Microsoft Intune ervaringentopic

HKLM_ schreef op woensdag 13 augustus 2025 @ 10:11:
Plan for Change: Windows quality updates during the out-of-box experience

Beginning with the September 2025 Windows security update, quality updates will get installed by default during the out-of-box experience (OOBE) for devices that are on Windows 11, version 22H2 or later.

Een configuratie setting komt beschikbaar binnen de ESP settings.

Staat in het message center: https://admin.microsoft.c...nter/:/messages/MC1134168

[ Voor 10% gewijzigd door Quad op 13-08-2025 20:21 ]

Blokker_1999 schreef op dinsdag 12 augustus 2025 @ 16:34:
Hmm, krijg hier klachten van mensen dat er bij hen Credential Guard aan staat, ga kijken in mijn configuratieprofielen en zie dat ik daar expliciet Credential Guard uitzet op dit moment. Ga ik de status navragen van getroffen systemen dan zegt Intune ook gewoon dat de policy correct is toegepast.

Iemand een idee hoe het dan toch kan dat Credential Guard aan staat?

En neen, ik heb geen nood aan waarom je het beter wel aan kunt zetten. Als ik kon, dan zou ik het ook aanzetten voor iedereen, maar dat is een gevecht voor een andere keer.

Hello,

Hope all is great!
The issue has been repeatedly reported yesterday, as it's been escalated to higher engineer for further investigation, and the fix is supposed to be pushed for the affected tenants.

nextware schreef op woensdag 20 augustus 2025 @ 10:49:
Voor de medebeheerders die gisteren hebben gemerkt dat Compliance policies niet worden getoond in het "Device Compliance" overzicht onder een device:


[...]


Wij hadden hier dus last van. Als we een device bekeken werden er onder "Device Compliance" geen compliance policies getoond. In het overview werd er wel getoond dat een device compliant (of niet) is.
Wordt dus binnenkort opgelost door Microsoft.

ZeRoC00L schreef op donderdag 21 augustus 2025 @ 13:10:
Shared devices van maken, dan worden profielen ook verwijderd na x dagen.

ZeRoC00L schreef op donderdag 21 augustus 2025 @ 13:10:
Shared devices van maken, dan worden profielen ook verwijderd na x dagen.

HKLM_ schreef op donderdag 21 augustus 2025 @ 14:44:
[...]
@Drardollan Mocht je WHFB gaan inzetten in je organisatie of passwordloos gaan. Kijk dan goed naar je shared devices want WHFB met PIN is niet supported op shared devices ivm beperkingen in de opslag van de TPM chip. Ga je passwordless dan zou je web signing voor de shared devices kunnen aanbieden bijvoorbeeld.

HKLM_ schreef op donderdag 21 augustus 2025 @ 18:52:
[...]


WHFB met on-prem schijven kan heel goed je moet allen wel je cloud kerberos configureren

[ Voor 13% gewijzigd door Drardollan op 22-08-2025 07:19 ]

HKLM_ schreef op vrijdag 22 augustus 2025 @ 08:51:
[...]


Oprechte vraag maar waarom vind je WHFB niet interesant en zie je vooralsnog meer nadelen dan voordelen in het gebruik? Wil je niet aanvallen maar WHFB is naar mijn mening juist een verademing voor gebruikers omdat ze dat password niet meer nodig hebben en hoeven te wijzigen.

HKLM_ schreef op vrijdag 22 augustus 2025 @ 08:51:
[...]


Oprechte vraag maar waarom vind je WHFB niet interesant en zie je vooralsnog meer nadelen dan voordelen in het gebruik? Wil je niet aanvallen maar WHFB is naar mijn mening juist een verademing voor gebruikers omdat ze dat password niet meer nodig hebben en hoeven te wijzigen.

WHFB Cloud Native i.c.m Multi-Factor Unlock is bijvoorbeeld iets wat ik zelf heel gaaf vind. Het hybride stukje met de file shares hebben ze ook goed gefixt vroeger had je WHFB for On-prem nodig nu kan het met het genoemde Cloud Kerberos wat letterlijk powershell command draaien is + 1 config profile het is echt niet meer dan 15 minuten werk om dat werkend te krijgen.

Drardollan schreef op vrijdag 22 augustus 2025 @ 09:18:
[...]
Hoeveel moeite is uiteindelijk een wachtwoord intypen, de meeste gebruikers doen dat 1x per dag als ze de laptop aanslingeren.

Blokker_1999 schreef op vrijdag 22 augustus 2025 @ 10:11:
[...]


Daar ga ik dan weer niet mee akkoord. Echt niet. Telkens je wegloopt van je computer moet die op slot in een bedrijfsomgeving. Ga je even naar het toilet? Om koffie? Lunchbreak? Naar een vergadering? Of gewoon even een praatje maken en je laptop springt gewoon op de screensaver? Dan moet die computer gewoon vergrendeld zijn. Ik wil niet weten hoe vaak ik op een dag gewoon mijn eigen laptop ontgrendel.

Als je eind dit jaar niets meer onprem hebt staan begrijp ik heel goed dat je geen tijd wenst te investeren in iets opzetten daarvoor. Ik denk dat niemand van ons daar de tijd voor kan of wil vrijmaken. Maar als dat eenmaal voorbij is, en je geen on-prem resources meer nodig hebt, is dat dan net niet het moment om net te gaan kijken naar moderne manieren van authenticatie?

Ik wou dat ik zelf kon overgaan naar passwordless bijvoorbeeld. Maar wij gaan nog vele jaren vasthangen aan onze on-prem omgeving en de bijhorende wachtwoord authenticatie. Maar als alles in de cloud zit, en alles is bereikbaar met SSO, dan zou ik echt wel overwegen om net wel voor moderne authenticatie te gaan. En als iemand dan op een vrijdagavond zijn mail wenst te controleren op een ander systeem, dan zijn ook daar weer goede oplossingen voor te vinden.

Drardollan schreef op vrijdag 22 augustus 2025 @ 09:18:
[...]

Precies wat je in de tweede regel noemt: gebruikers hebben hun wachtwoord niet meer nodig. Het wijzigen staat hier verder los van en ik zou niet weten waarom je dat eventueel wel of niet meer zou vereisen (gelekte of gekraakte wachtwoorden is en blijft een risico).

Veel gebruikers hebben al moeite om hun wachtwoord tijdens hun 3 weken vakantie te onthouden. Door ze dit helemaal niet meer te laten gebruiken kan je er vergif op innemen dat ze ooit eens bij tante Truus zitten op een vrijdagavond en dat ze dan om 21:30 perse willen inloggen via een browser om even mail te checken of iets dergelijks. Uiteraard net dermate belangrijk dat de toekomst van het hele bedrijf op het spel staat (* volgens de gebruiker die altijd overdrijft). Dus wie wordt er dan gebeld.....

Hoeveel moeite is uiteindelijk een wachtwoord intypen, de meeste gebruikers doen dat 1x per dag als ze de laptop aanslingeren.

Hoewel ik biometrisch inloggen, of middels een korte code gebonden aan een device, zeker geen slechte zaak vind (ik gebruik het zelf privé ook hoor) zie ik meer nadelen dan voordelen vooralsnog.


[...]

+ testen, uitzoeken, documenteren en weet ik wat meer. Zonde van mijn tijd, over 4 maanden heb ik geen on-prem omgeving meer.

TheVMaster schreef op vrijdag 22 augustus 2025 @ 12:36:
[...]


Volgens mij gaat het niet zo zeer om hoeveel moeite het is om een wachtwoord in te typen, maar het verkleint vooral het risico op het hacken van accounts.

Daarnaast weet ik niet waarom je nog een wachtwoord zou moeten intypen als je je laptop opstart en wilt inloggen, of gebruiken ze bij jullie geen Windows Hello (PIN/Face/Fingerprint)?

Ook als je bv. op een 'unmanaged' pc je mail zou willen checken (als je dat al zou willen toestaan), dan is het natuurlijk veel veiliger om niet je wachtwoord te moeten gebruiken (met het risico dat de browser het cached) en Passwordless te gaan. Maar goed, ik log hier in op klantomgevingen waarbij ik niet eens een wachtwoord kan instellen, krijg een TAP en vervolgens mag ik (afhankelijke of het een Admin account is of een gewone) Yubikey of Authenticator app configureren om passwordless in te loggen. Dat zouden we eigenlijk allemaal moeten willen, want wachtwoorden zijn gewoon onveilig.

Drardollan schreef op vrijdag 22 augustus 2025 @ 12:45:
[...]

Ik zie niet waar het ook maar op 1 manier zou bijdragen aan het verkleinen van dat risico? Ik ben oprecht benieuwd.

[...]

Dat gebruiken we niet.

[...]

Klinkt als een groot succes voor de gemiddelde gebruiker die al blij is dat hij kleren aanheeft als hij op kantoor aankomt.

Maar zoals altijd gaat dit weer compleet offtopic en weet iedereen weer beter hoe omgevingen van anderen in elkaar zitten qua gebruikers, techniek en mogelijkheden. Met alle zinloze commentaar en ongevraagde tips. Mijn ontopic vraag was volgens mij helder, net als het ontopic antwoord wat ik kreeg.

[ Voor 14% gewijzigd door TheVMaster op 22-08-2025 12:58 ]

TheVMaster schreef op vrijdag 22 augustus 2025 @ 12:55:
[...]


Het is heel simpel, wachtwoorden lekken (mensen gebruiken eenzelfde wachtwoord op twee plekken, of vervangen als ze hem elke x dagen moeten wijzen alleen het volgnummer achter hun wachtwoord). Met Passkeys moet je dus in de buurt van je device zijn, want er wordt even een bluetooth connectie gemaakt tussen de devices en je moet dus fysiek dat device hebben (zelfde met een security key natuurlijk).

Drardollan schreef op vrijdag 22 augustus 2025 @ 12:58:
[...]

Maar met elke oplossing van WHfB of Passwordless of weet ik wat heb je nog steeds te maken met een wachtwoord en wordt het vooral aantrekkelijker om hetzelfde wachtwoord te gebruiken omdat je hem zo weinig gebruikt dat je het sneller vergeet.

Ik snap het gemak, maar qua veiligheid zie ik weinig extra nut bij gemiddelde gebruikers.

[ Voor 15% gewijzigd door TheVMaster op 22-08-2025 13:03 ]

Blokker_1999 schreef op vrijdag 22 augustus 2025 @ 13:13:
[...]

Passwordless, het zit letterlijk in de naam. Je account heeft geen wachtwoord meer! Mijn persoonlijk MS account is al enkele jaren passwordless. Je kan daar niet op aanmelden tenzij je toegang hebt tot 1 van mijn smartphones met de authenticator app of toegang weet te krijgen tot mijn recovery mailbox. En neen, die zit niet bij Microsoft om overduidelijke redenen.

TheVMaster schreef op vrijdag 22 augustus 2025 @ 13:30:
[...]


Dat laatste scheelt overigens ook zo enorm veel hackpogingen. Maar ook voor Intune beheerders (om het weer even naar Intune te trekken) of welke cloud rol dan ook zou je eigenlijk altijd Passwordless (of het nu met de Authenticator of een fysieke Yubikey is) moeten willen werken. Je wilt het risisco dat ergens een wachtwoord lekt, of een sessie gekaapt wordt gewoon zo klein mogelijk houden.

TheVMaster schreef op vrijdag 22 augustus 2025 @ 13:30:
[...]


Dat laatste scheelt overigens ook zo enorm veel hackpogingen. Maar ook voor Intune beheerders (om het weer even naar Intune te trekken) of welke cloud rol dan ook zou je eigenlijk altijd Passwordless (of het nu met de Authenticator of een fysieke Yubikey is) moeten willen werken. Je wilt het risisco dat ergens een wachtwoord lekt, of een sessie gekaapt wordt gewoon zo klein mogelijk houden.

ReZpie schreef op vrijdag 22 augustus 2025 @ 14:15:
[...]


Wij proberen het ook passwordless. Alleen het connecten met powershell naar bijvoorbeeld exhange online en azure cli, etc. krijg ik niet voor elkaar. Iemand enig idee?

[ Voor 3% gewijzigd door TheVMaster op 22-08-2025 14:50 ]

HKLM_ schreef op vrijdag 22 augustus 2025 @ 20:46:
[...]


Als ik connect met powershell naar bijvoorbeeld EXO dan krijg ik gewoon een Entra Sign in optie welke ik met de authenticator app goedkeur en ik ben aangemeld.

Maar ik gebruik voor mijn admin account bij een andere klant eigenlijk vooral Certificate based authentication vanuit in mijn geval cloud PKI waarmee in authenticeer naar cloud services.

Hero of Time schreef op woensdag 3 september 2025 @ 11:11:
Geweldig he, de cloud? Het is de toekomst! Iedereen moet het gebruiken! Beter dan gesneden brood! On-prem is oertijd, ga met de tijd mee!

Vervolgens is je hele infra naar de klote omdat cloud niet meer functioneert en met on-prem je nooit een issue had en als er wat was, je dat zelf zo kon oplossen. Nu mag je wachten totdat Redmond wakker is en een eerste kop koffie op heeft.

Blokker_1999 schreef op vrijdag 22 augustus 2025 @ 13:11:
[...]

Security is een mindset die bij vele systeembeheerders spijtig genoeg ontbreekt. Het kan niet zijn dat jij moet wachten op een incident of een signaal van management om te zeggen dat het anders kan. En ja, als het ooit misloopt hierdoor zal het jouw wel een zorg wezen. Het is net beter om te voorkomen dan achteraf te moeten oplossen.

Management is meestal ook niet op de hoogte van risicos of oplossingen om ze tegen te gaan. Daarom dat we daar zelf aan moeten werken.

HKLM_ schreef op woensdag 3 september 2025 @ 12:04:
[...]


Intune Support op X geeft i.i.g updates en geeft aan dat ze er mee bezig zijn

Drardollan schreef op woensdag 3 september 2025 @ 09:43:
[...]

Rudy is wel een bekende naam, maar ook een goede tip om die actievere te volgen als ik het zo zie.

ralpje schreef op woensdag 3 september 2025 @ 13:21:
[...]


En ook prima geschikt om bier mee te drinken, weet ik toevallig!

HKLM_ schreef op woensdag 3 september 2025 @ 14:04:
[...]


Intune Support Team @IntuneSuppTeam ze zijn zeer actief, bijna een betere optie om geholpen te worden dan een support ticket

TheVMaster schreef op woensdag 3 september 2025 @ 15:58:
[...]


Hmm...hebben de WorkplaceDudes geen evenementen meer gepland staan?

HKLM_ schreef op woensdag 3 september 2025 @ 16:02:
Iemand van hier al eens naar de https://www.endpointsummit.com/ModernEndpointManagement2026 geweest? Ik ga proberen in 2026 te gaan i.i.g

HKLM_ schreef op woensdag 3 september 2025 @ 16:02:
Iemand van hier al eens naar de https://www.endpointsummit.com/ModernEndpointManagement2026 geweest? Ik ga proberen in 2026 te gaan i.i.g

[ Voor 13% gewijzigd door xven0mxz op 03-09-2025 23:22 ]

Drardollan schreef op donderdag 4 september 2025 @ 09:42:
Slag om de arm, maar mijn nieuwe apps verschenen net in mijn Company Portal. Of er heeft een proces gelopen om alles bij te werken of de boel is opgelost, benieuwd of jullie dit ook ervaren.

HKLM_ schreef op donderdag 4 september 2025 @ 20:38:
Intune topic i know, maar toch relevant denk ik. Iemand van jullie hier ook al bezig met AI security / shadow AI binnen de moderne werkplek? Zo ja hebben jullie dan ook een AI beleid waarbij afgestemd is wat wel en niet op de werkplek kan met AI?

Microsoft heeft een blueprint uitgebracht over dit onderwerp: https://learn.microsoft.c...data-leak-shadow-ai-intro

Vanuit Microsoft intune perspectief zijn er in de setting catalog nu een 10/15 tal Windows AI policies beschikbaar, maar zelf zit ik in step one waarbij ik Defender for cloud apps inzet om AI te monitoren en eventueel te blokken met Defender for endpoint.

Met Purview DSPM for AI en edge DLP probeer ik momenteel het een en ander te managen qua input wat in AI opgegeven kan worden, dat is wel leuk maar nog best uitdagend

Benieuwd hoe en of andere hier al mee bezig zijn of mee omgaan

HKLM_ schreef op donderdag 4 september 2025 @ 20:38:
Intune topic i know, maar toch relevant denk ik. Iemand van jullie hier ook al bezig met AI security / shadow AI binnen de moderne werkplek? Zo ja hebben jullie dan ook een AI beleid waarbij afgestemd is wat wel en niet op de werkplek kan met AI?

Microsoft heeft een blueprint uitgebracht over dit onderwerp: https://learn.microsoft.c...data-leak-shadow-ai-intro

Vanuit Microsoft intune perspectief zijn er in de setting catalog nu een 10/15 tal Windows AI policies beschikbaar, maar zelf zit ik in step one waarbij ik Defender for cloud apps inzet om AI te monitoren en eventueel te blokken met Defender for endpoint.

Met Purview DSPM for AI en edge DLP probeer ik momenteel het een en ander te managen qua input wat in AI opgegeven kan worden, dat is wel leuk maar nog best uitdagend

Benieuwd hoe en of andere hier al mee bezig zijn of mee omgaan

• Zorg eerst dat MDE en MDCA zelf goed zijn ingericht. Zo is het bijv. enorm belangrijk dat je network protection in block mode, real-time protection & cloud-delivered protection goed hebt ingericht, anders worden unsanctioned (niet-goedgekeurde) AI apps niet geblokkeerd op de werkplek. Wanneer je een app unsanctioned, worden hier block indicators voor aangemaakt in Defender for Endpoint. De network protection functionaliteit zorgt ervoor dat het daadwerkelijk geblokkeerd wordt op het device.
• De inrichting van network protection is trouwens echt een draak - in Microsoft Edge werkt dit over het algemeen als een zonnetje, maar in Chrome en Firefox moet je extra policies instellen omdat network protection anders niet werkt. Ik zeg zelf ook altijd dat productiviteit wint van security; als een eindgebruiker een block warning gaat krijgen in Microsoft Edge, wijken ze vanzelf uit naar een andere browser. Daar komt je AI beleid (en software beleid) dus om de hoek kijken.
• Persoonlijk vind ik de MDE/MDCA integratie erg gebruikersonvriendelijk. Overweeg een redirect URL te gebruiken naar bijv. het AI beleid wanneer een gebruiker een unsanctioned app opent, ipv ze de default smartscreen warning te tonen.

Blokker_1999 schreef op dinsdag 9 september 2025 @ 14:06:
Nieuwe settings aan het testen, AP deployment faalt.
Installeren van get-autopilotdiagnostics, installatie faalt

verdorie wat is er toch aan de hand?

Ah, certificaat op *.azureedge.net is vervallen 🤦. Je zou toch verwachten dat MS zijn certmgmt in orde heeft ...

[Afbeelding]

Drardollan schreef op dinsdag 9 september 2025 @ 14:29:
Wat je kan doen is dergelijke sites opnemen in je eigen monitoring met een SSL check zodat je eerder weet dat het mis gaat.

Blokker_1999 schreef op woensdag 10 september 2025 @ 16:05:
Iemand hier al in de nieuwe functionaliteit gedoken om Windows bij te werken tijdens deployment? Ik ben vandaag aan het testen met een testprofiel waarin ik dit heb aangezet, ik heb ook expliciet een oudere ISO van Win11 24H2 genomen. In het profiel wordt ook de user setup fase overgeslagen.

Wanneer de setup gedaan heeft met de computer fase, dan zie ik inderdaad even een nieuwe melding komen dat er gezocht wordt naar updates, maar daarna krijg ik het standaard aanmeldscherm en kan de gebruiker gewoon aanmelden. Kijk ik dan in settings dan is het systeem niet bezig met het downloaden, maar wet het al wel dat er updates klaarstaan.

Blokker_1999 schreef op woensdag 10 september 2025 @ 16:05:
Iemand hier al in de nieuwe functionaliteit gedoken om Windows bij te werken tijdens deployment? Ik ben vandaag aan het testen met een testprofiel waarin ik dit heb aangezet, ik heb ook expliciet een oudere ISO van Win11 24H2 genomen. In het profiel wordt ook de user setup fase overgeslagen.

Wanneer de setup gedaan heeft met de computer fase, dan zie ik inderdaad even een nieuwe melding komen dat er gezocht wordt naar updates, maar daarna krijg ik het standaard aanmeldscherm en kan de gebruiker gewoon aanmelden. Kijk ik dan in settings dan is het systeem niet bezig met het downloaden, maar wet het al wel dat er updates klaarstaan.

HKLM_ schreef op woensdag 10 september 2025 @ 19:32:
[...]


Je hebt wel August 2025 OOBE zero-day patch (ZDP) update will have this capability geinstalleerd staan op het syteem?