doorgevoerd op mijn test device. Maar zowel Entra ID als Endpoint geven bij het onderdeel "local administrator password" nog steeds aan dat er geen gegevens bekend zijn. Ook een password recycle gedaan (welke volgens de info wordt toegepast) maar de gegevens blijven leeg.

Mijn admin account in Entra ID en Endpoint heeft de benodigde rechten om de info te bekijken..

Iemand een idee wat ik hier fout doe ?

Ik kan niet lokaal inloggen op de devices ( ZT Autopilot devices waar iets mis gaat met de domain join). Wil erop inloggen met het account wat ik hoop via LAPS aan te maken.

Ik heb hiervoor een script gemaakt en in intune met een app uitgerold. Laps roteert dan enkel nog de wachtwoorden. Je moet namelijk ook een account aanmaken, of de built-in administrator gebruiken, maar die laat ik liever uitgeschakeld om bruteforce te voorkomen.

Ik weet dat dit ook via oma uri kan, maar dat zorgt altijd voor foute weergaves, houd ik niet van.

[ Voor 16% gewijzigd door Quad op 01-07-2024 19:19 ]

Quad schreef op maandag 1 juli 2024 @ 19:18:
Ik heb hiervoor een script gemaakt en in intune met een app uitgerold. Laps roteert dan enkel nog de wachtwoorden. Je moet namelijk ook een account aanmaken, of de built-in administrator gebruiken, maar die laat ik liever uitgeschakeld om bruteforce te voorkomen.

Ik weet dat dit ook via oma uri kan, maar dat zorgt altijd voor foute weergaves, houd ik niet van.

Gebruik ook LAPS en wel met het builtin admin account, heb alleen beleid toegevoegd dat het admin account niet over het netwerk, RDP en dergelijke gebruikt kan worden.

ibmpc schreef op zondag 23 juni 2024 @ 08:32:
[...]

Ja, hier drie dagen besteed aan uitzoeken waarom een device van zeker tweehonderd devices geen AutoPilot profiel kreeg. Windows 10 Home Edition en Windows 10 Starter Edition bestaan blijkbaar nog en zijn niet compatible met AutoPilot. Beiden kunnen ook niet Entra Joinen.

Ik heb hetzelfde issue, alleen met dien verstande dat de versie daadwerkelijk wel W11 Pro is. Het verschil met een week geleden op dit apparaat? Is dat er een nieuw moederbord in is gekomen. Het device is in AP verwijderd, en later opnieuw gejoined. Maar de keuzes blijven, gek genoeg.

Hij is nu net gestart met een white glove inrichting, hopelijk komt daar een fout oid uit, en is het misschien slechts een kwestie van TPM ofzo legen.

Iemand ooit al een uitleg tegengekomen waarom de Intune Management Engine nog altijd een 32bit app is? Zonet weer tegen een probleem aangelopen dat veroorzaakt werd doordat ik vergeten was van de 64bit powershell aan te roepen als install command voor een app. Zit je dan weer een tijd op te troubleshooten.

Blokker_1999 schreef op vrijdag 5 juli 2024 @ 18:58:
Iemand ooit al een uitleg tegengekomen waarom de Intune Management Engine nog altijd een 32bit app is? Zonet weer tegen een probleem aangelopen dat veroorzaakt werd doordat ik vergeten was van de 64bit powershell aan te roepen als install command voor een app. Zit je dan weer een tijd op te troubleshooten.

Wellicht vanwege de support van Windows 7 wat toch nog best in veel organisaties wordt gebruikt (32 bit versie) ?
Ik heb die vraag ook al eens gesteld aan ons Microsoft CSAM maar nooit echt een antwoord gehad..

Nog dank voor de antwoorden op mijn vraag in dit topic over LAPS.. ben er achter gekomen waarom het niet werkt:

We maken met een configuratie een lokale user aan met een initieel wachtwoord. Maar dan moet die username wel hetzelfde zijn als de user die we in LAPS aangeven.
Had de configuratie gekopieerd van onze EMEA naar de US tenant maar dus geen aandacht besteed aan de username. In de US tenant is de lokale username dus anders dan in onze EMEA tenant (don't ask.. US security policy).
Username goed gezet en LAPS werkt

Het idiote is dus dat zelfs op arm64 de IME nog altijd als x86 draait. Zie niet direct in waarom men geen platformspecifieke IMEs kan compileren. Lijkt me net iets efficienter om mee te werken.

Blokker_1999 schreef op vrijdag 5 juli 2024 @ 18:58:
Iemand ooit al een uitleg tegengekomen waarom de Intune Management Engine nog altijd een 32bit app is? Zonet weer tegen een probleem aangelopen dat veroorzaakt werd doordat ik vergeten was van de 64bit powershell aan te roepen als install command voor een app. Zit je dan weer een tijd op te troubleshooten.

Mijn aanname is dat de client in de kern (nog steeds) afstamt van de SCCM-client. Die was ook altijd 32-bit dacht ik.

Je ziet het ook terug in de Company Portal, die heeft nog steeds dezelfde ‘feel’ als het Software Center.

Waarschijnlijk kunnen ze opnieuw beginnen als ze het goed willen doen en stellen ze dat nog even uit totdat 32-bit geen ding meer is.

Iemand enig idee of het mogelijk is om BYOD devices, waarvan de eigenaar geen domain account heeft, te registeren in een MS intune omgeving ? Mijn gevoel zegt van niet..

De vraag komt omdat er een vestiging in het buitenland is overgenomen die voorlopig nog geen onderdeel wordt van ons domein maar waar we wel de devices moeten gaan managen qua Windows 10 / 11 updates..

Betreffende locatie heeft geen domein, alle devices draaien stand-alone (pls don't ask...)

Kan wel, je kan via de settings een apparaat enkel als apparaat registreren in Intune.

Dan denk ik wel dat je aansluitend intune device license moet hebben, maar dat terzijde.

HKLM_ schreef op vrijdag 12 juli 2024 @ 10:29:
[...]


Gaat lastig als die geen account heeft zoals @nextware lijkt te suggereren. Beunhaas oplossing is een DEM account gebruiken met deze functie voor tijdelijk.

Die user heeft geen account, maar @nextware heeft natuurlijk wel zelf een account waarmee hij het device in intune kan registreren.

Even via een remotesessie overnemen en profit.

Hoe hebben jullie het volgende opgelost?

Klant van mij heeft nu MAM policies afgedwongen voor de Office apps voor alle toestellen.
Echter gaan alle corporate owned devices supervised worden en willen ze de MAM policies er voor supervised devices af hebben maar nog wel actief houden voor de toestellen die nog niet supervised zijn en voor ingehuurd personeel die hun eigen Device gebruikt.

Het is zover ik weet niet mogelijk om de MAM policies toe te kennen aan een “all users” groep met een exclude op supervised devices.
Een exclude op user groep kan wel echter zorgt dat er ook direct voor dat een medewerker met een supervised device geen MAM policies krijgt zodra diegene zijn privé toestel gebruikt.

HKLM_ schreef op vrijdag 12 juli 2024 @ 10:29:
[...]


Gaat lastig als die geen account heeft zoals @nextware lijkt te suggereren. Beunhaas oplossing is een DEM account gebruiken met deze functie voor tijdelijk.

Wij zitten inderdaad ook te kijken naar DEM..
Het is ook maar een tijdelijke oplossing.. Zolang we het management maar weer gerust kunnen stellen dat dit (tijdelijk) is geregeld zijn ze ook weer blij

HKLM_ schreef op vrijdag 12 juli 2024 @ 11:17:
[...]


Waarom zou je MAM policies voor managed supervised toestellen eraf willen halen? Het is niet zo dat omdat het een Manages / supervised devices is het automatisch veilig is.... Juist de MAM settings zorgen voor de company data beveiliging (Zoals niet kunnen kopieren naar whatsapp bijvoorbeeld of opslaan in MEGA noem maar iets) Manages / Supervised is voor App deployment, remote wipe etc pushen van condig (Security config) maar heeft zeker nog MAM nodig als je bedrijfs data veilig wilt houden.

Ik zou de vraag terug leggen en vragen waarom ze denken dat het veilig is zonder mam en wat hun bedrijfs data waard is. Als het is gebruiks gemakt dan is MAM momenteel verkeerd ingericht

Laat ik het zo zeggen. Omdat een belangrijke groep medewerkers heeft lopen klagen over de MAM policies zijn er al aanpassingen gedaan zodat men kan kopiëren van en naar Outlook en Whatsapp

HKLM_ schreef op vrijdag 12 juli 2024 @ 14:37:
[...]


Duurt even maar heb een reactie van Intune Support via X

Er is momenteel geen X64 versie inderdaad en ook niet in de maak. Ze vroegen mij naar een user case waarom x64 IME nodig zou zijn, die heb ik ze net terug gegeven

Misschien is de x86-64 versie van de Intune Management Engine niet in de maak, maar dat neemt niet weg dat ze misschien wel met iets anders gaan komen.

Kan me niet voorstellen dat ze IME forever gaan emuleren op Copilot+ laptops.

HKLM_ schreef op vrijdag 12 juli 2024 @ 11:39:
[...]


Kopiëren is een voorbeeld dat is stelde en hoeft ook niet erg te zijn, je kan bijvoorbeeld een teken limiet instellen tegenwoordig in de policy. Dan kan je zeggen doe 120 tekens, dan kan je wel een adres etc kopieren maar geen halve documenten wat gewoon een data lek kan zijn. Je beschermt meer tegen onbewust data lekken op deze manier.

En belangrijke medewerkers moeten zich ook aan beleid houden. Ik maak meestal drie MAM policies volgens het Data protection framework https://learn.microsoft.c.../app-protection-framework wat uitgaat van drie layers of security en pas die dan nog wat aan naar klant speciale wensen om een werkbare maar veilige situatie te houden.

Heb je ervaring met de "Filter" optie bij de Assignment?
Bijvoorbeeld (app.deviceManagementType -eq "Managed") gebruiken bij de Assignment op user groups.

makooy schreef op dinsdag 16 juli 2024 @ 11:42:
[...]


Heb je ervaring met de "Filter" optie bij de Assignment?
Bijvoorbeeld (app.deviceManagementType -eq "Managed") gebruiken bij de Assignment op user groups.

Vroegah kon je verschillende MAM policies maken voor managed en unmanaged devices in de policy zelf. Microsoft raadt aan om filters te gebruiken. Ik heb het een tijdje getest, maar ik vond het soms een beetje buggy werken. Inmiddels gebruik ik voor managed en unmanaged devices dezelfde MAM policies, omdat op managed devices doorgaans ook prive apps mogen worden geinstalleerd. Sterker nog, bij een klant is Instagram en Facebook een VPP app

Ik heb een profiel "Enroll AutoPilot" met de switch "Convert all targeted devices to Autopilot" enabled.
Assignments included:
1. Windows devices (dynamic group)
Assignments excluded:
1. AutoPilot devices (dynamic group)
2. Virtual Machines (dynamic group)

De virtuele machines komen netjes in de dynamische groep te staan. Toch worden virtual machines ook enrolled in AutoPilot. Eerst was de assignment de built-in group All Devices, maar omdat het even duurt voordat dynamische groepen gepopuleerd worden, dacht ik dat de uitzondering te laat van toepassing werd. Daarom heb ik als include assignment ook een dynamische groep gebruikt, om dit te voorkomen, maar het werkt niet.

Is er een manier om dit te fixen? Ik wil niet dat Virtuele Machines gaan enrollen, alleen fysieke machines.

ibmpc schreef op woensdag 24 juli 2024 @ 20:57:
Ik heb een profiel "Enroll AutoPilot" met de switch "Convert all targeted devices to Autopilot" enabled.
Assignments included:
1. Windows devices (dynamic group)
Assignments excluded:
1. AutoPilot devices (dynamic group)
2. Virtual Machines (dynamic group)

De virtuele machines komen netjes in de dynamische groep te staan. Toch worden virtual machines ook enrolled in AutoPilot. Eerst was de assignment de built-in group All Devices, maar omdat het even duurt voordat dynamische groepen gepopuleerd worden, dacht ik dat de uitzondering te laat van toepassing werd. Daarom heb ik als include assignment ook een dynamische groep gebruikt, om dit te voorkomen, maar het werkt niet.

Is er een manier om dit te fixen? Ik wil niet dat Virtuele Machines gaan enrollen, alleen fysieke machines.

Dat komt omdat de vm ook een Windows device is en daarmee dus ook in die dynamische groep komt. Neem dus in de Windows dynamic group op dat je géén VM's wilt includen. Met filters is dit ook te realiseren denk ik zo.

FREAKJAM schreef op woensdag 24 juli 2024 @ 21:01:
[...]


Dat komt omdat de vm ook een Windows device is en daarmee dus ook in die dynamische groep komt. Neem dus in de Windows dynamic group op dat je géén VM's wilt includen. Met filters is dit ook te realiseren denk ik zo.

Dus mijn denkwijze is verkeerd dat een exclusion prio heeft boven een inclusion. Thanks!

ibmpc schreef op woensdag 24 juli 2024 @ 21:03:
[...]

Dus mijn denkwijze is verkeerd dat een exclusion prio heeft boven een inclusion. Thanks!

Ik zou wel adviseren om naar filters te kijken. Zeker bij jouw scenario.

Partially supported: assigning policies to a dynamic device group while excluding another dynamic device group is supported. But, it's not recommended in scenarios that are sensitive to latency. Any delay in exclude group membership calculation can cause policies to be offered to devices. In this scenario, we recommend using filters instead of dynamic device groups for excluding devices.

[ Voor 7% gewijzigd door FREAKJAM op 24-07-2024 21:10 ]

FREAKJAM schreef op woensdag 24 juli 2024 @ 21:08:
[...]


Ik zou wel adviseren om naar filters te kijken. Zeker bij jouw scenario.

Partially supported: assigning policies to a dynamic device group while excluding another dynamic device group is supported. But, it's not recommended in scenarios that are sensitive to latency. Any delay in exclude group membership calculation can cause policies to be offered to devices. In this scenario, we recommend using filters instead of dynamic device groups for excluding devices.

Dit was een van onze weinige policies die nog alleen op dynamic groups werkte. Dynamic groups hebben soms een vertraging tot 24 uur, dus we gebruiken die niet heel veel meer. Nu herinner ik mij ook waarom. Soms is het zo simpel

We hebben al enkele dagen een issue dat nieuwe gebruikers geen device kunnen joinen aan Entra en bestaande gebruikers wel, ook al staat hun device enrolled in AutoPilot.

Na headbanging tegen de muur en gibberish in de logfiles, ontdekt dat Entra wel de licentie toewijst, maar Intune niet ziet dat de gebruiker een licentie heeft. Uiteindelijk toch maar contact opgenomen met Microsoft support:

I am writing to inform you that our backend team has identified an issue with license assignment in Intune. As of now, there is a known issue affecting the correct assignment of licenses to your users.

Dit ter info, alsjeblieft niet je hoofd tegen de muur slaan

HKLM_ schreef op vrijdag 26 juli 2024 @ 11:06:
[...]


Leuk is dat als er niet eerst een soort design word gemaakt.... lekker die config verwijderen en opnieuw beginnen. Een basis set van Autopilot + Endpoint Security is niet heel veel werk (Windows specifiek is wat anders uiteraard) Als je verder wil sparren kom dan naar het Intune topic dan weet ik nog wel wat automation voor je om sneller klaar te zijn

Kom maar door.

https://github.com/Micke-K/IntuneManagement
Ik gebruik deze app voor exporteren en importeren van bepaalde standaard configurations bij nieuwe trajecten, werkt goed.

HKLM_ schreef op vrijdag 26 juli 2024 @ 11:06:
[...]


Leuk is dat als er niet eerst een soort design word gemaakt.... lekker die config verwijderen en opnieuw beginnen. Een basis set van Autopilot + Endpoint Security is niet heel veel werk (Windows specifiek is wat anders uiteraard) Als je verder wil sparren kom dan naar het Intune topic dan weet ik nog wel wat automation voor je om sneller klaar te zijn

@HKLM_ hier ben ik en hou me aanbevolen voor wat extra tips & tricks

HKLM_ schreef op vrijdag 26 juli 2024 @ 12:43:
[...]


Oe deze ken ik dan weer niet maar ziet er goed uit Edit: Net gelijk geprobeerd toffe tool!

Werkt echt super simpel, ik export de configs van onze template, even switchen en import deze weer in de klant template, inloggen om wat zaken aan te passen en toe te wijzen, profit. Het scheelt mij zo 2 uur aan werk per tenant, maar het belangrijkste is dat ik dan niet iets over het hoofd zie bij een configuratie.

HKLM_ schreef op vrijdag 26 juli 2024 @ 12:49:
[...]




Wat is de scope van je tenant inrichting?

De huidige scope is dat ik eigenlijk alle vrijheid heb om Intune in te richten.
Echter, toen ik dus vanmiddag door een aantal configuration policies, security items, etc ging bleken er een aantal gekoppeld te zijn aan groepen waar collega's lid van zijn, maar waar ze niks aan hebben (specifieke achtergrond die wordt overschreven door een ander Powershell script, etc). Maar dus ook device configuration settings die gekoppeld waren aan user groepen. Gevolg is dat de logs volstaan met errors, etc.
Ook allerlei apps die beschikbaar zijn waar ik me in vredesnaam van afvraag waarom die zijn geconfigureerd maar totaal niet zijn toegewezen aan groepen.Compliance policies die totaal irrelevant zijn, etc.

Maar de eerste actie die ik heb uitgevoerd is het verbieden dat mensen zelf een BYOD kunnen enrollen. Daarna nog eens een grote schoonmaak houden daarin. Zal een berg schelen aan devices die qua updates niet in orde zijn, etc. Toch weer goed voor de cijfers richting management

Dus ik heb met die IntuneManagement app ( ) een backup gemaakt en ben alles rustig aan het controleren en voor mezelf noteren wat er weg kan, wat er moet blijven maar vooral wat er correct geconfigureerd dient te worden.

De komende weken nog wel wat werk te doen.. En ondertussen een AAD-join AutoPilot configuratie opzetten voor de collega's in het buitenland (Argentinië, Australië, etc). Maar met een omgeving die uit crap bestaat krijg je ook een crap AutoPilot omgeving.

[ Voor 10% gewijzigd door nextware op 27-07-2024 12:36 ]

Iemand toevallig ervaring met een SCEP user / device certificate distributie icm EndPoint en Venafi ?
Device certificaten worden zonder problemen uitgestuurd. Bij de User Enrollment in de 3e ESP fase blijft de enrollment hangen op "Certificates 0 of 1 applied" ..

Als ik het Venafi configuration profile uitschakel in EndPoint, rolt een device zonder problemen uit. Als ik daarna het betreffende configuration profile weer inschakel (nadat het device is uitgerold) dan krijgt de user binnen 30 minuten een certificaat met de gewenste data erin..

Zit er al een hele dag mee te klieren maar even geen idee waar dit door wordt veroorzaakt

Zorg dat je zowel scep profiel als trusted root cert profiel scoped op dezelfde groepen, idealiter user groepen.

[ Voor 6% gewijzigd door FREAKJAM op 31-07-2024 19:41 ]

Issue is opgelost..
Het helpt als je bij de configuratie van het user certificaat niet gebruikt maakt van CN="{{OnPrem_Distinguished_Name}}" als subject.. Aangepast naar
CN={{UserPrincipalName}} en het werkt gelijk op AAD-joined devices..

Voortaan dit soort zaken niet meer gaan configureren als je maar een paar uurtjes slaap achter de rug hebt..

Stomme vraag maar als er een prive iPhone wordt enrolled via Company Portal komt het Ownership op "Corporate" te staan, hoe kan ik er voor zorgen dat deze alsnog automatisch op Personal komt te staan?

makooy schreef op dinsdag 6 augustus 2024 @ 13:51:
Stomme vraag maar als er een prive iPhone wordt enrolled via Company Portal komt het Ownership op "Corporate" te staan, hoe kan ik er voor zorgen dat deze alsnog automatisch op Personal komt te staan?

Dan zul je iets met Graph moeten doen, in combinatie met Powershell. En anders wordt het handmatig omzetten vanuit het Admin Center.

Davidas schreef op dinsdag 6 augustus 2024 @ 14:01:
[...]

Dan zul je iets met Graph moeten doen, in combinatie met Powershell. En anders wordt het handmatig omzetten vanuit het Admin Center.

Een Company Portal enrollment op een device welke niet supervised is(dus ook niet in ABM staat) zou toch altijd een Personal "Ownership" moeten krijgen?

Anders wordt het filteren tussen "Supervised" en "BYOD" ook een lastig verhaal omdat er geen andere verschillende filters mogelijk zijn.