Microsoft Intune ervaringentopic

Nee, ik gebruik helaas geen OSDCloud. Niet echt Intune gerelateerd ook denk ik, misschien past je vraag beter in Het grote kleine-SysOps-vragen topic deel 1.

Dank je, ik heb de vraag daar gesteld.

Dan weer terug on-topic: iemand al bezig geweest met LAPS op Mac OS?
Ik heb dit afgelopen week even getest, maar werkt nog niet in onze setup.
Halverwege de setup van een nieuwe machine wordt pardoes om een login + password gevraagd.
Op dat moment is de stap om het useraccount voor de gebruiker aan te maken nog niet langs geweest.

Collega van mij is er net mee bezig en heb het daar wel werkende gezien, al heb ik zelf heel het process nog niet gezien. We zijn namelijk aan het bekijken om van Jamf naar Intune managed te gaan en LAPS was 1 van de laatste ontbrekende blokken voor ons om het serieus te kunnen opnemen.

Iemand ervaring met het mappen van een on-prem netwerkschijf via een Win32 app? Bij mij wil deze niet in user context geinstalleerd worden, heb het ook met de PSAppDeployToolkit geprobeerd maar geen effect..

Davidas schreef op maandag 22 september 2025 @ 09:24:
Iemand ervaring met het mappen van een on-prem netwerkschijf via een Win32 app? Bij mij wil deze niet in user context geinstalleerd worden, heb het ook met de PSAppDeployToolkit geprobeerd maar geen effect..

https://intunedrivemapping.azurewebsites.net/

ZeRoC00L schreef op maandag 22 september 2025 @ 09:31:
[...]

https://intunedrivemapping.azurewebsites.net/

Werkt dit ook in een win32 app zodat de gebruiker kan kiezen of hij de mapping wil toevoegen door middel van hem beschikbaar te stellen in de Company Portal, dus niet required.

LAPS op macos is jammer dat je herinstallatie moet doen...

'Because macOS local account configuration with LAPS is enabled only during automated device enrollment (ADE), a previously enrolled device must reenroll with Intune using a LAPS enabled ADE profile to be supported for LAPS for the administrator account.'
https://learn.microsoft.c...ice/enrollment/macos-laps

Davidas schreef op maandag 22 september 2025 @ 09:54:
[...]

Werkt dit ook in een win32 app zodat de gebruiker kan kiezen of hij de mapping wil toevoegen door middel van hem beschikbaar te stellen in de Company Portal, dus niet required.

In principe is het een script, maar kun je natuurlijk ook maken als Win32 app en een detectie of het script in c:\programdata staat, en kun je een uninstall script toevoegen om hem weer weg te halen.

Nog een dingtje van LAPS op macos is dat je een echt random wachtwoord krijgt, lekker lastig intikken.
Ipv een passphrase zoals je bij Windows devices kan instellen.

Hmm ik ben bezig met Phishingresistant MFA (passwordless) icm TAP inrichting voor een klant. maar de web sign-in (op een schone self-deploying device) is stuk. De policy wordt gepusht naar de testdevice, maar eenmaal op het domein klikken -> terug naar aanmeldscherm en geen popup.

Ik verdenk dat de default W11 ISO van de Microsoft site dit veroorzaakt (er zitten na de installatie nog geen updates in, die komen pas na het inloggen).

Even kijken of ik via de RMM eerst de laatste CU van september erop krijg.

HKLM_ schreef op dinsdag 23 september 2025 @ 16:14:
[...]


Welke build gebruik je? In het begin van 24H2 zijn daar issues mee geweest (in de zin van stuk)

De W11 24H2 ISO van de MS site wordt met deze build geleverd: 10.0.26100.2033
En ik denk inderdaad dat deze stuk is en dat er eerst een recentere CU overheen moet.

Als Microsoft nou Windows updaten tijdens Autopilot eens fixt.. Staat al aan in de ESP.

[ Voor 10% gewijzigd door Quad op 23-09-2025 16:44 ]

HKLM_ schreef op dinsdag 23 september 2025 @ 17:11:
[...]


Volgens mij heb je minimaal KB5046617 (OS Build 26100.2314) nodig om het weer te laten werken. (November 2024)

Denk het ook, die build van Microsoft is van oktober. Ik heb nu de recente CU erop gezet via PowerShell en het werkt.

We hebben een handjevol Macbooks in Intune hangen. Nu krijgt 1 gebruiker de melding dat 'ie naar versie 26 moet en kan dat maar een paar keer afwijzen/uitstellen. Wij hebben hier helemaal niks voor geconfigureerd om de meest recente versie af te dwingen. Dit staat op https://learn.microsoft.c...oftware-updates-ios-macos beschreven, maar de enige optie bij "Software Update Enforce Latest" is 'true'. Ik weet niet wat de Intune standaard is, maar blijkbaar is dat ook doordrukken.

Iemand enig idee hoe ik kan voorkomen dat onze devs straks met een onbruikbaar systeem zitten omdat MS het zonodig door de strot moet duwen om te updaten naar een versie waar hun tools nog niet op werken? Een oplossing anders dan uit Intune halen. Want dit gedrag helpt niet echt om het te gebruiken.

Denk dat het automatisch verplicht wordt bijgewerkt, tenzij je dat afvangt met een policy.

Zie het als een service, voor het geval je het vergeet.

[ Voor 24% gewijzigd door Quad op 23-09-2025 19:25 ]

HKLM_ schreef op dinsdag 23 september 2025 @ 19:19:
[...]

Maak een DDM update beleid waarin je de software updates beheert.

Ik ken je Apple configuratie niet maar ik herken je niet in het doordrukken van updates vanuit intune, wij hebben meerdere Mac’s in intune hangen en ervaren deze issues niet. Alles gaat gewoon netjes via de geconfigureerde DDM policy

We hebben helemaal geen DDM configuratie in Intune gemaakt. De enige config mbt updates is nog het oude MDM formaat waar een minimale versie staat opgegeven, meer niet. Toch heeft 1 gebruiker dat MacOS 26 geforceerd wordt.

En ik zou graag een DDM willen maken, maar dan wel dat ik dat forceren kan uitzetten. Zoals gezegd, de enige optie die ik heb is 'true', oftewel, forceer de gebruiker naar de meest recente binnen x dagen. Dat wil ik helemaal niet!

Hero of Time schreef op dinsdag 23 september 2025 @ 18:59:
We hebben een handjevol Macbooks in Intune hangen. Nu krijgt 1 gebruiker de melding dat 'ie naar versie 26 moet en kan dat maar een paar keer afwijzen/uitstellen. Wij hebben hier helemaal niks voor geconfigureerd om de meest recente versie af te dwingen. Dit staat op https://learn.microsoft.c...oftware-updates-ios-macos beschreven, maar de enige optie bij "Software Update Enforce Latest" is 'true'. Ik weet niet wat de Intune standaard is, maar blijkbaar is dat ook doordrukken.

Er gaat iets niet helemaal lekker met uitrol van macos 26.
Wij hebben policy dat major updates 14 dagen tegengehouden worden, zodat we kunnen testen of alles ok werkt.
(via een intune apple update policy kan je dus zaken instellen)
Maar ondertussen waren er al 4 (van de 30) macbook geupdate naar 26.
Zelf ook kunnen reproduceren op een macbook door gewoon tig keer check voor update te doen en opeens komt dan 26 in de aanbieding.

HKLM_ schreef op dinsdag 23 september 2025 @ 19:28:
[...]

Maar je hoeft de force optie niet mee te nemen in je configuratie profiel hè, je kan prima een Updated policy maken zonder deze optie.

Die hebben we al op de klassieke manier. Maar door wat de ontwikkelaar aangaf, heb ik niet het vertrouwen dat ook maar enige config het forceren voorkomt.

In het oude config dingetje heb ik opgegeven dat max versie 16 mag zijn, hopelijk werkt dat.

DDX schreef op dinsdag 23 september 2025 @ 19:43:
[...]


Er gaat iets niet helemaal lekker met uitrol van macos 26.
Wij hebben policy dat major updates 14 dagen tegengehouden worden, zodat we kunnen testen of alles ok werkt.
(via een intune apple update policy kan je dus zaken instellen)
Maar ondertussen waren er al 4 (van de 30) macbook geupdate naar 26.
Zelf ook kunnen reproduceren op een macbook door gewoon tig keer check voor update te doen en opeens komt dan 26 in de aanbieding.

Precies. En hier deed de gebruiker niks, behalve dan 15.7 installeren en herstarten. Kort daarna kwam de melding dat 26 beschikbaar was en of 'ie deze nu wilde installeren en dat maar 3x kon uitstellen.

[ Voor 3% gewijzigd door Hero of Time op 23-09-2025 19:52 ]

Ik denk dat het gewoon een bug in macos (15?) is dat die de block setting per ongeluk negeert bij het kijken naar de updates.
De mac die ik vanmiddag aan het testen was draaide 15.5 en kreeg meestal voorstel voor 15.7 maar heel soms opeens 26.

Zie ook deze post : https://community.jamf.co...acos-26-for-90-days-56176

[ Voor 17% gewijzigd door DDX op 23-09-2025 19:58 ]

TheVMaster schreef op dinsdag 23 september 2025 @ 23:00:
[...]


Wel slordig dat de download iso’s niet bijgewerkt worden. Als je hem van VisualStudio haalt heb je wel de recentere builds als optie btw.

Ik heb helaas geen VS toegang. Ik heb voor ik naar huis ging op een systeem een OSDCloud installatie aangezet, morgen zie ik wel wat daar het resultaat van is.

Met een maandje heeft MS wel een recentere ISO op hun site staan hoop ik, de 25H2.

HKLM_ schreef op woensdag 24 september 2025 @ 09:10:
[...]


Waar ook vast weer iets in gebroken is

Het werkt eigenlijk naar behoren. Wel twee dingen die mij opvallen;

1. Websignin blijft default na het afmelden of rebooten. Pas als je bewust kiest voor aanmeldingsopties -> pincode blijft je gekoppelde account staan.
2. Ik moet twee keer op de websignin knop klikken voor de pagina naar voren komt.

Maar ja, de testaccounts zijn nu volledig wachtwoordloos ingespoeld met een TAP.

HKLM_ schreef op woensdag 24 september 2025 @ 10:21:
[...]


Dit kan je volgens mij instellen met een configuration profile, zal straks eens in mijn tenant kijken voor je.

Dat zal deze zijn denk ik?
Assign the following credential provider as the default credential provider: (Device) "{D6886603-9D2F-4EB2-B667-1971041FA96B}"

Once enabled, the Web sign-in credential provider is the default credential provider for new users signing in to the device. To change the default credential provider, you can use the DefaultCredentialProvider ADMX-backed policy

https://learn.microsoft.c...defaultcredentialprovider

[ Voor 32% gewijzigd door Quad op 24-09-2025 10:45 ]

Heb geen definitieve uitsluitsel gekregen, maar men was iig blij met 1 verandering: niet meer constant vragen om hun wachtwoord. Geen idee in welke context, mogelijk voor updaten. Die heb ik met een DDM config gezet op dat men tot 31 oktober heeft om 15.7 te installeren. Hopelijk houd dat 26 tegen.

HKLM_ schreef op vrijdag 26 september 2025 @ 17:39:
Windows 11 24H2 is eindelijk beschikbaar als recommended OS in de Windows App selectie.

Bijna een jaar geduurd hahah

Net nu we 25h2 bijna nodig hebben.

Hebben we het nodig? Ik draai preview 25H2 maar geen benul wat wezenlijk anders is.

Hoe denken jullie dat Microsoft gaat handelen komende oktober? Onze vloot is zo goed als over Windows 11 op ongeveer 60 devices na. Maar ik heb het idee dat wereldwijd nog steeds 40% op 10 zit. Als ze de support echt gaan stoppen zo dat een behoorlijk wereldwijd probleem kunnen worden.

Nouja, er is niet direct een probleem. En je kan support kopen.

Het is pas een issue als er een vulnerability is die niet op jouw systeem gepatcht gaat worden.

Quad schreef op vrijdag 26 september 2025 @ 20:49:
Nouja, er is niet direct een probleem. En je kan support kopen.

Het is pas een issue als er een vulnerability is die niet op jouw systeem gepatcht gaat worden.

Dat is wat ik bedoel. Er zijn miljoenen windows 10 ps die echt geen extended support hebben gekocht. En er komen elke maand genoeg zero days bij
Zowel zakelijk als consumers.
Je kunt makkelijk als microsoft zijnde kunnen wijzen naar de verantwoordelijkheid van de business/gebruiker/consument, maar je hebt ook zelf nog een goede naam te houden.

Tja dat was bij Windows XP en Windows 7/8 toch ook het geval ?
Denk dat er ook genoeg systemen zijn trouwens die unsupported windows 11 draaien, vaak kan (of kon) je prima de updaten installeren zonder tpm check maar daarna kan je niet meer updaten naar de volgende 'editie van windows 11'
Is mij ook overkomen dat ik windows 11 update gewoon kon draaien op pc met niet supported cpu en tpm1.1.
En dan na jaar merken dat je niet meer kan updaten... (of beter gezegd waarom krijg ik die update niet te zien?)

[ Voor 7% gewijzigd door DDX op 26-09-2025 21:00 ]

Ik denk zelf dat er nog behoorlijk lang gratis (2jaar?) cu security updates worden uitgegeven. Beetje zelfde als toen met windows 7.

Het grootste ding zal wel zijn dat er partijen zijn die bugs hebben ontdekt en het pas na het verlopen van de support gaan misbruiken.

ReZpie schreef op vrijdag 26 september 2025 @ 21:00:
Ik denk zelf dat er nog behoorlijk lang gratis (2jaar?) cu security updates worden uitgegeven. Beetje zelfde als toen met windows 7.

Dat ligt al vast en betreft 3 jaar met een prijsverdubbeling per device elk jaar.
Daarna is het exit en daar gaat Microsoft niets aan doen.

Nog los van het feit dat dat niets met Intune te maken heeft dan…

ReZpie schreef op vrijdag 26 september 2025 @ 20:36:
Hoe denken jullie dat Microsoft gaat handelen komende oktober? Onze vloot is zo goed als over Windows 11 op ongeveer 60 devices na. Maar ik heb het idee dat wereldwijd nog steeds 40% op 10 zit. Als ze de support echt gaan stoppen zo dat een behoorlijk wereldwijd probleem kunnen worden.

De support is gratis verlengd met een jaar toch?

Drardollan schreef op vrijdag 26 september 2025 @ 22:08:
[...]

De support is gratis verlengd met een jaar toch?

niet voor zakelijk... alleen voor thuis gebruikers.

Dirtyrockers schreef op vrijdag 26 september 2025 @ 22:19:
[...]


niet voor zakelijk... alleen voor thuis gebruikers.

Rot. Gelukkig heb ik jaren geleden al afscheid genomen van Win10. Geen enkele zakelijke gebruiker zou dit nog moeten draaien, los van eventuele specialistische machines. Maar die hangen sowieso niet aan het internet als het goed is.

En zo wel, dan mag je blijkbaar betalen voor een paar jaar extra. Dan kan je je vervolgens afvragen of het de besparing op een nieuwere machine waard was.

Hoianddoei schreef op woensdag 19 februari 2025 @ 15:19:
Wij hebben sinds vandaag een probleem bij het inspoelen van Android Knox devices dat deze bij het inloggen een foutmelding geeft:

"Er is iets fout gegaan

Er zijn problemen met verbinding maken met Microsoft Intune. Dit wordt mogelijk veroorzaakt door een probleem met uw netwerkverbinding. Neem contact op met de helpdesk van uw bedrijf als dit probleem zich voordoen blijft."

Ik heb overal in Intune en Knox gekeken, maar kan niet zien waarom we ineens deze melding krijgen bij het inspoelen van die telefoons. Geen certificaten verlopen, geen policies ineens aangepast.. iemand enig idee wat dit kan veroorzaken?

Wij lopen hier ook met regelmaat tegenaan, ben erg benieuwd of hier iemand bekend mee is.
Wij gebruiken (ook) Samsung KNOX Mobile Enrollement in combinatie met Microsoft Intune, company owned devices met een werk profiel.

Zo nu en dan gaat het zelfde toestel, met dezelfde gebruiker, hetzelfde profiel, zelfde netwerk etc ook wel goed. Al dan niet met een tijdelijke exclude van MFA.

Iemand ideeën, we kunnen het niet goed reproduceren.

Lekker, tegen het einde van de dag een laptop opnieuw geïnstalleerd via MDT met onze 24h2 image. Kan ik die gelijk upgraden naar 25h2 en het uitrolimage vernieuwen, want we hebben nog een handjevol gebruikers op W10.

Vond ook documentatie waarin uitgelegd staat dat er een specifieke rol bestaat om systemen aan te kunnen melden bij autopilot, zodat je geen Intune admin hoeft te zijn. Dat is wel zo fijn, gelijk geregeld en kon het eerder genoemde systeem prima aanmelden. Nog even verder kijken of het inzien van de systemen en tags toewijzen ook werkt en anders die rol/rechten toevoegen aan de custom role die ik heb gemaakt hiervoor.

Vond ook documentatie waarin uitgelegd staat dat er een specifieke rol bestaat om systemen aan te kunnen melden bij autopilot, zodat je geen Intune admin hoeft te zijn.

Interessant, welke role is dit?

Een DEM account gok ik.

@HKLM_ Interessant, hopelijk snel beschikbaar in OSDCloud, ik ben deze namelijk aan het bouwen voor ons op de zaak. Zonder Autopilot opties want die zijn niet nodig.

Ik kwam al een -v2 parameter tegen trouwens, met daarin ook support voor ARM.

Quad schreef op dinsdag 30 september 2025 @ 21:11:
Een DEM account gok ik.

Nope. Dat is voor Intune onboarding, niet voor registreren voor Autopilot.

tzzz schreef op dinsdag 30 september 2025 @ 20:26:
[...]

Interessant, welke role is dit?

Er is een wat uitgebreidere pre-defined rol: Policy and Profile Manager. Zie ook https://learn.microsoft.com/en-us/autopilot/add-devices waar het genoemd wordt. Ik heb een custom role gemaakt met alleen die benodigde rechten, want de PnP Manager heeft meer rechten dan strikt noodzakelijk.

Check.
Wij hebben hiervoor CIPP.

HKLM_ schreef op woensdag 1 oktober 2025 @ 08:46:
[...]


CIPP is wel echt cool inderdaad Mocht je CIS gebruiken ik heb laats met Kelvin en het team een project gedaan om de CIS Intune for Windows V4 beschikbaar te maken binnen CIPP (v8.4.0 - The Fence Hopper)

Nope we maken helaas geen gebruik van CIS. Is het idee van CIS dat je dan alles toepast of enkel gebruikt wat binnen je omgeving nodig is?

TheVMaster schreef op woensdag 1 oktober 2025 @ 11:46:
[...]


Als je wilt voldoen aan CIS dan zul je volgens mij hun policies allemaal moeten toepassen, maar ik zie mijn klanten vooral CIS gebruiken als startpunt en daar dan wel zaken van uitschakelen. Zo blokkeert CIS (weet even niet of het L1 of L2 is) het gebruik van OneDrive en Windows Hello, maar wil de klant dat wel toestaan.

Beetje vergelijkbaar als de ingebakken Security Baselines, daar zitten soms ook instellingen in die je als klant wilt uitschakelen. Het is ook een baseline he (net zoals CIS) waar je mee begint om een goed uitgangspunt (op het vlak van security te hebben) en daar bouw je dan op voort, door zaken toch toe te staan of met andere policies aanvullende zaken te configureren.

Wordt CIS geïnitieerd vanuit klant? Als in, weten zij dat meestal dat ze er aan moeten voldoen of bepaal ik (als MSP) dat voor klant?

Onze klanten zijn zonder uitzondering MKB en hebben werkplekken van 1 - 250 stuks.

Edit: Ergens vind ik het wel jammer dat we niet zo groot zijn dat ik volledig kan focussen op alles wat maar te maken heeft met Intune met de hele rits aan Enterprise licenties en tooling. Het blijft daardoor vaak wat oppervlakkig. Verder dan Business Premium kom je dan gewoon niet.

Dat ik bij een tweetal klanten mag inzetten op passwordless aanmelden ivm phishingresistant MFA is dan al heel wat.

HKLM_ schreef op woensdag 1 oktober 2025 @ 12:12:
[...]


Ja gaaf, viel mij gisteren echt op hoe snel 25H2 installerde vanaf een 24H2 machine was denk binnen 5 minuten na installatie en dan de reboot weer online. kan je de link naar de CSP delen>

Ben benieuwd wanneer dit in OSDCloud zit. Ik ben gisteravond druk geweest om onze image te laten verwijzen naar een github pagina, en zodoende daar de installatiescript met een mooie GUI te laten starten.

[ Voor 11% gewijzigd door Quad op 01-10-2025 12:26 ]

HKLM_ schreef op woensdag 1 oktober 2025 @ 12:12:
[...]


Ja gaaf, viel mij gisteren echt op hoe snel 25H2 installerde vanaf een 24H2 machine was denk binnen 5 minuten na installatie en dan de reboot weer online. kan je de link naar de CSP delen>

Eh..die staat letterlijk in mijn bericht -> https://learn.microsoft.c...y-based-inbox-app-removal

Probleem dat ik daar nu weer mee heb is dat we sommige apps wel per default verwijderen, maar dan wel weer beschikbaar maken in de Company Portal voor hen die er toch nood aan hebben. Dat gaat met deze CSP blijkbaar ook weer niet want die zal de app telkens opnieuw verwijderen volgens de laatste documentatie die ik gelezen heb. Of vergis ik mij daar in?

TheVMaster schreef op woensdag 1 oktober 2025 @ 11:46:
[...]


Als je wilt voldoen aan CIS dan zul je volgens mij hun policies allemaal moeten toepassen, maar ik zie mijn klanten vooral CIS gebruiken als startpunt en daar dan wel zaken van uitschakelen. Zo blokkeert CIS (weet even niet of het L1 of L2 is) het gebruik van OneDrive en Windows Hello, maar wil de klant dat wel toestaan.

Het is niet echt aan te raden om zomaar alles toe te passen wat in de CIS recommendations staat. Ik werk voor verschillende officiele (Europeze) instanties en we zijn letterlijk soms maanden bezig om een CIS mooi te laten aansluiten in de organisatie zonder dat heel de boel geblokkeerd staat.

We zijn aan het overstappen van hybrid joined naar entra joined.
Nu loop ik tegen issue aan met netwerk(wifi) connectie tijdens enrollen van een laptop.
Bij hybrid devices hadden we een gpo policy die de wifi authenticatie via het computer account liet lopen.
En daarnaast een gpo die acces tot gasten ssid blockt. (zodat mensen niet per ongeluk naar verkeerde vlan connecten)

Bij entra joined gaat authenticatie via computer account (tegen on prem nps server) niet.
En hebben we nu user based certificaten authenticatie ingeregeld via intune policies.
En een policy die zorgt dat devices verkeerde configuratie krijgen voor gasten wifi (intune bied zover ik kon vinden geen block optie zoals in gpo wel kon)

Nu gaat het alleen mis doordat certificaat en wifi connectie in meerdere stappen/policies gaat.
En tijdens enrollment is dit nog niet voltooid/werkend.
Ondertussen komt de gasten wifi config al wel door en valt de wifi connectie daarmee weg en failen de enrollment stappen. (zonder echt duidelijk foutmelding trouwens dat er geen netwerk is, je krijgt alleen retry optie)
Workarround is ethernet kabel of hotspot gebruiken tijdens de installatie maar echt handig is dit niet.

Iemand tips ?

Ja open gasten wifi werkt soort van dus, tot de policy actief wordt die dat blockt.
Voor nu ga ik die policy uitzetten, maar eigenlijk wil ik voorkomen dat mensen per ongeluk op gasten netwerk connecten.
En dan eens uitzoeken of ik iets van een filter op die policy kan zetten.

In een best case scenario wil je die steering op je netwerk / controller doen (dus je connect naar hetzelfde SSID maar op basis van je cert kom je in het juiste VLAN), maar dat bouw je niet even om

De enrollment doen op bedraad vind ik sowieso de beste optie; ook voor het downloaden van apps etc. is die extra snelheid vaak fijn.

Quad schreef op woensdag 1 oktober 2025 @ 12:22:
[...]

Wordt CIS geïnitieerd vanuit klant? Als in, weten zij dat meestal dat ze er aan moeten voldoen of bepaal ik (als MSP) dat voor klant?

Onze klanten zijn zonder uitzondering MKB en hebben werkplekken van 1 - 250 stuks.

Edit: Ergens vind ik het wel jammer dat we niet zo groot zijn dat ik volledig kan focussen op alles wat maar te maken heeft met Intune met de hele rits aan Enterprise licenties en tooling. Het blijft daardoor vaak wat oppervlakkig. Verder dan Business Premium kom je dan gewoon niet.

Dat ik bij een tweetal klanten mag inzetten op passwordless aanmelden ivm phishingresistant MFA is dan al heel wat.


[...]


Ben benieuwd wanneer dit in OSDCloud zit. Ik ben gisteravond druk geweest om onze image te laten verwijzen naar een github pagina, en zodoende daar de installatiescript met een mooie GUI te laten starten.

Het zou nu beschikbaar moeten zijn in OSDcloud.
er zijn twee versies, een nieuwe en een oude. op de oude is het met een uurtje vanaf nu beschikbaar.

Ik zit vrij dicht bij de source... dus mochten er vragen zijn of specifieke requests, laat maar weten

TheVMaster schreef op woensdag 1 oktober 2025 @ 14:02:
[...]


Ja, hier hebben ze beide....gewoon omdat het kan. Argument is dat het een eis is van de de security-afdeling. Maar moet eerlijk zeggen dat ik hieraan twijfel.

Die eis bestaat waarschijnlijk zodat je gedwongen wordt om afwijkingen formeel als accepted risk te documenteren (inclusief alle business processen die daarmee triggeren).
Daarmee moet je dus ook meteen alternatieven overwegen, nadenken over het minimaliseren van de risico's en als het uiteindelijk toch geaccepteerd is, is het meteen goed gedocumenteerd voor een eventuele audit. .

Ik heb in ieder geval nog nooit meegemaakt dat er (ten onrechte) vastgehouden wordt aan een security requirement gewoon omdat het kan.

ziecko schreef op donderdag 2 oktober 2025 @ 12:09:
[...]


Het zou nu beschikbaar moeten zijn in OSDcloud.
er zijn twee versies, een nieuwe en een oude. op de oude is het met een uurtje vanaf nu beschikbaar.

Ik zit vrij dicht bij de source... dus mochten er vragen zijn of specifieke requests, laat maar weten

Gaat nu wel offtopic, maar de oude is de gewone OSD config? Nieuwe is die je kan starten met Start-OSDCloudGui -v2 switch?
Zag al wat commits voorbij komen op de Githubpagina. Zie het vanzelf wel verschijnen.

Sniels schreef op donderdag 2 oktober 2025 @ 12:17:
[...]


Die eis bestaat waarschijnlijk zodat je gedwongen wordt om afwijkingen formeel als accepted risk te documenteren (inclusief alle business processen die daarmee triggeren).
Daarmee moet je dus ook meteen alternatieven overwegen, nadenken over het minimaliseren van de risico's en als het uiteindelijk toch geaccepteerd is, is het meteen goed gedocumenteerd voor een eventuele audit. .

Ik heb in ieder geval nog nooit meegemaakt dat er (ten onrechte) vastgehouden wordt aan een security requirement gewoon omdat het kan.

Het is een ingewikkeld verhaal, laten we het daar op houden.

Quad schreef op donderdag 2 oktober 2025 @ 12:27:
[...]

Gaat nu wel offtopic, maar de oude is de gewone OSD config? Nieuwe is die je kan starten met Start-OSDCloudGui -v2 switch?
Zag al wat commits voorbij komen op de Githubpagina. Zie het vanzelf wel verschijnen.

yes :-)

ziecko schreef op donderdag 2 oktober 2025 @ 12:44:
[...]

yes :-)

Is live inmiddels.

Heb wel een paar andere issues, maar die ga ik eerst zelf even proberen op te lossen.

Maak jij gebruik van OSD icm Autopilot?

Vraagje aan de andere Intune beheerders, hoe gaan jullie om met Windows Updates in Intune? En dan specifiek of jullie jullie update ringen op users of devices hebben staan?

Ik heb op dit moment alles op de user staan, dat leek een goed idee. Maar nu ik er over na heb gedacht is het helemaal niet zo logisch. In WSUS vroeger deed je het ook per device tenslotte. En ook hier kan het prima dat 2 users op 1 device inloggen en dat klinkt niet handig met updates die aan een user hangen.

Dus kort door de bocht, hoe is het ingericht bij jullie?

Poll: Intune Windows Update Assignment
• Users
• Devices
• Ik doe niet aan updates!
<sup>Tussenstand:

Ook een poll maken? Klik hier</sup>

We doen het niet via Intune maar via RMM.
Tenzij klant geen RMM heeft dan configureer ik een basispolicy die lijkt op onze RMM policy. En dat is dan zonder ringen enz verder. Gewoon 'YOLO'.

Drardollan schreef op vrijdag 3 oktober 2025 @ 16:15:
Vraagje aan de andere Intune beheerders, hoe gaan jullie om met Windows Updates in Intune? En dan specifiek of jullie jullie update ringen op users of devices hebben staan?

Ik heb op dit moment alles op de user staan, dat leek een goed idee. Maar nu ik er over na heb gedacht is het helemaal niet zo logisch. In WSUS vroeger deed je het ook per device tenslotte. En ook hier kan het prima dat 2 users op 1 device inloggen en dat klinkt niet handig met updates die aan een user hangen.

Dus kort door de bocht, hoe is het ingericht bij jullie?

Poll: Intune Windows Update Assignment
• Users
• Devices
• Ik doe niet aan updates!
^Tussenstand:
[Afbeelding]
^{Ook een poll maken? Klik hier}

Ik gebruik autopatch. Maar evt tip voor andere die dut gebruiken; maak meteen proactive remediation scripts aan voor zowel diagnostic data als autopatch settings, want er bleken aardig wat devices niet lekker enrolled in autopatch te zijn waardoor de reporting niet betrouwbaar bleek.

Drardollan schreef op vrijdag 3 oktober 2025 @ 17:00:
[...]

Oei, YOLO doe ik niet. En de RMM heb ik de deur uit gedaan nu ik Intune heb. Beetje dubbele kosten voor niks.

Ik gebruikte voorheen dit principe:
https://joostgelijsteen.com/deployment-rings/
Werkte ook prima

Drardollan schreef op vrijdag 3 oktober 2025 @ 17:00:
[...]

Oei, YOLO doe ik niet. En de RMM heb ik de deur uit gedaan nu ik Intune heb. Beetje dubbele kosten voor niks.

Snap ik! We leveren niet aan zulke type organisaties waarbij je met testrings en reporting moet gaan werken. Dan kan je net zo goed alles zodanig configureren dat het pas X dagen na release mag worden vrijgegeven enz.

Quad schreef op vrijdag 3 oktober 2025 @ 17:19:
[...]

Snap ik! We leveren niet aan zulke type organisaties waarbij je met testrings en reporting moet gaan werken. Dan kan je net zo goed alles zodanig configureren dat het pas X dagen na release mag worden vrijgegeven enz.

Wil het ook niet al te complex maken. Eigen laptop in de eerste ring met een paar dagen vertraging. Dan 3 of 4 in de volgende ring met mensen die representatief zijn voor een afdeling en waarbij de vertraging een paar dagen extra is ten opzichte van mij en dan de laatste ring met de rest op 14 dagen vertraging.

De meeste updates die kapot zijn worden wel met 1 a 2 dagen teruggehaald is mijn ervaring. Dat wil ik graag opvangen.

Dat klinkt als een goede strategie!

Autopatch zie ik vaak als term, maar mij is nog onduidelijk of ik dat nu wel of niet gebruik en zo niet wat dan het voordeel zou zijn. Vind dat stuk van Intune behoorlijk ondoorzichtig nog.

HKLM_ schreef op vrijdag 3 oktober 2025 @ 19:13:
[...]


Autopatch is tegenwoordig ook een verzamelnaam en inderdaad verwarrend, autopatch groups moet je onder tenant administration los activeren en entra ID groepen aanmaken. Vervolgens kan je meerdere groepen, ringen maken voor het uitrollen van updates, drivers etc welke dan staged uitrollen in je organisatie met meerdere ringen.

Je kan met autopatch groups meerdere autopatch groups aanmaken welke dan ook weer staged uitrollen met meerdere ringen.

Heb je hotpatch al geactiveerd?

Denk het niet, heb andere prioriteiten op dit moment en enkel oppervlakkig gekeken. Belangrijkste is nu in ieder geval iets met updates doen, hoop volgend jaar ruim de tijd te kunnen gaan nemen om het goed uit te zoeken en in te richten.

Drardollan schreef op vrijdag 3 oktober 2025 @ 17:00:
[...]

Helaas, geen licentie voor. Die valt schandalig genoeg buiten de BP

Zeker weten?

https://learn.microsoft.c...s-autopatch-prerequisites

HKLM_ schreef op vrijdag 10 oktober 2025 @ 07:04:
[...]


Volgens mij doelt hij op de proactive remediation scripts en die valt inderdaad buiten BP

Inderdaad.

HKLM_ schreef op vrijdag 10 oktober 2025 @ 07:04:
[...]


Volgens mij doelt hij op de proactive remediation scripts en die valt inderdaad buiten BP

Ah, my bad.

Wij zijn net begonnen met Autopatch in een lab tenant. Ben wel benieuwd naar de betreffende scripts

Linkje?